Homograf Saldırısı

homograf saldirisi

Homograf (Homograph) saldırısı, kötü niyetli bir tarafın, birçok farklı karakterin birbirine benzediği gerçeğinden yararlanarak bilgisayar kullanıcılarını hangi uzak sistemle iletişim kurdukları konusunda aldatmasının bir yoludur (örn. saldırı, teknik olarak homografi, birbirine benzeyen farklı karakterler için daha doğru bir terim olsa da, örneğin, Kiril, Yunan ve Latin alfabelerinin her biri, aynı şekle ancak muadillerinden farklı anlamlara sahip bir ⟨o⟩ harfine sahiptir).

Benzer siber saldırı türleri Typo Squatting, Combo Squatting teknikleri ve bu saldırı tekniklerinden nasıl korunacağımız ile ilgili detaylı bir yazı yayınlamıştık. O yazımızda özellikle biz son kullanıcılar için belirttiğimiz kurallar Homograf siber saldırı yöntemi için de geçerlidir. Bu yazımızda homograf tekniği ile ilgili daha detaylı bilgi vermeye çalışacağız.

İnternet ilk oluşturulduğunda, alan adlarında Roma alfabesi karakterlerinin kullanılmasına dayanıyordu. Bu, dünyadaki dillerin hepsi tarafından olmasa da birçoğu tarafından kullanılan karakter setidir. İnternet dünya çapında genişledikçe, Arapça veya Mandarin gibi diğer alfabelerin kullanıldığı ülkeleri birbirine bağladı.

Uluslararası alan adı standartları, alan adları ve URL’ler için Roma alfabesi dışındaki karakterleri işlemek üzere oluşturulmuştur. Bunu anlamanın yolu, alan adlarının Roma alfabesi olmayan karakterleri belirtmek için Roma harfleri “xn-” ile başlamasıdır. Bu kullanışlıdır çünkü diğer karakter setlerini kullanan bir dil konuşuyorlarsa herkesin Roma alfabelerini öğrenmesini istemezsiniz.

Sorun şu ki, bu karakterlerin çoğu İngilizce’de kullanılan Roma karakterlerine çok benziyor. Örneğin, Kiril alfabesindeki küçük “a” harfi tıpkı Roma alfabesindeki küçük “a” harfine benziyor. Spam gönderenler, başka bir karakter seti kullanarak bir ya da iki değişiklikle tıpkı tüm Roma harflerine benzeyen alan adları satın aldı. Birkaç yıl önce araştırmacılar bu hileyi keşfetti ve o zamandan beri tüm modern tarayıcılar “apple.com” yerine “xn-80ak6aa92e.com” kullanarak homograf saldırı yöntemlerini tanıyacak şekilde güncellendi. Bu terimi tarayıcınızın adres çubuğuna yazmayı deneyin, çözülmeyecektir. Ancak eskiden bu, sıradan bir Apple web sayfasına benzeyen ve bir dolandırıcı tarafından masum kullanıcıları kandırmak için akıllıca kopyalanmış bir web sayfası getirirdi.

Homograf saldırı nedir?

homograf atak
Yukardaki resimde maybank2u.com ve citibank.com iki farklı şekilde yazılmış. Farkı yakalayabildiniz mi?

Bu tür bir sahtekarlık saldırısı komut dosyası sahtekarlığı olarak da bilinir. Unicode çok sayıda yazı sistemini içerir ve çeşitli nedenlerden dolayı Yunanca Ο, Latince O ve Kirilce О gibi benzer görünümlü karakterlere aynı kod atanmamıştır. Bunların yanlış veya kötü niyetli kullanımı güvenlik saldırıları için bir olasılıktır. Bu nedenle, örneğin, ornek.com adresine gitmek isteyen normal bir internet kullanıcısı, üçüncü harfin Latin karakteri “e” değil, Kiril karakteri “e” olduğunun ve dolayısıyla amaçlanandan tamamen farklı bir alan adı olduğunun farkında olmadan, görünüşte tanıdık bir bağlantı olarak sorgusuz sualsiz tıklamaya ikna edilebilir.

Saldırganlar, homografik karakterleri kullanarak, kullanıcıların güvendikleri bir web sitesine benzer görünen sahte bir web sitesi oluşturabilirler. Bu sahte web sitesi, orijinal web sitesinin tam bir kopyası gibi görünebilir ve kullanıcıların kişisel bilgilerini veya kimlik bilgilerini çalmak için kullanılabilir.

Bu tür bir saldırı, kullanıcıları kandırmak için çeşitli teknikler kullanabilir, örneğin, phishing (oltalama) saldırıları, kötü amaçlı yazılımların dağıtımı veya kimlik avı gibi yöntemler.

Homograf ataklarının etkilerini azaltmak için, kullanıcıların web sitesinin URL’sini dikkatlice kontrol etmeleri ve güvenilirliklerinden emin olmadıkları web sitelerine kişisel veya hassas bilgilerini girmemeleri önemlidir. Ayrıca, tarayıcıların ve güvenlik yazılımlarının güncel olmasını sağlamak da önemlidir.

Homograf karakterler

homograf atak
Homoglifler üç büyük Avrupa alfabesinde yaygındır: Latin, Yunan ve Kiril. Unicode karakterleri birleştirmeye çalışmaz ve bunun yerine her bir yazıyı ayırır. (Wikipedia)

Homografik karakterler, genellikle Latin alfabesini kullanan dillerle diğer alfabeler arasında benzerlik gösterebilir. Aşağıda bazı örnekler verilmiştir:

  • Latin Alfabesi ve Yunanca: Örneğin, “a” harfi Latin alfabesinde ve Yunanca alfabede benzer bir görünüme sahiptir. Benzer şekilde, “b”, “e”, “p”, “o” gibi harfler de benzerlik gösterebilir.
  • Latin Alfabesi ve Kiril Alfabesi: Bazı Latin harfleri, Kiril alfabesindeki harflere benzerlik gösterebilir. Örneğin, “c” harfi Kiril alfabesinde “с” olarak görünebilir.
  • Homografik karakterlerin benzerlik gösterdiği diller, sadece yukarıda belirtilenlerle sınırlı değildir. Farklı diller ve alfabeler arasında benzerlikler bulunabilir ve saldırganlar, bu benzerlikleri kullanarak homograf saldırıları gerçekleştirebilir. Bu nedenle, internet kullanıcılarının dikkatli olması ve web sitelerinin güvenilirliklerini doğrulamak için güvenilir kaynaklardan destek almaları önemlidir.

Homograf alan adları

Taklit bir alan adı oluşturmak için irongeek.com adresindeki homograf internet alan adı oluşturucu aracını kullanabilirsiniz. Bu sayfadan öncelikle taklit etmek istediğimiz alan adını yazmamız gerekiyor. Biz “ornek.com” kullandık.

Oluşturucu daha sonra her harfi başka bir karakter setinden bir harfle değiştirmemize izin veriyor. İlk iki satır büyük ve küçük harf olarak Latin karakter setidir. Bununla birlikte, Kiril dahil olmak üzere diğer birkaç karakter seti de dahil edilmiştir.

homograf atak
Homograf internet alan adı oluşturucu.

Oluşturucuyu kullanarak, bir veya daha fazla harfi farklı bir karakter kümesindekilerle değiştirebiliriz. Latin harfi “e “yi Kiril harfi “e” (Unicode 435) ile değiştirdik. Bu bize aşağıdaki çıktıyı verir. Fark görebiliyor musunuz?

ornеk.com

Bu bağlantıya tıklarsanız veya URL’yi kesip bir tarayıcıya yapıştırırsanız, aşağıdaki URL’ye yönlendirilirsiniz.

http://xn--ornk-x4d.com/

Kötü niyetli bir siber saldırgan bu yönlendirilmiş alan adını kaydettirirse, kötü niyetli bir trafik gönderme, sosyal mühendislik veya parola ele geçirme gibi herhangi bir saldırı için kullanabilir. (Alan adı kayıt şirketlerinin bu tür alan adlarını engellemeleri gerekiyor).

Bu taklit internet adresini kopyalayıp Microsoft Edge, Google Chrome gibi modern bir tarayıcıya yapıştırırsanız, siz enter tuşuna basmadan önce hedef URL’yi tanımlayacaktır. Ancak bu durum bazı kullanıcılar tarafından kolayca gözden kaçırılabilir.

homograf atak

Bu taklit internet adresi e-posta yoluyla alındıysa, hedefini kontrol etmek için internet adres bağlantısının üzerine gelmediğiniz sürece daha az belirgin olabilir. Bu nedenle e-posta içerisindeki linkleri açmadan önce mouse işaretçisini ilgili bağlantı üzerine getirip aşağıdaki durum çubuğu üzerinde bağlantının detayını kontrol etmeniz önemlidir. Ya da bu bağlantıyı kopyalayıp tarayıcı adres çubuğuna yapıştırıp yukardaki resimdeki gibi adres çubuğuna yapıştırdığınız adres ile tarayıcının yönlendireceği adresin aynı olduğundan emin olmalısınız.

Homograf saldırılardan korunma

Son kullanıcıların homograf saldırılarından korunmak için aşağıdaki uyarılara dikkat etmelerini öneririz:

  1. URL’leri dikkatlice kontrol edin: Web sitelerini ziyaret etmeden önce URL’yi dikkatlice inceleyin. Homograf saldırılarında sahte web siteleri, gerçek web sitelerinin URL’lerini taklit etmeye çalışır. Küçük bir farkı veya yanıltıcı bir karakteri fark etmek için URL’yi dikkatlice okuyun ve güvendiğiniz kaynaklardan doğrulama yapın.
  2. Güvenilir tarayıcılar kullanın: Güvenilir ve güncel bir tarayıcı kullanmak önemlidir. Tarayıcılar, homografik karakterlerin kullanıldığı sahte web sitelerini algılayabilen filtreleme ve uyarı mekanizmaları içerebilir.
  3. İki faktörlü kimlik doğrulama kullanın: Hesaplarınızı korumak için iki faktörlü kimlik doğrulama özelliğini etkinleştirin. Bu, kullanıcı adı ve şifreyle erişimin yeterli olmadığı, ek bir doğrulama adımının gerektiği anlamına gelir.
  4. Güncel antivirüs ve güvenlik yazılımı kullanın: Güncel bir antivirüs yazılımı ve güvenlik duvarı kullanmak, bilgisayarınızı zararlı yazılımlara ve saldırılara karşı korur. Bu yazılımları düzenli olarak güncelleyin.
  5. Bilinçli olun: Kendinizi homograf saldırıları ve diğer dolandırıcılık yöntemleri konusunda bilgilendirin. Oltalama e-postalarını, sahte web sitelerini ve diğer dolandırıcılık girişimlerini tanımayı öğrenin. Şüpheli veya tanımadığınız kaynaklardan gelen mesajları, e-postaları veya bağlantıları açmaktan kaçının.
  6. Güncellemeleri takip edin: İşletim sistemi, tarayıcı ve diğer yazılımlarınızı güncel tutun. Güncellemeler, güvenlik açıklarını düzeltmeye yardımcı olur ve saldırılara karşı daha iyi bir koruma sağlar.
  7. Hassas bilgilerinizi paylaşmaktan kaçının: Kişisel veya hassas bilgilerinizi sadece güvenilir ve güvenli web sitelerine sağlayın. İnternetteki formlarda veya bağlantılarda hassas bilgilerinizi sağlamadan önce güvenilirliğini doğrulayın.
  8. Güvenilir kaynaklardan indirme yapın: Yazılım, uygulama veya dosya indirirken, güvenilir kaynaklardan indirme yapın. Güvenilmeyen veya şüpheli kaynaklardan indirilen dosyalar zararlı yazılımları veya saldırıları içerebilir.

Bu önlemler, homograf saldırılarına karşı korunmanıza yardımcı olabilir, ancak dikkatli olmak ve güvenlik bilincinizi sürekli olarak güncel tutmak önemlidir.

Kurumsal şirketler bu tür saldırılardan korunmak için Microsoft Office 365 Gelişmiş Tehdit Koruması (ATP), özellikle de Safe Links gibi bir ürün kullanabilirler. Safe Links, e-posta yoluyla iletilen her URL’yi tarar. URL’nin kötü amaçlı olduğu düşünülürse ve kullanıcı bağlantıyı tıklarsa, Safe Links kullanıcıyı kötü amaçlı web sitesi konusunda uyarır. Bu, kullanıcılar için harika bir öğrenme aracıdır.

Yönetici, Güvenli Bağlantıları kullanıcının orijinal URL’ye tıklamasına (ve riski kabul etmesine) izin verecek veya kullanıcının devam etmesini engelleyecek şekilde yapılandırabilir. Aşağıdaki ekran görüntüsü, orijinal URL’ye devam etmesi yasaklanan bir kullanıcı örneğidir.

homograf atak
Kötü Amaçlı URL’ye Erişimi Yasaklayan Office 365 ATP Güvenli Bağlantılar

Güvenli Bağlantılar gelen kutusunun ötesine de genişletildi ve artık Word ve Excel gibi tüm Office belgelerinin yanı sıra Microsoft Teams’deki bağlantıları da koruyor.

Güvenli Bağlantılar’ı yapılandırırken sıklıkla gözden kaçan iki seçeneğe dikkat etmelisiniz.

Birincisi, Güvenli Bağlantıları kurum içinde gönderilen e-posta iletilerine uygulamaktır. Dahili bir kullanıcı farkında olmadan başka bir dahili kullanıcıya kötü amaçlı bir URL gönderirse bu seçenek sizi koruyacaktır.

İkincisi ise kullanıcıların güvenli bağlantılar üzerinden orijinal URL’ye tıklamasına izin verme seçeneğidir. Bu seçenek, kullanıcının uyarılmasına rağmen kötü amaçlı bir URL’ye ilerlemesini engeller. Meşru bir URL her zaman geriye dönük olarak beyaz listeye alınabilir.

Güvenli Bağlantılar ve Office 365 ATP’nin nasıl yapılandırılacağı hakkında daha fazla bilgi için Office 365 ATP Güvenli Bağlantılar ilkelerini ayarlama bölümüne göz atmayı unutmayın.

Hem kullanıcılar hem de kurumsal şirketlerin daha önce yayınladığımız aşağıdaki yazıları tekrar tekrar okumalarını öneririz.

Siber Dolandırıcılıktan Nasıl Korunursunuz?

Siber Dolandırıcılığın Önlenmesinde Şirketlerin Sorumlulukları

Sağlıkla ve güvende kalın…

Yazıda faydalandığımız konuyu daha detaylı incelemek isteyenler için linkler kaynak bölümünde paylaşılmıştır.

Kaynaklar:

  • https://en.wikipedia.org/wiki/IDN_homograph_attack
  • https://supertekboy.com/2020/07/15/url-impersonation-homoglyph-attacks/
  • https://www.networksolutions.com/blog/protect/cybersecurity/how-to-recognize-and-prevent-homograph-attacks
  • https://www.malwarebytes.com/blog/news/2017/10/out-of-character-homograph-attacks-explained
  • https://www.malwarebytes.com/blog/news/2020/08/inter-skimming-kit-used-in-homoglyph-attacks
  • https://www.xudongz.com/blog/2017/idn-phishing/
  • https://www.irongeek.com/homoglyph-attack-generator.php