Bir son kullanıcının bir siber suçlu bilgisayarında oturum açmasını, tarayıcılarını açmasını ve kullanıcı adlarını ve şifrelerini yazmasını bekler misiniz? Umarım değil! Ama bu, ortadaki bir tarayıcıya (Bitm) saldırıya kurban olurlarsa budur.
Ortadaki insan (MITM) saldırıları gibi, Bitm, suçluların, Salento Üniversitesi araştırmacıları Franco Tommasi, Christian Catalano ve Ivan Taurino’nun Uluslararası Bilgi Güvenliği Dergisi için bir makale özetlediği gibi kurbanın bilgisayarı ile hedef hizmet arasındaki veri akışını kontrol etmeye baktığını görüyor. Ancak, birkaç temel fark vardır.
Ortada Adam Vs Tarayıcı-Orta-Ortak
Bir MITM saldırısı, kurbanın tarayıcısı ile uygulama katmanındaki meşru hedef hizmeti arasında yer alan bir proxy sunucusu kullanır. Kurbanın bilgisayarına yerleştirilmesi ve çalıştırılması için bir tür kötü amaçlı yazılım gerektirir.
Ancak bir bitm saldırısı farklıdır. Bunun yerine, kurban kendi tarayıcısını kullandıklarını – örneğin normal çevrimiçi bankacılığını yürüttüklerini – bunun yerine şeffaf bir uzak tarayıcı çalıştırdıklarında düşünüyor.
Makalenin belirttiği gibi, kullanıcı “saldırganın bilgisayarının önünde oturuyor, saldırganın klavyesini kullanarak”, yani saldırganın kurban ve eriştikleri hizmet arasındaki veri alışverişini yakalayabileceği, kaydedebileceği ve değiştirebileceği anlamına geliyor.
Bitm saldırısının anatomisi
Peki nasıl çalışır? Üç aşamada tipik bir Bitm saldırısı meydana gelir:
- Kimlik avı: Kurban, saldırganın sunucusuna işaret eden ve web uygulamalarını doğrulayan kötü niyetli bir köprüyü tıklamak için kandırılır.
- Sahte Tarayıcı: Kurban, kötü niyetli JavaScript eklenerek saldırganın sunucusuna ve şeffaf web tarayıcısına bağlanır. Saldırı, suçluları mağdurun verilerini engellemeleri ve kullanmaları için güçlendirmek için anahtarlogerlar gibi programları kullanacak.
- Web uygulamalarını hedefleme: Mağdur, şeffaf bir tarayıcı kullandıklarını fark etmeden tüm olağan hizmetlerini çevrimiçi olarak kullanıyor. Kimlik bilgileri artık suçluya maruz kalıyor.
Oturum jetonları
Saldırı, oturum jetonlarını hedefleyerek çalışır. Bu, saldırganların çok faktörlü kimlik doğrulamasını (MFA) bile yıkmasını sağlar; Kullanıcı MFA’sını bitirdikten sonra, genellikle tarayıcılarında bir oturum jetonu saklanır. Google yan kuruluşundan araştırmacıların belirttiği gibi, jetonun kendisi çalınabilirse, MFA artık önemli değil:
Diyerek şöyle devam etti: “Bu oturum jetonunu çalmak, kimlik doğrulamalı oturumu çalmaya eşdeğerdir, yani bir düşmanın artık MFA mücadelesini gerçekleştirmesi gerekmeyecektir.” Bu, jetonları hem bir sistemin savunmalarını test eden kırmızı takım operatörleri hem de daha endişe verici bir şekilde gerçek rakipler için yararlı bir hedef haline getirir.
Doğrulanmış oturum jetonlarını hedeflemede bir BITM çerçevesi kullanarak, saldırganlar hızlı bir hedefleme yeteneğinin avantajlarından yararlanıyorlar, çünkü herhangi bir web sitesine yapılandırmaya az ihtiyaç duyan herhangi bir web sitesine ulaşabilecekleri belirtiliyor. Bir uygulama hedeflendiğinde, meşru site saldırgan kontrollü tarayıcı aracılığıyla servis edilir, bu da kurbanın gerçek bir site ile sahte muadili arasındaki farkı anlatmasını son derece zorlaştırır.
Çerezler veya OAuth jetonları şifrelemeden hemen önce kapılırken, hızlı pesfiltrasyon çalınan jetonların saniyeler içinde saldırgan sunucularına aktarılabileceği anlamına gelir.
Azaltma stratejileri
Bu sofistike saldırılar önemli hasara neden olabilir, ancak sonuçlardan kaçınmanın veya hafifletmenin yolları vardır. En geniş seviyede, kullanıcılar her zaman eriştikleri bağlantılara çok dikkat etmeli, belki de herhangi bir bağlantıyı gerçekten tıklamadan önce siteyi önizlemelidir. İşte başka seçenekler:
Yeni bir dönemde şifreler
Sonuç iç karartıcı bir şekilde açıktır: BITM saldırıları geleneksel güvenlik yaklaşımlarını atlatabilir, hatta suçluların kullanıcı adlarını ve şifreleri kesmesine izin verebilir. Peki bu şifreleri alakasız hale getiriyor mu?
Cevap yankılanan bir ‘hayır’. Çok faktörlü kimlik doğrulama (MFA)-sağlam şifreler de dahil olmak üzere-siber suçlular için, özellikle de oturum jetonunu hemen yakalayamıyorlarsa, hayatı daha da zorlaştırırsınız.
Saldırganlar daha sofistike hale gelse bile, temel bilgilere dikkat etmeniz gerekir. Şifreler MFA’nın hayati bir bileşeni olmaya devam ediyor – aslında çoğu kuruluş için muhtemelen ilk savunma hattı olarak kalıyorlar. Nasıl saldırırlarsa yapsınlar, şifrelerinizi koruyarak siber suçluları hayal kırıklığına uğratın.
SpecOps Parola Politikası, Active Directory şifrelerinizin her zaman çizilmesini sağlar. Active Directory’nizi 4 milyardan fazla tehlikeye atılmış şifre için sürekli olarak tararken daha güçlü şifre politikaları uygulayabilirsiniz. SpecOps Secure Access gibi etkili MFA ile birleştiğinde, son kullanıcılarınızı hem şifre hem de oturum açma adımlarında koruyacaksınız. MFA veya şifre güvenliği konusunda yardıma mı ihtiyacınız var? Sohbet için uzan.