Tarayıcı parmak izi alma, kimlik avı sitesi yazarlarının güvenlik kontrollerinden kaçmak ve kötü amaçlı kampanyaların ömrünü uzatmak için kullandıkları birçok taktikten biridir.
Tarayıcı parmak izi, meşru kuruluşlar tarafından yaklaşık 15 yıldır web tarayıcılarını benzersiz bir şekilde tanımlamak için kullanılıyor olsa da, artık siber suçlular tarafından da yaygın şekilde istismar ediliyor: Yakın zamanda yapılan bir araştırma, dört kimlik avı sitesinden birinin bu tekniğin bir türünü kullandığını gösteriyor.
Bu makalede tarayıcı parmak izinin ne olduğu açıklanacak, örnekler verilecek ve nasıl kullanıldığı tartışılacaktır.
Tarayıcı parmak izi açıklaması
Tarayıcı parmak izi alma, tarayıcı kimliklerini oluşturmak için çeşitli istemci tarafı kontrolleri kullanır; bu daha sonra botları veya diğer istenmeyen web trafiğini tespit etmek için kullanılabilir. Parmak izi alma işleminin bir parçası olarak aşağıdakiler dahil çok sayıda veri toplanabilir:
- Saat dilimi
- Dil ayarları
- IP adresi
- Çerez ayarları
- Ekran çözünürlüğü
- Tarayıcı gizliliği
- Kullanıcı aracısı dizesi
Tarayıcı parmak izi pek çok yasal sağlayıcı tarafından hizmetlerini kötüye kullanan botları ve diğer şüpheli etkinlikleri tespit etmek için kullanılıyor, ancak kimlik avı sitesi yazarları da bunun faydalarını fark etti ve web sitelerini kimlik avı olarak işaretleyebilecek otomatik sistemlerden kaçınmak için bu tekniği kullanıyor. Tehdit aktörleri, site içeriğini yükleyen kendi tarayıcı parmak izi kontrollerini uygulayarak kimlik avı içeriğini gerçek zamanlı olarak gizleyebilir.
Örneğin Fortra, tehdit aktörlerinin Google Reklam inceleme sürecini atlamak için tarayıcı parmak izini kullandığını gözlemledi. Google'ın inceleme süreci yarı otomatik olduğundan, tarayıcı parmak izi kontrollerinin uygulanması, tehdit aktörlerinin Google'ın reklam hedeflerini normal bir kullanıcıyla karşılaştırıldığında ne zaman görüntülediğini belirlemesine olanak tanıdı. Tehdit aktörünün Google'dan kaynaklanan bir etkinlikten şüphelenmesi durumunda, zararsız içerik görüntüleniyordu. Bu durum, kimlik avı içeriği tespit edilemediği için kimlik avı raporlarının Google tarafından reddedilmesine yol açtı.
Tarayıcı parmak izi örnekleri
Cloudflare'in Bot Dövüşü Modu, botları tanımlamak ve engellemek için tarayıcı parmak izi tekniklerini kullanan meşru bir sağlayıcının örneğidir.
Cloudflare'in Bot Dövüşü Modu, botları tanımlamak ve engellemek için tarayıcı parmak izi alma tekniklerini kullanır.
Bir web sitesi Bot Dövüşü Moduyla her yüklendiğinde, aşağıdaki JavaScript çalışır ve sonuçları Cloudflare'e geri gönderir. Sonuçlara bağlı olarak size bir captcha sunulacak veya bloke edileceksiniz.
Aşağıda bir kimlik avı sitesinde uygulanan tarayıcı parmak izi kontrollerinden birinin örneği verilmiştir. İlk yüklemede site aşağıdaki kodlanmış JavaScript'i çalıştıracaktır:
JavaScript'in kodu çözülürse, güvenlik ekipleri bunun gizlendiğini görecek ve gösterilen dizelerden çok sayıda tarayıcı özelliği talep ettiği ve sonuçları görmek için testler yürüttüğü sonucunu çıkarabilecektir.
JavaScript bittiğinde, bir parmak izi oluşturur ve tüm bilgileri, sonuçların sunucu tarafından analiz edildiği kimlik avı sitesine geri gönderir. Neyi belirlediğine bağlı olarak, ya zararsız içerik ya da kimlik avı sitesi görüntülenecektir.
Aşağıdaki örnekte, büyük metin bloğu, sayfayı ziyaret eden tarayıcı hakkında önemli miktarda veri içermektedir.
Bu parmak izi, ekran boyutları, işletim sistemi, GPU donanımı, saat dilimi ve diğer birçok veri noktası hakkındaki bilgiler de dahil olmak üzere tarayıcının her özelliğini içerir. Tüm bu bilgilerin bir araya getirilmesi, tarayıcının gerçek mi yoksa bir emülatör mü olduğunu belirlemeyi çok kolaylaştırabilir.
Aşağıdaki örnekler bot etkinliğine işaret eden bilgiler içermektedir.
Örnek A: Platform ile UserAgent arasında UserAgent'ın değiştirildiğini gösteren bir tutarsızlık var.
Örnek A
Örnek B: İç değerler dış değerlerden büyük olduğundan ekran boyutları çakışıyor.
Örnek B
Örnek C: Saat dilimi farkı 0 veya UTC'dir; bu, bir istemci sisteminden değil, bir sunucudan gelen etkinliği gösterir. GPU bilgileri de bunun bir Linux sistemi olduğunu ortaya koyuyor.
Örnek C
Bir ziyaretçinin bot olma olasılığını belirlemek için önceki örneklerden ve bilgilerden herhangi biri analiz edilebilir. Yukarıdaki kimlik avı sitesi durumunda, alınan veriler bu siteye gerçek bir tarayıcı tarafından erişilmediğini gösteriyorsa zararsız içerik görüntülenecektir. Bu tür bir algılama, Curl, Puppeteer, Selenium veya başsız Chrome gibi neredeyse tüm kullanıma hazır tarayıcı emülasyonlarını tanımlayabilir.
Geçmişte tarayıcılar bir proxy'den yararlanarak ve UserAgent'ını değiştirerek tespit edilmekten kolayca kaçınabiliyordu. Bununla birlikte, tarayıcı parmak izi alma, bu otomatik sistemleri tanımlamada çok etkilidir ve site yazarlarının sonuçlara göre site içeriğini değiştirmesine olanak tanır. Güvenlik ekiplerinin tehdit aktörlerinin şüphesini önlemek için parmak izi almanın kritik önem taşıdığı durumlarda suçluların topladığı tarayıcı özelliklerini anlamak.