90’ların İnternet Trendi En Yeni Siber Saldırı Yöntemi Haline Geldi 

Single sign-on (SSO), yani tek oturum açma özelliği, birçok internet kullanıcısının hayatını kolaylaştırdı… Bağlantılı, ancak birbirinden bağımsız birçok sisteme tek bir ID ile giriş yapabilme özelliği sürekli şifre kullanma ihtiyacını ortadan kaldırdığı gibi çok sayıda hesaba girme süresini de kısalttı. Giderek artan bu uygulamanın öteki yüzü, kullanıcılara hesap bilgilerini soran ekranların belirmeye başlaması oldu. Browser in the browser (BitB), yani tarayıcı içinde tarayıcı saldırısı, kötü amaçlı bir sayfa içerisinde aynı pencereyi gerçeğinden neredeyse farksız bir şekilde ortaya çıkararak internet kullanıcıları için tehdit oluşturuyor.

Arka plan

Bazılarınız 1990’lı yıllarda internette gezinmenin neye benzediğini hatırlayabilir. Alışık olmadığınız bir internet sayfasına giriş yaptığınız zaman ekranınız sayısız pop-up reklamlar ile dolardı. Kullanıcılar bu rahatsız edici reklam girişiminden fazlasıyla çabuk bunaldığı gibi 2000’li yıllarda pop-up pencere ve reklam önleyici içerikler kullanılmaya başlandı. Birçok web sayfasının da bu içerikleri kullanmaya başlaması ile reklam fırlayan sayfaların da önüne geçildi.

Her ne kadar geçmişten kalan bir detay olsa da, eskiler bugün yeniden karşımıza çıkabiliyor. Pop-up ekranlar geri döndüğü gibi bugün SSO, yani tek oturum açma içeriğine açılan kapılar olarak da vazife görüyorlar. Tek oturum açma çok sayıda uygulama ile güvenli bir şekilde kimlik doğrulamayı, aynı zamanda birçok web sayfasının sadece belirli hesap bilgileri kullanmasını sağlıyor.

Yeni bir çevrimiçi ortamda veya uygulamada hesap açmak istediğinizde sizden belli bilgiler istenirken, Google veya Facebook bilgilerinizi kullanarak doğrudan bu işlemi tamamlayabiliyorsunuz. Aşağıda görülen örnekte olduğu gibi SSO kullanmak tarayıcı da bir pop-up ekranın belirmesine neden oluyor. Farklı bir hizmete erişmek için sizden kullanıcı adınız ve şifreniz isteniyor. Hesap açmak için en çok Google ve Facebook tercih edilirken, bazen Apple hesapları da kullanılabiliyor. Aşağıdaki örnekte Canva’ya erişim sağlamak için Facebook hesabı kullanılıyor.

Saldırı 

SSO aracılığıyla yapılan saldırının ne tür bir tehdit altında olduğunu anlamayan internet kullanıcıları için büyük bir risk olduğunu anlamak zor değil. Saldırganlar meşru bir web sayfasının içeriklerini kopyalayarak kötü amaçlı web sayfalarını meşru göstermeye çalışırken, URL’yi incelemek oldukça kritik. Öte yandan, pop-up penceresi aracılığıyla saldırganlar içeriklerle bağlantılı tüm unsurlar üzerinde tam kontrol elde ediyor. URL, meşru bir çevrimiçi hizmet ile aynıymış gibi değiştirilebiliyor. Teknik olarak, bu işlemi gerçekleştirmek de saldırganlar için zor değil. Kötü amaçlı web sayfasında pop-up penceresinin belirmesi için sadece birkaç satır Javascript yazmak yeterli. Birkaç satır daha kod ekleyerek pop-up penceresi sürüklenebilir hale gelebilir, aynı zamanda web sayfasının temasına tam olarak uyabilir.

Ardından, pop-up penceresi kullanıcılardan hesap bilgilerini alabilmek için özelleştirilebilir. Örneğin, siz herhangi bir hesap bilgisi ve şifre girene kadar pencereyi kapatamayabilirsiniz. Kullanıcı geçerli bir hesap bilgisi ve şifre girdikten sonra şüpheleri tamamen ortadan kaldırmak için meşru bir web sayfasına da yönlendirilebilir.

Peki, internet kullanıcıları karşılarına çıkan pop-up ekranının sahte olup olmadığını nasıl anlayabilir? Bir yöntem, pop-up penceresinin açıldığı sayfanın URL’sini kontrol etmek. Birçokları pencere üzerindeki URL’ye dikkat edeceği için bir tehdit altında olduğunu anlamayabilir. Bir diğer ve daha etkin yöntem ise pop-up penceresinin sürüklenebilirliğini kontrol etmek. Sahte bir pencere web sayfasının sınırları içerisinde kalacakken, orijinal bir tanesi sayfanın sınırlarından bağımsız sürüklenebilir.

Çengele takılmamak…

Yukarıda bahsedilen bilgiler bir saldırgan bir kurbanı kötü amaçlı bir sayfaya yönlendirdiği zaman geçerli. Tabii ki bu tuzağa düşmemek ve en başından URL tespiti yaparak sahte pop-up penceresi bulunan sayfadan çıkmak mümkün.

Eğer yine de sahte web sayfasındaki pop-up penceresi karşınıza çıkarsa, mutlaka sayfanın URL’sini kontrol edin. Pop-up penceresinin meşru görünümüne aldanmayın.

Pop-up penceresini hem sayfa çerçevesi içerisinde hem de dışında sürüklemeye çalışın. Sahte bir pencere bulunduğu sayfanın sınırları içinden çıkamaz ve kolayca bir tuzak olduğunu ele verir.