PARA SİBER GÜVENLİK/ ÜRÜN DİRİER Şeytani ikiz saldırısı, kullanıcıları meşru bir ağı taklit eden sahte bir Wi-Fi erişim noktasına bağlanmaları için kandıran bir siber saldırı yöntemi. Bir kullanıcı şeytani ikiz erişim noktasına bağlandığında, saldırganlar ağ trafiğinden kimlik ve bankacılık bilgilerine kadar her şeye erişebiliyor. Son dönemde özellikle otel müşterilerinin yaşadığı bu saldırı türü, birçok mağduriyete yol açınca araştırma gereği duyduk. Siber güvenlik uzmanlarından 'Evil Twin Attack (ETA)' denen bu ikiz ağ tuzakları konusunda bildi aldık.
Şeytani ikizlerin, meşru Wi-Fi ağlarından ayırt edilemeyecek kadar iyi birer taklit olduklarını ifade eden ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, "Saldırganlar bu sahte ağları oluşturarak öncelikle kullanıcıları kandırıp oturum açmalarını sağlıyor. Bu noktadan sonra kullanıcı verilerine erişerek kişisel bilgilerini çalabilir ve suç işlemelerini veya suça ortak olmalarını sağlayabilirler. Bu durum özellikle birden fazla hesap için aynı kullanıcı adı ve şifreyi kullanan kullanıcılar için tehlikelidir, çünkü bilgisayar korsanı tek bir giriş denemesini izleyerek hepsine erişim sağlayabilir. Ve en önemlisi, bu saldırıların tespit edilmesi neredeyse imkansızdır. Şeytani ikiz saldırıları, kurbanları güvenilir bir Wi-Fi ağına bağlandıklarını düşünmeleri için kandırarak çalışır. Bir kurbanın cihazını şeytani ikiz ağına bağladığında, bilgisayar korsanı sosyal medya hesaplarında gezinmekten banka ekstrelerini kontrol etmeye kadar çevrimiçi yapılan her şeyi izleyebilirler" diyor.
KURBANA ADIM ADIM YAKLAŞIRLAR
Saldırıyı olabildiğince inandırıcı hale getirmek için saldırganların belli başlı adımları izlediklerini vurgulayan Enginkurban, şunları aktarıyor:
"Saldırganlar saldırılarını gerçekleştirmek için otel, hava alanı, kütüphane ya da kahve dükkanı gibi ücretsiz ve popüler Wi-Fi erişimine sahip kalabalık bir yeri seçerler. Bu yerlerde genellikle aynı ada sahip birden fazla erişim noktası bulunur ve bu da sahte ağın fark edilmemesini kolaylaştırır. Ardından, bilgisayar korsanı yasal ağ ile aynı SSID adını kullanarak yeni bir erişim noktası oluşturur. Bunu yapmak için telefonlar, dizüstü bilgisayarlar, taşınabilir yönlendiriciler ve tabletler dahil olmak üzere hemen hemen her cihazı kullanabilirler. Daha önce halka açık bir Wi-Fi ağına giriş yaptıysanız, muhtemelen bir portal ile karşılaşmışsınızdır. Bunlar genellikle ağa erişmek için bir parola veya diğer temel bilgileri girmenizi gerektirir. Birçok yasal ağ bunları kullansa da saldırganlar bunları kolayca kopyalayarak kullanıcıları giriş bilgilerini göndermeleri için kandırabilir. Saldırgan biraz yetenekli ise gerçek ve sahte bir portal sayfası arasındaki farkı söylemek neredeyse imkânsız olacaktır. Saldırgan, şeytani ikiz erişim noktasını kurmayı tamamladıktan sonra, daha güçlü bir sinyal oluşturmak için cihazlarını veya yönlendiricilerini kurbanlara yaklaştırabilir. Belirledikleri kişiye adım adım yaklaşırlar, diyebiliriz. Bu şekilde ağ sinyalinin güçlü olmasını sağlayarak gerçek ağa kıyasla tercih edilmesini sağlarlar ve bazı cihazlar otomatik olarak şeytani ikize bağlanır."
OTELLER ÇEVREDEKİ AĞLARI GÖZLEMLEMELİ
12M Bilişim'in Genel Müdürü Akgün Yardımcı, "Siber saldırganlar, başta otel, restoran ya da kafe gibi kamuya açık alanlarda ziyaretçilerin kullanması için oluşturulan kablosuz ağların isim olarak benzerlerini kendi donanımları ile oluşturuyor ve siz bu ağa bağlandığınızda oluşturduğunuz trafiği inceleyerek bilgi toplayabiliyor, hatta kullanıcı adı ve parola gibi bilgileri dahi ele geçirebiliyor" diyor. Yardımcı, ağın işletmeye ait bir ağ mı yoksa ikiz bir ağ mı olduğunun anlaşılmasının her zaman mümkün olmayacağının altını çizerek şu bilgileri aktarıyor:
"Oteller gibi kurumlar için alınabilecek önlemler: bütün çalışanların siber güvenlik tehdit ve riskleri ile ilgili farkındalığını artırmak ve WIPS şeklinde kısaltılan Kablosuz Saldırgan Önleme Sistemi (Wireless Intrusion Prevention System) gibi teknolojiler ile çevredeki kablosuz ağları gözlemlemek."
FARKI ANLAMAK NEREDEYSE İMKANSIZ
Bu tür saldırıların, kullanıcıları otel ağları da dahil olmak üzere meşru bir ağı taklit eden sahte bir Wi-Fi erişim noktasına bağlanmaları için kandırmak yoluyla gerçekleştiğini belirten Kaspersky Güvenlik Uzmanı Mert Değirmenci, "Bir kullanıcı şeytan ikiz erişim noktasına bağlandığında, bilgisayar korsanları kullanıcının ağ trafiğine ve oturum açma kimlik bilgilerine erişebiliyor. Otel Wi-Fi ağlarında genellikle otel misafirinin ağa erişmek için bir şifre veya diğer temel bilgileri girmesini gerektiren kapalı portal sayfaları bulunuyor. Meşru otel Wi-Fi ağları bunları kullanıyor, ancak bilgisayar korsanları kullanıcıları giriş bilgilerini göndermeleri için kandırmak üzere bunları kolayca kopyalayabiliyor. Bilgisayar korsanı yetenekliyse, yasal ve sahte bir kapalı portal sayfası arasındaki farkı anlamak neredeyse imkansız olabiliyor" diyor.
Şeytan ikizi fark etmenin son derece güç olduğuna vurgu yapan Değirmenci, şu tavsiyelerde bulunuyor: "Şeytan ikiz Wi-Fi adları, genellikle yasal otel Wi-Fi ağ adını tam olarak kopyalar. Genellikle sadece bir bağlantı seçeneği olan bir bölgede ikinci bir bağlantı seçeneğini fark ederseniz dikkatli olun. Bir kapalı portal sayfasına yönlendirildiğinizde, sayfanın meşruiyetini değerlendirmek için acele etmeden zaman ayırın. Yazım hatalarına, dilbilgisi hatalarına dikkat edin. Ayrıca Wi-Fi ağlarındaki güvenlik eksikliğine de dikkat edin; ağ adının altında genellikle 'güvenli olmayan ağ' yazabilir. Böyle bir uyarı görürseniz, ağdan tamamen kaçmakta fayda var."
VPN PROGRAMLARI KULLANIN
Otellerin bu ataklar için yaygın yerler olmak ile birlikte kafeler, parklar, havaalanları, alışveriş merkezleri gibi toplu ve ücretsiz kablosuz ağ yayınlayan yerlerin de potansiyel olarak korsanların faydalanabileceği yerler olduğunun altını çizen WatchGuard Türkiye ve Yunanistan Satış Mühendisi Alper Onarangil, şu uyarılarda bulunuyor:
"Kablosuz ağ isimlerine dikkat edilmeli, aynı isimden iki veya daha fazla görülmesi durumunda bu şüpheci olmayı gerektirir. Toplu kullanılan kamusal kablosuz ağlara bağlanıldığında, bu ağı hatırla, otomatik bağlan gibi seçenekler seçilmemeli. Mutlaka bu tarz bir ağa bağlanmak gerekiyor ise VPN programları kullanarak bağlantının güvenli hale getirdikten sonra internette yapılacak işlemler yapılmalı."
İSİMLERİ BİRBİRİNE ÇOK BENZİYORSA…
Şeytani ikiz saldırısının otel ve tatil tesisi içerisinde bulunan sahte bir Wi-Fi ağı oluşturarak yapıldığı bilgisini veren Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, şunları söylüyor:
"Otelin Wi-Fi ağı ile bağlantı kurduğunu düşünen kişiler, bağlantı için istenen verileri girdiği takdirde, kişisel bilgilerini kendi elleriyle siber saldırganlara teslim etmiş oluyor. Eğer biri bu sahte Wi-Fi ağını kullanarak HTTPS koruması olan bir siteye girerse hacker'lar, SSL Strip ile SSL şifrelemesini ortadan kaldırarak kişinin bütün kişisel bilgilerini ele geçirebiliyor. Öncelikle kişilerin tatil yerlerine veya iş gezilerine gittiğinde, genelde otomatik olarak açık olan Wi-Fi bağlanma özelliğini kapatmalarını tavsiye ediyoruz. Eğer bulunduğunuz lokasyondaki halka açık Wi-Fi ağlarının isimleri birbirine çok benziyorsa onlara şüpheyle yaklaşın. Otel yetkililerinden resmi Wi-Fi ağını öğrendikten sonra bu tip ağlara bağlanılması en güvenli yol olacaktır."
"Yasal olarak sorumluluk otele ait"
Artuğ TİKİÇ / Timus Siber Güvenlik Ülke Müdürü
Saldırgan otelin veya restoranın kullanmış olduğu Wi-Fi sağlayıcısı isminde yeni bir Captive Portal oluşturur ve gerçek router'a 'deauthentication attack / kimlik doğrulama saldırısı' gerçekleştirir. Kullanıcı ağa bağlanmak ister ve saldırganın yaratmış olduğu sahte Captive Portal'a bağlanmak için istek atar. Kullanıcın karşısında saldırganın yaratmış olduğu sahte bir Captive Portal ekranı çıkar. T.C Kimlik Numaranız, Telefon Numaranız, İsim-Soy isim bilgilerinizi talep eder. Kullanıcı istenilen bu bilgileri girer ve sahte Captive Portal'a bağlanmak için bağlantı isteğini yollar ve saldırgan istediği bilgilere eriştikten sonra sahte Captive Portal'ı o kullanıcıya kapatır. Bu noktada otellerin mutlaka siber güvenlik yatırımı yapmaları gerekiyor. Son kullanıcıların kurdukları bağlantının ne yazık ki hacker mı yoksa otelin gerçek ağı mı olduğu noktasında bir ayrım yapması mümkün değil. Bu durumda saldırıya uğrayan ve veri kaybına sebebiyet veren otel ya da işletme, yasalar karşısında herhangi bir önlem almadığı için sorumlu olacaktır. Kurumlar, 5651 no'lu yasanın tanımladığı biçimde internet logu tutabilmek için siber güvenlik yatırımı yapmak durumunda. Yatırım yapmadıkları takdirde yaşanabilecek siber saldırılar sonucu oluşacak veri kaybından tamamen işletme sorumlu tutulacaktır.
"Evil Twin saldırılarını önleyici kablosuz ağ cihazları tercih edilmeli"
İsmail SAYGILI / Seccops Siber Güvenlik Teknolojileri Kurucu Ortağı
Şeytani İkiz/Evil Twin saldırısı, sahte Wi-Fi ağları oluşturarak kullanıcıları yanıltma temeline dayanır. Bu yöntem, temel olarak bir MITM (Man in the Middle/Ortadaki Adam) saldırısıdır. Yani, saldırgan, hedeflemiş olduğu kişi ile modem/router/AP arasına girmektedir.
Hacker'lar, parola korumasız bir şekilde otelin gerçek Wi-Fi ağına benzer bir ağ adında sahte bir Wi-Fi bağlantı noktası oluşturup bu esnada da hedef ağa ve/veya ona bağlanan müşterilere "deauth" saldırısı (kullanıcının ağ bağlantısını kesme) uygular. İnternet bağlantısı kesilen müşteri, tekrar bağlanmayı denediğinde sahte ağa bağlanır ve böylece hacker'lar kullanıcının internet trafiğini izleyebilir, gizli bilgilerini ele geçirebilir veya kötü amaçlı yazılımları cihazına bulaştırabilir. Otel müşterileri, bağlandıkları Wi-Fi ağının adını kontrol etmelidir. Ayrıca VPN kullanmak, güvenlik açısından ek bir katman sağlar ve müşterilerin verilerini şifreleyerek korur. Otel yönetimi, müşterilerine siber tehditlere karşı daha güvenli bir konaklama deneyimi sunabilmek adına, sistemlerinde güvenlik yazılımları ve güncel protokollerle donatılmış ağ altyapı kullanmalıdır. Özellikle Evil Twin saldırılarını önleyici olarak, "Rogue Access Point Protection" özelliği olan kablosuz ağ cihazları tercih edilmelidir.
"Ağlara otomatik olarak bağlanmayın"
Kutlu ŞENSOY / SoftwareOne Bilgi ve Siber Güvenlik Müdürü
"Evil Twin Attack" en özet haliyle; internete bağlandığınız cihaz ile modem arasına girilmesi ve siz bunu anlamadan kendisini bağlanmış olduğunuz güvenli modem olarak göstermesiyle gerçekleşir. Kullanıcı öncelikle bulunduğu ağdan kopar ve saldırganın modemin yerini almasıyla interneti yayanın kendisi olduğunu gösterir ve cihazların bu ağa bağlanması sonucunda amacına ulaşmış olur. Sonuç olarak hacker'lar tüm bilgilerinize kolaylıkla erişim sağlayabilirler. Bu saldırılar genelde otellerde, alışveriş merkezlerinde ve halka açık yerlerde kablosuz ağlar aracılığıyla gerçekleşir. "Şeytani ikiz" saldırısından korunmanın bazı yöntemleri mevcuttur. Otellerdeki gibi halka açık bir ağa bağlanmak zorunda kaldığınız durumlarda, size yöneltilen sorular kapsamında bilgilerinizi girmemeniz ve önemli hesaplarınızdan çıkış yapmanız yararınıza olacaktır. Aynı şekilde bu hesaplarınızda çift taraflı doğrulama kodlarının açık olması ve 4G bağlantınızı kullanarak erişmeniz oldukça önemlidir. Ortak ağlara bağlanırken VPN kullanmak bağlantınızı şifreleyecektir ve ağlara otomatik olarak bağlanmamak sizleri korumaya alacaktır.
ÜÇ ADIMDA ŞEYTANİ İKİZ SALDIRILARI
WatchGuard Türkiye ve Yunanistan Satış Mühendisi Alper Onarangil, şeytani ikiz saldırılarını üç adımda özetliyor…
1. Sahte kablosuz ağın kurulumu: Bilgisayar korsanları bu aşamada oteller, kafeler, alışveriş merkezleri gibi ücretsiz kablosuz ağ sağlayan yerlerden birini kendilerine seçer ve sonrasında gerçek kablosuz ağ ismi ile aynı olacak şekilde sahte ağlarını oluşturur. Bu aşamada amaç, kullanıcılara orijinal ağ yayınını yapan cihazlardan daha güçlü sinyal sağlamak olacağı için mümkün olduğunca kalabalık alanlara yakın olmaya çalışırlar.
2. Şeytani ikiz (Evil Twin) yayının devreye alınması: Bu aşamada saldırgan oluşturduğu yayını devreye alarak daha önce orijinal ağa bağlanan kurbanlarının kendi cihazlarına bağlanmasını bekler. Özellikle kurbanlar cihazlarında otomatik bağlan seçeneğini seçmesi ve orijinal ağ ile bağlantıları kesilmesi durumunda kendilerine daha yakın olan Şeytani İkiz ağlarına bağlanır.
3. Bilgilerin izlenmesi ve çalınması: Son aşama olan bu noktada, saldırganlar kendi ağlarına bağlanan kullanıcıların verilerini izlemeye ve bunları ele geçirmeyi hedefler.
ŞEYTANİ İKİZ SALDIRISINDAN NASIL KORUNURSUNUZ?
Şeytani ikiz saldırısından korunmanın en kolay yolu, mümkün olduğunca halka açık Wi-Fi yerine kişisel bir hotspot kullanmaktır. Bu, kamusal alanlarda her zaman güvenilir bir ağa bağlanmanızı sağlar ve saldırganların verilerinize erişmesini önler. Erişim noktanızı gizli tutmak için bir parola belirlemeyi de unutmayın. Genel bir ağa bağlanmanız gerekiyorsa, "Güvenli Değil" olarak işaretlenmiş erişim noktalarından uzak durun. Güvenli olmayan ağlar güvenlik özelliklerinden yoksundur ve şeytani ikiz ağlar neredeyse her zaman güvenli değil olarak işaretlidir. Cihazınızda otomatik bağlanmayı etkinleştirdiyseniz, kapsama alanına girdiğinizde daha önce kullandığınız tüm ağlara otomatik olarak bağlanacaktır. Bu, halka açık yerlerde tehlikeli olabilir, özellikle de geçmişte bilmeden kötü bir ikiz ağa bağlandıysanız… Evinizden veya ofisinizden her ayrıldığınızda otomatik bağlanmayı devre dışı bırakın. Otel ağı gibi halka açık Wi-Fi üzerinden asla özel işlerinizi yapmayın. Bir VPN, verilerinizi saldırganlar görmeden önce şifreleyerek sizi şeytani ikiz saldırısından korumaya yardımcı olabilir. Cihazınıza güvenilir bir VPN uygulaması indirdiğinizde, çevrimiçi etkinliğinizi ağa göndermeden önce şifreler veya karıştırır, böylece bir saldırganın verileri okuması ve anlaması imkansız hale gelir. WPA3 en yeni Wi-Fi güvenlik protokolüdür. Verilerinizi şifreleyerek kaba kuvvet ve şeytani ikiz saldırılarına karşı korur. WPA3-Enterprise ise halka açık Wi-Fi ağları için güvenliği artıran ve saldırganların çevrimiçi etkileşimlerinizi izlemesini engelleyen bir WPA3 modudur.
