Ortadaki Adam (MitM) Saldırısı Nedir?

Ortadaki Adam (MitM) Saldırısı Nedir?

Ortadaki Adam (MitM) Saldırısı Nedir? sorusu büyük veri ihlallerine neden olabilen ciddi siber saldırılara karşı hazırlıklı olmanızı sağlayabilir.

MITM Nedir?

Adından da anlaşılacağı gibi, ortadaki adam (Man In The Middle) saldırısı, kötü niyetli birinin iki taraf arasındaki iletişime gizlice dahil olduğu en eski siber saldırı türüdür.

MITM, kurban tarafından iletilen verilerin okunmasına hatta değiştirilmesine olanak tanır. Saldırgan kendi bilgisayarı ile kurbanın bilgisayarı arasında oluşturduğu gizli, sözde, sahte bir bağlantı sayesinde bunu başarır.

MITM saldırısının amacı, kişisel verileri, şifreleri, banka bilgilerini ele geçirmek veya taraflardan birini taklit etmektir. Bu eylemler, ne yazık ki oturum açma bilgilerinin değiştirilmesini veya bir para transferinin başlatılmasını içerebilir. Örneğin, bankacılık işlemlerinde bir saldırgan, bir kullanıcının transfer yaptığını görebilir ve hedef hesap numarasını veya gönderilen tutarı değiştirebilir.

Bazen ortadaki adama, ortadaki maymun (monkey in the middle), ortadaki canavar (monster in the middle), ortadaki makine (machine in the middle) veya ortadaki kişi (person in the middle) de denir.

Artan iş mobilitesi, açık Wi-Fi kullanımı ve savunmasız IoT cihazlarının yaygınlaşması MitM saldırılarının artmasına yol açan gelişmeler olarak sıralanabilir. Kablosuz ağların benimsenmesini saldırganlar veri çalmak ve kuruluşlara sızmak için bir fırsat olarak görmektedir. Son birkaç yılda Nesnelerin İnterneti (IoT) cihazlarının kullanımının önemli ölçüde artması, henüz yeterli güvenlik standartlarına sahip olmayan bu cihazları MitM saldırılarına karşı savunmasız kılmaktadır. Saldırganlar, diğer teknikleri uygulayabilmek için IoT cihazlarını şirketlerin ağına girmenin bir yolu olarak kullanmaktadır.

MitM Neden Tehlikeli?

MITM Nedir?, Ortadaki Adam (MitM) Saldırısı Nedir?, MitM Neden Tehlikeli?
Artan iş mobilitesi, açık Wi-Fi kullanımı ve savunmasız IoT cihazlarının yaygınlaşması MitM saldırılarının artmasına yol açan gelişmelerdir.

Saldırganların, ara sunucular oluşturarak, kurbanların bir iletişimde gerçek tarafla konuştuklarına inanmasını sağlayabildiği bu saldırı türü genellikle bireyleri hedef alsa da işletmeler ve büyük kuruluşlar için de önemli endişe kaynağıdır. Bilgisayar korsanları; ortak bir erişim noktasını, mesajlaşma hizmetlerini, dosya depolama sistemlerini veya uzaktan çalışma uygulamalarını işletmelerin ağlarına giriş yolu olarak kullanılabilmektedir.

Genellikle casusluk veya finansal kazanç elde etme amacıyla kullanılan man-in-the-middle sadırıları, iş süreçlerine zarar vermek ve kurbanlar açısından kaos yaratmak için de gerçekleştirilir. Saldırganlar, kötü amaçlı yazılımların kurbanların mobil cihazlarına gönderilmesini sağlayabilir, trafiği şifreleyemedikleri göz önüne alındığında, mobil cihazlar bu senaryoya duyarlıdır.

Ayrıca bir MitM saldırısında virüslü bilgisayarlara yasal olmayan SSL sertifikaları yüklenebilir ve kurbanın cihazından ekran görüntüleri alınabilir.

Son zamanlarda finans dünyasında heyecan yaratan kripto paralar (Cryptocurrency) açısından da ortadaki adam saldırıları güvenlik sorunları yaratabilir.

Ortadaki Adam Saldırısı Nasıl Gerçekleştirilir?

Ortadaki Adam Saldırısı Nasıl Gerçekleştirilir?, MITM Saldırılarından Korunma Yöntemleri
Siber suçlular, bir Wi-Fi yönlendirici aracılığıyla ya da alan adı sistemi (DNS) sunucularını manipüle etmek gibi yollarla erişim elde ettikleri ağda güvenlik açıklarını bulmaya çalışır.

Gizli bir dinleme sayılan, gerçek zamanlı konuşmaları ve veri aktarımını açığa çıkaran ortadaki adam saldırıları bir tür oturum kaçırmadır ve Sidejacking, Evil Twin, sniffing gibi formlara bürünür.

Sniffing’de saldırgan, verilere müdahale etmek için bir yazılım kullanır. Saldırganların bilgisayarlara enjekte ettiği kötü amaçlı yazılım kendisini otomatik olarak tarayıcıya yükleyebilir. Sidejacking oturum açma bilgilerini çalmaya ve bir kullanıcı oturumunu ele geçirmeye odaklanır. Evil Twin’de ise saldırgan meşru bir Wi-Fi ağını çoğaltarak gerçek ağda oturum açtığına inanan kullanıcıların verilerini ele geçirir. Siber korsanların, kullanıcı ağına müdahale amacıyla kullandıkları en yaygın yöntemlerden biri kötü niyetli Wi-Fi erişim noktalarını ücretsiz olarak halka açık hale getirmektir.

MITM saldırıları genellikle iki aşamadan oluşur: müdahale (Interception) ve şifre çözme (Decryption). Müdahale aşamasında, siber suçlular, bir Wi-Fi yönlendirici aracılığıyla ya da alan adı sistemi (DNS) sunucularını manipüle etmek gibi yollarla erişim elde ettikleri ağda güvenlik açıklarını ve olası giriş noktalarını bulmaya çalışır.

MITM saldırılarının ikinci aşaması olan şifre çözme, çalınan verilerin şifresinin çözülerek siber suçlular tarafından anlaşılır hale getirilmesini kapsar. Şifresi çözülen veriler; kimlik hırsızlığı, yetkisiz satın almalar veya dolandırıcılık amaçlı banka faaliyetlerinde kullanılabilir.

MITM Saldırı Yöntemleri

Siber suçluların, MITM saldırılarını gerçekleştirmek için kullandığı en bilinen teknikler arasında bir kullanıcıyı bilinen bir hedeften sahte bir web sitesine yönlendirmek, Wi-Fi erişim noktasının simülasyonu, kişisel bilgiler içeren tarayıcı çerezlerini çalmak gibi çok çeşitli taktikler söz konusudur.

Replay Saldırısı

IP Sahtekarlığı (IP Spoofing), Replay Saldırısı, E-mail Hijacking

Yeniden yürütme, tekrar oynatma anlamına gelen replay saldırılarında, tüm verilerinize sahip olan saldırganın, önceden yaptığınız bir işlemi yinelemesi mümkündür.

E-mail Hijacking

Siber suçlular, bankaların e-posta mesajlarını taklit ederek kurbanın oturum açma ve banka kartı bilgilerini elde etmeye çalışır. Siber suçlular bazen de bankaların ve diğer finansal kurumların e-posta hesaplarını hedefler. Erişim sağlandıktan sonra kurum ile müşterileri arasındaki işlemleri izleyebilirler. Saldırganlar daha sonra bankanın e-posta adresini taklit edebilir ve müşterilere kendi talimatlarını gönderebilir.

DNS Zehirlenmesi

MITM Saldırı Yöntemleri
Siber suçlular, tarayıcınızı, güvenilir bir web sitesini ziyaret etmediği halde, buna inandırabilirler, sahte web sitesiyle olan etkileşimlerinizi izleyebilir ve paylaştığınız kişisel bilgileri çalabilirler.

DNS sahtekarlığı (DNS Spoofing) adıyla da karşımıza çıkan bu saldırılarda, siber suçlular sunucuya erişir ve web sitesi adres kaydını kendi web sitesi kayıtlarıyla eşleşecek şekilde değiştirir. Saldırganlar ulaşmaya çalıştığınız web sitesiyle aynı görünen ancak benzer bir URL’ye sahip kendi web sitelerini oluştururlar. Böylece saldırganlar kullanıcıları ziyaret etmeyi planladıkları gerçek web sitesi yerine sahte bir web sitesine yönlendirir. Örneğin, Kiril alfabesinden harfleri kullanarak tarayıcınızı, güvenilir bir web sitesini ziyaret etmediği halde, buna inandırabilirler.

Amaç kullanıcının, meşru web uygulamasıyla iletişim kurduğunu düşünmesini sağlamak ve banka kartı bilgileri gibi hassas verileri ele geçirmektir. Sahte web sitesiyle olan etkileşimlerinizi izleyen ve paylaştığınız kişisel bilgileri çalan korsanlar, kimlik avı e-postaları gibi hedefli saldırıları başlatmak için kullanabilecekleri oturum açma bilgilerini elde etmiş olur.

Wi-Fi Dinleme (Wi-Fi Eavesdropping)

Saldırganlar, mevcut bir Wi-Fi bağlantısındaki güvenlik açığından yararlanmak yerine kendi ağlarını kurabilir. Böylece bir kullanıcı, dolandırıcının Wi-Fi ağına bağlandığında saldırgan kullanıcının çevrimiçi etkinliğini izleyebilir, oturum açma ve banka kartı gibi bilgilerini ele geçirebilir. Bazen saldırgan, ‘Evil Twin’ olarak da adlandırılan internet etkin noktasını çoğaltır.

ARP Spoofing

Bu tür bir saldırı, ARP protokolünü kullanan bir yerel alan ağında gerçekleştirilir. ARP, Adres Çözümleme Protokolü anlamına gelir. ARP zehirlenmesi olarak da bilinen bu saldırılarda, ARP paketleri saldırganın cihazına veri göndermeye zorlanır. Saldırı, çok sayıda zorunlu ARP isteği oluşturur. Kullanıcı bir istek gönderdiğinde, saldırgan cihaz gibi davranarak sahte bir yanıt gönderir.

SSL Hijacking

HTTPS Sahteciliği (HTTPS Spoofing), SSL Ele Geçirme (SSL Hijacking), Wi-Fi Dinleme (Wi-Fi Eavesdropping)
SSL Sıyırma olarak da bilinen SSL Ele Geçirme saldırısında; gönderici ve alıcı arasında güvenli bir bağlantı var gibi görünse de saldırgan oturumu kontrol etmektedir.

SSL, tarayıcınız ve web sunucusu arasında şifreli bağlantı olmasını sağlayan bir güvenlik protokolüdür, Güvenli Yuva Katmanı anlamına gelir. Bir web sitesinin orijinal olup olmadığını anlamanın genel kuralı, tarayıcının adres çubuğunda kilit simgesinin bulunmasıdır. Eğer bir işletmenin web sitesinde olduğunuzdan emin olmak isterseniz bu kilit simgesine tıklayarak şirketin adını kontrol edebilirsiniz.

SSL Sıyırma olarak da bilinen bu MITM türünde gönderici ve alıcı arasında güvenli bir bağlantı var gibi görünse de saldırgan oturumu kontrol etmektedir. Saldırgan, müdahale yoluyla uygulamanın veya web sitesinin şifrelenmemiş sürümünü kullanıcıya gönderir.

Man-in-the-Browser

Tarayıcıdaki adam (MitB) saldırısı olarak adlandırılan bu saldırılar; bir tarayıcı ve bir web sunucusu arasında gönderilen verileri değiştirmek için Truva atlarının kullanıldığı siber tehditlerdir. Tarayıcıdaki adam saldırısı, ağ düzeyinden ziyade uygulama düzeyinde müdahale ile özdeştir.

Kimlik avı saldırılarının aksine, kullanıcının kötü amaçlı bir web sitesini ziyaret etmesi gerekmez. Bunun yerine, kullanıcı meşru bir web sitesini ziyaret eder, ancak gerçekte gördükleri saldırgan tarafından kontrol edilir.

Tarayıcıdaki adam saldırıları ile bir web sitesinin görünümü değiştirilebilir, kullanıcı tarafından gönderilen bilgiler değiştirilebilir, oturum gerçek zamanlı olarak ele geçirilebilir.

Bu saldırılarda trojan (Truva Atı), uyumlu olduğu web sitelerinin bir listesine sahiptir. Kullanıcı listedekilerden birini ziyaret edene kadar, saldırı pasiftir. Listedeki örneğin bir banka web sitesini ziyaret ederseniz yazdığınız her şey kaydedilir ve transfer ettiğiniz para sandığınız kişiye değil saldırganın banka hesabına gönderilir. Üstelik saldırgan miktarı ve bankanızın transferin başarılı olduğuna dair mesajını değiştirebilir; ne sizin ne de bankanızın bir sorundan şüphelenmek için herhangi bir nedeni yoktur!

Tarayıcı Çerezlerini Çalmak

Tarayıcı tanımlama bilgisi, bir web sitesinin bilgisayarınızda sakladığı küçük bir veri parçasıdır. Örneğin, çevrimiçi bir satıcı, girdiğiniz kişisel bilgileri ve seçtiğiniz alışveriş sepeti öğelerini bir tanımlama bilgisinde saklayabilir, böylece siteyi tekrar ziyaret ettiğinizde bu bilgileri yeniden girmeniz gerekmez. Siber suçlular bu tarayıcı çerezlerini ele geçirerek, parolalarınız ve adresiniz gibi hassas bilgilerinize erişebilir.

MITM Saldırılarından Korunma Yöntemleri

Man-in-the-Browser, ARP Sahtekarlığı (ARP Spoofing), DNS Zehirlenmesi
Hızla gelişen dijital dünyada, hassas bilgilerin gizliliğini ve bütünlüğünü tehlikeye atabilecek siber tehdit türlerini anlamak ve uygun önlemleri almak son derece önemlidir.

MitM saldırıları fidye yazılımı veya kimlik avı saldırıları kadar yaygın olmasa da giderek karmaşıklığı artan ve tespit edilmeleri zorlaşan siber tehditler arasında yer almaktadır. Şirketlerin ve bireylerin MitM saldırılarını önlemek adına atabileceği adımları şu şekilde sıralayabiliriz:

  • Saldırıların çoğu kötü amaçlı yazılımlara dayandığından virüsten koruma yazılımı yüklemeniz, MITM saldırılarını tespit etmek için tasarlanan araçlardan ve kapsamlı tehdit izleme ve algılama çözümlerinden yararlanmanız önerilir. Güvenlik yazılımının güncellemelerine de dikkat edilmelidir.
  • Özel Wi-Fi ağlarının kullanılması, Wi-Fi’nin gizlice dinlenmesini önleyebilmektedir.
  • Ağ güvenliği açısından herhangi bir olağandışı davranışı tespit etmek veya tanımlamak için trafik kalıpları arada bir analiz edilmelidir. Ağ kullanıcılarının güçlü parolalar seçmesi ve bunları düzenli olarak değiştirmesi sağlanmalıdır. Potansiyel ihlallerin kontrol altına alındığından emin olmak için ağı bölümlere ayırmak önerilir.
  • Saldırıları önlemek için, çift güvenlikli iletişim düşünülmeli, mümkün olan her yerde çok faktörlü kimlik doğrulama etkinleştirilmelidir.
  • Web trafiğinizi şifrelemek için Sanal Özel Ağ (VPN) kullanmak, MITM saldırılarını önlemeye yardımcı olabilir. VPN’ler verileri İnternet üzerinden iletilirken şifreler. Bu sizi MITM saldırılarına karşı aşılmaz, ancak dolandırıcıların hayatını biraz daha zorlaştırır ve daha kolay bir hedef aramalarına neden olabilir.
  • Şirket çalışanlarına en yaygın siber saldırı teknikleri ve halka açık Wi-Fi ağlarının riskleri gibi konularda eğitim vermelidir.
  • Saldırganlardan gelen parolanızı veya oturum açma bilgilerinizi güncellemenizi isteyen kimlik avı e-postalarına karşı dikkatli olunmalıdır.
  • Evde kullandığınız Wi-Fi ağınızın güvenliği için zaman zaman tüm bağlı aygıtlardaki tüm varsayılan kullanıcı adlarını ve parolaları güçlü, benzersiz parolalar ile güncellemeniz tavsiye edilir.

Ayrıca tarayıcıların güncelliği, SSL/TLS kullanmak, HTTPS’e sahip olmayan web sitelerini ziyaret etmekten kaçınmak (bağlantılara güvenmek yerine web adresini manuel olarak yazarak HTTPS sahtekarlığını önleyebilirsiniz); masaüstü bağlantılarından cep telefonlarına hatta IOT cihazlarına yayılan MITM saldırılarını önlemek adına yardımcı olabilir.

Özet

MiTM, bir ağa bağlanan davetsiz misafir olarak tanımlanabilir, saldırganlar gerçek zamanlı veri aktarımından yararlanmayı hedefler. Oturum açma bilgilerini çalmak, kurbanı gözetlemek veya iletişimi sabote edip verileri değiştirmek için MitM saldırıları kullanılmaktadır. Başarılı bir şekilde uygulandığında en yıkıcı siber tehditler arasına girebilen bu saldırılarda hacker, kurbanları kötü niyetli web sayfalarına göndermek için trafiği de yönlendirebilir.

Hızla gelişen dijital dünyada, hassas bilgilerin gizliliğini ve bütünlüğünü tehlikeye atabilecek siber tehdit türlerini anlamak son derece önemli olduğundan Ortadaki adam (MitM) saldırısı nedir? sorusuyla uygun güvenlik önlemlerinin araştırılması önerilir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir