Alışılmış phishing yöntemlerinde phishingi yapan kişi; bir bankanın, sosyal ağın, ihale sitesinin ya da ödeme işlemleri için kullanılan sitelerin taklidini yaparak kurbanlarını avlar. Kullanıcılara karşı yapılan bu girişimde hacker, e-posta ya da anlık mesajlaşma servisleri aracılığıyla zararlı web sitesine ait bir link gönderir. Ama Mozilla Firefox ve Google Chrome gibi gelişmiş tarayıcılar, bu tür phishing saldırılarını tespit etmede oldukça iyiler. Açılan sitenin phishing amaçlı oluşturulduğunu kullanıcılarına anında bildirirler.

Hackerlar ise web tarayıcılarda yer alan bu anti-phishing korumalarına karşılık yeni bir yöntem geliştirdiler. E-postaya HTML ataçlama yaparak bu yöntem işliyor. Bu yöntemle phishing sitesine ait HTTP GET istekleri önlenmiş oluyor. Böylece tarayıcının siteyi bloklaması engelinden kurtulmuş olunuyor.

Bilgisayara indirilen ve orada tutulan HTML ataçı, tarayıcıda uyarı verilmeden rahatlıkla açılabiliyor.

Kurban, bilgilerini yazıp “Agree and Submit” butonuna tıkladığında, açılmış olan HTML form, çalınan bilgileri POST isteğiyle; hacklenmiş ancak önceden yasal veya resmi yani güvenli olarak bilinen web serverlarındaki PHP scripte gönderiyor. (Bu konudaki güvenli olarak düşündüğümüz site Fritolay.com)

Genellikle çalınan bilgiler, hacklenmiş web serverındaki PHP dosyasına gönderilir. (Not: Yukarıdaki resimde adresi blurlanan php dosyası sonradan incelenerek zararlı olduğundan dolayı silinmiş.)

Hackerın php scripti, kurban tarafından bilgilerin girilip onaylanmasının ardından kurbanımızı Paypal’ın ana sayfasına yönlendiriyor. Çalınan bilgiler, hackerın ilgili serverına POST isteği şeklinde gönderilirken Google Chrome ve Mozilla Firefox herhangi bir zararlı aktivite tespit edememiş. Bazı anti phishing programları da aynı şekilde hiçbir uyarı veremedi. Yani bu yöntem oldukça etkili. Mantıken tarayıcıların POST isteği gönderilen bağlantıyı tespit etmesi gereklidir. Peki neden bu phishing tekniğinin tespit edilmesi zordur. İşte nedenleri:

1. Zararlı olarak raporlanan PHP bağlantıların sayısı azdır. Çünkü sıradan kullanıcılar herhangi bir bağlantıyı rapor edemezler. Çünkü ilgili phishing bağlantısı, HTML kaynak kodu görüntüleyebilecek kadar teknik bilgiye sahip olan kullanıcılar hariç, diğer kullanıcılar için görülebilir değildir.

2. Bağlantıları phishing bağlantısı olarak kesin şekilde damgalamak zordur. Eğer bu bağlantıya eşlik eden HTML form yoksa, phishing sitesinin tespit edilmesi imkansız hale geliyor. Çünkü PHP scriptler server üzerinde çalışır ve onay butonuna tıklandıktan sonra herhangi bir HTML dosyası görüntülenmez.

Son aylarda bu tür phishing olaylarının arttığı görülmüştür. Bu yüzden e-postanızdaki HTML ataçlara karşı dikkatli olmalısınız. Eğer e-posta adresi şüpheli olarak görülüyorsa HTML dosyasını açmayın. Eğer açarsanız HTML formuna önemli bilgilerinizi yazarken uyanık olun.

Kaynak: http://labs.m86security.com/2011/03/phishing-scam-in-an-html-attachment/

Çeviri: Serdar BARAKLI

Giriş

Cross Site Reference Forgery (XSRF), bir eylemi gerçekleştirmek için web tabanlı uygulamaları tahmin edilebilir yapı içinde etkileyebilecek bir saldırı türüdür. Bu saldırının ismi farklı şekillerde kısaltılabilmektedir ama en genel kullanımı XSRF şeklinde olup CSRF ile aynı anlama gelmektedir. XSRF saldırıları, aynı zamanda “Saldırgan Linkleme” saldırıları olarak da bilinmektedir. CSRF ismi, Peter Watkins (peterw@usa.net) tarafından 2001 Haziran ayında verilmiştir. XSRF saldırılarına karşı hassas olan uygulamaların, XSRF kusuruna sahip olabileceği veya XSRF’ye karşı kusurlu duruma gelebileceği söylenilmektedir.

XSRF kusurları; kullanıcıları denetlemek için çerezleri, tarayıcı denetlemelerini ve istemci tarafı sertifikalarını kullanan ve önceden tahmin edilebilir eylem yapısına sahip olan web uygulamalarında oluşmaktadır. XSRF’deki ana fikir çok basittir; saldırgan, bir linkle veya başka bir içerikle hedef uygulama üzerinde, saldırganın seçimiyle, kurbanın eylemlerini yöneten bir başka eylemi gerçekleştirerek kullanıcıyı aldatır. Bu, HTTP GET örneği üzerinde anlamak için en kolay tanımdır.

Örneğin;

http://www.google.com/search?q=iSEC+Partners

Bu linke tıklanılması halinde Google’da “iSEC Partners” olarak arama yapılmaktadır. Bu zararsızdır.

http://www.isecpartners.com/EditProfile?action=set&key=emailAddress&value=evil@isecpartners.com

Fakat link yukarıdakine benzer bir şekilde olursa; sadece çerez, tarayıcı denetlenmesi veya sertifikasıyla ispatlanmış kullanıcılara, herhangi bir uygulama üzerinden başka kullanıcının profilini düzenlemeye veya e-posta adresini değiştirmeye izin verecektir.

Uygulamalarınızı Cross-Site Request Forgery(CSRF) karşı sağlamlaştırmak, hiçbir zaman kolay olmamıştır. Bir program sizi bu işten kurtarırken, niye web sitenizde her formu yeniden yazıyorsunuz?

Basit bir şekilde aşağıdaki satırı, her PHP dosyasının en üstüne yazın;

require_once ’/path/to/csrf-magic.php’;

ve rahatınıza bakın.

Download: http://csrf.htmlpurifier.org/releases/csrf-magic-1.0.0.tar.gz

Deneme: http://csrf.htmlpurifier.org/dev/test.php

CSRF Nedir?

Cross-Site Request Forgery (CSRF), web sitelerinde şu günlerde görülen, nispeten yeni bir saldırı türüdür. Bir web sitesi üzerinde tarayıcı sayesinde bir eylemi gerçekleştirme üzerine kurulu bir saldırıdır. Şimdi şu senaryoyu düşünün: Bob, büyük ve önemli bir şirkette, sadece bir butona tıklamasıyla işe alma ve işten çıkarma yetkisine sahip olan bir insan kaynakları müdürü. Mallory pratik bir şaka olarak Bob’a CSRF saldırısı yapmaya karar verir. Mallory, hire and fire(işten alıp çıkarma) web sitesine otomatik olarak form gönderen bir web sitesi kullanarak Bob’u kandırır. Ertesi sabah, tüm çalışanlar gelen kutusunda pembe slip bulurlar.

Neden CSRF-Magic?

CSRF önleme için bulunan güncel standartlar, bir “şimdiki zaman” oluşturmaktadır. Bu oldukça etkili olabilir; ama çok can sıkıcı bir iştir. Eğer uygulamalarınıza girebilmek için formlarınızı el ile yazıyorsanız, CSRF koruması etkisini tam gösteremeyebilecektir.

İşte burada csrf-magic devreye girmektedir. Csrf-magic, mekanik olarak dökümanınızda, formları ve scriptleri yeniden yazmak için PHP’nin output buffering yeteneğini kullanır. Aynı zamanda POST isteklerini de engelleyecektir. Bu; formlarla beraber normal bir web sitesi için, csrf-magic’i kurup gerisini düşünmemeniz anlamına gelir.

Kaynak: http://csrf.htmlpurifier.org/

Çeviri: Serdar BARAKLI