İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

Dolandırıcı Alan Adları (Fraudalent Domain) Nedir?


İnternetin en önemli noktalarından biri olan alan adları (domain) web sitelerinin kolay ve anlaşılabilir şekilde olmasını sağlamaktadır. Alan adları devletler, firmalar, kuruluşlar veya şahıslar tarafından kullanıldığı gibi siber dolandırıcılar tarafından da sıklıkla kullanılmaktadır. Saldırganlar hedeflediği kurumun kişisel verilerini (kullanıcı hesap bilgileri, kredi kartı, vb.) elde etmek için benzer bir alan adı alarak kurum çalışanlarına yönelik oltalama saldırısı gerçekleştirebilirler. Bu amaçla alınıp kullanılan domainler Dolandırıcı Alan Adları (Fraudalent Domain) olarak adlandırılmaktadır.

Türkiye’de ve Dünyada Dolandırıcı Alan Adları

Dolandırıcı Alan Adlarının kullanımı her geçen yıl artmaktadır. Kimlik Avını Önleme Çalışma Grubu’nun (APWG) 2020 yılı raporunda dolandırıcı alan adlarının son 3 yılın zirvesinde olduğu gözlemlenmektedir. 2019 yılında toplam 266.387 olan dolandırıcı alan adı sayısı, Mayıs 2020 tarihi itibariyle 165.772 olarak tespit edilmiştir. Ayrıca Proofpoint Dijital Risk Koruması araştırmacıları, 2019 yılı raporunda kurum ve kuruluşların dörte üçünden fazlasının “benzer” alan adları bulunduğu, örneğin “.com” yerine “.net” kullanıldığı tespit edilmiştir.

Ülkemizde ise Ocak 2015 ile Ekim 2020 tarihleri arasında, 81.927 dolandırıcı domaini USOM tarafından yayınlanmıştır. Türkiye’de 01 Ocak 2020 – 11 Kasım 2020 tarihleri arasında USOM tarafından yayınlanan dolandırıcılık alan adı sayısı 30.393 ’dür.

Dolandırıcı Alan Adlarına Karşı Alınacak Tedbirler ?

Fraudalent Domain Türkçe adıyla “Dolandırıcı Alan Adları” saldırıları, saldırganlar için hem maliyet hemde hayata geçirilmesi açısından kolay bir saldırı tekniği olarak kabul edilir. Peki plan aşaması bu kadar kolay olan, herhangi bir kurum veya kuruma ait müşterilerin zarar göreceği bir saldırı için hangi tedbirler alınmalıdır ?

Kurum veya Firma bünyesinde bulunan SOC ekiplerinin ve Kişisel kullanıcı olarak “Dolandırıcı Alan Adlarına” karşı alınabilecek tedbirler:

-Kurum bünyesinde siber istihbarata yönelik tedbirler artırılmalıdır.
-Kuru bünyesindeki içerik filtreleme sisteminde engellemeler yapılmalıdır.
-USOM zararlı bağlantılar güncel şekilde takip edilerek, IPS,IDS çözümleri tarafında kurallar yazılmalıdır.

Şekil 1: https://www.usom.gov.tr/zararli-baglantilar/1.html / USOM Zararlı Bağlantılar

-Python dilinde yazmış olduğum script ile USOM verilerinden, istediğiniz alan adına ait veriler listenebilir. Script çalıştırıldıktan sonra USOM zararlı bağlantılar listesinden taranacak sayfa sayısı ve aranmak istenen very girilir. Sonuçlar liste haline gelir.

( Github linki : https://github.com/erdinctndgnn/fraudalent_domain_script )

Şekil 2: Kampanya isimli veriye ait listenen dolancırıcı alan adlarına ait görsel

-NormShield’e ait “Potansitel kimlik avı alan tespiti” sayfaları güncel olarak takip edilmedilir.

Şekil 3: https://services.normshield.com/phishing-domain-search/enpara.com / Enpara.com’a ait NormShield Çıktısı

-DNS Güvenliği çözümlerinde yapılan listeler sonucunda, dolandırıcı alan adlarına erişim sağlayanlar ile SİEM tarafında alarmlar oluşturulmalıdır.
-USOM ve NormShield gibi alanlardan alınan “Frauduent Domain” leri listeye dönüştürülüp bu listelerin devamlı güncel kalması sağlanmalı ve bu domainlere göre alarmlar üretilmelidir.
-Bir firmaya ait URL’i taklit etmek isteyen saldırganlar, ASCII karakterleriyle tamamen aynı görünen ve Unicode karakterleri ile gerçekleştirilen Homograf Saldırısı gerçekleştirilebilir. Homograf saldırısına karşı gerekli önlemler alınmalıdır.

Şekil 4: https://www.xn--80ak6aa92e.com URL’ine erişim sağlandığında https://www.apple.com URL’I görüntüsü

-Kullanıcı tarafında Google Chrome – Suspicious Site Reporter eklentisi veya benzer eklentiler kullanılabilir.
-Kullanıcı tarafında devamlı olarak farkındalık eğitimi verilmelidir.

Türkiye’de Dolandırıcı Alan Adları Yayından Nasıl Kaldırılır ?

Herhangi bir alanı adının kayıtlı olduğu bir domain kayıt firması, gerektiğinde kaldırılmasından veya devre dışı bırakılmasından sorumlu olan taraftır. Türkiye’de dolandırıcı alan adları 2 şekilde yayından kaldırılmaktadır.

1-Alan adının kayıtlı olduğu domain kayıt firmasına yasal yollarla başvuru yapılabilir. Bu başvuru sonucunda domain kayıt firmaları, bahse konu dolandırıcı domainini yayından kaldırmaya zorunludur.
2-Alan adının kayıtlı olduğu domain firması eğer şikayetinize cevap vermiyorsa, Dünyada tüm alan adlarını denetleyen ICANN’in şikayet formu sayfasından form doldurululmalıdır.