EN
EN

Dolandırıcı Alan Adları (Fraudalent Domain) Nedir?

18 Ocak 2021


İnternetin en önemli noktalarından biri olan alan adları (domain) web sitelerinin kolay ve anlaşılabilir şekilde olmasını sağlamaktadır. Alan adları devletler, firmalar, kuruluşlar veya şahıslar tarafından kullanıldığı gibi siber dolandırıcılar tarafından da sıklıkla kullanılmaktadır. Saldırganlar hedeflediği kurumun kişisel verilerini (kullanıcı hesap bilgileri, kredi kartı, vb.) elde etmek için benzer bir alan adı alarak kurum çalışanlarına yönelik oltalama saldırısı gerçekleştirebilirler. Bu amaçla alınıp kullanılan domainler Dolandırıcı Alan Adları (Fraudalent Domain) olarak adlandırılmaktadır.

Türkiye’de ve Dünyada Dolandırıcı Alan Adları

Dolandırıcı Alan Adlarının kullanımı her geçen yıl artmaktadır. Kimlik Avını Önleme Çalışma Grubu’nun (APWG) 2020 yılı raporunda dolandırıcı alan adlarının son 3 yılın zirvesinde olduğu gözlemlenmektedir. 2019 yılında toplam 266.387 olan dolandırıcı alan adı sayısı, Mayıs 2020 tarihi itibariyle 165.772 olarak tespit edilmiştir. Ayrıca Proofpoint Dijital Risk Koruması araştırmacıları, 2019 yılı raporunda kurum ve kuruluşların dörte üçünden fazlasının “benzer” alan adları bulunduğu, örneğin “.com” yerine “.net” kullanıldığı tespit edilmiştir.

Ülkemizde ise Ocak 2015 ile Ekim 2020 tarihleri arasında, 81.927 dolandırıcı domaini USOM tarafından yayınlanmıştır. Türkiye’de 01 Ocak 2020 – 11 Kasım 2020 tarihleri arasında USOM tarafından yayınlanan dolandırıcılık alan adı sayısı 30.393 ’dür.

Dolandırıcı Alan Adlarına Karşı Alınacak Tedbirler ?

Fraudalent Domain Türkçe adıyla “Dolandırıcı Alan Adları” saldırıları, saldırganlar için hem maliyet hemde hayata geçirilmesi açısından kolay bir saldırı tekniği olarak kabul edilir. Peki plan aşaması bu kadar kolay olan, herhangi bir kurum veya kuruma ait müşterilerin zarar göreceği bir saldırı için hangi tedbirler alınmalıdır ?

Kurum veya Firma bünyesinde bulunan SOC ekiplerinin ve Kişisel kullanıcı olarak “Dolandırıcı Alan Adlarına” karşı alınabilecek tedbirler:

-Kurum bünyesinde siber istihbarata yönelik tedbirler artırılmalıdır.
-Kuru bünyesindeki içerik filtreleme sisteminde engellemeler yapılmalıdır.
-USOM zararlı bağlantılar güncel şekilde takip edilerek, IPS,IDS çözümleri tarafında kurallar yazılmalıdır.

Şekil 1: https://www.usom.gov.tr/zararli-baglantilar/1.html / USOM Zararlı Bağlantılar

-Python dilinde yazmış olduğum script ile USOM verilerinden, istediğiniz alan adına ait veriler listenebilir. Script çalıştırıldıktan sonra USOM zararlı bağlantılar listesinden taranacak sayfa sayısı ve aranmak istenen very girilir. Sonuçlar liste haline gelir.

( Github linki : https://github.com/erdinctndgnn/fraudalent_domain_script )

Şekil 2: Kampanya isimli veriye ait listenen dolancırıcı alan adlarına ait görsel

-NormShield’e ait “Potansitel kimlik avı alan tespiti” sayfaları güncel olarak takip edilmedilir.

Şekil 3: https://services.normshield.com/phishing-domain-search/enpara.com / Enpara.com’a ait NormShield Çıktısı

-DNS Güvenliği çözümlerinde yapılan listeler sonucunda, dolandırıcı alan adlarına erişim sağlayanlar ile SİEM tarafında alarmlar oluşturulmalıdır.
-USOM ve NormShield gibi alanlardan alınan “Frauduent Domain” leri listeye dönüştürülüp bu listelerin devamlı güncel kalması sağlanmalı ve bu domainlere göre alarmlar üretilmelidir.
-Bir firmaya ait URL’i taklit etmek isteyen saldırganlar, ASCII karakterleriyle tamamen aynı görünen ve Unicode karakterleri ile gerçekleştirilen Homograf Saldırısı gerçekleştirilebilir. Homograf saldırısına karşı gerekli önlemler alınmalıdır.

Şekil 4: https://www.xn--80ak6aa92e.com URL’ine erişim sağlandığında https://www.apple.com URL’I görüntüsü

-Kullanıcı tarafında Google Chrome – Suspicious Site Reporter eklentisi veya benzer eklentiler kullanılabilir.
-Kullanıcı tarafında devamlı olarak farkındalık eğitimi verilmelidir.

Türkiye’de Dolandırıcı Alan Adları Yayından Nasıl Kaldırılır ?

Herhangi bir alanı adının kayıtlı olduğu bir domain kayıt firması, gerektiğinde kaldırılmasından veya devre dışı bırakılmasından sorumlu olan taraftır. Türkiye’de dolandırıcı alan adları 2 şekilde yayından kaldırılmaktadır.

1-Alan adının kayıtlı olduğu domain kayıt firmasına yasal yollarla başvuru yapılabilir. Bu başvuru sonucunda domain kayıt firmaları, bahse konu dolandırıcı domainini yayından kaldırmaya zorunludur.
2-Alan adının kayıtlı olduğu domain firması eğer şikayetinize cevap vermiyorsa, Dünyada tüm alan adlarını denetleyen ICANN’in şikayet formu sayfasından form doldurululmalıdır.

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog