Günümüz dünyasında bilgisayar ve mobil cihazların kullanımının yaygınlaşması internet kullanımının giderek artmasına neden olmaktadır. Kullanıcılar internet aracılığıyla bilgiye kolay erişebilir, eğlenceli aktiviteler yapabilir, sosyal medya ortamlarında vakit geçirebilir ve maddi varlıklarını kolayca yönetebilir hale gelmişlerdir. Kullanıcıların kredi kartı, kimlik, adres gibi bilgilerini internet ortamına taşıması saldırganların dikkatini çekmiş ve bu bilgilere yönelik saldırılarda artış meydana getirmiştir.
Kullanıcıların internet ortamında en çok karşılaştığı siber saldırılardan biri oltalama internet siteleridir. Oltalama internet siteleri üzerinden gerçekleştirilen saldırılarda, gerçek internet siteleri kopyalanıp farklı alan adları üzerinden yayın yapılmakta ve kullanıcılar bu sahte internet sitelerine çeşitli sosyal mühendislik teknikleriyle yönlendirilmektedir. Yönlendirildikleri internet sitesinin oltalama amacıyla kullanıldığını farketmeyen kullanıcılar ise kopyalanmış internet sitesinin türüne göre; kredi kartı, kullanıcı adı-şifre bilgileri gibi kişisel ve gizli verilerini saldırgana iletmiş olmaktadır. Saldırganlar edindikleri bu veriler ile kullanıcılara ait maddi varlıkları kendilerine transfer etmekte, böylece kendileri için kolay bir kazanç elde ederken internet kullanıcıları için büyük bir zarara neden olmaktadırlar.
Bu çalışmada; oltalama internet sitelerinin altyapısının ve içeriğinin oluşturulması, kullanıcıların bu sitelere yönlendirilmesi süreci detaylı olarak anlatılmıştır. Oltalama internet siteleri üzerinden kullanıcılara verilecek zararın en aza indirgenmesi için bu tür internet sitelerini tespit etmede kullanılacak 4 farklı metot geliştirilmiştir. Geliştirilen tespit yöntemleri sayesinde aktif yayın yapan oltalama internet sitelerinin tespit edilerek etkisiz hale getirilmesi amaçlanmaktadır. Ana tespit yöntemi olan yeni kayıtlı internet sitelerinin incelenmesi ile beraber %95.4'lük başarılı tespit oranına ulaşılmıştır.
Gerçekleştirilen çalışmada, tespit edilen oltalama internet sitelerinin aktif yayın yapma durumu kontrol edilmekte ve aktif yayına başladığı tespit edilenler özel bir listeye eklenmektedir. Pasif durumda olan potansiyel oltalama internet siteleri ise düzenli kontrolleri yapılmak için bekletilmektedir.
Çalışmanın aktif savunma kısmında oltalama internet sitelerinin kullanıcılara vereceği hasarın azaltılması için üç farklı yöntem kullanılmıştır. İlk olarak oltalama internet sitesi yayınının durdurulması için yer sağlayıcı firma otomatik olarak tespit edilmiş ve bildirim gönderilmiştir. Bildirim gönderimi işleminin başarısı %98 olarak ölçülmüştür. İkinci aktif savunma yöntemi olarak aktif bal küpü (honeypot) tekniği geliştirilmiştir. Geliştirilen aktif savunma yöntemi hem yazılım üzerinde, hem bulut ortamı üzerinde simüle edilmiştir. Aktif bal küpü yöntemi ile saldırganın IP bilgisi ve banka hesap numarası bilgileri incelenmek ve üzerinde işlem yapılmak üzere elde edilmiştir. Son aktif savunma yöntemi olarak, oltalama internet sitelerini sahte veriler ile zehirleme metodu geliştirilmiştir. Bu yöntem ile oltalama internet sitelerine çok fazla sahte veri gönderilerek gerçek kullanıcı bilgilerinin saldırganlar tarafından ayırt edilmesi önlenmeye çalışılmıştır. Aktif bal küpü ve zehirleme yöntemlerinin testi için gerçek siber saldırılarda kullanıldığı tespit edilen 25 adet oltalama internet sitesi kopyalanmış ve yerel bilgisayar üzerinde ayağa kaldırılmıştır. Oluşturulan laboratuvarda yapılan testler sonucunda her iki yöntemin de %92 başarı elde ettiği görülmüştür. Ayrıca aracın kullanımında zaman kaybını önlemek ve kullanıcı hatalarından kaçınmak için tüm metotlar ardışık ve bağlantılı çalışacak şekilde kodlanmıştır.
Türkiye özelinde siber suçlular tarafından oltalama internet sitelerinin yoğun olarak kullanıldığı göz önüne alındığında, bu tez çalışması kapsamında geliştirilen modülün ulusal siber kalkınma hareketine yerli ve milli bir araç ile katkıda bulunacağı düşünülmektedir.
|
The widespread use of computers and mobile devices in the world today causes the use of the internet to increase. Users can easily access information, do fun activities, spend time on social media and easily manage their monetary assets via the internet. The fact that the users transfer information such as credit card, identity, and address to the internet has attracted the attention of the attackers and has increased the attacks on this information.
One of the most common cyber attacks users encounter on the internet is phishing websites. In attacks carried out on phishing websites, real websites are copied and broadcast over different domain names and direct users to these fake websites with various social engineering techniques. Users, who do not realize that the website they are directed to use for the purpose of phishing, transmit their personal and confidential data such as credit card, username-password information to the attacker, depending on the type of copied website. Attackers transfer the monetary assets of the users to themselves, thus making an easy gain or themselves and creating a great burden for the internet users.
In this study, the process of creating infrastructure and content of phishing websites and directing users to these sites is explained in detail. In order to minimize the damage to users through phishing websites, 4 different methods have been developed to detect such websites. By using the developed methods, it is aimed to identify the active broadcasting phishing websites and close the access. With the examination of newly registered websites, which is the main detection method, a successful detection rate of 95.4% has been achieved.
In this study, the status of actively broadcasting phishing websites is checked and those found to be active in the broadcast are added to a special list. Potential phishing websites, which are inactive, are kept for regular checks.
In the active defense part of the study, three different methods have been used to reduce the damage caused by phishing websites. Firstly, the host provider of the website was determined automatically and the notification was sent to stop the website broadcasting. The success of sending notification was measured as 98%. As the second active defense method, the active honeypot technique has been developed. The active defense method developed has been simulated both on the software and on the cloud. With the active honeypot method, the IP information and bank account number information of the attacker were obtained to be examined and processed. As the last active defense method, the method of poisoning phishing websites with fake data has been developed. This method attempts to prevent real user information from being distinguished by attackers by sending a lot of fake data to phishing websites. For the testing of active honeypot and poisoning methods, 25 phishing websites that were found to be used in real cyber attacks were copied and restarted on the local computer. As a result of the tests performed in the established laboratory, it was observed that both methods achieved 92% success. In addition, all modules are coded to work sequentially and interconnectedly to avoid loss of time and user errors.
Given the phishing website which is frequently used by cyber criminals in Turkey, this thesis software developed in the study is expected to contribute nationally. |