Ortadaki adam saldırısı nedir?

Ortadaki adam saldırısı nedir?

MITM yöntemi, ele geçirip müdahale etmeye odaklanan bir saldırı türüdür. Üç temel unsurdan oluşur:

• Kurban
• Ortadaki adam
• Gerçek alıcı (veya uygulama)

Kullanıcı (kurban), e-posta gibi hassas verileri çevrimiçi olarak gönderir. Bu aktarımın, normalde gerçek alıcıya (uygulama, web sitesi veya başka bir kullanıcı) ulaşması gerekir.

Her ikisinin arasında “ortadaki adam” yer alır. Bu, güvenlik açıklarını bulan ve kurbanın cihazı ile hedef alıcının cihazı arasında aktarılan verileri izleyerek, doğru anda iletişimi ele geçirip manipüle etmek için bekleyen kötü niyetli kişidir. Bu saldırı yöntemi hakkında daha fazla bilgi için videomuzu izleyebilirsiniz.

Ortadaki adam saldırısı nasıl çalışır?

Bilgisayar korsanları, yazılım açıklarını istismar etmek için farklı yollar bularak kendilerini kullanıcı ile web sitesi arasına (yani, tam “ortaya”) yerleştirirler. Örneğin, kötü niyetli bir kişi, tuzak Wi-Fi erişim noktaları kurarak verileri ele geçirebilir. Bu erişim noktaları şifre korumalı olmayacağından, herkes onlarda oturum açabilir. Siber suçlular, erişim noktasına uygun bir isim vererek (örneğin, yakındaki bir kafenin markası), kullanıcıları oturum açmaya ikna edebilir. Kurban çevrimiçi olduğunda, bilgisayar korsanı tarafından sağlanan erişim noktası üzerinden aktardığı veriler tamamen açığa çıkmış olur.

Aşağıda MITM saldırılarının başlıca türlerine değineceğiz, ancak göreceğiniz üzere hepsi aynı formül üzerine kuruludur: Kurban ile gerçek alıcı arasına girip verileri çalmak.

Ortadaki adam (MITM) saldırılarının türleri

MITM saldırılarının başlıca türleri şunlardır:

• IP sahteciliği, bilgisayar korsanlarının kimlik doğrulama sürecini atlayarak bir cihaza veya uygulamaya erişim sağlamasına olanak tanır. Bir bilgisayar korsanı, hedef cihaza gönderdiği veri “paketine” değiştirilmiş bir IP adresi ekleyebilirse, uygulamayı güvenilir bir ağ kullanıcısı olduğuna inandırarak erişim izni alabilir
• Tarayıcıdaki adam (man-in-the-browser - MITB) saldırıları, saldırıyı başlatmak için kötü amaçlı yazılım kullanır. Örneğin, bir truva atı, kullanıcının trafiğini sahte bir e-posta giriş sayfasına yönlendirerek klasik bir MITM saldırısı için gereken zemini hazırlar. 
• Wi-Fi dinleme, bir bilgisayar korsanının meşru bir erişim noktasını ele geçirerek veya kendi erişim noktasını kurarak Wi-Fi bağlantısı üzerinden faaliyetlerinizi gizlice dinlediği bir saldırı türüdür.
• Tarayıcı çerezleri, bir web sitesinin cihazınıza kaydettiği küçük bilgi parçalarıdır. Bu küçük veri paketleri, giriş bilgilerini de içerebilir ve bu da onları bilgisayar korsanları için çok kullanışlı hale getirir. Bir saldırgan cihazınızdaki çerezlere erişip şifrelerini çözerse, birden çok çevrimiçi hesabınızın anahtarlarını ele geçirebilir.
• ARP sahteciliği, saldırganların yerel ağ üzerinden sahte adres çözümleme protokolü (address resolution protocol - ARP) mesajları göndermesidir. Bu şekilde, MAC adreslerini gerçek bir ağdaki IP adresiyle ilişkilendirip verileri ele geçirebilirler.
• DNS sahteciliğinde, bilgisayar korsanları sahte DNS yanıtları göndererek trafiği kontrol ettikleri kötü amaçlı sunuculara yönlendirir.
• HTTP sahteciliğinde, siber suçlular gerçek web sitelerinin kopyalarını oluşturur ve çeşitli hilelerle kullanıcıları bu sitelere hassas bilgilerini girmeleri için yönlendirir.
• SSL çalma, kullanıcıya sahte bir sertifika sunarak SSL oturumunu ele geçirmektir. Kullanıcı sertifikayı kabul ederse, saldırgan TLS/SSL ile korunan verilerin şifresini çözüp bu verilere erişebilir.
• DNS önbellek zehirleme, çözümleyicinin DNS önbelleğine değiştirilmiş bilgiler ekleyerek yanlış bir IP adresi döndürmesine neden olmaktır. Trafik, bu şekilde saldırganın sitesine yönlendirir.

Ortadaki adam saldırılarının gerçek örnekleri

MITM saldırıları, gizli kalması gereken tüm bilgileri siber suçluları göndermek gibidir ve aynı nedenle ciddi hasara yol açabilir. Bazı gerçek MITM saldırılarının örnekleri şunlardır:

• Equifax. 143 milyon Amerikalının finansal verilerini ifşa eden meşhur Equifax saldırısını duymamış çok az kişi vardır. Ancak saldırının bu denli başarılı olmasının nedeninin kimlik hırsızlığı olduğunu bilmiyor olabilirsiniz. Bilgisayar korsanları, kullanıcıların kimlik bilgilerini ele geçirmek ve saldırıyı ilerletmek için SSL sahteciliği kullanmıştı.
• Superfish. 2015 yılında, Lenovo bilgisayarlarına önceden yüklenmiş olarak gelen Superfish Visual Search adlı bir yazılım, saldırganların kullanıcıların web trafiğine reklamlar eklemesine olanak tanıyan bir güvenlik açığı içeriyordu.
• DigiNotar. DigiNotar’ın uzmanlığı, siber suçluların sıklıkla hedef aldığı dijital güvenlik sertifikalarıdır. Şirket 2011 yılında saldırıya uğradı ve saldırganlar Google gibi popüler web siteleri tarafından kullanılan 500'den fazla sertifikaya erişim sağladı.
• Belgacom. Belçikalı telekomünikasyon şirketi Belgacom, 2013’te siber suçluların ağlarına sızarak şifrelenmiş verileri ele geçirdiklerini belirten bir açıklama yayınladı.
• Aurora Operasyonu. 2009’da gerçekleşen Aurora Operasyonu, düzinelerce şirketi hedef alan bir dizi devlet destekli siber saldırıydı. Bilgisayar korsanları, iletişimi ele geçirmek ve gizli verileri çalmak için MITM saldırıları kullandılar.

MITM saldırıları nasıl engellenir?

MITM saldırılarını engellemenin farklı yolları vardır ve çoğu zaman sadece sağduyunuzu kullanmanız yeterlidir.

• E-postalara karşı dikkatli olun. Kimlik avı e-postaları, siber suçluların tercih etmeye devam ettiği yaygın bir saldırı yöntemidir. Bankanızdan gelen olağandışı bir talep gibi garip mesajlar alırsanız, tedbirli davranın. Bu, sizden para koparmak için yapılan bir dolandırıcılık girişimi olabilir.
• Bir uç nokta güvenlik sistemi uygulayın. Bir işletme sahibiyseniz, çalışanlarınızın bilgisayar korsanlarına yanlışlıkla ağ erişim izni vermesinden endişe duyuyor olabilirsiniz. Bunu önlemenin en iyi yolu, bir uç nokta güvenlik uygulamasıdır.
• Evinizdeki router’ı güvenli hale getirin. Sadece herkese açık Wi-Fi ağları değil, evinizdeki kişisel router’ınız da güvenli olmayabilir, özellikle de varsayılan yönetici şifresini hiç değiştirmemişseniz. Bunun başlı başına bir soruna dönüşmemesi için evinizdeki Wi-Fi güvenliğini artırın. 
• VPN kullanın. Birçok MITM saldırısı, güvenli olmayan veya savunmasız Wi-Fi bağlantıları nedeniyle gerçekleşir. Bunun çözümü, verilerinizi şifrelemektir. VPN'i açtığınızda, tüm gezinti verileriniz cihazınız ile güvenli bir harici sunucu arasında şifreli bir tünel üzerinden aktarılır. Yani bir bilgisayar korsanının erişim noktasına bağlansanız bile, görebileceği tek şey şifrelenmiş anlamsız karakterler olacaktır. Ancak güvenli olmayan ağlarda bölünmüş tünelleme kullanmadığınızdan emin olun. MITM saldırıları, iyi bilinen bir bölünmüş tünelleme güvenlik riskidir.
• Çok faktörlü kimlik doğrulama (MFA) kullanın. Karmaşık ve benzersiz şifreler iyidir ancak bilgisayar korsanları hâlen bunları atlatmanın yollarını bulabilir. MFA, şifreniz sızdırılsa bile ikinci bir savunma katmanına sahip olmanızı sağlar.
• Threat Protection Pro özelliğini etkinleştirin. NordVPN Threat Protection Pro özelliği, reklamlar ile takipçileri engeller ve dosyalar cihazınıza indirilmeden önce kötü amaçlı yazılım taraması yapar.