Google’da barındırılan kötü amaçlı reklam, kullanıcıları gerçek gibi görünen sahte Keepass sitesine yönlendiriyor
(arstechnica.com)- Arama reklamlarına ve resmi sitelere güvenme alışkanlığını hedef alan Keepass kılığına girmiş bir Google reklamı, güvenliğe aşina kullanıcıları bile kandırabilecek sahte bir siteye yönlendiriyor
- Tıklandıktan sonra adres çubuğunda ķeepass[.]info gibi görünse de gerçek alan adı punycode ile kodlanmış xn--eepass-vbb[.]info ve FakeBat zararlı yazılımını yayıyor
- Reklam cumartesiden çarşambaya kadar gösterildi; reklamveren, Google’ın kimliğini doğruladığı Digital Eagle olarak göründü
- Google reklamı, normal görünen URL ve geçerli TLS sertifikası birlikte kullanıldığından, yalnızca adres çubuğunu kontrol ederek sahteciliği anlamak zor
- Başlıca 5 tarayıcının tamamı ķeepass[.]info girildiğinde sahte siteye yönlendirdiği için, şüphe durumunda URL’yi yeni sekmede elle yazmak veya TLS sertifikası sahibini kontrol etmek gerekiyor
Google reklamı ile Keepass taklit sitesinin birleşimi
- Google’da Keepass reklamı gibi görünen kötü amaçlı bir reklam yayımlandı
- Reklam, açık kaynak parola yöneticisi Keepass’i tanıtıyormuş gibi gizlendi
- Kullanıcılar bunun bir Google reklamı olması ve Google’ın reklamları incelediğinin bilinmesi nedeniyle daha kolay güvenebilir
- Tıklandığında adres çubuğunda gerçek Keepass sitesi gibi görünen ķeepass[.]info görüntüleniyor
- Gerçek resmi Keepass sitesi keepass.info
punycode ile oluşturulmuş benzer alan adı
- Adres çubuğunda görünen ķeepass[.]info, aslında xn--eepass-vbb[.]info adresini temsil eden kodlanmış bir gösterim
- Bu site, FakeBat olarak izlenen bir zararlı yazılım ailesini yayıyor
- Aldatmacada punycode kodlama yöntemi kullanılıyor
- punycode, Unicode karakterlerin standart ASCII metin olarak ifade edilmesini sağlar
- Burada k harfinin altında küçük virgül gibi görünen bir işaret bulunan karakter kullanılıyor
- Geçerli bir TLS sertifikasına da sahip olduğu için, yalnızca adres çubuğuna bakıldığında normal bir site gibi görünmesi kolay
Reklam şeffaflığı bilgileri ve Google’ın müdahalesi
- Google Ad Transparency Center’da söz konusu reklamın cumartesiden çarşambaya kadar çalıştığı görünüyor
- Reklam ücretini ödeyen taraf Digital Eagle adlı bir kuruluş olarak görünüyor
- Şeffaflık sayfasında Digital Eagle, Google tarafından kimliği doğrulanmış reklamveren olarak yer alıyor
- Bir Google yetkilisi, yayımlanmasının ardından e-posta ile şirket şartları uyarınca söz konusu reklamı kaldırdıklarını açıkladı
Malwarebytes’ın analizi
- Malwarebytes tehdit istihbaratı başkanı Jérôme Segura, kullanıcıların iki aşamada kandırıldığı bir yapı olduğunu özetliyor
- Önce tamamen normal görünen bir Google reklamına kanıyorlar
- Ardından yasal bir site gibi görünen benzer alan adına tekrar kanıyorlar
- Malwarebytes bu dolandırıcılığı çarşamba günkü paylaşımında açıkladı
- Google reklamı ile neredeyse aynı URL’ye sahipmiş gibi görünen web sitesinin birleşimi güçlü bir taklit etkisi yaratıyor
Geçmişteki punycode zararlı kullanım örnekleri
- punycode’un kötüye kullanıldığı zararlı yazılım dolandırıcılıkları uzun süredir var
- İki yıl önce dolandırıcılar, Google reklamlarını kullanarak kullanıcıları brave.com ile neredeyse aynı görünen bir siteye yönlendirdi
- Bu site, tarayıcının sahte ve zararlı bir sürümünü dağıtıyordu
- 2017’de bir web uygulaması geliştiricisi, apple.com gibi görünen bir kavram kanıtlama sitesi oluşturarak punycode tekniğinin geniş çapta dikkat çekmesini sağladı
Kullanıcıların kontrol edebileceği yöntemler
- Kötü amaçlı Google reklamlarını veya punycode ile kodlanmış URL’leri kesin olarak tespit etmenin bir yolu yok
- ķeepass[.]info başlıca 5 tarayıcıya girildiğinde tamamı sahte siteye yönlendiriyor
- Şüpheli durumlarda yeni bir tarayıcı sekmesi açıp URL’yi elle girebilirsiniz
- URL uzun olduğunda elle girmek her zaman pratik bir yöntem olmayabilir
- Diğer bir yöntem, TLS sertifikasını inceleyerek adres çubuğunda görünen site ile sertifika sahibinin eşleşip eşleşmediğini kontrol etmektir
1 yorum
Hacker News yorumları
Digital Eagle’ın kimliğini elbette Google doğrulamış olmalı. Google’ın kimlik doğrulaması para alınan bir yöntem; parayı verince doğrulanmış sayılıyorsunuz.
“Google temsilcisi e-postaya hemen yanıt vermedi” kısmı da şüpheli. Google’da gerçekten bir insanın e-postalara yanıt verip vermediğini bilmiyorum; 10 yılı aşkın süredir bir yanıt gördüğüm olmadı. Kimlik avı ve spam bildirdiğimde de gerçekten bir şeylerin işleme alınıp alınmadığından şüpheliyim.
Açıkçası artık dünyanın Google’dan uzaklaşması gerekiyor. En az 2 yılı aşkın süredir arama motoru olarak güvenle kullanmak zor.
Müşteriler Google reklamları üzerinden kimlik avı sitelerine yönlendirildikten sonra, yönettiğim tüm ağlarda aşağıdaki alan adlarını engellemeye karar verdim.
googlesyndication.com
googleadservices.com
googletagservices.com
googletagmanager.com
google-analytics.com
Google’ın güçlü yanı yıllar içinde azar azar bozuldu. Windows da benzer şekilde, pazarlama ve reklamlar fena olmayan ürünleri mahvediyor.
Bu tür reklamların onaydan geçmesinin nedeni de benzer görünüyor. Büyük ölçüde toplu bildirimlere güveniyorlar; “sorun bildir” bağlantısı kötü reklamları elemenin başlıca araçlarından biri olmalı. Daha fazlası geçiyorsa, bildirim yapmaya zaman ayıran kişi sayısı çok azaldığı için toplu bildirim yönteminin dengesinin bozulduğuna işaret ediyor olabilir.
Gerçekten başka bir dönemdi.
namecheap’e kötü amaçlı bir web sitesi bildirdiğinizde aylarca yayında kalabildiği oluyor; onlar da kötü, ama kötüye kullanım bildirimlerini ele alma konusunda daha da beter pek çok yer var. Google da daha iyisini yapabilir, ama pratikte oldukça iyi sayılır.
Yine de bu örnek, herkesin reklamları engellemesi için bir başka neden. Reklam engelleme herkesi daha güvende kılar.
Reklam aracılarına dolandırıcılık reklamları konusunda kısmi sorumluluk yüklenmeli ya da reklamlarda güçlü bir gerçek kimlik zorunluluğu getirilmeli; belki de ikisi birden yapılmalı. Genel yayınlara Alman tarzı impressum zorunluluğu getirilmesini sevmem, ama reklamlar farklı.
Çünkü reklamlar, kullanıcının kontrol edemediği bir şekilde başka sitelerin içine agresif biçimde yerleştiriliyor. Tüm reklamları engellemek dışında bir seçenek yok.
Bir reklamın köşesine tıklayınca, sorumlu şirketin şirket numarasını ve iş yeri adresini görebilmelisiniz. Başka ülkelerden gelen “yurt dışı” reklamlar daha sıkı doğrulanmalı. Çünkü dolandırıcılıksa, anonim olmasa bile hakkınızı aramak çok daha zor.
Habere göre ķeepass[.]info, adres çubuğunda öyle görünse de aslında xn--eepass-vbb[.]info'yu ifade eden kodlanmış bir gösterimdi ve FakeBat zararlı yazılımını dağıtıyordu. Google reklamlarıyla neredeyse aynı URL'ye sahip bir web sitesi birleşince neredeyse kusursuz bir aldatmaca olmuş
2017'de Google Chrome 59'un Punycode kimlik avı saldırısını düzelttiği söylenmişti. Örn: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
Belki de ısrarcı bir suçlu, Punycode'u kontrol eden Chromium kaynak kodunu analiz edip
kyerineķye izin veren bir açık bulmuş olabilirhttps://www.xn--80ak6aa92e.com/ --> sahte “аррӏе.com” kimlik avı uyarısı gösteriyor
https://xn--eepass-vbb.info/ --> sahte “ķeepass.info” uyarı göstermiyor
ķ(U+0137) Latin harfleri [2] içinde yer aldığından, “ķeepass.info”nun karışık yazı sistemi benzer karakter kontrolüne takılmayacağını düşünüyorum“Tam yazı sistemi benzer karakterleri” glifleri [3] listesinde de
ķgörünmüyor. Buraya eklenmeli mi? İlgili dosyanın Yunanca bölümünde “ά, έ, ή, ί gibi varyantları yok sayarız” anlamında bir yorum var; aksanlı karakterlerin genel olarak benzer karakter sayılmadığına dair bir kural olabilirÖyleyse bir yere kadar anlaşılır. Örneğin içinde
ébulunan alan adları Punycode biçiminde gösterilseydi Fransız kullanıcılar epey hayal kırıklığına uğrardı[1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
[2] https://www.compart.com/en/unicode/U+0137
[3] https://source.chromium.org/chromium/chromium/src/+/main:com...
Sonuçta “göogle.com”a da girmezsiniz, değil mi?
Google, YouTube'da reklam engelleyicilerle savaşırken aynı zamanda güvenli reklamlar göstereceğine hiç güvenilemeyeceğini bir kez daha gösteriyor
Üstelik küçük çocuklara savaş görüntülerini reklam olarak da gösteriyor
Özellikle sevdiğim olanlar, “telefonu sihirli şekilde birleştirip düzenleyen” aptal tuğla tipi şarj cihazı reklamı ve mikro hayalet tabanca reklamı
Güvenliğe dikkat eden biri olduğumu düşünürüm ama bunu fark eder miydim bilmiyorum. uBO'yu pişmanlık duymadan kullanmak için bir neden daha
“Şirket, dolandırıcılık reklamları bildirildiğinde bunları mümkün olan en kısa sürede derhal kaldırdığını söyledi”
Çözümün bir parçası olmak isteseydi reklamlar yayınlanmadan önce doğrulardı. Ama bu ölçeklenmez; insanlar dolandırılır, toplum zarar görür ve Google kaldıramayacağı kadar para kazanır. Oldukça adil bir takas mı...?
Birçok kişinin söylediği gibi, internet reklamlarını engellemek sağlıklı ve güvenli internet kullanımının bir parçasıdır
Moderasyon çözülmesi zor bir problem. Doğru şeyler için kolaylık, azıcık bile şüpheli olanlar için güçlü engelleme istiyoruz. Bir şeylerin aradan kaçması kaçınılmaz
Buradaki asıl nokta bunun istisnai bir vaka mı, yoksa Google reklamlarında bu tür onayların çokça görüldüğü belirgin bir sorun mu olduğu; haber buna yanıt vermiyor
1 yıl önce de aynı sorun vardı ve alan adı öneki de aynı görünüyor
https://www.bleepingcomputer.com/news/security/google-ad-for...
Müşterini Tanı (KYC) yüzünden benim türlü türlü prosedürden geçmem gerekiyorsa, hayatı zorlaştıran bu tür durumlarda şirketlerin de aynısını yapmak zorunda kalmasını isterdim
Yanıltıcı reklamlar, spam aramalar, Amazon gibi yerlerdeki sahte ürünler, e-postalar… hepsi buna dahil
Sanki her şey dünyadaki bütün dolandırıcıların bana %100 ulaşabilmesi için tasarlanmış gibi; ama bunu mümkün kılan şirketlere hiçbir şekilde ulaşılamıyor
Bu oldukça zekice bir yöntem. Bağlantıyı reklam bağlamı dışında görseydim ben de kanabilirdim
Normal Unicode ikamelerinde harflerin az da olsa tuhaf göründüğünü fark etmeyi öğrendim, ama bu örnek farklıydı. Ok işaret etse bile
kharfinin altındaki noktayı görmedim; gözüme monitördeki küçük bir toz ya da kir gibi göründüEkranda böyle şeylerden çok var ve görsel sistemimiz bu tür gürültüyü iyi yok sayıyor
Işığı engelleyen siyah piksel gibi bir toz değil, parlayan beyaz bir piksel. Karanlık modu hiç güvenliği artıran bir önlem olarak düşünmemiştim :)
Punycode en başından beri kullanım amacı şüpheli bir şey. Bu daha çok Latin alfabesi kullanıcılarının bakış açısından söylenmiş olabilir ama son 10 yılda gezdiğim çeşitli Latin dışı yazı sistemlerindeki sitelerin hepsi normal ASCII alan adları kullanıyordu
Unicode’a izin veren web sitelerindeki kullanıcı adlarında bile Latin dışı alfabe kullanıcılarının çoğunlukla Latin alfabesiyle kullanıcı adı kullandığını görebilirsiniz
Pratikte Punycode’un kullanıldığı yerlerin neredeyse tamamı spam alan adları. Kiril ya da Asya yazı sistemlerindeki alan adlarının çoğu da Punycode kullanmıyor
Punycode kavramını anlıyorum ve teknik olarak etkileyici buluyorum; ama alan adlarında devasa bir phishing baş ağrısına dönüştü
Birkaç Avrupa dili kullanan biri olarak benim ihtiyaç duyduğum Unicode karakter sayısı 10’dan az; aslında her biri hâlâ 8 bitlik ISO 8859-15 kodu. Gerekli olsalar bile çoğu site Punycode alan adı bile kaydetmiyor, adının bozulmuş bir ASCII sürümünü kullanıyor
Pratik bir önlem olarak tarayıcılar, kullanıcı ilk kez ASCII dışı karakter içeren bir URL girdiğinde belirli bir dildeki URL’lere izin verip vermeyeceğini sormalı. Yalnızca bir iki dile izin vermek bile çoğu kullanıcı için saldırı yüzeyini ciddi biçimde azaltır
Örneğin şu anda asahi.com 朝日 (Asahi Shimbun) tarafından alındığı için Asahi kasabası (旭) bunu kullanamıyor. Elbette asahi-town.co.jp gibi bir şey kullanabilir ama farklı yazımlara sahip çok sayıda Asahi yer adı da var (旭日, 朝陽, 浅緋 vb.)
Bunların hepsinden keyfi bir ASCII varyantı istemek mantıklı değil. Sadece Japon yer adlarından söz ederken bile durum bu; bir de tüm Han karakteri kullanan bölgelerdeki çakışma sorunu var
Bu tür alan adlarının fiilen kayıtlı olup olmadığı biraz tavuk-yumurta meselesi ve yukarıdaki çakışma alanı ASCII alfabesi içinde temiz biçimde çözülecek gibi görünmüyor
Batı’daki ASCII alan adlarının dolandırıcılığa açık olması bir sorun, ama pire için yorgan yakmak da doğru değil
Ancak
.рфgibi özel üst düzey alan adlarında Punycode’un kendisini sorun olarak görmüyorum. Örneğin кремль.рф gibi bir biçimin gayet uygun olduğunu düşünüyorumASCII’nin ötesindeki her şey şüpheli diyebilirsiniz ama ana dili İngilizce olmayan insanlar buna her zaman karşı çıkacaktır
Kötü amaçlı reklamları azaltmanın bir yolu şeffaflık. Her reklamda reklamverenin yasal iletişim bilgileri, yani şirket adı ve ülkesi yer almalı
Sorunu tamamen çözmez ama tüketiciler şüpheli Doğu Avrupa şirketlerinin reklamlarından kaçınabilir. Güvenlik araştırmacılarının kötü niyetli aktörleri izlemesi de kolaylaşır ve reklam platformu Google’a da bir ölçüde sorumluluk yüklenir
Facebook bunu siyasi reklamlarda zaten yapıyor, yani mümkün
Hükümet zorlamadıkça ya da hukuki sorumluluk riski çok büyümedikçe bunu gönüllü olarak yapmazlar
Biraz yabancı düşmanlığı değil mi bu?
[0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...