1 puan yazan GN⁺ 2023-10-20 | 1 yorum | WhatsApp'ta paylaş
  • Arama reklamlarına ve resmi sitelere güvenme alışkanlığını hedef alan Keepass kılığına girmiş bir Google reklamı, güvenliğe aşina kullanıcıları bile kandırabilecek sahte bir siteye yönlendiriyor
  • Tıklandıktan sonra adres çubuğunda ķeepass[.]info gibi görünse de gerçek alan adı punycode ile kodlanmış xn--eepass-vbb[.]info ve FakeBat zararlı yazılımını yayıyor
  • Reklam cumartesiden çarşambaya kadar gösterildi; reklamveren, Google’ın kimliğini doğruladığı Digital Eagle olarak göründü
  • Google reklamı, normal görünen URL ve geçerli TLS sertifikası birlikte kullanıldığından, yalnızca adres çubuğunu kontrol ederek sahteciliği anlamak zor
  • Başlıca 5 tarayıcının tamamı ķeepass[.]info girildiğinde sahte siteye yönlendirdiği için, şüphe durumunda URL’yi yeni sekmede elle yazmak veya TLS sertifikası sahibini kontrol etmek gerekiyor

Google reklamı ile Keepass taklit sitesinin birleşimi

  • Google’da Keepass reklamı gibi görünen kötü amaçlı bir reklam yayımlandı
  • Reklam, açık kaynak parola yöneticisi Keepass’i tanıtıyormuş gibi gizlendi
  • Kullanıcılar bunun bir Google reklamı olması ve Google’ın reklamları incelediğinin bilinmesi nedeniyle daha kolay güvenebilir
  • Tıklandığında adres çubuğunda gerçek Keepass sitesi gibi görünen ķeepass[.]info görüntüleniyor
  • Gerçek resmi Keepass sitesi keepass.info

punycode ile oluşturulmuş benzer alan adı

  • Adres çubuğunda görünen ķeepass[.]info, aslında xn--eepass-vbb[.]info adresini temsil eden kodlanmış bir gösterim
  • Bu site, FakeBat olarak izlenen bir zararlı yazılım ailesini yayıyor
  • Aldatmacada punycode kodlama yöntemi kullanılıyor
    • punycode, Unicode karakterlerin standart ASCII metin olarak ifade edilmesini sağlar
    • Burada k harfinin altında küçük virgül gibi görünen bir işaret bulunan karakter kullanılıyor
  • Geçerli bir TLS sertifikasına da sahip olduğu için, yalnızca adres çubuğuna bakıldığında normal bir site gibi görünmesi kolay

Reklam şeffaflığı bilgileri ve Google’ın müdahalesi

  • Google Ad Transparency Center’da söz konusu reklamın cumartesiden çarşambaya kadar çalıştığı görünüyor
  • Reklam ücretini ödeyen taraf Digital Eagle adlı bir kuruluş olarak görünüyor
  • Şeffaflık sayfasında Digital Eagle, Google tarafından kimliği doğrulanmış reklamveren olarak yer alıyor
  • Bir Google yetkilisi, yayımlanmasının ardından e-posta ile şirket şartları uyarınca söz konusu reklamı kaldırdıklarını açıkladı

Malwarebytes’ın analizi

  • Malwarebytes tehdit istihbaratı başkanı Jérôme Segura, kullanıcıların iki aşamada kandırıldığı bir yapı olduğunu özetliyor
    • Önce tamamen normal görünen bir Google reklamına kanıyorlar
    • Ardından yasal bir site gibi görünen benzer alan adına tekrar kanıyorlar
  • Malwarebytes bu dolandırıcılığı çarşamba günkü paylaşımında açıkladı
  • Google reklamı ile neredeyse aynı URL’ye sahipmiş gibi görünen web sitesinin birleşimi güçlü bir taklit etkisi yaratıyor

Geçmişteki punycode zararlı kullanım örnekleri

  • punycode’un kötüye kullanıldığı zararlı yazılım dolandırıcılıkları uzun süredir var
  • İki yıl önce dolandırıcılar, Google reklamlarını kullanarak kullanıcıları brave.com ile neredeyse aynı görünen bir siteye yönlendirdi
    • Bu site, tarayıcının sahte ve zararlı bir sürümünü dağıtıyordu
  • 2017’de bir web uygulaması geliştiricisi, apple.com gibi görünen bir kavram kanıtlama sitesi oluşturarak punycode tekniğinin geniş çapta dikkat çekmesini sağladı

Kullanıcıların kontrol edebileceği yöntemler

  • Kötü amaçlı Google reklamlarını veya punycode ile kodlanmış URL’leri kesin olarak tespit etmenin bir yolu yok
  • ķeepass[.]info başlıca 5 tarayıcıya girildiğinde tamamı sahte siteye yönlendiriyor
  • Şüpheli durumlarda yeni bir tarayıcı sekmesi açıp URL’yi elle girebilirsiniz
  • URL uzun olduğunda elle girmek her zaman pratik bir yöntem olmayabilir
  • Diğer bir yöntem, TLS sertifikasını inceleyerek adres çubuğunda görünen site ile sertifika sahibinin eşleşip eşleşmediğini kontrol etmektir

1 yorum

 
GN⁺ 2023-10-20
Hacker News yorumları
  • Digital Eagle’ın kimliğini elbette Google doğrulamış olmalı. Google’ın kimlik doğrulaması para alınan bir yöntem; parayı verince doğrulanmış sayılıyorsunuz.
    “Google temsilcisi e-postaya hemen yanıt vermedi” kısmı da şüpheli. Google’da gerçekten bir insanın e-postalara yanıt verip vermediğini bilmiyorum; 10 yılı aşkın süredir bir yanıt gördüğüm olmadı. Kimlik avı ve spam bildirdiğimde de gerçekten bir şeylerin işleme alınıp alınmadığından şüpheliyim.
    Açıkçası artık dünyanın Google’dan uzaklaşması gerekiyor. En az 2 yılı aşkın süredir arama motoru olarak güvenle kullanmak zor.
    Müşteriler Google reklamları üzerinden kimlik avı sitelerine yönlendirildikten sonra, yönettiğim tüm ağlarda aşağıdaki alan adlarını engellemeye karar verdim.
    googlesyndication.com
    googleadservices.com
    googletagservices.com
    googletagmanager.com
    google-analytics.com

    • Daha açık konuşmak gerekirse, bana göre Google’ın arama kabiliyeti 2000’lerin sonu ile 2010’ların başı civarından beri geriliyor. Eskiden bir cümleyi olduğu gibi yazınca bile bulabiliyordunuz; artık tırnak içinde arama bile doğru düzgün çalışmıyor.
      Google’ın güçlü yanı yıllar içinde azar azar bozuldu. Windows da benzer şekilde, pazarlama ve reklamlar fena olmayan ürünleri mahvediyor.
    • “Google’da gerçekten e-postalara yanıt veren biri var mı?” konusuna gelince: Google her zaman ölçeklenebilir olana odaklandı. İnsanların telefon ya da e-postaya yanıt vermesi ölçeklenmez; bu yüzden kullanıcılara yönelik müşteri desteği yok.
      Bu tür reklamların onaydan geçmesinin nedeni de benzer görünüyor. Büyük ölçüde toplu bildirimlere güveniyorlar; “sorun bildir” bağlantısı kötü reklamları elemenin başlıca araçlarından biri olmalı. Daha fazlası geçiyorsa, bildirim yapmaya zaman ayıran kişi sayısı çok azaldığı için toplu bildirim yönteminin dengesinin bozulduğuna işaret ediyor olabilir.
    • 2007’de, beni kişisel olarak tanımlayabilecek bir yazıyı bir panoya koymuştum. Forumdan sildim ama Google arama sonucu özetinde kalmıştı; Google’a e-postayla kaldırma isteği gönderdim, gerçekten kaldırdılar ve biri “done” diye yanıt bile verdi.
      Gerçekten başka bir dönemdi.
    • Google’ı eleştirmekte genelde en önde olanlardanım; ama Google’a çok sayıda kimlik avı bildirimi yaparsanız, en azından Google’da barındırılan kimlik avı sitelerinin oldukça hızlı kaldırıldığını görürsünüz. Hiç yanıt almadım ve bunun tamamen otomatik olduğunu düşünüyorum, ama diğer barındırma sağlayıcılarından çok daha iyi.
      namecheap’e kötü amaçlı bir web sitesi bildirdiğinizde aylarca yayında kalabildiği oluyor; onlar da kötü, ama kötüye kullanım bildirimlerini ele alma konusunda daha da beter pek çok yer var. Google da daha iyisini yapabilir, ama pratikte oldukça iyi sayılır.
      Yine de bu örnek, herkesin reklamları engellemesi için bir başka neden. Reklam engelleme herkesi daha güvende kılar.
    • Böyle engellediğinizde çalışmayı bırakan web siteleriyle karşılaşıp karşılaşmadığınızı merak ediyorum.
  • Reklam aracılarına dolandırıcılık reklamları konusunda kısmi sorumluluk yüklenmeli ya da reklamlarda güçlü bir gerçek kimlik zorunluluğu getirilmeli; belki de ikisi birden yapılmalı. Genel yayınlara Alman tarzı impressum zorunluluğu getirilmesini sevmem, ama reklamlar farklı.
    Çünkü reklamlar, kullanıcının kontrol edemediği bir şekilde başka sitelerin içine agresif biçimde yerleştiriliyor. Tüm reklamları engellemek dışında bir seçenek yok.
    Bir reklamın köşesine tıklayınca, sorumlu şirketin şirket numarasını ve iş yeri adresini görebilmelisiniz. Başka ülkelerden gelen “yurt dışı” reklamlar daha sıkı doğrulanmalı. Çünkü dolandırıcılıksa, anonim olmasa bile hakkınızı aramak çok daha zor.

  • Habere göre ķeepass[.]info, adres çubuğunda öyle görünse de aslında xn--eepass-vbb[.]info'yu ifade eden kodlanmış bir gösterimdi ve FakeBat zararlı yazılımını dağıtıyordu. Google reklamlarıyla neredeyse aynı URL'ye sahip bir web sitesi birleşince neredeyse kusursuz bir aldatmaca olmuş
    2017'de Google Chrome 59'un Punycode kimlik avı saldırısını düzelttiği söylenmişti. Örn: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
    Belki de ısrarcı bir suçlu, Punycode'u kontrol eden Chromium kaynak kodunu analiz edip k yerine ķye izin veren bir açık bulmuş olabilir
    https://www.xn--80ak6aa92e.com/ --> sahte “аррӏе.com” kimlik avı uyarısı gösteriyor
    https://xn--eepass-vbb.info/ --> sahte “ķeepass.info” uyarı göstermiyor

    • Chrome'un ilgili uluslararasılaştırılmış alan adı kurallarında [1] “karışık yazı sistemi benzer karakterleri” ve “tam yazı sistemi benzer karakterleri” tespiti temel nokta gibi görünüyor
      ķ (U+0137) Latin harfleri [2] içinde yer aldığından, “ķeepass.info”nun karışık yazı sistemi benzer karakter kontrolüne takılmayacağını düşünüyorum
      “Tam yazı sistemi benzer karakterleri” glifleri [3] listesinde de ķ görünmüyor. Buraya eklenmeli mi? İlgili dosyanın Yunanca bölümünde “ά, έ, ή, ί gibi varyantları yok sayarız” anlamında bir yorum var; aksanlı karakterlerin genel olarak benzer karakter sayılmadığına dair bir kural olabilir
      Öyleyse bir yere kadar anlaşılır. Örneğin içinde é bulunan alan adları Punycode biçiminde gösterilseydi Fransız kullanıcılar epey hayal kırıklığına uğrardı
      [1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
      [2] https://www.compart.com/en/unicode/U+0137
      [3] https://source.chromium.org/chromium/chromium/src/+/main:com...
    • İlk “Punycode saldırıları”, Kiril alfabesi vb. kullanarak “gerçek” harflerden tamamen ayırt edilemeyen karakterlerden yararlanıyordu. Muhtemelen kullanıcıların, ayırt edici işaret taşıyan karakterleri ekrandaki tozdan ayırmak zor olsa bile fark edip kaçınabileceği varsayılmış
      Sonuçta “göogle.com”a da girmezsiniz, değil mi?
  • Google, YouTube'da reklam engelleyicilerle savaşırken aynı zamanda güvenli reklamlar göstereceğine hiç güvenilemeyeceğini bir kez daha gösteriyor
    Üstelik küçük çocuklara savaş görüntülerini reklam olarak da gösteriyor

    • Uygunsuz, dolandırıcılık içeren ya da açıkça yasa dışı reklamları sürekli bildiriyorum; genelde 1-2 hafta içinde geri dönüyorlar ya da en başta kaldırılmıyorlar bile
      Özellikle sevdiğim olanlar, “telefonu sihirli şekilde birleştirip düzenleyen” aptal tuğla tipi şarj cihazı reklamı ve mikro hayalet tabanca reklamı
    • Öte yandan gazetecilerin savaş görüntülerini bağlamdan bağımsız kullanmasını engelliyorlar
    • Yedi yaşındaki çocuğa jilet dahil tıraş ekipmanı reklamı sürekli çıktı. Elbette Google babasının büyük sakalı olduğunu biliyordur ama şaka bir yana, çocuğun bıçaklara ilgi duymasını istemediğim için tüm evde reklam engellemeyi açtım
    • Güvenli reklam göstermek istiyorsanız bu, birilerinin reklamları incelemesi gerektiği anlamına gelir. Google'ın insanlara YouTube reklamları izlettirdiği binada Foxconn tarzı ağlara ihtiyaç olacak
  • Güvenliğe dikkat eden biri olduğumu düşünürüm ama bunu fark eder miydim bilmiyorum. uBO'yu pişmanlık duymadan kullanmak için bir neden daha

    • Ekran görüntüsüne bakınca aklımdan geçen tek şey “monitördeki tozu silmem lazım” oldu. uBO olmasaydı %100 kandırılırdım
    • uBlock Origin iyi ama bunun uluslararasılaştırılmış alan adı benzerlik saldırısıyla ne ilgisi olduğunu bilmiyorum. Benim ortamımda bunu engellemedi
    • uBO nedir?
  • “Şirket, dolandırıcılık reklamları bildirildiğinde bunları mümkün olan en kısa sürede derhal kaldırdığını söyledi”
    Çözümün bir parçası olmak isteseydi reklamlar yayınlanmadan önce doğrulardı. Ama bu ölçeklenmez; insanlar dolandırılır, toplum zarar görür ve Google kaldıramayacağı kadar para kazanır. Oldukça adil bir takas mı...?
    Birçok kişinin söylediği gibi, internet reklamlarını engellemek sağlıklı ve güvenli internet kullanımının bir parçasıdır

    • Sınır ince. Google reklamları önceden incelemeye başlayıp bir miktar meşru reklamı da engellerse, bu kez de bununla ilgili haberler çıkar
      Moderasyon çözülmesi zor bir problem. Doğru şeyler için kolaylık, azıcık bile şüpheli olanlar için güçlü engelleme istiyoruz. Bir şeylerin aradan kaçması kaçınılmaz
      Buradaki asıl nokta bunun istisnai bir vaka mı, yoksa Google reklamlarında bu tür onayların çokça görüldüğü belirgin bir sorun mu olduğu; haber buna yanıt vermiyor
    • “Şirket, dolandırıcılık reklamları bildirildiğinde bunları mümkün olan en kısa sürede derhal kaldırdığını söyledi”
      1 yıl önce de aynı sorun vardı ve alan adı öneki de aynı görünüyor
      https://www.bleepingcomputer.com/news/security/google-ad-for...
    • Para almadıkları ya da iyi bir amaç olmadığı sürece içerik moderasyonu yapmıyorlar. Google reklamları ikisi de değil
  • Müşterini Tanı (KYC) yüzünden benim türlü türlü prosedürden geçmem gerekiyorsa, hayatı zorlaştıran bu tür durumlarda şirketlerin de aynısını yapmak zorunda kalmasını isterdim
    Yanıltıcı reklamlar, spam aramalar, Amazon gibi yerlerdeki sahte ürünler, e-postalar… hepsi buna dahil
    Sanki her şey dünyadaki bütün dolandırıcıların bana %100 ulaşabilmesi için tasarlanmış gibi; ama bunu mümkün kılan şirketlere hiçbir şekilde ulaşılamıyor

    • Dolandırıcılık ekonomisinin temelindeki bilgi asimetrisi gerçekten insanı öfkelendiriyor
  • Bu oldukça zekice bir yöntem. Bağlantıyı reklam bağlamı dışında görseydim ben de kanabilirdim
    Normal Unicode ikamelerinde harflerin az da olsa tuhaf göründüğünü fark etmeyi öğrendim, ama bu örnek farklıydı. Ok işaret etse bile k harfinin altındaki noktayı görmedim; gözüme monitördeki küçük bir toz ya da kir gibi göründü
    Ekranda böyle şeylerden çok var ve görsel sistemimiz bu tür gürültüyü iyi yok sayıyor

    • Ben de aynı şekilde düşebilirdim. Ama karanlık mod kullandığım için siyah arka plan üzerinde beyaz bir nokta olarak görünüyor; ekrandaki toz gibi durmuyor. Net biçimde seçiliyor
      Işığı engelleyen siyah piksel gibi bir toz değil, parlayan beyaz bir piksel. Karanlık modu hiç güvenliği artıran bir önlem olarak düşünmemiştim :)
    • Ayırt etmesi çok zor olan pek çok harf var. Tarayıcının bunları yakalaması gerekir ama her zaman yakalayamıyor
  • Punycode en başından beri kullanım amacı şüpheli bir şey. Bu daha çok Latin alfabesi kullanıcılarının bakış açısından söylenmiş olabilir ama son 10 yılda gezdiğim çeşitli Latin dışı yazı sistemlerindeki sitelerin hepsi normal ASCII alan adları kullanıyordu
    Unicode’a izin veren web sitelerindeki kullanıcı adlarında bile Latin dışı alfabe kullanıcılarının çoğunlukla Latin alfabesiyle kullanıcı adı kullandığını görebilirsiniz
    Pratikte Punycode’un kullanıldığı yerlerin neredeyse tamamı spam alan adları. Kiril ya da Asya yazı sistemlerindeki alan adlarının çoğu da Punycode kullanmıyor
    Punycode kavramını anlıyorum ve teknik olarak etkileyici buluyorum; ama alan adlarında devasa bir phishing baş ağrısına dönüştü

    • Yerel dilleri tamamen destekliyorum ve ASCII insanlığın büyük bir kısmı için uygun değil. Ama mevcut Unicode’un güvenlik açısından hassas uygulamalara uygun olmadığı açık
      Birkaç Avrupa dili kullanan biri olarak benim ihtiyaç duyduğum Unicode karakter sayısı 10’dan az; aslında her biri hâlâ 8 bitlik ISO 8859-15 kodu. Gerekli olsalar bile çoğu site Punycode alan adı bile kaydetmiyor, adının bozulmuş bir ASCII sürümünü kullanıyor
      Pratik bir önlem olarak tarayıcılar, kullanıcı ilk kez ASCII dışı karakter içeren bir URL girdiğinde belirli bir dildeki URL’lere izin verip vermeyeceğini sormalı. Yalnızca bir iki dile izin vermek bile çoğu kullanıcı için saldırı yüzeyini ciddi biçimde azaltır
    • ASCII alan adlarının sorunlarından biri CJK dillerindeki fonetik eşlemeler
      Örneğin şu anda asahi.com 朝日 (Asahi Shimbun) tarafından alındığı için Asahi kasabası (旭) bunu kullanamıyor. Elbette asahi-town.co.jp gibi bir şey kullanabilir ama farklı yazımlara sahip çok sayıda Asahi yer adı da var (旭日, 朝陽, 浅緋 vb.)
      Bunların hepsinden keyfi bir ASCII varyantı istemek mantıklı değil. Sadece Japon yer adlarından söz ederken bile durum bu; bir de tüm Han karakteri kullanan bölgelerdeki çakışma sorunu var
      Bu tür alan adlarının fiilen kayıtlı olup olmadığı biraz tavuk-yumurta meselesi ve yukarıdaki çakışma alanı ASCII alfabesi içinde temiz biçimde çözülecek gibi görünmüyor
      Batı’daki ASCII alan adlarının dolandırıcılığa açık olması bir sorun, ama pire için yorgan yakmak da doğru değil
    • İngilizce konuşulmayan bir ülkede yaşıyorum ve teknik olarak ASCII dışı alan adları olsa da bunlar çok nadir. Web sitelerinin ezici çoğunluğu Latin harfleri kullanıyor
      Ancak .рф gibi özel üst düzey alan adlarında Punycode’un kendisini sorun olarak görmüyorum. Örneğin кремль.рф gibi bir biçimin gayet uygun olduğunu düşünüyorum
    • Birçok kişi kendi adını, şehir adını vb. kaydetmek isteyebilir. Bunların hepsi geçerli kullanım senaryoları gibi görünüyor
      ASCII’nin ötesindeki her şey şüpheli diyebilirsiniz ama ana dili İngilizce olmayan insanlar buna her zaman karşı çıkacaktır
    • Popüler olmayacak bir görüş ama Unicode’un tamamını alan adlarına zorla sığdırmaya çalışmak kötü bir fikirdi. Büyük/küçük harfe duyarsız ASCII [A-Za-z0-9-] ile kalınmalıydı
  • Kötü amaçlı reklamları azaltmanın bir yolu şeffaflık. Her reklamda reklamverenin yasal iletişim bilgileri, yani şirket adı ve ülkesi yer almalı
    Sorunu tamamen çözmez ama tüketiciler şüpheli Doğu Avrupa şirketlerinin reklamlarından kaçınabilir. Güvenlik araştırmacılarının kötü niyetli aktörleri izlemesi de kolaylaşır ve reklam platformu Google’a da bir ölçüde sorumluluk yüklenir
    Facebook bunu siyasi reklamlarda zaten yapıyor, yani mümkün

    • Bu olursa Google ve Facebook’un geliri azalır
      Hükümet zorlamadıkça ya da hukuki sorumluluk riski çok büyümedikçe bunu gönüllü olarak yapmazlar
    • Doğu Avrupa neden şüpheli olsun ki?
      Biraz yabancı düşmanlığı değil mi bu?
    • Tüm web sitelerinin SSL sertifikası veritabanı[0] tutulup, ziyaret edilen web sitesiyle veya reklam alanı satın alan web sitesiyle karşılaştırılabilir
      [0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...
    • Böyle olursa gerçekten harika olurdu