MITM saldırısı, saldırganların gizlice dinleyerek veya normal bir katılımcı gibi davranarak mevcut bir konuşmayı veya veri aktarımını engellediği bir tür siber saldırıdır. Bir MITM saldırısının amacı, kimlik hırsızlığı ya da yasa dışı fon transferleri gibi başka suçları işlemek için kullanılabilecek banka hesap bilgileri, kredi kartı numaraları veya oturum açma kimlik bilgileri gibi gizli verileri almaktır. MITM saldırıları gerçek zamanlı olarak gerçekleştiği için fark edilmesi zor olabiliyor.
Mitm Saldırısı İki Aşaması
MITM saldırısı, iki özel aşamadan oluşuyor;
1. Müdahale
Saldırganın, hedeflenen hedefe ulaşmadan önce sahte bir ağla araya girerek kurbanın meşru ağına müdahale etmesi anlamına geliyor. Saldırganlar bunu genel olarak halka açık, parola gerektirmeyen sahte bir Wi-Fi etkin noktası oluşturarak yapıyorlar. Bir kurban bu etkin noktaya bağlanırsa, saldırgan gerçekleştirdiği tüm çevrimiçi veri alışverişlerine erişim kazanır.
Saldırgan, kurban ile etkileşime geçtiğinde saldırıya devam etmek için çeşitli teknikler kullanır;
- IP Sahtekarlığı: Wi-Fi bağlantılı her cihazın, ağa bağlı bilgisayarların ve cihazların nasıl iletişim kurduğunun merkezinde yer alan bir IP adresi vardır. IP sahtekarlığı , kurbanın bilgisayar sisteminin kimliğine bürünmek için bir saldırganın IP adreslerini değiştirmesi anlamına gelir. Kullanıcı o sisteme bağlı bir URL’ye erişmeye çalıştığında, farketmeden saldırganın web sitesine girmiş olur.
- ARP Sahtekarlığı: Adres Çözümleme Protokolü (ARP) sahtekarlığı ile saldırgan, MAC adresini kurbanın meşru IP adresiyle bağlamak için sahte ARP mesajları kullanabilir. Saldırgan, MAC adresini gerçek bir IP adresine bağlayarak, bu şekilde ana bilgisayar IP adresine gönderilen tüm verilere erişim elde eder.
- DNS Sahtekarlığı: DNS önbellek zehirlenmesi olarak da bilinen Domain Sunucusu (DNS) sahtekarlığı, bir saldırganın kurbanın web trafiğini amaçlanan web sitesine çok benzeyen sahte bir web sitesine yönlendirmek için DNS sunucusunu değiştirmesi anlamına gelir. Kurban kendi hesabı sandığı bir hesapta oturum açarsa saldırganlar kişisel verilere ve diğer bilgilere erişebilir.
2. Şifre çözme
Saldırgan, kurbanın şifrelenmiş verilerine erişim sağladıktan sonra, saldırganın okuyabilmesi ve kullanabilmesi için şifresinin çözülmesi gerekir.
- HTTPS Spoofing: HTTPS sızdırma, tarayıcınızda belirli bir web sitesi güvenli değil olarak işaretlense dahi güvenli gibi göstermek anlamına gelir. Kullanıcı güvenli bir web sitesine bağlanmaya çalışırken sahte bir sertifika ile saldıraganın web sitesine yönlendirilir. Bu işlem ile saldırgan, kurbanın o sitede paylaştığı tüm verilere erişebilir.
- SSL Hijacking: URL’de “HTTP” ile başlayan güvenli olmayan bir web sitesine bağlandığınızda sunucunuz otomatik olarak o sitenin güvenli HTTPS ile başlayan url’ine yönlendirir. SSL ele geçirme ile saldırgan, yeniden yönlendirmeyi engellemek için kendi bilgisayarını ve sunucusunu kullanır ve kullanıcının bilgisayarı ile sunucusu arasında geçen bir bilgiyi kesmelerine izin verir. Bu izin ile kullanıcının oturumları sırasında kullandığı tüm hassas bilgilere erişmelerini sağlar.
- SSL Soyma: SSL soyma, saldırganın bir kullanıcı ile bir web sitesi arasındaki bağlantıyı kesmesini içerir. Bir kullanıcının güvenli HTTPS bağlantılı web sitesinin güvenli olmayan bir HTTP sürümüne çevirerek yapılmaktadır.. Kullanıcıyı güvenli olmayan siteye bağlatmak isterken, saldırgan güvenli siteyle bağlantısını sürdürmeye devam eder.
MITM Saldırısı Nasıl Tespit Edilir?
Çevrimiçi iletişiminizin ele geçirildiğine veya güvenliğinin ihlal edildiğine dair işaretleri aktif olarak aramıyorsanız, ortadaki adam saldırısını tespit etmek zor olabilir. Fark edilmemeleri kolay olsa da, web’de gezinirken dikkat etmeniz gereken bazı noktalar vardır.
Güvenli bir web sitesinin işareti, bir sitenin URL’sinde “HTTPS” ile gösterilir. Bir URL’de “S” eksikse ve “HTTP” olarak okunuyorsa, bağlantınızın güvenli olmadığı kırmızı bir işaretle belirtilir. Ayrıca, URL’nin solunda, güvenli bir web sitesini de gösteren bir SSL kilidi simgesi aramalısınız. Ayrıca, halka açık Wi-Fi ağlarına bağlanma konusunda dikkatli olmalısınız. Yukarıda tartışıldığı gibi, siber suçlular genellikle halka açık Wi-Fi ağlarında casusluk yapar ve bunları ortadaki adam saldırısı gerçekleştirmek için kullanır. Genel bir Wi-Fi ağının yasal olduğunu düşünmemek ve genel olarak tanınmayan Wi-Fi ağlarına bağlanmaktan kaçınmak en iyisidir.
Nasıl Önlenir?
Potansiyel bir MITM saldırısının nasıl tespit edileceğinin farkında olmak önemli olsa da, bunlara karşı korunmanın en iyi yolu, ilk etapta onları önlemektir.
- Parola korumalı olmayan Wi-Fi ağlarından kaçının ve kişisel bilgilerinizi gerektiren hassas işlemler için asla halka açık bir Wi-Fi ağı kullanmayın.
- Bir Sanal Özel Ağ ( VPN ) kullanın. VPN’ler çevrimiçi etkinliğinizi şifreler ve bir saldırganın parolalar veya banka hesabı bilgileri gibi özel verilerinizi okumasını engeller.
- Oturumu ele geçirmeyi önlemek için işiniz biter bitmez web sitelerinden (çevrimiçi bankacılık web sitesi gibi) çıkış yapın.
- Parolalarınızı olabildiğince güçlü hale getirin.
- Tüm parolalarınız için çok faktörlü kimlik doğrulamayı kullanın.
- Güvenli internet bağlantılarını sağlamak için bir güvenlik duvarı kullanın.
- Cihazlarınızı kötü amaçlı yazılımlardan korumak için virüsten koruma yazılımı kullanın.