Evil Twin Attack Nedir?
Evil Twin Attack, özellikle halka açık alanlarda kullanıcıları hedef alan bir sosyal mühendislik saldırısıdır.
Wi-Fi bağlantıları günlük yaşamımızın vazgeçilmez bir parçası haline geldi, ancak bu bağlantıları kullanırken siber güvenlik riskleri de beraberinde gelmektedir. Bu risklerden biri olan "Evil Twin Attack" veya Türkçe adıyla "Şeytan/Şeytani İkiz Saldırısı," özellikle halka açık alanlarda kullanıcıları hedef alan bir sosyal mühendislik saldırısıdır. Şeytan/Şeytani ikiz saldırı, bir bilgisayar korsanının kullanıcıları gerçek bir ağı taklit eden sahte bir Wi-Fi erişim noktasına bağlanmaları için kandırmaya çalıştığında meydana gelir. Kurban sahte ağa bağlandığında, paylaştıkları veriler saldırgan tarafından kontrol edilen bir sunucuya gönderilir.
Literatürde bu saldırı türü "Man in the Middle Attack" (MITM - Ortadaki Adam Saldırısı) yönteminin altında incelenir. MITM yöntemi, ağda, bağlantılar (alıcı – verici) arasındaki iletişimin dinlenmesiyle beraber dinlenen verilerin ele geçirilmesini ve/veya dinlenen verilerde değişiklik yapılmasını kapsayan bir saldırı yöntemidir.
Sosyal mühendislik saldırısı, saldırganın istediği veriye ulaşırken psikolojik adımlama teknikleri kullanarak ilerleme biçimidir. Kendilerini "polis", "asker", "savcı" gibi tanıtan saldırganlardan tutun da, "Ödül Kazandınız" içerikli web sayfalarında kişisel veri toplamaya yönelik phishing (oltalama) saldırıları, bu tür yöntemlere örnek olarak verilebilir.
Evil Twin Attack (Şeytan/Şeytani İkiz Saldırısı), genellikle kafeterya, restoran, otel gibi halka açık alanlarda ücretsiz Wi-Fi ağlarını hedef alır. Saldırgan, mevcut bir Wi-Fi ağının bağlantısını taklit eder ve bu sahte ağı kullanıcıları çekmek için kullanır. Kullanıcılar bu sahte ağa bağlandıklarında, saldırgan çevrimiçi verilerinizi görebilir, bu verileri çalabilir ve zararlı yazılımlar yükleyebilir.
1. Senaryo: Kafeterya, Otel, Restoran Wi-Fi Ağları Üzerinden Veri Edinme
- Halka açık ağ kullanımında, istemci cihazını yöneten kullanıcıdan captive portal üzerinden bir tanımlama yapılır. Çıkan panelde T.C Kimlik Numarası, Telefon Numarası, İsim-Soyisim gibi bilgiler talep edilebilir. Saldırgan temelde aşağıdaki adımları uygular:
- Saldırgan, kafeteryanın, otelin veya restoranın kullandığı Wi-Fi sağlayıcısı isminde yeni bir captive portal oluşturur ve mevcut router’a (yönlendiriciye) deauthentication attack (kimlik doğrulama saldırısı) gerçekleştirir.
- Kullanıcı ağa bağlanmak ister ve saldırganın yaratmış olduğu sahte captive portal’a (kısıtlama portalına) bağlanmak için istek atar.
- Kullanıcının karşısında saldırganın yaratmış olduğu sahte bir captive portal (kısıtlama portalı) ekranı çıkar. (T.C Kimlik Numarası, Telefon Numarası, İsim-Soyisim…)
- Kullanıcı, istenilen bu bilgileri girer ve sahte captive portal’a bağlanmak için bağlantı isteğini yollar. Saldırgan, istediği bilgilere eriştikten sonra sahte captive portalı o kullanıcıya kapatır.
2. Senaryo: Ev, Ofis Wi-Fi Ağları Üzerinden Veri Edinme
İlk senaryoda saldırganın temel amacı, hedeflediği kullanıcıların kimlik numarası, telefon numarası gibi özel bilgilerini elde etmektir. Bazı durumlarda ise saldırganlar özel bilgiler yerine bir evin veya ofisin Wi-Fi ağının kullanıcı adı ve şifresini ele geçirmek ister. Böylece elde edilen veriler sayesinde router’a giriş yapıp daha farklı ve daha fazla sayıda bilgi alabileceği ağ içi saldırıları gerçekleştirebilir. İlk adımdan itibaren işleyiş şu şekildedir:
- Saldırgan, router’ın Wi-Fi ağı ile aynı isimde, mümkünse daha güçlü sinyal veren, sahte bir captive portal oluşturur.
- Saldırgan, evdeki veya ofisteki router’ı deauthentication attack (kimlik doğrulama saldırısı) ile siteden atarak kendi yarattığı captive portalı canlı hale getirir. İnterneti kullanan kullanıcı, internetin koptuğunu düşünür ve cihazının üzerinden Wi-Fi bağlantı noktalarını tarar. Bu noktada, kendi ağı yerine saldırganın yaratmış olduğu sahte captive portal ağı bulunur. Kullanıcı bunu fark edemeyeceği için saldırganın ağına kendi ağı sanıp bağlanmaya çalışır.
- Ağa bağlanan kullanıcıya “Router’ınızın güncellenmesi gerekiyor. Kullanıcı adı ve şifrenizi giriniz.” tarzında bir sayfa gelir. Kullanıcı talep edilen veriyi girer.
- Bu saldırı sayesinde saldırgan, router’ın kullanıcı adını ve şifresini elde eder ve sahte captive portalın ağını kullanıcıya karşı kapatıp gerçek olan router’ı devreye alır. Kullanıcı, kullanıcı adını ve şifresini yazdıktan sonra internete çıkacaktır.
- Wi-Fi bağlantılarında bir kez kullanıcı adı ve şifre captive portal’a girilmişse, bağlantı sistemi “Ağı Unut” demediğiniz sürece asla tekrar kullanıcı adı ve şifre girilmesini istemez.
Evil Twin Attack'tan Korunma Yolları
Bilinçli Bağlantılar: Halka açık Wi-Fi ağlarına bağlanırken kaynakları doğrulayın ve güvenilir ağlara bağlanmaya özen gösterin.
VPN Kullanımı: Sanal özel ağ (VPN) kullanmak, verilerinizi şifreleyerek kötü niyetli saldırılardan korunmanıza yardımcı olabilir.
Güncel Antivirüs Yazılımı: Cihazlarınıza güncel antivirüs yazılımı yükleyerek zararlı yazılımları tespit edebilirsiniz.
Hassas Bilgileri Paylaşmaktan Kaçının: Halka açık Wi-Fi ağları üzerinden kişisel veya hassas bilgilerinizi paylaşmaktan kaçının.
Firewall Cihazları ile Ekstra Koruma: Berqnet Firewall
Siber güvenlik çözümlerinde özelinde öncelikle bir güvenlik duvarı (firewall) cihazı kullanmak önemlidir. Berqnet Firewall, şirketinizin siber güvenliğini güçlendirmek için geliştirilmiş etkili bir çözümdür. Evil Twin Attack gibi saldırılara karşı güçlü bir savunma sağlar ve kullanıcılarınızın çevrimiçi verilerini korur.
Evil Twin Attack, kullanıcıların dikkatsiz olduğu durumlarda etkili olabilir. Bu nedenle, Wi-Fi ağlarını kullanırken her zaman güvenlik önlemlerini göz önünde bulundurmak önemlidir. Unutmayın, bilinçli ve güvenli bağlantılar sizi birçok tehlikeden koruyabilir.
19 Aralık 2023