Gördüğün Linke Tıklamadan Önce İki Kere Düşün: Homograph Saldırısı Nedir?
Gördüğün linkin aynısı ama sahte olabilir mi? Gözlerini bile kandıran Homograph Saldırısı nedir, nasıl çalışır ve bu sinsi tuzaktan nasıl korunursun, öğren.
İnternette gezinirken en güvendiğimiz şey nedir diye sorsam, cevabın ne olurdu? Herhalde birçoğumuz “gözlerimiz” deriz, değil mi? Sonuçta bir linkin üzerinde “google.com” yazıyorsa, o link Google’a gidiyordur. Mantıklı. Ama ya sana gözlerini bile kandırabilen, inanılmaz derecede sinsi bir siber saldırı türü olduğunu söylesem?
İşte bu yazıda tam olarak bunu konuşacağız. Adı biraz havalı: Homograph Saldırısı. Ama yaptığı iş hiç de havalı değil. Bu yöntem, siber dolandırıcıların sahte web sitelerini, e-postaları ve linkleri, güvendiğin markaların birebir aynısı gibi göstermesini sağlıyor. Hem de öyle bir ustalıkla yapıyorlar ki, en dikkatli kullanıcılar bile tuzağa düşebiliyor.
Bu konunun sadece teorik bir zihin jimnastiği olmadığını söylemeliyim. Çok yakın zamanda Booking.com müşterilerini hedef alan saldırılarda bu yöntemin kullanıldığını gördük. Saldırganlar önce bir otelin sistemine sızıp, sonra otelin güvenilirliğini kullanarak müşterilere bu sahte linkleri gönderdiler. Güvendiğin bir yerden gelen linke tıklamamak elde mi? İşte tehlike de tam burada başlıyor.
Hadi gel, bu siber dünyanın görünmez tuzağını, yani Homograph Saldırısı’nı tüm detaylarıyla mercek altına alalım ve bu “göz aldanmasından” nasıl korunabileceğimizi birlikte öğrenelim.
Göz Aldanması Sanatı: Homograph Saldırısı Tam Olarak Nedir?
Bu saldırının temelinde aslında çok basit ama bir o kadar da zekice bir fikir yatıyor: Farklı alfabelerdeki birbirine benzeyen harfleri kullanmak. Teknik adıyla bunlara “homoglif” (homoglyph) deniyor. Yani görsel olarak ikizi gibi duran ama aslında tamamen farklı karakterler.
Şöyle somut bir örnek vereyim, daha net olsun:
- wikipedia.org (Bu bildiğimiz, güvendiğimiz adres)
- wikipediа.org (Peki ya bu?)
İlk bakışta ikisi arasında zerre fark yok, değil mi? Ama aslında ikinci adresteki “а” harfi, bizim bildiğimiz Latin alfabesindeki ‘a’ değil, Kiril (Rus) alfabesindeki ‘а’ harfi. Bilgisayar için bunlar, elma ile armut kadar farklı iki şey. Ama senin benim gibi insanlar için? Tıpatıp aynı! İşte saldırganlar tam olarak bu zaafımızı kullanıyor.
İllüzyonun Arkasındaki Gerçek
Bu görsel ikizliği kullanarak bir dolandırıcının neler yapabileceğini bir düşünsene… Bankanın, sosyal medya hesabının veya e-posta servisinin giriş sayfasının birebir kopyasını yapıyor. Sonra sana bu sahte linki içeren bir e-posta gönderiyor. Sen linke bakıyorsun, her şey doğru görünüyor, tıklıyorsun ve karşına çıkan sahte siteye bilgilerini giriveriyorsun. Geçmiş olsun!
Peki bu aldatmaca teknik olarak nasıl mümkün oluyor? Gelin işin mutfağına, yani internetin temel taşlarına inelim.
Her Şey İyi Niyetle Başladı: Unicode ve Punycode’un Hikayesi
Bu saldırının var olabilmesi, aslında interneti daha kapsayıcı ve küresel bir yer yapma hedefiyle geliştirilen iki teknoloji sayesinde mümkün oldu: Unicode ve IDN (Uluslararası Alan Adları).
İnterneti Herkes İçin Yapma Hayali (ve Yan Etkisi)
İnternetin ilk günlerinde alan adları sadece ASCII karakterleri, yani bildiğimiz Latin harflerini (a-z), rakamları (0-9) ve kısa çizgiyi (-) destekliyordu. E peki, dünya sadece A-B-C’den ibaret değil ya! Rusların, Çinlilerin, Arapların, Yunanların kendi alfabeleri ne olacaktı?
İşte bu sorunu çözmek için IDN sistemi geliştirildi. Bu sistem, Unicode adı verilen evrensel bir karakter standardını kullanarak Kiril (örneğin, президент.рф), Arapça veya Çince gibi farklı dillerde alan adları alınabilmesini sağladı. Bu harika bir gelişmeydi ama farkında olmadan devasa bir kapıyı da aralamış oldu.
Karakter seti birkaç düzineden on binlerce karaktere çıkınca, saldırganlar için adeta bir hazine ortaya çıktı. Özellikle Kiril, Yunan ve Ermeni alfabeleri, Latin harflerinin görsel ikizleriyle dolu olduğu için dolandırıcıların en sevdiği alfabeler haline geldi.
Punycode: Hem Kurtarıcı Hem de Kötü Adam
“İyi de, bu farklı alfabelerdeki alan adları eski sistemlerle nasıl anlaşıyor?” diye sorabilirsin. İşte burada devreye Punycode adında bir çevirmen giriyor. Punycode, Unicode karakterlerle yazılmış bir alan adını, internetin temelindeki DNS sisteminin anlayabileceği ASCII formatına dönüştüren bir kodlama sistemi.
Örneğin, Almanca “münchen.com” adresi, Punycode ile “xn--mnchen-3ya.com” haline getirilir. İnternet tarayıcın bu “xn--” ile başlayan adresi gördüğünde, onu tekrar kullanıcı dostu olan “münchen.com” haline çevirip sana gösterir.
İşte bu mekanizma, tam bir iki ucu keskin bıçak! Bir yandan interneti herkes için erişilebilir kılarken, diğer yandan saldırganların ekmeğine yağ sürüyor. Saldırgan, Kiril harfleriyle oluşturduğu “wikipediа.org” adresinin “xn--” ile başlayan Punycode versiyonunu kaydediyor. Sen linke tıkladığında, tarayıcın “kullanıcım yorulmasın” diyerek bu teknik kodu sana hiç göstermeden anında orijinal gibi görünen sahte adrese çeviriyor. Ve aldatmaca tamamlanmış oluyor!
Bu Bir Yazım Hatası Değil, Bu Bir Kandırmaca!
Bu noktada aklına “Typosquatting” denilen, yani yazım hatalarından faydalanan yöntem gelebilir. Ama ikisi arasında dağlar kadar fark var ve bu farkı anlamak çok önemli.
Homograph Saldırısı vs. Typosquatting: Elma ile Armudu Karıştırmayalım
Typosquatting, senin klavyede yapacağın olası yazım hatalarını hedefler. Mesela aceleyle “google.com” yerine “gogle.com” veya “g00gle.com” yazman gibi. Burada saldırgan, senin dalgınlığından veya hatandan beslenir. Başarı şansı tamamen sana bağlıdır.
Homograph saldırısı ise senin hatana bel bağlamaz. Tam tersi, senin dikkatini ve özenini hedefler! Sen linki kontrol etmek için üzerine geldiğinde veya adres çubuğuna baktığında her şeyin mükemmel görünmesini sağlar. Yani bu saldırı, dikkatsizliğe değil, aksine dikkatli bakışlarına rağmen seni kandırmak üzere tasarlanmıştır. Bu yüzden çok daha sinsi ve tehlikelidir.
Unutma, birinde suç biraz da aceleci parmaklarındayken, diğerinde tamamen görsel bir illüzyonun kurbanı olursun.
Peki, Bu Görünmez Tehdide Karşı Ne Yapabilirsin?
Tüm bunları okuduktan sonra “Tamam da ben kendimi nasıl koruyacağım?” diye endişelenmen çok normal. Neyse ki tamamen savunmasız değiliz. İşte alabileceğin birkaç basit ama etkili önlem:
- Şüpheci Ol: Özellikle beklemediğin veya çok cazip teklifler sunan e-postalardaki, mesajlardaki linklere her zaman şüpheyle yaklaş. “Görünüşe aldanma” sözü burada her zamankinden daha geçerli.
- Adres Çubuğunu Kontrol Et: Modern tarayıcıların birçoğu, farklı alfabelerin karakterleri bir arada kullanıldığında Punycode (xn--…) versiyonunu göstererek seni uyarmaya çalışır. Ama bu her zaman tutarlı bir koruma sağlamaz, bu yüzden tek başına buna güvenme.
- Şifre Yöneticisi Kullan: Şifre yöneticileri, bir web sitesinin gerçek alan adını kontrol eder. Eğer sen “google.com” diye bildiğin sahte bir siteye gidersen, şifre yöneticin bu site için kayıtlı bir şifren olmadığını fark eder ve bilgileri otomatik doldurmaz. Bu, harika bir savunma katmanıdır.
- Çok Faktörlü Kimlik Doğrulama (MFA) Aktifleştir: Belki de en önemli kalkanın bu! Bir saldırgan şifreni çalsa bile, telefonuna gelecek ikinci bir onay kodu olmadan hesabına giremez.
Sonuç olarak, Homograph saldırısı siber güvenlik dünyasında zekice tasarlanmış ve psikolojik olarak etkili bir yöntem. Ama nasıl çalıştığını bir kere öğrendikten sonra, ona karşı çok daha hazırlıklı olursun. Unutma, dijital dünyada en iyi savunma, bilgili ve her zaman biraz tetikte olmaktır. Gözüne sağlık, dikkatine kuvvet!
Peki sen daha önce böyle bir sahte link tuzağına denk geldin mi? Başına gelenleri veya aklına takılanları yorumlarda bizimle paylaş! Bu önemli bilgiyi sevdiklerine de göndermeyi unutma.
Kaynaklar:
- Paubox: Homograph Attack: What Is It and How to Avoid It
- Wikipedia: IDN Homograph Attack
- Malwarebytes: Out of Character: Homograph Attacks Explained
