Evil Twin Attack-Şeytani İkiz Saldırısı Nedir?

Evil Twin Attack -Şeytani İkiz Saldırısı Nedir?

Günümüzde kablolu ağlardan daha çok kablosuz ağlar hayatımızın her anında karşımıza çıkmaktadır. Kablolu ağlara göre daha düşük bir maliyet ve yüksek erişilebilirlik avantajları vardır. Fakat iş, güvenlik konusuna geldiğinde siber saldırganlar kablosuz ağ üzerinden Evil Twin Attack olarak adlandırılan bir saldırı gerçekleştirmektedir. Evil Twin Attack temel olarak bir MITM (Man in the Middle- Ortadaki adam) saldırısıdır. Bir Evil Twin saldırısında saldırganın amacı internete bağlanan bir cihaz ve o interneti yayan Router veya Acess Point arasına girip hedeflemiş olduğu kişi kendini interneti yayan router gibi göstermek ve gerçek router’a deauth Saldırısı(Kullanıcının ağ bağlantısını kesme saldırısı) uygular. Gerçek router deauth saldırısından dolayı internet hizmetini yayamayacak durumda olacağından saldırgan bu ara da devereye girer.

Evil Twin Saldırısı Nasıl Gerçekleştirilir, Senaryoları Nedir?

Bilgisayar Korsanları, bir Evil Twin Attack gerçekleştirmek için öncelikle sabırsız kullanıcıları hedeflerler ne yazık ki, birçok insan bu tür kullanım alışkanlığına sahip. Genellikle kafeterya veya halka açık bir alanda bulunduğumuz kuruluşun ücretsiz sunmuş olduğu Wİ-Fİ ağına girmek isteriz. Ancak bu isteğimizin bir bedeli olabilir. Bilgisayar korsanları, güvenli görünen bir Wİ-Fİ ağının bağlantısını kendi internetini yayan bir router gibi gösterebilir ve bu ağa bağlandığınızda kullanıcı olarak bizlerin çevrim içi yaptığı her şeyi görebilir veya çalabilir.

Senaryo 1: Kafeterya veya Restoran Wİ-Fİ Ağları Üzerinden Bilgi Elde Etme

Bir kafeterya da internete bağlanmak istediğiniz zaman sizden çeşitli bilgiler isteyen bir giriş sayfası ile karşılaşırsınız bu karşılaşmış olduğunuz sayfaya Captive Portal denmektedir. Captive Portal kullanmanın amacı internet kullanımı daha güvenli bir hale getirebilmek ve ek bir doğrulama faktörü sunmasıdır. Telefon numaranız, Adınız veya Anne kızlık soyadı gibi kritik verileri sizden talep ederek internete girmenize izin verir aslında tam bu arada bilgisayar korsanları devreye girmektedir bağlanmış olduğunuz ağın güvenli bir kafeterya ağı olduğunuzu sanmaktasınız, aslında bilgisayar korsanı bağlanmış olduğunuz ağı sahte Captive Portal haline getirmiştir ve internete bağlanmak istediğimiz ağ yerine bilgisayar korsanın eline bizzat bizim için kritik olan bilgilerimizi teslim etmiş oluruz. Peki bu adımlar nasıl gerçekleşmektedir;

  • Bir kafeterya, kafeteryanın kullanmış olduğu Wİ-Fİ sağlayıcısı adında yeni bir Captive Portal oluşturur ve gerçek router’a deauth Saldırısı uygular.
  • Kafeteryaya gelen kurban ağa bağlanmak ister ve bilgisayar korsanının yeni yaratmış olduğu sahte Captive Portal’a bağlanmak için istek yollar.
  • Kurbanın karşısında bilgisayar korsanının yaratmış olduğu sahte bir Captive Portal ekranı çıkar. Bu portal saldırganın istediği bilgileri sunabilmektedir. (Telefon numarası, T.C. Kimlik numarası...)
  • Kurban istenilen bu bilgileri girer ve sahte Captive Portal’a bağlanmak için bağlantı isteğini yollar ve bilgisayar korsanı eline istediği bilgiler ulaştıktan sonra sahte Captive Portal’ı o kurbana kapatır.

Senaryo 2: Ev Senaryosu

Birinci senaryomuzda bilgisayar korsanın temel amacı hedeflediği kişilerin veya kurbanlarının kimlik numarası, telefon numarası veya başka özel bilgilerini elde etmekti. Ancak bazı durumlarda bilgisayar korsanları özel bilgi edinmek yerine bir evin veya bir iş yerinin Wİ-Fİ ağının parolasını elde etmek isteyebilir. Böylece elde edeceği Wİ-Fİ parolası sayesinde ilgili router’a giriş yapıp daha farklı ve daha fazla bilgi alabileceği ağ içi saldırıları gerçekleştirebilir bu senaryonun adımları ise şu şekilde olabilmektedir;

  • Bilgisayar korsanı ilgili bir hedef bulduğunda o ağın parolasını kırmak için elinden geleni yapsa bile günümüzde WPA ve WPA2 parolaları kolay kırılmamakta ve bu parolayı kıramadığı için bilgisayar korsanı EVİL TWİN saldırısı yapacaktır.
  • İlgili router’ın Wİ-Fİ ağı ile aynı isimde, daha güçlü sinyal veren sahte bir Captive Portal oluşturmasıyla başlar.
  • Bilgisayar korsanı evdeki router’ı Deauth saldırısı ile düşürüp kendi yarattığı Captive Portal’ın ayakta durmasını sağlayacaktır. Evdeki interneti kullanan kullanıcı internetin koptuğunu düşünecektir ve telefonunun veya tabletinin Wİ-Fİ kısmına girmek isteyecektir. Bu kısımda kendi gerçek ağı gözükmeyecek ve bilgisayar korsanının yeni yaratmış olduğu sahte Captive Portal ağı gözükecektir ve kullanıcı bunu fark edemeyeceği için bilgisayar korsanının ağına kendi ağı sanıp bağlanmaya çalışır.
  • Ağa bağlanırken kurbana Router’ınızın güncellenmesi gerekiyor bunun için şifrenizi ve kullanıcı adınızı girin vb. Arayüzlerle hazırlanmış bir sayfa karşısına gelecektir kullanıcı ise bu durumda tereddüt edebilir fakat internetine tekrar kavuşmak için kullanıcı adını ve şifresini girmek isteyecektir.
  • Bu saldırı sayesinde bilgisayar korsanı hedef router’ın kullanıcı adını ve şifresini kurban karşısına çıkan arayüzde ne istiyorsa elde etmiş olacaktır ve kendi sahte Captive Portal ağını kurbana karşı kapatıp gerçek olan router ağını tekrar devreye sokacaktır. Kullanıcı ise şifresini yazdıktan sonra bu olayın düzeldiğini sanıp internetine kavuşacaktır.

OZZTECH ipucu der ki: Eğer bir kablosuz ağa bağlandıysanız ve bir kez şifresini girdiyseniz ve sonrasında ilgili ağı unut demediyseniz sistem sizden asla aynı şifreyi tekrar girmenizi istemez.


İlginizi Çekebilecek Makaleler
Metaverse- Etik ve Mahremiyet
Siber Güvenlik

Metaverse- Etik ve Mahremiyet

Aralık 8, 2021 10:28

Metaverse, Dijital ve fizikselin genellikle meta veri deposu olarak adlandırılan bir yerde birleştirilmesiyle gerçekleşecek....

Mozilla Firefox Artık RLBox Korumalı
Siber Güvenlik

Mozilla Firefox Artık RLBox Korumalı

Aralık 7, 2021 4:17

Mozilla, güvenilmeyen kodun ve diğer güvenlik açıklarının “tedarik zinciri saldırıları kadar kazara kusurlara” neden...

Scada Sistemler ve Triton-Triconex
Siber Güvenlik

Scada Sistemler ve Triton-Triconex

Aralık 7, 2021 11:55

SCADA/ICS altyapısı sürekli tehdit altındadır. Bu sistemler, herhangi bir ulusun ekonomik sağlığı ve refahı...

Siber Güvenlik İçin Makine Öğrenimi
Siber Güvenlik

Siber Güvenlik İçin Makine Öğrenimi

Aralık 6, 2021 2:51

Siber güvenlik için makine öğrenimi, bizi siber saldırılardan koruma yeteneğini ele alıyor. Yine de,...

Saldırı Yüzeyi Nedir?
Siber Güvenlik

Saldırı Yüzeyi Nedir?

Aralık 6, 2021 11:01

Saldırı Yüzeyi Nedir? Yetkisiz bir kullanıcının bir sisteme erişebileceği ve verileri çıkarabileceği tüm olası...

Sflow, NetFlow ve SNMP Farkları Nelerdir?
Network

Sflow, NetFlow ve SNMP Farkları Nelerdir?

Aralık 5, 2021 6:02

Etkili ağ izleme ve trafik yönetimi, en yüksek ağ performansını sağlamak için hayati önem...

FortiClient EMS Kurulumu
Siber Güvenlik

FortiClient EMS Kurulumu

Aralık 4, 2021 3:00

FortiClient EMS kurulumu yapılabilmesi için tüm güncellemelerin önceden yapılmış olması gerekmektedir. Eksiksiz bir endpoint...

Olay Müdahalesi Nedir?
Siber Güvenlik

Olay Müdahalesi Nedir?

Aralık 3, 2021 1:54

Olay müdahalesi, bir kuruluşun saldırı veya ihlalin sonuçlarını (“olay”) yönetme girişimi de dahil olmak...

Ağ Oluşturmada Hizmet Kalitesi-QoS Nedir?
Network

Ağ Oluşturmada Hizmet Kalitesi-QoS Nedir?

Aralık 3, 2021 9:24

Hizmet kalitesi (QoS), trafiği kontrol etmek ve sınırlı ağ kapasitesine sahip kritik uygulamaların performansını...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.