Ortadaki adam (MITM) saldırısı, saldırganların gizlice dinleyerek veya meşru bir katılımcı gibi davranarak mevcut bir konuşmayı veya veri aktarımını engellediği bir tür siber saldırıdır. Kurbana, standart bir bilgi alışverişi yapılıyormuş gibi görünecek ancak saldırgan kendilerini konuşmanın veya veri aktarımının “ortasına” sokarak, bilgileri sessizce ele geçirebilir.
Bir MITM saldırısının amacı, kimlik hırsızlığı veya yasa dışı fon transferleri gibi başka suçları işlemek için kullanılabilecek banka hesap bilgileri, kredi kartı numaraları veya oturum açma kimlik bilgileri gibi gizli verileri almaktır. MITM saldırıları gerçek zamanlı olarak gerçekleştirildiğinden, genellikle çok geç olana kadar fark edilmezler.
Ortadaki Adam Saldırısının İki Aşaması
Başarılı bir MITM saldırısı, iki özel aşamadan oluşur: müdahale ve şifre çözme.
1. Müdahale
Müdahale, saldırganın, hedeflenen hedefe ulaşmadan önce sahte bir ağla araya girerek kurbanın meşru ağına müdahale etmesini içerir. Durdurma aşaması, esasen saldırganın kendilerini “ortadaki adam” olarak nasıl yerleştirdiğidir. Saldırganlar bunu sıklıkla, halka açık bir alanda parola gerektirmeyen sahte bir Wi-Fi etkin noktası oluşturarak yaparlar. Bir kurban etkin noktaya bağlanırsa, saldırgan gerçekleştirdiği tüm çevrimiçi veri alışverişlerine erişim kazanır.
Saldırgan, kurban ile istenen hedef arasına başarılı bir şekilde girdiğinde, saldırıya devam etmek için çeşitli teknikler kullanabilir:
- IP Spoofing: Wi-Fi bağlantılı her cihazın, ağa bağlı bilgisayarların ve cihazların nasıl iletişim kurduğunun merkezinde yer alan bir internet protokolü (IP) adresi vardır. IP sahtekarlığı, kurbanın bilgisayar sisteminin kimliğine bürünmek için bir saldırganın IP paketlerini değiştirmesini içerir. Kurban, o sisteme bağlı bir URL’ye erişmeye çalıştığında, bilmeden bunun yerine saldırganın web sitesine gönderilir.
- ARP Spoofing: Adres Çözümleme Protokolü (ARP) sahtekarlığı ile saldırgan, MAC adresini kurbanın meşru IP adresiyle ilişkilendirmek için sahte ARP mesajları kullanır. Saldırgan, MAC adresini gerçek bir IP adresine bağlayarak, ana bilgisayar IP adresine gönderilen tüm verilere erişim elde eder.
- DNS Spoofing: DNS önbellek zehirlenmesi olarak da bilinen Etki Alanı Adı Sunucusu (DNS) sahtekarlığı, bir saldırganın kurbanın web trafiğini amaçlanan web sitesine çok benzeyen sahte bir web sitesine yönlendirmek için DNS sunucusunu değiştirmesini içerir. Kurban, hesabı olduğuna inandığı bir hesapta oturum açarsa, saldırganlar kişisel verilere ve diğer bilgilere erişebilir.
2. Şifre çözme
Bir MITM saldırısı müdahalede durmaz. Saldırgan, kurbanın şifrelenmiş verilerine eriştikten sonra, saldırganın okuyabilmesi ve kullanabilmesi için şifresinin çözülmesi gerekir. Kullanıcıyı veya uygulamayı uyarmadan kurbanın verilerinin şifresini çözmek için bir dizi yöntem kullanılabilir:
- HTTPS Spoofing: HTTPS sızdırma, tarayıcınızı belirli bir web sitesinin güvenli ve güvenilir olmadığı halde güvenilir olduğunu düşünmesi için kandırmak için kullanılan bir yöntemdir. Bir kurban güvenli bir siteye bağlanmaya çalıştığında, tarayıcılarına sahte bir sertifika gönderilir ve bu da onları saldırganın kötü niyetli web sitesine yönlendirir. Bu, saldırganın, kurbanın o sitede paylaştığı tüm verilere erişmesini sağlar.
- SSL Hijacking: URL’de “HTTP” ile belirtilen, güvenli olmayan bir web sitesine her bağlandığınızda, sunucunuz sizi otomatik olarak o sitenin güvenli HTTPS sürümüne yönlendirir. SSL ele geçirme ile saldırgan, yeniden yönlendirmeyi engellemek için kendi bilgisayarını ve sunucusunu kullanır ve kullanıcının bilgisayarı ile sunucusu arasında geçen herhangi bir bilgiyi kesintiye uğratmasına olanak tanır. Bu, kullanıcının oturumları sırasında kullandığı tüm hassas bilgilere erişmelerini sağlar.
- SSL Stripping: SSL Stripping, saldırganın bir kullanıcı ile bir web sitesi arasındaki bağlantıyı kesmesini içerir. Bu, bir kullanıcının güvenli HTTPS bağlantısını web sitesinin güvenli olmayan bir HTTP sürümüne indirgeyerek yapılır. Bu, kullanıcıyı güvenli olmayan siteye bağlarken, saldırgan güvenli siteyle bağlantısını sürdürür ve kullanıcının etkinliğini saldırgan tarafından şifrelenmemiş bir biçimde görünür hale getirir.