Anasayfa
İnternet bankacılığı hizmetlerinin kullanıcıları bir yandan gücünü koruyan Phishing saldırılarıyla mücadele ederken, diğer yandan da yeni nesil dolandırıcılık yöntemlerinden biri olan Pharming'in tehdidi altında. Veri hırsızlıkları bu yöntemle kullanıcıları sahte banka sitelerine yönlendiriyor.
Pharming, internet tarayıcı üzerinden çağırdığınız URL'nin sizi sahte bir web sayfasına yönlendirmesine neden oluyor. Saldırganlar bu kez IP adresinin Alan Adı Sunucusu (DNS, Domain Name Server) tarafından çözümlenmesi aşamasına müdahale ediyor. Amaç, internet bankacılığından yararlanan kullanıcıları orijinal olmayan sayfalara yönlendirerek buralarda girilecek gizli bilgileri ele geçirmek. Bu noktada kullanıcının bilgisayarındaki hosts dosyasını değiştiren virüs ve Truva atlarının rolü büyük.
Sonuçta internet tarayıcı girilenden farklı bir adres çağırıyor ve kullanıcının saldırıya maruz kaldığını anlaması zorlaşıyor. Herhangi bir güvenlik paketi kullanmıyor ya da kendinizi yüzde yüz güvenli hissetmiyor olsanız bile bu saldırıların farkına varabilirsiniz:
Hosts'u gözden geçirmek: Zaman zaman hosts dosyasının içeriğini gözden geçirmelisiniz. Bunun için Windows Gezgini'nin de yardımıyla C:\Windows\System32\drivers\etc klasörünü ziyaret edin ve dosya içeriğini bir metin düzenleme aracından da yardım alarak görüntüleyin. Dosya normalde açıklamanın dışında tek bir satır içermeli:
127.0.0.1-localhost
Siz ya da sistem yöneticiniz yerel ağı yapılandırmak için dosyaya daha fazla satır eklemediyse diğerlerini sildikten sonra değişiklikleri kaydetmelisiniz.
Dosyaya yazma koruması eklemek: Windows Gezgini penceresinde hosts'a sağ fare tuşuyla tıkladıktan sonra açılan nesne menüsünden Özellikler'i seçin. Genel sekmesinden Salt okunur'u işaretleyin ve önce Uygula daha sonra Tamam'a tıklayarak değişiklikleri kaydedin. Bu değişiklik zararlı yazılımların dosyaya erişimini güçleştirecektir. Artık örneğin bir Truva atının yazma korumasını aşmak için yönetici hakkı elde etmesi gerekecek.
Dosya boyutunu kontrol altında tutmak: Özel bir betik yardımıyla güvenlik seviyesini daha da yukarı çekebilirsiniz. Bu betik, hosts dosyasının boyutunu izliyor ve değişiklik halinde sizi uyarıyor. Not Defteri'ni açın ve aşağıdaki satırları girin:
Set-objFSO-=-CreateObject ("Scripting.FileSystemObject")
Set-objFile-=-objFso.GetFile ("C:\Windows\System32\drivers\etc\hosts")
If-objFile.Size-<>-851-then
WScript.Echo."hosts-dosyasının boyutu-değiştirildi:."&objFile.Size&".Byte."
end.if
Hangi işletim sistemini kullandığınıza bağlı olarak ikinci satırdan Hosts dosyasının konumunu doğru girmeniz gerekiyor. Windows Gezgini'ni kullanarak ya da skripti bir kez çalıştırarak dosyanın gerçek boyutunu öğrenin. Daha sonra örnek değer olan 851'i gerçeğiyle değiştirin.
Skripti "hosts_boyut.vbs" adıyla Windows klasöründe saklayın. Son aşamada betiğe ait kısayolu Başlangıç klasörüne ekleyebilir ya da Zamanlanmış Görevler aracını kullanarak otomatik olarak çalıştırılmasını sağlayabilirsiniz. Hosts dosyası herhangi bir değişikliğe maruz kalmadığı sürece betiğin varlığını hissetmeyeceksiniz. Dosyanın boyutu değiştiğinde ise bir uyarı mesajıyla karşılaşacaksınız. Bu mesaj kapsamlı bir virüs taramasının vaktinin geldiği anlamını taşıyor.
Pharming, internet tarayıcı üzerinden çağırdığınız URL'nin sizi sahte bir web sayfasına yönlendirmesine neden oluyor. Saldırganlar bu kez IP adresinin Alan Adı Sunucusu (DNS, Domain Name Server) tarafından çözümlenmesi aşamasına müdahale ediyor. Amaç, internet bankacılığından yararlanan kullanıcıları orijinal olmayan sayfalara yönlendirerek buralarda girilecek gizli bilgileri ele geçirmek. Bu noktada kullanıcının bilgisayarındaki hosts dosyasını değiştiren virüs ve Truva atlarının rolü büyük.
Sonuçta internet tarayıcı girilenden farklı bir adres çağırıyor ve kullanıcının saldırıya maruz kaldığını anlaması zorlaşıyor. Herhangi bir güvenlik paketi kullanmıyor ya da kendinizi yüzde yüz güvenli hissetmiyor olsanız bile bu saldırıların farkına varabilirsiniz:
Hosts'u gözden geçirmek: Zaman zaman hosts dosyasının içeriğini gözden geçirmelisiniz. Bunun için Windows Gezgini'nin de yardımıyla C:\Windows\System32\drivers\etc klasörünü ziyaret edin ve dosya içeriğini bir metin düzenleme aracından da yardım alarak görüntüleyin. Dosya normalde açıklamanın dışında tek bir satır içermeli:
127.0.0.1-localhost
Siz ya da sistem yöneticiniz yerel ağı yapılandırmak için dosyaya daha fazla satır eklemediyse diğerlerini sildikten sonra değişiklikleri kaydetmelisiniz.
Dosyaya yazma koruması eklemek: Windows Gezgini penceresinde hosts'a sağ fare tuşuyla tıkladıktan sonra açılan nesne menüsünden Özellikler'i seçin. Genel sekmesinden Salt okunur'u işaretleyin ve önce Uygula daha sonra Tamam'a tıklayarak değişiklikleri kaydedin. Bu değişiklik zararlı yazılımların dosyaya erişimini güçleştirecektir. Artık örneğin bir Truva atının yazma korumasını aşmak için yönetici hakkı elde etmesi gerekecek.
Dosya boyutunu kontrol altında tutmak: Özel bir betik yardımıyla güvenlik seviyesini daha da yukarı çekebilirsiniz. Bu betik, hosts dosyasının boyutunu izliyor ve değişiklik halinde sizi uyarıyor. Not Defteri'ni açın ve aşağıdaki satırları girin:
Set-objFSO-=-CreateObject ("Scripting.FileSystemObject")
Set-objFile-=-objFso.GetFile ("C:\Windows\System32\drivers\etc\hosts")
If-objFile.Size-<>-851-then
WScript.Echo."hosts-dosyasının boyutu-değiştirildi:."&objFile.Size&".Byte."
end.if
Hangi işletim sistemini kullandığınıza bağlı olarak ikinci satırdan Hosts dosyasının konumunu doğru girmeniz gerekiyor. Windows Gezgini'ni kullanarak ya da skripti bir kez çalıştırarak dosyanın gerçek boyutunu öğrenin. Daha sonra örnek değer olan 851'i gerçeğiyle değiştirin.
Skripti "hosts_boyut.vbs" adıyla Windows klasöründe saklayın. Son aşamada betiğe ait kısayolu Başlangıç klasörüne ekleyebilir ya da Zamanlanmış Görevler aracını kullanarak otomatik olarak çalıştırılmasını sağlayabilirsiniz. Hosts dosyası herhangi bir değişikliğe maruz kalmadığı sürece betiğin varlığını hissetmeyeceksiniz. Dosyanın boyutu değiştiğinde ise bir uyarı mesajıyla karşılaşacaksınız. Bu mesaj kapsamlı bir virüs taramasının vaktinin geldiği anlamını taşıyor.
