Son Reuters makalelerinde, İtalyan güvenlik araştırmacısı Rosario Valotta, Microsoft’un IE tarayıcısında “cookiejacking” olarak tanımladığı bir 0. Gün saldırısı tanımladı.
Aslında cookiejacking birkaç senedir hayatımızda yer alıyor, daha önceki kullanımlarıyla “side-jacking” ya da “session hijacking” olarak biliniyordu. Rosario bu saldırının yeni bir aktarım şeklini buldu, bu aktarım şeklinde sosyal mühendislik kullanıcıları, saldırganın IE’nin içine bir hata yerleştirmesine yardımcı oluyorlar.
Raporlara göre, bu zayıflık Internet Explorer 9 da dâhil olmak üzere hepsini etkiliyor, Windows işletim sisteminin bütün sürümlerinde hatayı kullanıyor, öncesinde hackerin mağdur olan kişiyi bilgisayar ekranında her hangi bir objeyi çekip bırakması için ikna etmesi gerekiyor.
Araştırmacılar, kullanıcıların çekici bir kadın fotoğrafını soyundurmaları için ayartıldıkları, sosyal mühendislerin bir bulmaca şeklinde oluşturdukları kurguları örnek olarak gösteriyorlar.
Microsoft Sözcüsü Neler Dedi?
Medya raporlarını göre ise, Microsoft’un sözcüsü Jerry Bryant şu açıklamalarda bulundu:
“Gerekli seviyede kullanıcı etkileşimi verildiğinde, bu konu yüksek risk olarak adlandırdıklarımızdan biri olmaktan çıkar.
Kullanıcı tehlike arz eden bir web siteyi ziyaret etmeli, sayfa üzerinde objeleri çekip bırakmaya ikna olmalı ki böylece saldırgan kullanıcının çoktan oturum açmış olduğu bu web sitesi üzerinden cookie gönderebilsin.”
Fakat ne yazık ki bu ifade tam bir kesinlik içermiyor.
1. İnsanlar her zaman kötücül içerikli siteleri ziyaret ederler. Trend Micro Smart Protection Network’ün altyapısı, bu tehlikeli siteler için her gün ortalama 13 milyon teşebbüsü engelleyebilir.
2. Sosyal mühendislik tartışmasız hackerların en fazla kullandığı yöntem. FakeAV gibi hilelerden ve Facebook Javascript kopyalama saldırılarından anlaşılabileceğimiz gibi gerçekten kolay gerçekleştirebildikleri yöntemler olduğunu söyleyebiliriz.
3. Her zaman makinalarda cookieler olacaktır. Her günü bırakın, sıradan bir kullanıcının haftada bir bile bilgisayarındaki cookieleri temizlediğini düşünmüyoruz.
Bu konunun ciddiye alınmaması ve yüksek risk taşımadığı ile ilgili söylemler yanlıştır. Bu tarz yorumlar kişilerin zararlı sitelere yapacakları ziyaret sayılarını arttırmakla birlikte zararlı sitelerden kaynaklanabilecek tehditlerle karşılaşmayacaklarını düşünmelerine neden olur.
Saldırıların büyük çoğunluğu görüş alanının dışındadır. Yani zararlı bir durumun olduğu anlaşılamayabilir ya da kullanıcı etkileşimi olsa bile bir sorun yaratmayabilir. Sosyal mühendislik aktiviteleri çoğunlukla kurnaz, aldatıcı ve emotifdir. Bu da saldırganlar tarafından neden kullanıldıklarını açıklar.
Dikkatli olunursa ve online risklere karşı da dikkat edilirse, bir dahaki kurban olmaktan kurtulma ihtimali olabilir.