Şeytani İkiz Saldırısı (Evil Twin Attack) Nedir?
Şeytani İkiz Saldırısı (Evil Twin Attack) Nedir? Teknoloji, kendini sürekli olarak yenileyen ve güncelleyen dinamik bir alandır. Bu güncellemeler, bize bir dizi avantaj sağlamanın yanı sıra güvenlik açısından da bazı dezavantajları beraberinde getiriyor. 1999 yılında, Kablosuz Ethernet Uyumluluk İttifakı (WECA) kuruldu. 30 Eylül 1999 tarihinde 802.11b kablosuz LAN standardı ticari ürünlerde kullanılmaya başlandı. Bu tarih, günümüzde Wi-Fi olarak bilinen kablosuz ağların başlangıcı olarak kabul edilmektedir.
Bu önemli gelişme, teknoloji dünyasına bir dizi güzellik sunarken aynı zamanda siber saldırganlar için yeni bir hedefin kapılarını araladı. Bu yazımızda, günümüzde en yaygın olarak kullanılan saldırılardan biri olan Evil Twin Attack ya da Türkçe adı ile söylememiz gerekirse Şeytani İkiz Saldırısı hakkında bilgiler vereceğiz. Yazımızı okuduktan sonra bağlandığınız Wi-Fi ağlarını o kadar da masum olmadığını anlayacaksınız.
Şeytani İkiz Saldırısı (Evil Twin Attack) Nedir?
Şeytani İkiz Saldırısı, temelde MITM (Men in the middle) saldırısıyla aynı prensipte işler. Saldırgan, kullanıcının internete bağlı olduğu cihaz ile modem arasına girerek kendisini modeme bağlı gibi gösterir. Bu amaçla, saldırgan öncelikle kullanıcının bağlı olduğu modeme Deauth Saldırısı gerçekleştirir. Bu da kullanıcının internet bağlantısını keser.
Kullanıcı internet bağlantısını kaybettiğinde, saldırganın yarattığı sahte ağ olan Evil Twin devreye girer. Kullanıcıya, bağlanmaya çalıştığı modem ile aynı isme sahip basit bir arayüz gösterilerek, modem şifresi talep edilir. Kullanıcı şifreyi girdiğinde, saldırgan artık modem şifresine erişmiş olur. Bu aşamadan sonra modeme bağlı bütün cihazlar hakkında pek çok bilginin de sahibi olur.
Şeytani İkiz Saldırısında Gerçek Hayatta En Çok Yaşanan Senaryolar
Şeytani ikiz saldırısı senaryolarını umuma açık (kafe, restoran vb) mekanlar ile ev olarak iki ayrı başlık altında inceleyebiliriz.
1) Umuma Açık (Kafe, Restoran vb.) Mekanlarda Gerçekleşen Saldırılar
Herhangi bir restoran veya kafede bulunduğumuzda, mekanın Wi-Fi ağına bağlanma isteğimizde karşımıza çıkan sayfa, Captive Portal olarak adlandırılır. Captive Portal’ın kullanılma amacı, tamamen güvenlik odaklı olup bize ek bir doğrulama faktörü sağlamaktır.
Bu sayfa, kişisel bilgilerinizi talep edebilir. Kimlik numaranız, isminiz veya GSM numaranız gibi önemli ve hassas bilgileri girmenizi isteyebilir. Ancak, bu Captive Portal sayfasının aslında bir saldırgan tarafından oluşturulmuş olabileceğini fark etmek oldukça zordur. Bu tür saldırı adımları genellikle şu şekilde gerçekleşir;
- Bulunduğunuz mekan, kendi modeminin adına sahip yeni bir Captive Portal oluşturur ve gerçek modeme Deauth Saldırısı uygular.
- Wi-Fi ağına bağlanmak isteyen kullanıcı, modeme bir istek gönderir.
- İstek, doğrudan saldırganın oluşturduğu Captive Portal sayfasına yönlendirilir.
- Captive Portal sayfasında, kullanıcı istenilen bilgileri saldırganın isteği doğrultusunda girmiş olur.
- Saldırgan, karşı taraftan istediği bilgileri aldıktan sonra, sahte Captive Portal’ı kaldırır. Sonuç olarak, saldırgan istediği tüm bilgilere ulaşmış olur.
2) Evde Gerçekleşen Saldırılar
Siber saldırgan, belirlediği bireyin, bireylerin veya komşularının internete bağlı olduğu cihaz ile modem arasına girerek Wi-Fi şifrelerini ele geçirebilir. Elde ettiği modem şifresi sayesinde, bağlı cihazlardan elde ettiği bilgilerle ağ içinde çeşitli saldırılar gerçekleştirebilir. Bu senaryo şu şekilde işler;
- Wİ-Fİ ağıyla aynı isme sahip, daha güçlü sinyal veren bir sahte Captive Portal oluşturarak saldırı başlar.
- Saldırgan, modeme Deauth saldırısı düzenleyerek iletişimi keser ve kendi oluşturduğu Captive Portal’ı yayınlar.
- Evdeki diğer internet kullanıcıları, ağın kesildiğini düşünerek tekrar bağlanmak için aynı arayüze sahip Captive Portal sayfasına yönlendirilirler.
- Bu saldırı sayesinde bilgisayar korsanı, hedef router’ın kullanıcı adı ve şifresini elde eder ve karşısına çıkan arayüzde istediği bilgileri alır. Daha sonra, kendi sahte Captive Portal ağını kapatıp gerçek router ağını tekrar devreye sokar. Kullanıcı, şifresini girdikten sonra sorunun düzeldiğini düşünüp internet erişimine sahip olduğunu sanır.