3. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
3BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
SSL Sertifikalarından Phishing Domain Tespiti
2015 yılından bu yana, tehdit aktörlerinin, kötü niyetli web sayfalarını meşru gösterme eğiliminde çok ciddi
bir artış gerçekleşmiştir. Gerçekleşen bu artış üzerine PhishLabs konu üzerine bir araştırma
gerçekleştirmiştir. Bu araştırma doğrultusunda SSL sertifikası kullanan kötü niyetli web sayfalarının
oranının 2017 yılında yaklaşık %30, 2018 yılında yaklaşık %49 olduğunu açıklanmıştır.
SSL(Secure Sockets Layer) sertifikası, web sunucusu ve tarayıcı arasında şifreli bağlantı oluşturmak için
kullanılan bir teknolojidir. Bu bağlantı iletilen verilerin güvenliğini sağlamaktadır.
SSL sertifikası; TC kimlik numarası, kredi kartı bilgileri, kullanıcı adı ve parolaları gibi kritik verileri iletirken
şifreleyerek iletir ve üçüncü şahısların okumasını engeller. SSL sertifikasının olmaması, verilerin düz metin
olarak iletilmesi anlamına gelir. Bu da bilgilerin ele geçirilmesi durumuna tehdit aktörlerine okunabilirlik
sağlar.
Comodo, GeoTrust, RapidSSL, GlobalSign,Cloudflare güvenilir sertifika otoritelerinden bazılarıdır.
Şekil 1 : Serfika Otoriteleri
4. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
4BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Sertifika Türleri
SSL sertifikalarının birkaç farklı türü bulunmaktadır. Bunlar;
• DV - Domain Validated (Doğrulanmış Alan Adı),
• OV - Organizatonal Validated (Doğrulanmış Kuruluş),
• EV - Extended Validated (Genişletilmiş Doğrulama)
Doğrulanmış Alan Adı Sertifikası (DV)
Yalnızca alan adı için talep edilen doğrulama türüdür. Bu şekilde edinilen SSL sertifikaları ile yalnızca alan
adı SSL sertifikasına sahip olurken, sertifikanın verildiği alan adına sahip Kurum için hiçbir doğrulama işlemi
gerçekleştirilmez. Kısacası sadece bu web sitelerine giden son kullanıcılar web trafiğinin SSL sertifikası
sebebiyle şifreli olduğunu bilebilir ancak sertifikaya sahip firma hakkında doğrulayıcı bilgi elde edemezler.
Doğrulanmış Kuruluş Sertifikası (OV)
Bu sertifika türü ile alan adına ilaveten Kurum’ a ait tüm unvan bilgisi ve adres detayları ile birlikte
doğrulanmış olur. Bu sertifika türünün talep edilmesi için Kurum belgeleri gereklidir. Temin edilecek bu
belgelerden elde edilecek belirli bilgiler sertifika ile doğrulanacak ve SSL sertifikasında belirtilecektir.
Genişletilmiş Doğrulama Sertifikası (EV)
2007 yılında sertifika otoriteleri tarafından oluşturulmuş standart ile bu sertifika türünün tescil edilmesi
belirli prosedürlere tabi tutulmuştur. Bu prosedürler ile, Kurum’ un yasal, fiziksel ve operasyonel varlığı
doğrulanmalı, Kurum’ un varlığı resmi kayıtlarla doğrulanabilmeli ve bilgiler eşleşmelidir.
Günümüzde birçok Kurum ve Kuruluş güvenirliğini doğrulatmak adına bu sertifikalara yönelmektedir.
“apple.com” alan adı için EV sertifikası aşağıdaki şekilde görüntülenebilmektedir.
Şekil 2 : EV Sertifikasının Web Tarayıcıda Görünümü
5. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
5BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
SSL Nasıl Çalışır?
SSL sertifikası bir Sertifika Yetkilisi’nden (Certification Authority - CA) alınabilir. Web sunucusunda SSL’i
etkinleştirmeyi istediğimizde, web sitemizin ve şirketimizin kimliğini doğrulamamız gerekecektir. Daha
sonra iki şifreleme anahtarı oluşturulur. Bunlardan biri özel anahtar biri de genel anahtardır.
SSL sertifikalarının çalışma prensibi aşağıdaki ekran görüntüsünde verilmiştir.
Şekil 3 : SSL Nasıl Çalışır?
Genel anahtarın gizli olması gerekmez ve bir Sertifika İmzalama İsteğine (Certificate Signing Request - CSR)
yerleştirilir.
SSL sertifikası başvuru sürecinde CA, bilgilerinizi doğrular ve SSL’i kullanmaya izin veren bir sertifika verir.
Web sunucusu bu sertifikayı özel anahtar ile eşleştirir. Daha sonra sayfayı ziyaret eden kullanıcıların
tarayıcısı ile şifreli bir bağlantı oluşturulur.
Arka tarafta gerçekleşen işlemler kullanıcı tarafına yansımaz. Sadece Aşağıdaki ekran görüntüsünde
gösterildiği gibi tarayıcı kısmında yeşil bir asma kilit görür. Bu simge kullanıcıya, ziyaret etmekte olduğu
sayfanın güvenli olduğu algısını oluşturmaktadır. Bu algıdan dolayı kişisel bilgilerini, kredi kartı bilgilerini
girmekte sakınca görmeyebilirler. Bir algı yönetimi olan bu durumu kullanmak isteyen tehdit aktörleri,
zararlı web sayfalarına SSL sertifikası almayı artık neredeyse bir gereklilik olarak görmektedir.
6. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
6BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Şekil 4 : SSL Sertifikasının Alınması Sonucu Tarayıcıya Gelen “Güvenilirlik” Semolü
Bu noktada devreye ücretsiz SSL sertifikaları girmektedir.
Oluşturulan zararlı web sayfasının ömrü genelde kısadır ve düşük bütçeyle hazırlanmıştır. Bu sebeple
ücretsiz sertifikalar daha cazip gelmektedir. Aşağıda ücretsiz SSL hizmeti veren yerlerden en çok
kullanılanları listelenmiştir.
● Let’s Encrypt
● CAcert Free Certificate Authority
● Comodo
● Cloud Flare
● SSL For Free
● SSL.com
● StartCom
● WoSign
Ücretsiz sertifika varlığı, tek başına bize web sayfasının güvenilirliği hakkında bilgi vermez.
7. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
7BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Sertifika Kontrolü
Asma kilit simgesine ve sonrasında “Sertifika (Geçerli)” ibaresine tıklayınca karşımıza aşağıdaki ekran
görüntüsünde gösterilen pencere gelecektir.
İlgili ekran görüntüsü aşağıda verilmiştir.
Şekil 5 : “Netflix.Com” Adresine Ait SSL Sertifkası Bilgileri
Ekran görüntüsündeki bilgiler incelendiğinde;
Sertifikayı Alan : www.netflix.com
Sertifikayı Veren : Digicert SHA2 Secure Server CA
Geçerlilik Tarihi : 02/07/2018 - 02/07/2020
8. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
8BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
“Detail” sekmesine girince karşımıza aşağıdaki ekran görüntüsünde gösterilen pencere gelmektedir.
“Subject” kısmına gelince sertifikayı alan kurumun bilgilerine ulaşabilmektedir.
Şekil 6 : “Detail” Sekmesinde Gösterilen Bilgileri
Common Name (CN): www.netflix.com
Organizational Unit (OU): Operations
Organization (O): Netflix, Inc.
9. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
9BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Phishing (Oltalama Saldırıları)
Oltalama saldırıları, önceden belirlenen veya rastgele hedef alınmış kişilerin e-posta adreslerine
gönderilen yanıltıcı e-postalar ile kişilerin, gelen e-posta içerisindeki sahte internet sayfasına yönlendirilen
bağlantıyı tıklayarak bu siteleri ziyaretleri sonucunda kişilerin kimlik, kredi kartı gibi hassas bilgilere
erişmeye dayalı geliştirilen istismar yöntemidir.
Phishing saldırıları, meşru web sayfalarının alan adına benzer alan adlarının alınması ve kullanıcı
dikkatsizliğinin bunu göz ardı etmesi üzerine kurgulanır. Bu şekilde kurbanların kritik bilgileri ele geçirilir.
Özellikle son zamanlarda artış gösteren phishing saldırıları pek çok kişiye maddi zarar vermektedir.
Saldırganların bu işlemleri gerçekleştirirken dikkat ettiği bazı noktalar vardır. Alan adının benzerlik
göstermesi, harf veya sayı ile kelime oyunları yapılması, benzetilmek isteneni meşru sayfaya içerik
bakımından da benzetilmesi, dikkat çekici unsurların bulundurmaması gibi özelliklere dikkat edilir. Bu
özelliklere phishing tarihinin başlangıcından beri dikkat edilmiştir. Ama bir özellik var ki, son zamanlarda
önemi anlaşılmış ve aslında insanlar üzerindeki psikolojik etkisinin gücü fark edilmiştir; SSL sertifikası.
Daha önce de değindiğimiz gibi SSL sertifikası olan, phishing içerikli web sayfası sayılarında çok ciddi bir
artış bulunmaktadır. Neredeyse her iki phishing amaçlı web sayfasından biri SSL sertifikası almaktadır..
Aşağıdaki ekran görüntüsünde bir phishing sitesine ait Cloudflare tarafından imzalanmış bir SSL
sertifikasına ait phishing sitesi görüntülenmektedir.
İlgili site URL kısmı hariç oldukça güvenilir gözükmektedir.
Şekil 7 : Sahte Web Sayfası
10. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
10BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Taklit site olduğu URL adresinden anlaşılmakta, ancak sertifika incelendiğinde Cloudflare imzasına sahip
gözükmektedir.
İlgili sayfanın sahip olduğu sertifikaya ait detaylar aşağıdaki ekran görüntüsünde verilmiştir.
Şekil 8 : Sahte Web Sayfası
İlgili otoriteler tarafından bu tarz siteleri, kullanıcılara mağduriyet yaratmadan mümkün olan en kısa
sürede tespit edebilmek ve müdahale edebilmek amacıyla “Certification Transparency Log Network”
oluşumu kurulmuştur.
Phishing saldırılarında web sitelerinin taklidi yapılan büyük şirketlerin çoğu EV sertifikası alarak, SSL
sertifikası barındıran sahtelerinden farklı olmaktadır. Ancak kullanıcı tarafında EV sertifikası bilinci ancak
oluşturulmaya başlandığı için veya kullanıcının anlık dalgınlığı sebebiyle sadece SSL barındıran taklitçi web
sayfaları birçok kez amacına ulaşabilmektedir.
EV sertifikası olmayan ama SSL sertifikası olan adresler için ilk bakmamız gereken şey sertifikanın
kendisidir.
11. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
11BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Certificate Transparency (Sertifika Şeffaflığı)
Modern kriptografi sayesinde günümüz tarayıcıları güvensiz otorite tarafından imzalanan, zararlı yazılım
içeriğine sahip birçok web sitesi hakkında kullanıcıları tehlikeli bir içeriğe sahip web sitesini ziyaret etmekte
olduğuna dair uyarmaktadır. Ancak tarayıcılar, mevcut şifreleme mekanizmaları yanlışlıkla verilmiş
sertifikalar veya güvenliği ihlal edilmiş ya da hileli bir sertifika yetkilisi (CA) tarafından verilen sertifikalara
sahip web sitelerini tespit etmekte henüz yeterli kabiliyete sahip değildirler. Bu gibi durumlarda, tarayıcılar
sertifikalarda yanlış bir şey görmez, çünkü CA iyi durumdadır ve kullanıcılara ziyaret ettikleri web sitesinin
orijinal ve bağlantılarının güvenli olduğu izlenimini verir.
Art niyetli kişiler tarafından istismar edilerek bir şekilde edinilmiş sertifikalar ile oluşturulan bir phishing
sayfasının gerçek zamanlı olarak yeterince denetlenememesi neticesinde bu kişiler tarafından farklı
istismarlara sebebiyet vermektedir. Daha kötüsü ise son kullanıcılar veya otoriteler tarafından bu durumun
farkına erken farkına varılmaması sebebiyle phishing sitelere ait web siteleri haftalarca ayakta kalarak
birçok kullanıcıyı mağdur edebilmektedir.
Sertifika şeffaflığı, açık kaynak koda sahip dijital sertifikaları izlemeye olanak tanıyan bir internet güvenlik
standartıdır. Bu standart ile güvenilir sertifika otoriteleri tarafından imzalanan sertifikalara ait logları
görüntüleyebiliriz.
Sertifika Şeffaflığı, SSL sertifikalarının verilmesini ve varlığını, etki alanı sahipleri ve CA'lar ile etki alanı
kullanıcıları tarafından incelemeye açık hale getirerek bu sertifika tabanlı tehditleri gidermeyi
amaçlamaktadır. Bu sayade art niyetli kişiler tarafından bir şekilde elde edilen güvenilir sertifikaların da en
kısa zamanda iptal edilerek, tarayıcılar tarafından son kullanıcıların ciddi bir şekilde uyarılması
amaçlanmaktadır.
Şekil 9 : Certificate Transparency (Sertifika Şeffaflığı) Döngüsü
Sertifika Şeffaflığı, yanlış kullanılmış sertifikalar, kötü niyetli edinilmiş sertifikalar ve sahte CA’lar dahil
olmak üzere, çeşitli sertifika tabanlı tehditlere karşı korunmaya yardımcı olur.
12. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
12BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Certsream-python
Certstream-python, sertifika şeffaflığı (Certification Transparency Logs) listeleri topluluğundan toplanan
bir yayını izlemek için certstream ağı ile etkileşim kuran bir python kütüphanesidir.
Şekil 10 : Certstream Oluşumu
Bu kütüphane ile Certificate Transparency Log Network tarafından loglanan sertifikaları ve sertifikalara ait
güncellemeleri gerçek zamanlı görüntüleyebilir ve sizin adınıza bilginiz dışında oluşturulan sertifika
hakkında bilgi alabilirsiniz.
İlgili kütüphaneye ait (https://certstream.calidog.io/) internet sitesinden gerçek zamanlı olarak
sertifikalara ait bilgiler görüntülenebilmektedir.
13. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
13BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
İlgili ekran görüntüsü aşağıda verilmiştir.
Gerçek zamanlı sertifika loglarından görüntülenen herhangi bir web sitesine giderek sertifika
görüntülenebilmektedir.
14. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
14BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Phishing_catcher
Certstream Transparency Log Network üzerinden gerçek zamanlı sertifikaları, tarafımızdan oluşturulan
kelime listesine göre filtreleyerek herhangi bir firma veya kuruluşa aitmiş gibi gözüken taklit sitelerin
sertifika durumları görüntülenebilmektedir..
Bu işlem için phishing_catcher aracı kullanılabilmektedir. İlgili arac GitHub üzerinde
https://github.com/x0rz/phishing_catcher adresinden ulaşılabilir ve gerekli kurulum adımları takip
edilerek kurulum işlemi gerçekleştirilir.
İlgili araç ile sertifika şeffaflığı ağı tarafından oluşturulan ağa bağlanarak gerçek zamanlı sertifika
loglarından tarafımızdan “suspicious.yaml” dosyasında belirlenecek kriterlere göre puanlama oluşturarak
ve oluşturduğumuz puanlama kriterine göre risk grubuna giren bir alan adı hakkında gerçek zamanlı bilgi
sahibi olunmasına olanak sağlar.
Aşağıdaki ekran görüntüsünde “suspicious.yaml” dosyasına ait içerik verilmiştir.
Şekil 11 : “suspicious.yaml” Dosyası
Ekran görüntüsünde görüleceği üzere “login” kelimesini içeren tüm alan adı ve alt alan adlarına “25” puan
verilerek risk derecelendirmesi yapılacağı belirtilmiştir.
Bu dosya üzerinde değişiklik yaparak farklı anahtar kelimeler üreterek ve farklı puanlar oluşturarak kendi
risk grubumuzu belirleyebiliriz. Bu imkanı kullanarak kendimiz için “login” kelimesine 0 veya 100 puan
atayarak kendi risk derecelendirmesi oluşturulabilmektedir.
15. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
15BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Bu mantıkla kullanıldığında ilgili araç ile kendi belirleyeceğimiz bir kelime listesi ile sertifika loglarında
firmamıza aitmiş gibi gözüken sahte bir sayfayı çok kısa bir sürede yakalanabilmektedir..
Aşağıdaki ekran görüntüsünde gösterildiği gibi catch_phishing.py dosyası çalıştırılmıştır. Dosya çalışmaya
başladıktan sonra yakaladığı linkleri 3 etikette sunmaktadır; Suspicious, Potential, Likely.
İlgili ekran görüntüsü aşağıda verilmiştir.
Şekil 12 : Phishing catcher aracının çalıştırılması sonucu toplanan veriler.
Bu araç çalışma mantığı olarak içerisinde barındırdığı anahtar kelimelere göre arama yapmaktadır. Hangi
anahtar kelimeleri kullandığını görmek için aşağıdaki ekran görüntüsünde gösterildiği gibi suspicious.yaml
dosyası incelenebilmektedir.
16. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
16BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
İlgili ekran görüntüsü aşağıda verilmiştir.
Şekil 7: suspicious.yaml dosyasının içeriğinin bir kısmı
Kriterlerde verilen puanlar toplamı;
• >=65 Potential,
• >=80 Likely,
• >=90 Suspicious olarak etkilemektedir.
Uygulama ilgili dosya üzerinden puanların değiştirerek özelleştirilebilmesine olanak sağlamaktadır.
17. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
17BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Anahtar kelime olarak aşağıdaki ekran görüntüsünde gösterildiği gibi çok sık kullanılan alt alan adları da
eklenebilmektedir.
Şekil 8: suspicious.yaml dosyasının içeriğinin bir kısmı
Uygulamanın çalıştırılması ile birlikte belirlenen filtrelere takılan ve puanlama sistemine göre risk grubuna
giren alan adları aşağıdaki ekran görüntüsünde verilmiştir.
Şekil 13 : Phishing catcher aracının yakaladığı şüpheli adresler
18. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
18BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
“googlebussines360.es” sayfası incelendiğinde aşağıdaki ekran görüntüsünde gösterilen tasarımla
karşılaşılmaktadır.
Şekil 14 : Yakalanan şüpheli adreslerden birinin örnek ekran görüntüsü
Bu sayfanın SSL sertifikasına sahip olduğu tespit edilmiştir. Aşağıdaki ekran görüntüsünde gösterildiği gibi
sertifika incelenebilmektedir.
Şekil 15 : Şüpheli sayfanın taşıdığı SSL sertifikası bilgileri.
Sertifikanın başlangıç tarihi: 19 Temmuz 2019 (Bugün)
Sertifikanın bitiş tarihi: 17 Ekim 2019
İncelenen alan adı kısa süreli ve ücretsiz bir hizmetten alınan SSL sertifikası barındırmaktadır.
19. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
19BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Phishing catcher aracının çalışma süreci boyunca topladığı bilgileri daha sade haliyle aşağıdaki ekran
görüntüsünde gösterildiği gibi suspicious_domains.log dosyasından ulaşılmaktadır.
Şekil 16 : "suspicious_domains.log" Dosyas
20. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
20BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Certstream
Certstream içeren bir araçtan yararlanmak yerine direk certstram komutu da kullanılabilmektedir.
Phishing catcher aracı da arka planda benzer bir işlem gerçekleştirmektedir. Kullanıcıya sunulan verilerde
üzerine ek olarak puanlama koymuştur.
Certstream aracı 2 farklı çıktı verme imkanına sahiptir. Öntanımlı olarak logların daha insancıl okunmasına
imkan veren bir çıktı ile takip edilmesine ek olarak “json” formatı ile de çıktı vererek farklı araçlara input
olarak da vererek araştırmalarda kullanılabilmektedir.
Şekil 17 : "Certstream"
İlgili araç öntanımlı olarak çalıştırıldığı zaman aşağıdaki şekilde bir çıktı vermektedir.
Şekil 13: certstream komutu ile toplanan olası phishing adresleri
21. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
21BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
“json” formatında çıktı alındığında aşağıdaki ekran görüntüsündeki şekilde çıktı alınabilmektedir.
Şekil 18 : "json" Formatı İle Görünüm
22. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
22BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
Certstreamcatcher
Certstreamcatcher aracı da certstream kullanarak phishing web sitelerini tespit etmeye yarayan başka bir
araçtır. Bu araç gerçek zamanlı olarak phishing web sitelerini tespit etmek için regex standartlarını kullanır.
Bir önceki araca nazaran yalnızca regex ile tarafımızca belirlenen kriterlere uyan alan ve alt alan adları
getirilmektedir.
Aşağıdaki ekran görüntüsünde yalnızca “login” ve “verification” kelimelerini filtrelenmesine imkan tanıyan
regex kullanılarak sonuçlar listelenmiştir. Toplam 6655 sertifika arasından belirlenen kelimelere göre regex
eşleşmesi aşağıdaki sertifikaları tespit etmiştir.
Şekil 19 : Certstreamcatcher
Aşağıdaki ekran görüntüsünde uygulamanın çalıştırılması gösterilmiştir. Uygulama log altyapısından,
phishing_catcher aracında rastladığımız gibi 3 kategori ile sonuçları görüntülemektedir; Likely, Suspicious
ve Potential.
23. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI
23BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity
İlgili ekran görüntüsü aşağıda verilmiştir.
Şekil 20 : Certstram
Uygulamaya ait certstreamcatcher.js dosyasının içeriğini incelendiğinde aşağıdaki ekran görüntüsünde
gösterilen anahtar kelimelerimizi görüntülenebilmektedir.
Şekil 21 : "certstreamcatcher.js" Dosyası