Man-in-the-Browser (MitB) Saldırıları

Siber güvenlik, dijital çağın en önemli alanlarından biri haline gelmiştir. Dijitalleşmenin artmasıyla birlikte, kişisel verilerin korunması, finansal işlemlerin güvenliği ve kurumsal veri bütünlüğü gibi konular daha fazla önem kazanmıştır. Bu bağlamda, siber saldırılar da daha karmaşık ve sofistike hale gelmektedir. Bu saldırı türlerinden biri olan Man-in-the-Browser (MitB), diğerlerine kıyasla daha az görünür fakat bir o kadar da tehlikelidir.

MitB Saldırısı

Man-in-the-Browser (MitB) saldırısı, kullanıcı ile internet hizmeti sağlayıcısı arasındaki iletişimin, kullanıcının tarayıcısına sızmış bir zararlı yazılım (truva atı) aracılığıyla değiştirilmesi esasına dayanır. Bu saldırılar genellikle, banka hesaplarına erişim gibi hassas işlemler sırasında gerçekleşir. Saldırgan, kullanıcı herhangi bir anormallik fark etmeden işlem detaylarını değiştirerek kendi amacına hizmet eden sonuçlar doğurur. Saldırının başarısı, kullanıcının oturumu ve tarayıcıyı meşru zannetmesiyle ilgilidir.​ MitB saldırıları, tarayıcıya entegre olan truva atları aracılığıyla gerçekleştirilir ve bu truva atları, kullanıcının çevrimiçi işlemlerini gerçek zamanlı olarak izleyip manipüle edebilir. ​

MitM ve MitB Arasındaki Fark

Man-in-the-Middle (MitM) saldırıları ile Man-in-the-Browser (MitB) saldırıları sıklıkla karıştırılır. MitM saldırılarında saldırgan, iki taraf arasındaki veri akışını yakalayarak veya değiştirerek işlem yapar. Bu genellikle ağ düzeyinde gerçekleşir. MitB saldırılarında ise saldırı tarayıcı seviyesinde gerçekleşir. Kötü amaçlı yazılım, kullanıcının tarayıcısına bulaşır ve oturum sırasında yapılan işlemleri doğrudan tarayıcıda değiştirir. Bu nedenle SSL/TLS gibi ağ şifrelemeleri etkisiz hale gelir.​ MitB saldırıları, tarayıcıdaki güvenlik açıklarından yararlanarak web sayfalarını veya işlem içeriklerini kullanıcı ve sunucu fark etmeden değiştirebilir. ​

Saldırı Mekanizması

MitB saldırıları genellikle bir oltalama e-postası ya da zararlı yazılım içeren sahte bir indirme ile başlar. Kullanıcının cihazına bulaşan zararlı yazılım, tarayıcıya entegre olur ve kullanıcının yaptığı işlemleri gölge gibi izlemeye başlar. Örneğin, kullanıcı banka hesabına 1000 TL göndermek isterken, truva atı bu işlemi arka planda 5000 TL’ye ve başka bir hesaba yönlendirebilir. Üstelik kullanıcı ekranında hâlâ 1000 TL işlem yaptığını görmektedir. Bu, saldırının ne kadar sinsi olduğunu gösterir.​ MitB saldırıları, tarayıcı eklentileri, kullanıcı betikleri veya ActiveX kontrolleri gibi yaygın tarayıcı özelliklerini kullanarak gerçekleştirilir. ​

Gerçek Örnekler

Zeus, SpyEye ve Tinba gibi kötü amaçlı yazılımlar, MitB saldırılarında sıklıkla kullanılmıştır. Zeus Truva Atı, 2007-2010 yılları arasında binlerce banka müşterisinin bilgilerini çalarak büyük zararlara yol açmıştır. SpyEye, Zeus'un işlevlerini kopyalayarak yeni nesil bankacılık saldırılarında kullanılmıştır. Tinba ise küçük boyutu ve zararsızmış gibi görünmesi nedeniyle birçok antivirüs yazılımından gizlenebilmiştir.​ Zeus, çevrimiçi bankacılık kimlik bilgilerini çalmak ve yetkisiz para transferleri gerçekleştirmek için kullanılan bir MitB saldırısıdır. ​

Tehdit Alanları

MitB saldırıları en çok finans sektörü, e-ticaret sistemleri, kurumsal portallar ve kimlik doğrulama sistemlerini tehdit etmektedir. Özellikle çevrimiçi bankacılık sistemleri, kullanıcı oturumu aktifken yapılan müdahalelere karşı oldukça savunmasızdır. Bu saldırılar, iki faktörlü doğrulama sistemlerini bile aşabilmekte ve çok ciddi maddi kayıplara neden olabilmektedir.​ MitB saldırıları, tarayıcıdaki güvenlik açıklarından yararlanarak web sayfalarını veya işlem içeriklerini kullanıcı ve sunucu fark etmeden değiştirebilir.

Tespit Zorlukları

MitB saldırıları, tespiti en zor saldırı türlerinden biridir. Çünkü çoğu zaman ağ trafiğinde bir anormallik görünmez. Tarayıcıda her şey olağan gibi görünür. Bu nedenle, kullanıcı saldırının farkına varmaz. Davranış tabanlı analiz sistemleri, tarayıcıda yapılan olağandışı işlemleri analiz ederek bu saldırıları tespit edebilir. Ancak bu sistemler hem karmaşık hem de pahalıdır.​ MitB saldırıları, geleneksel antivirüs yazılımlarından kaçınmak için özel olarak tasarlanmıştır, bu da tespit edilmesini zorlaştırır. ​

Korunma Yöntemleri

MitB saldırılarına karşı korunmanın en temel yolları arasında güncel antivirüs kullanımı, bilinmeyen kaynaklardan yazılım indirmemek ve çok faktörlü kimlik

doğrulama yer alır. Ayrıca tarayıcı izolasyonu, sanal klavye kullanımı ve işlem onay mesajlarının mobil cihaz üzerinden yapılması da önerilen güvenlik önlemleri arasındadır.

Gelişmiş güvenlik çözümleri arasında, donanım tabanlı kimlik doğrulama cihazları, dijital imzalar, tarayıcı güvenlik modülleri (Secure Execution Environments) ve işlem doğrulama protokolleri sayılabilir. Özellikle bankacılık gibi yüksek güvenlik gerektiren uygulamalarda bu tür katmanlı çözümler kritik rol oynamaktadır.

“MitB saldırılarına karşı en etkili savunma yöntemi, çok katmanlı güvenlik politikalarının benimsenmesi ve güvenli işlem ortamlarının sağlanmasıdır.” (Entrust, 2014)

Akademik Yaklaşımlar

Son yıllarda yapılan akademik araştırmalar, MitB saldırılarını tespit etmek ve önlemek adına çeşitli yöntemler geliştirmiştir. Bunların başında DOMtegrity gibi sistemler gelir. DOMtegrity, istemci taraflı tarayıcı manipülasyonlarını tespit etmek için DOM (Document Object Model) yapısını sürekli olarak izler ve sayfa üzerinde yetkisiz bir değişiklik olup olmadığını kontrol eder. Yine benzer şekilde, yapay zeka ve makine öğrenmesi tabanlı davranışsal analiz sistemleri, kullanıcı etkileşimlerinden sapmaları tespit edebilmekte ve olası saldırıları önceden haber verebilmektedir. Bu sistemler, geleneksel antivirüs programlarının algılayamadığı örüntüleri yakalama potansiyeline sahiptir.

“Makine öğrenmesi ile desteklenen davranışsal analiz sistemleri, MitB saldırılarını tespit etmek için umut vadeden bir yaklaşım sunmaktadır.” (SCSU Master's Theses, 2015)

Kurumsal Önlemler

Kurumsal düzeyde alınabilecek önlemler, bireysel çözümlere göre daha kapsamlı olmalıdır. Bu önlemler şunları içerebilir:

• Siber güvenlik eğitimleri: Çalışanların oltalama saldırılarına karşı bilinçlendirilmesi.
• Erişim kontrolleri: Her çalışanın yalnızca görev tanımı kadar erişim hakkı olması.
• Kod güvenliği: Yazılım geliştirme süreçlerinde güvenlik testlerinin zorunlu hale getirilmesi.
• İzleme sistemleri: Gerçek zamanlı loglama ve davranışsal izleme yazılımlarının aktif kullanımı.
• Güvenli işlem altyapısı: İşlemlerin sadece belirli IP, cihaz veya coğrafi konumdan yapılmasına izin veren güvenlik duvarları.

Bu önlemler, yalnızca MitB değil, aynı zamanda diğer tarayıcı içi saldırılar, kimlik avı ve zararlı yazılım bulaşmalarına karşı da etkili olabilir.