Gmail ve Netflix, güvenlik açığı olmayan iki sistemin bir araya gelerek bir güvenlik açığı oluşturmalarına örnek olacak bir olaya neden oldular. Bir Gmail ve Netflix kullanıcısı, Gmail’in kullanıcılar için iyi bir özellik olduğu konusunda ısrar ettiği “noktalar önemli değil” özelliği sebebiyle, kart bilgilerini başka birinin Netflix hesabına eklemesine neden olabilecek bir e-posta aldı ve bu durumun yeni bir kimlik avı dolandırıcılığı yöntemi olarak kullanılabileceğini fark etti.
Açığı farkeden James Fisher, 2013 yılında [email protected] adresini kullanarak Netflix’e kaydolmuştu. Farklı bir eyalette benzer bir ada sahip bir kişi de, Gmail’in “noktalar önemli değil” özelliği sebebiyle [email protected] adresiyle aynı kabul ettiği [email protected] adresini Netflix’e kaydolmak için kullanmıştı. Faturalandırmada bir şeyler ters gittiğinde, Netflix adresin noktalı versiyonunun arkasında başka birinin olduğunu bilmeden, gerçek Fisher’a e-posta göndererek kredi kartı bilgilerini yenilemesini istedi.
Bir şeylerin yanlış olduğunu fark ettiğinde, kredi kartı numarasını yenilemesine – daha doğrusu bir başkasının Netflix hizmeti için ödeme yapmasına – saniyeler kalan Fisher yaşadığı olayı şöyle anlatıyor: “E-posta gerçekten netflix.com’dan geliyordu, bu yüzden bağlantıya tıkladım. Oturum açıldı ve beni gerçekten netflix.com’da barınan ‘Kredi veya Banka Kartını Güncelle’ sayfasına götürdü. Burada herhangi bir kimlik avı yok. Ama bekleyin, ‘Güncelleme’ sayfası reddedilen kartımı **** 2745 olarak gösterdi. Bu tanımadığım bir kart numarası. Kayıtlarımı kontrol ettim, bu kart numarasını daha önce hiç görmedim. Neler oluyor? Sonunda bu e-postanın aslında [email protected] adresine gönderildiğini anladım. Normalde ise hiçbir nokta olmadan [email protected] e-posta adresini kullanıyorum. Bu e-postanın geri döneceğini düşünebilirsiniz, ancak bunun yerine benim gelen kutuma ulaştı. Çünkü Gmail adreslerinde ‘noktalar önemli değil’.”
Gmail’in “Noktalar Önemli Değil” Özelliği Nedir?
Gmail adreslerinde nokta işaretlerinin önemi yoktur. Birisi size e-posta gönderirken adresinize yanlışlıkla nokta eklerse söz konusu e-posta yine de size teslim edilir. Örneğin, e-posta adresiniz [email protected] ise adresinizin tüm noktalı sürümlerine sahipsiniz demektir:
[email protected],
[email protected],
[email protected]
Kimin Hatası?
Güvenlik kusuru nerede? Bazıları Netflix’in hatası olduğunu düşünebilir. Netflix’in, kayıt sırasında e-posta adresini doğrulaması gerekir. Ancak kayıt sırasında başka birinin adresini kullanmak sadece hesabın kontrolünü o kişiye devreder. Netflix’in [email protected] kayıtlarına izin vermemesi gerektiğini düşünenler de olacaktır ancak bu, Netflix’i ve diğer tüm web sitelerini Gmail’in kurallı algoritması hakkında içsel bilgiye sahip olmaya zorlayacaktır. Bu durumda asıl sorunun Gmail’in “noktalar önemli değil” özelliğinde olduğu söylenebilir. Öncelikle, hiç kimse bu sonsuz e-posta adresleri setini istemez. Hatta kullanıcıların bir çoğu da bu adreslere sahip olduklarının farkında bile değildir. Kendi sonsuz adres kümelerinin farkında olan Gmail kullanıcıları bile, bunların ortaya çıkarabileceği dolandırıcılıklardan habersizdir.
Bitdefender Antivirüs uzmanlarına göre bu durum, standart bir kimlik avı dolandırıcılığının, iki hizmet arasındaki dikkatsizlikten nasıl yararlanabileceğini gösteriyor. Gerçekten de, Netflix üyeliğiniz için birini kandırıp ödeme yaptırmanız komik derecede kolay görünüyor. Güvenlik uzmanları bu durumu, güvenlik açığı olmayan iki sistemin bir güvenlik açığı oluşturmak için bir araya gelmesine örnek olarak tanımlıyor. Gerçekten de, söz konusu olan hiçbir hizmet bu konu için tam olarak suçlanmayacaktır, ama şimdi belki bir tanesi bu durumu ele alacaktır.
Google ve California Üniversitesi, kimlik avının, 2017’de hesap tabanlı çevrimiçi hizmetlere yönelik en büyük tehdit olduğunu açıklayan bir çalışma gerçekleştirmişti. E-posta analizinde uzmanlar tarafından derlenen veriler, ABD ve AB’deki en iyi e-perakendeciler tarafından işletilen kök alan adlarının %87,6’sının tüketicilerini kimlik avı dolandırıcılığına maruz bıraktığını gösteriyordu.
Bu, Gmail/Netflix gibi farklı hizmetlerdeki yasal işlevselliği sömürerek hiç yoktan oluşturulmuş bir kimlik avı dolandırıcılığına mükemmel bir örnek. Global güvenlik yazılımları şirketi Bitdefeder Antivirüs, genel kural olarak, fatura bilgilerini yenilemenizi isteyen herhangi bir e-postaya karşı dikkatli olmanız gerektiği konusunda uyarıyor. Her zaman postadaki tüm kişisel bilgilerin doğru olup olmadığını kontrol edin ve bu tür değişiklikleri yapmanın gerçekten gerekli olduğunu iki kez kontrol etmeden önce kredi/banka kartı bilgilerinizi vermeyin veya şifrenizi yenilemeyin. Kimlik avı, kötü oyuncular için en popüler saldırı vektörlerinden biridir ve çevrimiçi hizmetlere yönelik en büyük tehdittir.