23:47. Sarah, fintech mühendisi, GitHub token’ının süresi doluyor diye Slack bildirimine tıklıyor. Yeşil buton tam olması gerektiği gibi parlıyor; giriş yapıyor ve uykuya dalıyor.
Sabah kamyon çarpmış gibi: Özel repolar klonlanmış, AWS anahtarları kapılmış, üretim veritabanları Bükreş’teki bir sunucuya veri sızdırıyor. O ‘GitHub’ sayfası? Tam iki saatte bedava bir oltalama kitiyle hazırlanmış pikselli kusursuz kopya, gasp edilmiş bir WordPress sitesinde. Silahlı Slack webhook’u son noktayı koyuyor.
Oltalama artık rastgele püskürtme değil. Mühendisler gibi aceleci adamları avlayan tasarlanmış bir hassasiyet.
Klonlama Makinesi: Gerçek Siteden Kimlik Tuzağına Dakikalar İçinde
HTTrack veya wget –mirror kap, github.com/login’e nişan al. Pat—HTML, CSS, JS, resimler yutuluyor. Saldırgan ayarlıyor: Formun action’unu kendi PHP logger’ına çeviriyor. Kurban kimlik bilgilerini giriyor; betik yakalıyor, dosyaya kaydediyor, sahte ‘hata—tekrar dene’ ile gerçek GitHub’a yönlendiriyor, pürüzsüzce.
İşte mideye oturan sadelik:
php $data = $_POST; file_put_contents('logs.txt', json_encode($data) . "\n", FILE_APPEND); header('Location: https://real-site.com/login-error'); exit();On iki satır. Her ay binlerce kampanya. Doktora gerek yok.
Ama asıl oyun süreklilikte. Google Safe Browsing bir saatte siteyi koklarsa? Boş iş. Kaçınma yığını devreye giriyor—if-then katmanları kaçınılmaz indirmeyi geciktiriyor.
İlk: Alan adı gizleme. Kiril ‘а’ (U+0430) Latin ‘a’ (U+0061) kılığında. paypаl.com tıpatıp aynı görünüyor, başka yere çözümleniyor. Ya da benzer harf cehennemi: rnicrosoft.com microsoft.com için.
Sızdırılmış bir kiteden kod parçası ziyaretçiyi kontrol ediyor:
python BLOCKED_RANGES = ["66.249.0.0/16", # Google "157.55.0.0/16", # Bing "40.77.0.0/16"] # Microsoft def should_serve_payload(request): ip = request.remote_addr # ... bot checks, referrer sniff return True
Büyük teknoloji botları? Boş sayfa sun. Gerçek kullanıcılar? Yük düşüyor.
Savunmalar Nasıl Çalışıyor—ve Neden Başarısız?
Güvenlik firmaları sinyalleri yoğuruyor: URL özelliklerini XGBoost’a ya da ince ayarlanmış transformer’lara döküyor. Alan adı entropisi botnet saçmalığını işaretliyor (yüksek Shannon skoru ‘algo-üretilmiş’ diye bağırıyor). paypal.secure-login.xyz gibi subdomain marka karışımı? Kırmızı bayrak—PayPal’ın kaydedilebilir alan adı o değil.
Görsel simülasyon mu? En zor ceviz. Headless tarayıcı şüpheli sayfayı render’lıyor, katlama çizgisinin üstündeki ekran görüntüsü alıyor, bilinen iyiye karşı pHash’liyor. CNN sınıflandırıyor. Hesaplama ağır; saldırganlar JS gecikmeleri veya koşullu yüklemelerle sıyrılıyor.
Ama benim bakış açım—bu analizlerin kaçırdığı. Bu Xerox PARC günlerini yansıtıyor: wget, PHP gibi meşru araçlar Xerox’lanıp silaha dönüşüyor. O zamanlar GUI demoları uygulamaları doğuruyordu; şimdi suç yazılımı pazarlarını. Oltalama kitleri Telegram’da 20 dolara satılıyor—demokratik casusluk, script kiddie’ler için Soğuk Savaş ajanlığı.
Tahminim mi? Yapay zeka sıradaki. Statik klonları unut; LLM’ler tarayıcı tuhaflıklarına göre anında dinamik sayfalar üretecek. Tespit daha da geride kalacak.
2024’te Neden Hâlâ En İyi Mühendisleri Kandırıyor?
Psikoloji basit: Bağlam değiştirme yorgunluğu. Yoğun mesai sırasında Slack vızıldıyor; kim URL kontrol eder? Ama teknoloji ayakların altından kayıyor. Tarayıcılar self-signed HTTPS’te uyarıyor mu? Kitler Let’s Encrypt’i istismar ediyor veya çalınmış hesaplarla gerçek sertifika kapıyor.
Entropi kontrolleri? Kitler şimdi insan alanlarını taklit ediyor—düşük rastgelelik. Gizleme evriliyor: Posta koduna göre tarayıcılara temiz sunmak için coğrafi çitleme.
Sarah’ın ihlali? Görsel fark yok; aynı fontlar, responsive sihir. VirusTotal gibi araçlar sonradan işaretliyor, ama o soğuk teselli.
Kendin yakala. Linklerin üstünde gezdir—uyuşmazlık? Kaç. Şüpheli yollarda HTTPS’yi iyice kontrol et. Tarayıcı DevTools: Kötü niyetli formları garip endpoint’lere POST eden ele
