Subdomain takeover, bir web sitesinin alt alan adının yetkisiz kişiler tarafından ele geçirilmesi anlamına gelir. Saldırılar sonucunda kötü niyetli kişiler, söz konusu subdomain üzerinden sahte içerik yayınlayabilir, veri toplayabilir ya da kullanıcıları kandırabilir. Bu durum güvenlik açısından büyük risk oluşturur ve marka itibarını zedeler.
İçindekiler
Subdomain Takeover Nasıl Çalışır?
Subdomain takeover saldırısı, genellikle kullanılmayan ya da hatalı yapılandırılmış DNS kayıtları nedeniyle oluşur. Örneğin; bir şirket, “blog.orneksite.com” adında bir alt alan adını bir süre kullandıktan sonra bu hizmeti iptal edebilir. Ancak bu alt alan adına ait DNS kaydı hala sistemde duruyorsa kötü niyetli kişiler bu açığı fark edip kendi içeriklerini o alan adına yönlendirebilir.
Saldırıların temel çalışma prensibi şöyledir:
- Alt alan adı hâlâ DNS’te tanımlı kalır.
- Bu alt alan adının bağlı olduğu hizmet (örneğin GitHub Pages, Heroku, Amazon S3 vb.) artık kullanılmıyordur.
- Saldırgan, ilgili hizmette aynı isimle bir kaynak oluşturur.
- Böylece DNS hâlâ yönlendirme yaptığı için, ziyaretçiler artık saldırganın hazırladığı içeriğe ulaşır.
Yukarıdaki yöntemle yapılan saldırılar genellikle sessizce gerçekleşir ve uzun süre fark edilmeyebilir. Bu nedenle özellikle büyük sitelerde düzenli kontrol çok önemlidir.
Subdomain Takeover Neden Tehlikelidir?
Subdomain takeover, yalnızca teknik bir açık olarak düşünülmemelidir. Saldırılar ciddi güvenlik problemlerine, veri ihlallerine ve itibar kaybına yol açabilir. Özellikle büyük şirketlerin, devlet kurumlarının veya e-ticaret sitelerinin başına geldiğinde etkisi katlanarak artar.
1. Güvenlik Açığı Oluşturur
Saldırgan, ele geçirdiği subdomain üzerinde kötü amaçlı yazılım barındırabilir. Bu sayede kullanıcıların cihazlarına virüs bulaştırabilir, verilerini çalabilir veya onları başka zararlı sitelere yönlendirebilir.
2. Marka İtibarına Zarar Verir
Ziyaretçiler, sahte subdomain’e girip kötü amaçlı içerik gördüğünde bu durumu doğrudan markaya bağlayabilir. Oysa saldırıdan şirketin haberi bile olmayabilir. Bu durum özellikle sosyal medyada hızla yayılabilir ve ciddi bir PR krizine yol açabilir.
3. Phishing (Oltalama) Saldırılarına Kapı Açar
Subdomain takeover genellikle sahte formlar, oturum açma ekranları veya anketler aracılığıyla kullanıcı bilgilerini çalmak için kullanılır. Gerçek alan adının altındaki bir sayfa, kullanıcıya güven verir. Bu güveni kötüye kullanan saldırganlar; kimlik bilgileri, kredi kartı verileri gibi hassas bilgileri kolayca elde edebilir.
4. Arama Motoru Sıralamalarına Zarar Verir
Google gibi arama motorları, zararlı içerik barındıran alan adlarını tespit ettiğinde bu alan adlarını kara listeye alabilir. Eğer subdomain takeover gerçekleşmişse sitenin tamamı arama sonuçlarından silinebilir veya sıralaması ciddi şekilde düşebilir.
5. Yasal Sorumluluk Riski Taşır
Saldırganın kötü niyetli eylemleri, şirketin bilgisi dışında olsa bile hukuki sorunlara yol açabilir. Özellikle kullanıcı verileri çalındıysa ya da zararlı içerikler yayıldıysa etkilenen taraflar şirketi dava edebilir.
Subdomain Takeover Saldırısı Nasıl Gerçekleşir?
Subdomain takeover saldırısı genellikle fark edilmeden gelişir. DNS ayarları üzerinde yapılan küçük bir ihmal, büyük bir açığa dönüşebilir. Saldırının gerçekleşme süreci teknik olarak karmaşık görünse de temel adımlar oldukça net ve anlaşılırdır.
Subdomain takeover saldırısının şu şekilde gerçekleşir:
1. Boşta Kalan Subdomain’in Tespiti
İlk adım saldırganın bir web sitesine ait alt alan adlarını tarayarak kullanılmayanları tespit etmesidir. İşlem için özel araçlar kullanılır. Özellikle büyük ölçekli sitelerde zamanla bazı subdomain’ler hizmet dışı bırakılır; fakat DNS kayıtları unutulur. Bu da saldırgan için açık bir kapı anlamına gelir.
2. Bağlantılı Hizmetin Kaldırılması
Birçok web sitesi alt alan adlarını farklı hizmetlerle (örneğin: GitHub Pages, Heroku, Amazon S3) ilişkilendirir. Hizmetlerin kullanımı bırakıldığında ilgili subdomain boşa çıkar. Ancak DNS kaydı silinmemişse bu subdomain hâlâ yönlendirme yapar.
3. Aynı Hizmette Yeni İçerik Oluşturma
Saldırgan, söz konusu hizmette (örneğin GitHub’da) aynı isimle yeni bir proje başlatır veya sahte bir içerik oluşturur. Çünkü hizmet hala açık ve alan adı yönlendiriliyor.
4. Sahte İçeriğin Aktif Edilmesi
DNS yönlendirmesi aktif olduğu için, artık kullanıcılar bu subdomain’e girdiklerinde saldırganın oluşturduğu içeriği görmeye başlar. Kullanıcı bunu gerçek site sanarak bilgi girebilir, dosya indirebilir veya saldırıya uğrayabilir.
5. Kullanıcı Bilgilerinin Ele Geçirilmesi
Son aşamada saldırgan, kullanıcının verdiği bilgileri toplayabilir. Bu bilgiler arasında kullanıcı adı, şifre, kredi kartı bilgileri, kişisel veriler gibi hassas içerikler olabilir.
