1. Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
QR-Code’daki Olta
Bir Farkındalık Deneyi ve QR Kodların Sosyal
Mühendislik Saldırılarında Kullanılması
Garnizon Bilgi Güvenliği Ltd. Şti.
Kasım 2016 / 2016-WP-1356
Berk Göksel
Alper Başaran
bilgi@garnizon.com.tr
www.garnizon.com.tr
2. Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Garnizon Hakkında
Garnizon Bilgi Güvenliği müşterilerinin siber
güvenlik risklerinizi ortaya çıkartıp yönetmesini
sağlıyor.
Büyük, küçük bütün kuruluşların saldırı altında olduğu günümüzde, ürün satışına
odaklanmamış ve güvenilir bir siber güvenlik çözüm ortağına sahip olmak
önemlidir. Bu misyonu üstlenen Garnizon siber güvenlik alanında Kamu
kurumlarından holdinglere kadar geniş bir yelpazedeki müşterilerine hizmet
vermeye devam ediyor.
Geliştirdiğimiz hizmet verme platformu kuruluşun siber güvenlik seviyesinin
ölçülmesiyle başlayan ve yapılan iyileştirmeler sonrasında seviyenin korunması
için yapılacakları da içeren kapsamlı bir çerçeve sunuyor.
Garnizon tarafından verilen hizmetler; ölçülebilir ve somut çıktılar sunarak, birlikte
çalıştığı kuruluşların günümüz tehditlerine hazır olmasını sağlıyor.
3. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Önemli not
Garnizon Bilgi Güvenliği Ltd. Şti. tarafından gerçekleştirilen çalışma; telefon
kullanıcılarını bilgilendirmek ve QR (kare) kodların siber suçlular (hackerlar)
tarafından kullanılabilecek, geçerli bir saldırı vektörü olduğunu göstermek
amacıyla yapılmıştır. Yapılan çalışmalarda yasadışı sayılabilecek, çalışmaya
katılanların telefonlarına zarar verebilecek veya kullanıcı gizliliğini afişe edecek
hiçbir yönteme kullanılmamıştır.
4. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
İçindekiler
Önemli not ................................................................................................................................. 3
Saldırı Vektörü ......................................................................................................................... 6
Etkilenen Sistemler ................................................................................................................ 6
Sosyal Mühendislik Çalışması : “Oltalandınız!” ............................................................ 7
Araştırma Süreci ..................................................................................................................... 8
Kapsam ....................................................................................................................................... 9
Deneyin Yürütüldüğü yerler ............................................................................................... 9
“Kurbanlar” ............................................................................................................................. 12
Uygulamalı Saldırı ................................................................................................................ 14
Sonuç ......................................................................................................................................... 16
5. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Günümüzde gittikçe yaygınlaşan kare kodlar, konser afişlerinden ürün
kataloglarına kadar geniş bir yelpazede karşımıza çıkmaktadır. Kare kodlar
birçok yönden kullanışlı olsa da, dikkatli kullanılmadığında beraberinde büyük
güvenlik risklerini getirmektedir. Saldırganların kare kodların içine zararlı bir web
sayfasının adresini, hatta zararlı yazılımlarını yerleştirmeleri mümkündür.
Bu yöntemi kullanan saldırganlar aşağıdakilerden en az birini veya birkaçını
gerçekleştirebilecektir:
• Kişinin kredi kartından onayı dışında para çekilmesi
• Kişinin facebook, twitter gibi sosyal medya hesaplarının ele geçirilmesi
• Kişinin mesajlarının başkaları tarafından görüntülenmesi
• Kişinin telefon konuşmalarının dinlenmesi
• Kişinin telefonundaki fotoğraflara, videolara ve ses kayıtlarına erişilmesi
• Kişinin telefonu üzerinden ses ve video kaydı yapılması
• Kişinin telefonu üzerinden başka sistemlere siber saldırılar
gerçekleştirilmesi
• Kişinin telefonundan başkalarının aranması veya başkalarına SMS
gönderilmesi
Saldırganların QR kodları yukarıdaki işlemleri yapmak için kullanabileceği tespit
edildiği gibi, saldırılar yukarıda listelenenler ile sınırlı kalmayabilir. Çok az sayıda
akıllı telefon kullanıcısı, bu tür saldırılara karşı yeterli güvenlik önlemi almaktadır.
Kullanıcıların büyük bir çoğunluğu telefonlarında antivirüs kullanmadığı için,
telefonlara bulaşacak olan zararlı yazılımlar uzun süre (aylar, belki yıllar) fark
edilmeyebilir. Öte yandan, saldırganların geliştirdikleri zararlı yazılımları ise
antivirüs çözümlerinin %100 orada tespit etmeleri teknik olarak mümkün
olmayacaktır. Özel olarak geliştirişmiş zararlı yazılımları ancak davranışsal analiz
gerçekleştiren antivirüs çözümleri tespit edebilir; fakat akıllı telefonların bugün
bize sunduğu işlemci gücü, bunu yöntemi kullanan antivirüslerin verimli
çalışmasına henüz imkan vermemektedir.
6. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Saldırı Vektörü
Akıllı telefonların, kare kodlar vasıtasıyla ele geçirilebildiği, denenmiş ve
onaylanmıştır. Kare kodlara zararlı yazılımın direkt olarak dahil edilmesi,
mümkün olmasına rağmen, kare kodların düşük boyutlarda veri tutabilmelerinden
ötürü, yapılan çalışmalarda kullanılmamıştır. Bunun yerine, kare koda, zararlı
yazılımı simüle eden bir web sayfasının bağlantısı dahil edilmiştir. Kare kodu
okuyan akıllı telefon, “zararlı” web sayfasına yönlendirilmiş ve web sayfasını
ziyaret etmekte kullanılan tarayıcı ele geçirilmiştir. Tarayıcı açık kaldığı süre
zarfında web sayfası tarafından çalıştırılan zararlı yazılım, telefonun işletim
sistemine sıçrayarak, saldırgana uzaktan erişim sağlayabilmektedir. Böylece
saldırgan, internet üzerinden kullanıcının telefonuna erişebilir ve akıllı telefona
komut gönderebilir.
Etkilenen Sistemler
Bu türde bir saldırı gerçekleştirildiği takdirde, Android kullanıcıları daha büyük
risk altında kalacaktır. Android telefonların birçoğunda, kıyasla daha az güvenlik
önlemi barındıran tarayıcılar kullanılmakta. Örneğin, Android telefonlar ilk
çıktığında, çoğu telefon ile birlikte gelen ve “internet” adıyla erişilen “Android
Stock-Browser”da, kritik bir güvenlik önlemi olan “Same-Origin-Policy” mevcut
değildi. Böylelikle saldırganlar, ele geçirdikleri tarayıcılarda birden fazla sekmeye
hükmedebiliyorlardı. Sokaklarda hala aynı tarayıcının aynı sürümünü kullanan
birçok telefon mevcut olmakla birlikte, Android işletim sistemi, uygulamalara
Apple iOS’a kıyasla daha çok yetki vermekte. Bu nedenle ele geçirilen uygulama
(QR kod okuyucu veya tarayıcı) üzerinden işletim sistemini ele geçirmek daha
kolay. Bütün bunlar bir yana, zararlı yazılım içeren bir site üzerinden herhangi bir
telefonu ele geçirmek mümkün. Bu nedenle her akıllı telefon QR kodlar
aracılığıyla istismar edilebilir.
7. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Sosyal Mühendislik Çalışması : “Oltalandınız!”
02.09.2016 ve 04.12. 2016 tarihleri arasında gerçekleştirilen ve yaklaşık üç (3) ay
süren çalışmada, Türkiye’nin çeşitli illerinde, sokaklara ve üniversitelere zararsız
QR (kare) kodlar yerleştirilmiştir. Bu kare kodlar telefon kullanıcıları tarafından
okutulduğunda, kullanıcılar bir bilgilendirme sayfasına yönlendirilmiş ve bu süreç
boyunca bir takım istatistikler elde edilmiştir.
QR (kare) kodu telefonuna okutan kullanıcıların yönlendirildikleri sayfadan bir
kesit:
Bağlantı: http://www.berkgoksel.com/p/oltalandnz.html
8. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Araştırma Süreci
02.09.2016 - 26.09.2016 arasındaki yirmidört (24) günlük süre zarfında, başkent
Ankara’da gerçekleştirilen ilk çalışmada, üzerinde birtakım sembol ve yazılar
bulunan kare kodların, akıllı telefon kullanıcıları tarafından daha sık okutulduğu
tespit edilmiştir.
Bahsi geçen, sembollü QR (kare) kodlar aşağıdaki gibidir:
Yer: Ankara, Mesnevi Sokak / Ayrancı
Bu noktadan sonra, oluşturulan kare kodlarda, tam yüz (100) tane, birbirinden
farklı sembol ve kelime kullanılmıştır. En çok okutulan beş (5) sembol/kelime’nin
aşağıdakiler olduğu tespit edilmiştir:
Deney sırasında, sadece bu beş (5) sembol/kelime kullanılmıştır.
9. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Kapsam
Çalışmanın bir sosyal mühendislik saldırısını simüle etmesi amaçlandığından,
QR kod okuyucu kullanma yüzdesinin en yüksek olduğu öngörülen 16 - 30 yaş
arası vatandaşlar, dolayısıyla bu yaş gruplarının bulunacağı öngörülen mekanlar
hedef alınmıştır. Bunun sonucu olarak seçilen bölgelerin bir kısmı, üniversite
kampüslerinden oluşmaktadır. Seçilen üniversitelerin öğrenci kulüpleri ile
görüşülmüş ve çalışma üniversitelerin izni ile gerçekleştirilmiştir.
Deneyin Yürütüldüğü yerler
Ankara: Tunalı Hilmi Caddesi, Kızılay, Cinnah Caddesi
12. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
“Kurbanlar”
Yapılan çalışma sonucunda elde edilen verilerden aşağıdaki istatistiklere elde
edilmiştir.
QR Kod okutan cihazların dağılımı
Yukarıdaki grafik, yapılan tüm çalışmaların ortalamasından elde edilen sonuçları
gösterirken, aşağıdaki grafik sadece Bilkent Üniversitesi’nden elde edilen
sonuçları göstermektedir:
13. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Grafikte görüldüğü üzere, Bilkent Üniversitesi’nde kare kod okuyan akıllı telefon
ve tabletlerin %66.7’sinin Apple iOS kullandığı tespit edilmiş, %26.7’sinin ise
AndroidOS kullandığı tespit edilmiştir.
İki grafik arasındaki fark, saldırganların bölgelere göre farklı işletim sistemlerini
hedef alacak saldırılar planlayabileceklerine işaret etmektedir. Saldırganların
bölgede en çok kullanılan işletim sistemini hedef alan zararlı yazılımları
kullanmaları mümkündür. Bunun yanısıra, saldırganlar yazılımlarını her işletim
sistemi veya her tarayıcı için ayrı işlemler gerçekleştirecek şekilde geliştirebilirler.
Böylece zararlı web sayfasına yönlendirilen Android telefon/tablet, AndroidOS
için yazılmış bir zararlı yazılımı indirirken, aynı web sayfasına yönlendirilen bir
iPhone, iOS işletim sistemini hedef alan bir zararlı yazılım indirebilir.
Simüle edilen saldırının hedef sisteme ilk müdahaleyi tarayıcı üzerinden yapması
kurban tarafından kullanılan cihazın markasını veya işletim sistemini önemsiz
kılmaktadır. Hedef alınan bölgede ağırlıklı olarak iOS veya Android kullanılması
saldırganların ele geçirdikleri akıllı telefon üzerinde kalıcı olmalarını
sağlayabilecek güvenlik açıklarını istismar etmelerini kolaylaştırabilir veya
zorlaştırabilir.
Çalışma süresince okutulan QR kodlara ilişkin özet rakamlar aşağıdadır;
Toplam “kurban” sayısı: 9,027 (24 günlük dönemde tekil QR okutma sayısı)
Ankara: 3,854
Istanbul: 5,101
Kıbrıs: 72
QR kodların okutulduğu akıllı telefonun kullandığı IP adreslerine bakıldığında ise
toplamda 284 telefonun, başta A.B.D. ve Almanya olmak üzere, yurt dışı IP
adreslerinden bağlandığı görülmüştür. Bu sonuçlar bağlantı için VPN kullanan
cihazlardan kaynaklanmaktadır.
14. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Uygulamalı Saldırı
Bu saldırı vektörü kullanılarak hedef akıllı telefona yüklenecek bir zararlı yazılım
kişisel ve kurumsal bilgi güvenliğini tehlikeye atmaktadır.
Bilgisayarlara göre çok daha yakın ilişkiler içerisinde bulunduğumuz akıllı
telefonlarımız neredeyse her an yanımızda. Saldırganların ele geçirdikleri
telefonda bulunan rehber, SMS, fotoğraflar gibi pek çok hassas bilgiye
ulaşabilecekleri gibi, cihazın mikrofonunu ve kamerasını kullanıcıya fark
ettirmeden çalıştırabilirler.
Bu yöntemi kullanan bir saldırgan aşağıda görüldüğü gibi telefon üzerinde
bulunan kısa mesajlar (SMS) aşağıda görüldüğü gibi kolaylıkla alınabilmektedir.
15. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Aşağıda ise bu yöntem ile ele geçirilmiş bir telefonun ön ve arka kameraları
kullanılarak çekilmiş fotoğraflar görülebilir. Her iki fotoğraf çekilirken de “kurban”
sosyal medya uygulamasını kullanmaya devam etti ve fotoğraflarının çekildiğini
fark etmedi.
16. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
Sonuç
QR kodlar, bilgilendirmelerin ve reklamların yanısıra, uçağa binme ve banka
hesaplarına para yatırma gibi yüksek güvenlik önlemi gerektiren alanlarda da
kullanılmaktadır. Bu tür durumlarda QR kodlar üzerinden gerçekleştirilecek bir
saldırı, sadece kullanıcıların kişisel güvenliğini değil, kurumların, kuruluşların ve
büyük organizasyonların güvenliğini de tehlikeye atacaktır. Yukarıda gördüğümüz
örneklere ek olarak daha gelişmiş saldırı senaryoları da QR kodlar kullanılarak
hayata geçirilebilir.
Gelişmiş senaryolara örnek olarak havayolu şirketlerinin kullandığı mobil biniş
kartları düşünülebilir. Bir saldırgan başkasının adına sahte bir QR kod
oluşturabilir veya QR kod içerisine yerleştirilecek zararlı bir içerikle havaalanı
sistemlerine zarar verebilir. Eğer saldırgan cihazı ele geçirmeyi başarabilirse,
havaalanındaki diğer sistemlere yayılma olanağına da sahip olacaktır.
17. 2016-WP-1356
Garnizon Bilgi Güvenliği Ltd. Şti.
www.garnizon.com.tr
Telefon: 0312 970 1910 – e-posta: bilgi@garnizon.com.tr
QR kod kullanımı, gerekli önlemler alınmadığı takdirde büyük güvenlik
sorunlarına yol açabilecek potansiyele sahiptir. QR kodların çevrimiçi sistemler
için oluşturduğu tehdit, çoğunlukla sosyal mühendislik saldırıları üzerinden
kendini var edebilecektir. Bu tür saldırılarda uzmanlaşan siber suçlular, bir
bankanın avantajlı kredi kampanyasının posterini, rahatlıkla evinde bastığı
kopyası ile değiştirebilir. Böylece QR kodu okutan banka müşterilerini hedef
alabilecektir. Bu saldırı vektörü bankanın mobil uygulamasında keşfedilmesi
muhtemel bir açıkla birleştirildiğinde ciddi maddi kayıplara yol açabilir.
QR kodlar akıllı telefonların iş ve özel hayatta artan yerinin beraberinde gelen
yeni saldırı vektörlerinden biri olabilir gibi görünüyor.
Bu çalışma hakkında sorularınızı ve Garnizon Bilgi Güvenliği ile
işbirliğinin kullanıcılarınızı ve kuruluşunuzu nasıl daha güvenli hale
getirebileceğini öğrenmek için bilgi@garnizon.com.tr adresine e-
posta gönderebilirsiniz.