Evil Twin Saldırısı Nedir? Nasıl Yapılır?

Kablosuz ağ teknolojileri 20 yılı aşkın süredir hayatımızın bir parçası. Kablosuz ağların, kablolu ağların aksine sahip olduğu düşük maliyet ile yüksek erişilebilirlik durumundan dolayı bugün dünyanın her yerinde ücretsiz bir Wi-Fi ağı bulabilmek mümkün. Ancak kablosuz ağların bu kadar erişilebilir olması evil twin gibi saldırıların uygulanabilmesi için saldırganlara büyük bir fırsat sağlamaktadır. Peki evil twin saldırısı nedir ve Bu saldırıdan nasıl korunabilirsiniz? Saldırının nasıl yapıldığını öğrenerek nasıl önlemler alabileceğinizi görmek için okumaya devam edin.

Evil Twin Nedir?

Evil Twin (Kötü İkiz) saldırısı temel olarak bir MITM (Man in the Middle – Ortadaki Adam) saldırısıdır. Bir evil twin saldırısında saldırganın amacı internete bağlanan bir cihaz ve o interneti yayan modem arasına girmektir. Saldırgan bunu yapabilmek için kendini interneti yayan modem gibi gösterir ve gerçek modeme Deauth Saldırısı uygular. Gerçek modem deauth saldırısından dolayı internet yayamayacak durumda olduğundan internete bağlanan cihaz sahte modeme, saldırgana bağlanır. Evil twin saldırısı aynı zamanda Fake AP (Fake Access Point – Sahte Erişim Noktası) adıyla da geçmektedir.

Evil Twin Saldırı Senaryoları

Kötü niyetli saldırganların bir evil twin saldırısı gerçekleştirmek için farklı motivasyonları ve hedefleri olabilmektedir. Saldırgan rastgele hedeflere saldırabileceği gibi tek bir hedefe de saldırabilir. Yalnızca kurbanın kimlik numarası, telefon numarası gibi bir özel verisini elde etmek için saldırabilir veya kurbanın ağ trafiğini ele geçirmek ve bu trafikten hassas verileri elde etmek için de bu saldırıdan yararlanabilir.

Evil twin saldırıları genel olarak uygulanması zor saldırılardır. Genel olarak sosyal mühendisliğe dayanır ve yalnızca teknik bir saldırı yapmaktan çok insanları kandırmaya dayalıdır. İçerisinde evil twin saldırısının yer aldığı birçok senaryo bulunuyor olsa da bu saldırı türü söz konusu olduğunda iki senaryo öne çıkmaktadır;

1. Captive Portal Senaryosu

Bir kafede veya havalimanındaki WiFi ağına bağlandığınız zaman karşınıza çeşitli bilgilerin istendiği bir giriş sayfası çıkmaktadır. Bu sayfaların genel olarak kullanılma nedeni internet kullanımını daha güvenli bir hale getirebilmek amacıyla ek bir doğrulama faktörü eklemektir. Captive Portal sistemleri genel de güvenlik amacıyla kullanılsa da evil twin saldırılarının vazgeçilmezlerinden biridir ve Captive Portal’ı temel alan bir evil twin senaryosu şu şekilde gerçekleşir;

  • Bir kafede “KafeInternet” isminde ücretsiz bir WiFi ağı bulunmaktadır. Bu internet ağında captive portal olup olmaması önemsizdir, saldırgan iki türlü de saldırısını gerçekleştirebilir.
  • Saldırgan bu kafeye gelir ve yine “KafeInternet” isminde sahte bir ikinci ağ oluşturur ve kafedeki modemden daha güçlü sinyal yayan bir anten kullanır.
  • Kafeye yeni gelen ve internete bağlanmak isteyen bir kişi “KafeInternet” ismindeki ağa bağlanmak ister. Saldırganın yaydığı sinyal daha güçlü olduğu için kurbanın telefonu sahte olan internete bağlanır.
  • Kurbanın karşısına bir captive portal ekranı açılır. Bu ekran saldırgan tarafından özel olarak hazırlanmıştır. Burada kimlik numarası sorulabilir veya sahte bir google giriş ekranı hazırlayarak kurbanın google bilgilerini girmesi istenebilir.
  • Kurban internete giriş yapabilmek için bu bilgileri girer ve bilgiler direk saldırgana ulaşır. Saldırgan hem bu bilgilere sahip olur hem de kurban ile aynı ağda olduğu için kurbanın internet trafiğini izleyebilir.

2. Ev İnterneti Senaryosu

Birinci senaryoda saldırganın temel amacı kurbana dair kimlik numarası, telefon numarası veya google hesabı giriş bilgileri gibi özel bir bilgiyi elde etmekti. Ancak bazı durumlarda saldırgan özel bir bilgiyi elde etmek yerine bir evdeki veya iş yerindeki WiFi ağının şifresini elde etmeye çalışabilir. Böylelikle elde ettiği WiFi ağı şifresi ile ağa giriş yapıp daha farklı ve özel ağ içi saldırıları gerçekleştirebilir. Bunun için temel senaryo şu şekilde gösterilebilir;

  • Saldırgan bir evdeki kablosuz ağın şifresini kaba kuvvet saldırıları ile elde edememiştir bundan dolayı evil twin saldırısı uygulamak ister.
  • Evdeki Wi-Fi ağı ile aynı isimde, daha güçlü sinyal veren sahte bir şifresiz kablosuz ağ oluşturur.
  • Saldırgan evdeki ağa Deauth saldırısı uygular. Böylece evdeki ağ kullanılamaz hale gelir. Evdeki ağa bağlı ev sahibi internetin koptuğunu düşünür ve telefonun WiFi kısmına girer. Bu kısımda kendi ağı gözükmez ancak saldırganın ağı gözükür. Kurban kişi bunu fark edemeyeceği için saldırganın ağına bağlanmaya çalışır.
  • Ağa bağlanırken kurbana ağ şifresi sorulur. Kurban kişi bu durumu şüpheli bulabilir ancak suçu modemine atar ve şifresini tekrardan girerek internetine kavuşur.
  • Bu saldırı sayesinde saldırgan kişi modemin şifresini elde etmiş olur.

Kali Linux ile Evil Twin Saldırısı

Evil twin saldırısı uygulayabileceğiniz çok sayıda araç bulunmakta. Bunların içerisinde çok sayıda işleve sahip kullanması daha fazla uğraş gerektiren araçlar olduğu gibi kullanımı basit ve hızlı araçlarda bulunmakta. Normalde bu yazı için mana-toolkit aracını kullanmayı planlamış olsam da bu aracın Kali Linux deposundan kaldırılması ve uzun süredir güncellenmiyor olmasından dolayı kurulum ve kullanım konusunda çok sıkıntı çıkardığını fark ettim.

Bundan dolayı kurulumu ve kullanımı çok daha kolay ve hızlı olan Github’da evil5hadow adlı kullanıcı tarafından yayınlanan FakeAP aracını kullanma kararı aldım. Eğitim serisinin ileri seviye kısmında daha gelişmiş araçların kullanımına yer vereceğim ancak şuanlık saldırının temel işleyişini görmek için bu aracın yeterli olacağını düşünüyorum. Yazının devamında bu araç ile 1. senaryo olan sahte Captive Portal sayfasının evil twin saldırısında nasıl uygulandığını göstereceğim.

ÖNEMLİ UYARI

Bu içerikte yer alan işlemler yalnızca eğitim ve bilgilendirme amacıyla paylaşılmıştır. İçerikte bulunan uygulamalar tamamen bir sanal makine ortamında, herhangi bir üçüncü şahısa veya hizmete/sisteme zarar vermeyecek şekilde uygulanmıştır. İçerikte bulunan bilgileri gerçekleştirmeniz durumunda oluşabilecek her türlü durumda sorumluluk size aittir. Daha fazla detay için: SORUMLULUK REDDİ BEYANI

Saldırı Metodolojisi

Sanal ortamda gerçekleştireceğimiz evil twin saldırısında aşağıdaki saldırı metodolojisi işlenecektir;

  • İlk olarak saldırıyı gerçekleştirmek için gerekli olan FakeAP aracı kurulacak.
  • “KafeInternet” adlı hedef modem hakkında saldırıyı gerçekleştirebilmek için gerekli olan bilgiler toplanacak.
  • FakeAP aracı ile yine “KafeInternet” adında, bir Captive Portal sayfası olan sahte bir ağ oluşturulacak.
  • İkinci aşamada toplanan bilgiler ile “KafeInternet” adlı modeme deauth saldırısı gerçekleştirilecek. Böylece bu modeme bağlı olan cihazların internet bağlantıları kesilecek. Bu sayede internete bağlanmak isteyen kişiler, gerçek modem yerine sahte modeme bağlancak.
  • İnternete bağlanan kişilerin karşısına telefon numarasının sorulduğu sahte bir captive portal sayfası çıkacak. Böylelikle hedef kişiden istenen hassas bilgi elde edilmiş olacak.

Saldırı için Gerekli Ortamın Hazırlanması

Evil twin saldırısı gerçekleştirebilmek için Kali Linux işletim sisteminizin üzerinde aktif bir internet bağlantısına ve monitor mode’a geçebilen bir WiFi adaptörüne ihtiyacınız var. İşletim sisteminize ethernet kablosu ile direkt internet sağlayabileceğiniz gibi deauth işlemine daha doğru bir şekilde yapabilmek için iki WiFi adaptörü kullanmanız daha yararlı olacaktır.

Ayrıca bu saldırıyı yasal sınırlar içerisinde, güvenli bir şekilde deneyebilmek için saldırgan taraf olarak kendi bilgisayarınız, hedef ağ olarak kendi modeminiz ve kurban olarak kendi telefonunuzu kullanmanızı önermekteyim. Bu tarz bir saldırının izniniz ve yetkiniz olmayan bir ağ üzerinde uygulanması yasadışı olup böyle bir durumda tarafım sorumlu olmayacaktır.

FakeAP Aracının Kurulumu

Aracın kurulumu oldukça basittir. Aşağıdaki komutları sırasıyla çalıştırmanız yeterli olacaktır.

sudo apt-get install dnsmasq hostapd
sudo git clone https://github.com/evil5hadow/fakeap.git
fakeAP aracının çalışabilmesi için dnsmasq ve hostapd araçları gerekli. Bundan dolayı kurmamız gerekiyor.
Araç fakeAP adlı bir dizine kurulacak. İlerleyen aşamalarda aracı çalıştırabilmek için bu dizine cd fakeAP komutu ile gitmeniz gerekcek.

Kurulum tamamlandıktan sonra sudo bash fakeap.sh komutu ile aracı çalıştırabilirsiniz. Ancak aracı kullanmadan önce gerekli bilgilerin elde edilmesi gerekli. Bundan dolayı aracı bu aşamada çalıştırmayın.

Hedef Hakkında Bilgi Toplama

Bir saldırganın evil twin saldırısı uygularken bilgi toplama aşamasında ihtiyacı duyacağı iki bilgi bulunamaktadır. Bunlardan ilki hedef modemin MAC adresidir. Eğer saldırgan kafedeki internete bağlı olan herkesi hedef alıyorsa modemin MAC adresini bilmesi yeterli olacaktır. Ancak eğer saldırgan kafenin internetine bağlı bir kişiyi hedef alıyorsa o zaman o kişinin kullandığı cihazın MAC adresini de bilmesi gerekecektir. Saldırgan hedefi doğrultusunda elde ettiği MAC adresine deauth saldırısı düzenleyecek ve böylece evil twin saldırısının gerçekleşmesine olanak sağlayacaktır.

Bilgi toplama işlemi ve deauth işlemi hakkında zaten yeteri kadar detaya sahip olan iki yazım bulunduğumdan dolayı bu konulara bu yazıda fazla yer vermeyip yalnızca komutların temel bir örneğini ekleyeceğim. Evil twin saldırısını denemeden önce bu yazılarımı okumanızı tavsiye ederim;

“kafeWIFI” adlı hedef modemin MAC adresini öğrenebilmek amacıyla önce ağ adaptörümü monitor mode’a aldım, daha sonra da airodump-ng ile etraftaki ağları tarayıp MAC adresine ulaştım ve ağ adaptörümü tekrardan normal (managed) moda aldım.

sudo airmon-ng start wlan0 
sudo airodump-ng wlan0mon
sudo airmon-ng stop wlan0mon

Sahte Ağın Oluşturulması (fakeAP)

Bir sonraki aşamada deauth saldırısı yapmak için modemin veya direkt hedef kişinin MAC adresini not aldıktan sonra evil twin saldırısında kullanacağımız sahte ağı oluşturmak için fakeAP aracını kullanmamız gerekiyor. Bunun için sudo bash fakeap.sh komutu yeterli.

Araç açıldığı zaman size saldırının gerçekleşmesi için gereken basit konfigürasyonları soracaktır. Bunları saldırı senaryosuna ve saldırı ortamına uygun olarak yazabilirsiniz. Ben uygulayacağım saldırı metodolojisi doğrultusunda aşağıdaki gibi bir konfigürasyon yapmayı tercih ediyorum;

Interface seçeneğini kendi kablosuz ağ adaptörünüzün arayüzüne göre belirlemeyi unutmayın.

Konfigürasyon tamamlandıktan sonra araç çalışmaya başlayacak, captive portal ekranı sunabilmek için bir lokal web sunucusu oluşturacak ve kafeWIFI isminde sahte bir WiFi ağı yayarak dinleme moduna geçecek.

Modeme Deauth Saldırısı

Aracımız sahte bir ağ yayarak dinleme modunda iken kurban kişinin sahte ağa bağlanmasını sağlamak için deauth saldırısı uygulamamız gerekiyor. Bunu yapabilmek için ikinci bir kablosuz ağ adaptörüne ihtiyacımız olmaktadır. Deauth işlemiyle ilgili daha detaylı yazıma ulaşabilmek için buraya tıklayabilirsiniz.

sudo airmon-ng start wlan0
sudo aireplay-ng --deauth 1000 -a modemMACadresi wlan0mon

modemMAC adresi kısmına bilgi toplama aşamasında elde ettiğimiz MAC adresini yazmanız gerekmektedir. Bu komut ile modeme bağlı herkes ağdan düşecektir. Ancak eğer hedef tek bir kişi ise direkt o kişi üzerine deauth saldırısı uygulanması daha etkili olacaktır.

Saldırının Gerçekleşmesi

Sahte bir ağ oluşturduk ve gerçek modeme deauth saldırısı başlattık. Bu durumda gerçek modeme bağlı olan kurbanın internet bağlantısı kesilecek ve tekrardan modeme bağlanması gerekecek. Ancak gerçek modem deauth saldırısı altında olduğundan dolayı bizim oluşturduğumuz ağa bağlanacak.

Kurban kişi oluşturduğumuz ağa bağlandığı zaman aşağıdaki gibi bir bildirim alacak ve bildirime bastığı zaman sahte captive portal sayfasına ulaşacak.

Kurban kişi sahte captive portal sayfasında bulunan alana telefon numarasını girdikten sonra fakeAP aracında bu bilgi gözükecek ve aynı zamanda aracın bulunduğu dizine bir txt dosyası olarak kayıt edilecek. Aynı zamanda araç oluşturduğu ağ bağlantılarını keserek durdurulacak. Bundan dolayı bu aşamada deauth saldırısını da durdurmanız gerekmekte.

Bu araç her ne kadar basit bir araç olsa da saldırının temel işleyişini öğrenmek için yeterli. Yine de daha kapsamlı ve kullanımı daha pratik olan bir araç geliştirmeye çalışacağım. Aracı yayınladığım zaman haberdar olmak için e-posta bültenine abone olabilirsiniz.

Evil Twin Saldırısından Korunmak için Neler Yapılabilir?

  • Güvensiz gözüken, halka açık kablosuz ağları kullanmaktan kaçının.
  • Açık kablosuz ağları kullanmanız durumunda, bu ağlara bağlıyken banka hesabınız, sosyal medya hesabınız ve e-posta hesabınız gibi hassas verilerinizi içerebilecek hesaplara giriş yapmayın.
  • Tüm hesaplarınızda iki faktörlü doğrulamayı açın. Böylelikle giriş bilgileriniz bir evil twin saldırısı ile ele geçirilmiş olsa bile hesabınızı koruyabilirsiniz.
  • Kablosuz ağlara bağlanan cihazlarınızda otomatik olarak bağlan seçeneğini aktif etmeyin. Böylelikle bir saldırganın size deauth saldırısı uygulaması durumunda sahte ağa otomatik olarak bağlanmayarak kendinizi koruyabilirsiniz.
  • Güvenli olduğunu düşündüğünüz bir açık ağa bağlansanız bile HTTPS protokolüne sahip olmayan web sitelerine hassas bilgilerinizi girmeyin ve VPN kullanın.
  • Oldukça hassas verilerin işlendiği ve saldırganların hedef alabileceği bilgisayar sistemlerinizde kablosuz ağ kullanmak yerine kapalı sistem kablolu ağları tercih edin.

Sonuç

Artık bir evil twin saldırısının ne-e olduğunu, saldırgan kişinin bu saldırıyı neden uygulayabileceğini ve olası saldırı senaryolarının neler olduğunu biliyorsunuz.
Kali Linux üzerinden basit bir evil twin saldırısının nasıl gerçekleştirildiğini öğrendiniz.
Evil twin saldırısından korunmak için neler yapabileceğiniz hakkında bilgi sahibi oldunuz.

İnternet üzerindeki güvenliğinizi artırmak için kablosuz ağ güvenliğini öğrenmeye devam edebilir, bu kapsamda web sitemde bulunan Ücretsiz Etik Hackerlık – Sızma Testi Eğitimi yazı serisini takip edebilirsiniz.

    Leave a Reply