Oltalama Saldırı Yöntemiyle Elektronik Bankacılık (e-Bankacılık) Dolandırıcılığı

Öz

Teknolojide yaşanan gelişmeler toplumun her kesimini etkilemesiyle birlikte özellikle finansal faaliyetleri internet ortamında hızlı bir şekilde yapılmasına olanak sağlamıştır. Teknolojik kullanımının en yoğun olduğu sektörlerin başında gelen bankacılık hizmetleri bireylerin ve ticari firmaların taleplerine hızlı cevap verebilmek ve ekonomik rekabeti ortamında pazar alanından daha fazla pay alabilmek için sundukları hizmetleri çevrimiçi uygulamalar haline getirmişlerdir. Bu getirilen yenilik birçok avantajı sunmakla birlikte kötü niyetli kişiler içinde yeni fırsatlar yaratmıştır. Bu saldırıların en popüler olanı otalama (Phishing) olarak bilinen türüdür. Phishing, hedefteki kişinin şifresini veya kredi kartı gibi önemli bilgilerini ele geçirmek öğrenmek için tasarlanmış saldırılardır. Phishing saldırıları için e-posta servisleri, resmi kurum web sayfaları, bankalar, sosyal medya siteleri gibi sahte web sayfaları düzenlenmekte ve mağdur kişilerin bu tuzağa düşmesi beklenmektedir. Phishing saldırıları yüksek başarı oranı ve hazırlanışı basit olması nedeniyle saldırganlar amacına ulaşmak için sıklıkla bu yönteme başvurmaktadır. Bu suçla mücadele edebilmek için güvenlik tedbirleri alınmaya devam edilse de tehdittin boyutu her geçen gün artmaya devam etmektedir. Bu çalışmada, elektronik bankacılık (e-bankacılık) sahte web sitesi kullanılarak hazırlanmış bir Phishing saldırı vaka örneğinin adli analizi yapılmıştır. Analiz sonuçlarından hazırlanan sahte web sitesi hakkında detaylı bilgiler elde edilmiş olup saldırgana ait bilgilere ulaşılmıştır. Çalışma kullanılan yaklaşım ve sonuçlarıyla, gerek bu suçla mücadeleye gerekse gelecekte yapılacak çalışmalara katkı sağlayacağı değerlendirilmiştir.

Anahtar Kelimeler

• Oltalama Saldırısı
• e-Bankacılık
• Adli Bilişim

Electronic Banking (e-Banking) Fraud with Phishing Attack Methods

Abstract

Every segment of the society was affected with the developments in technology, though it has empowered financial activities to be carried out quickly in the internet environment. Banking service, is one of the sectors with the most exhaustive use of technology, which have turned their services into online applications in order to respond quickly to the demands of individuals, commercial companies and to get more shares from the market area in an environment of economic competition. Although this innovation offers many advantages but it has also created many damsel for mischievous people. The most popular and well known outbreaks is phishing. Phishing attacks were designed to obtain a target person's key information, such as their password or credit card. For phishing attacks, fake web pages such as e-mail services, official institution web pages, banks, social media sites are organized and victims are expected to fall into this trap. Due to the high success rate of phishing attacks and the simplicity of preparation, attackers often resort to this method to achieve their goals. Even though security measures continue to be taken to battle this crime, the size of the threat continues to increase day by day. In this study, a forensic analysis of a Phishing attack case sample prepared using electronic banking (e-banking) fake website is performed. Detailed information about the fake website prepared from the analysis results was obtained and information about the attacker was obtained. It is evaluated that the approach and results used in the study will contribute to both the fight against this crime and future studies.

Keywords

• Phishing Attack
• E-Banking
• Computer Forensic

Kaynakça

1. [1] Ghazi-Tehrani, A. K., & Pontell, H. N. (2021). Phishing Evolves: Analyzing the Enduring Cybercrime. Victims & Offenders, 16(3), 316-342.
2. Kara, I. (2021). Don’t Bite The Bait: Phıshıng Attack for Internet Bankıng (e-bankıng). 16(5), 1-12.
3. Hajiali, M., Amirmazlaghani, M., & Kordestani, H. (2019). Preventing phishing attacks using text and image watermarking. Concurrency and Computation: Practice and Experience, 31(13), e5083.
4. Kara, İ. (2020). Security Risks and Safeguard Measures in Social Media Usage. Avrupa Bilim ve Teknoloji Dergisi, 10-15.
5. Kara, I. (2019). A basic malware analysis method. Computer Fraud & Security, 2019(6), 11-19.
6. Subasi, A., & Kremic, E. (2020). Comparison of adaboost with multiboosting for phishing website detection. Procedia Computer Science, 168, 272-278.
7. Jain, A. K., & Gupta, B. B. (2018). Two-level authentication approach to protect from phishing attacks in real time. Journal of Ambient Intelligence and Humanized Computing, 9(6), 1783-1796.
8. Kara, I. (2021). Cyber-Espionage Malware Attacks Detection and Analysis: A Case Study. Journal of Computer Information Systems, 1-18.

9. Zhang, Y., Hong, J. I., & Cranor, L. F. (2007, May). Cantina: a content-based approach to detecting phishing web sites. In Proceedings of the 16th international conference on World Wide Web (pp. 639-648).
10. Marchal, S., François, J., State, R., & Engel, T. (2014). PhishStorm: Detecting phishing with streaming analytics. IEEE Transactions on Network and Service Management, 11(4), 458-471.
11. Huang, Y., Yang, Q., Qin, J., & Wen, W. (2019, August). Phishing URL detection via CNN and attention-based hierarchical RNN. In 2019 18th IEEE International Conference On Trust, Security And Privacy In Computing And Communications/13th IEEE International Conference On Big Data Science And Engineering (TrustCom/BigDataSE) (pp. 112-119). IEEE.
12. Xiao, X., Zhang, D., Hu, G., Jiang, Y., & Xia, S. (2020). CNN–MHSA: A Convolutional Neural Network and multi-head self-attention combined approach for detecting phishing websites. Neural Networks, 125, 303-312.
13. Chowdhury, T., & Vidalis, S. (2012, September). Collecting evidence from large-scale heterogeneous virtual computing infrastructures using Website Capture. In 2012 Third International Conference on Emerging Intelligent Data and Web Technologies (pp. 211-217). IEEE.