Eklentinin amacı: Tıkladığınız URL'i sayfa açılmadan önce analiz edip oltalama şüphesi varsa uyaran, riski yüksekse hiç açtırmayan bir Chrome eklentisi.
1. URL üzerinde heuristik analiz
Site açılmadan önce URL'nin kendisi belli işaretlere göre puan alıyor. Mesela paypa1, garant1, akbang tarzı marka yazımına yakın oynamalar var. Bir başkası xn-- ile başlayan ve içinde Kiril harfi olan IDN adresler. Domain yerine doğrudan IP yazılmış olması da hesaba katılıyor, aynı şekilde .tk .zip .xyz .top gibi geçmişi pek temiz olmayan uzantılar da. Bunların dışında subdomain derinliği, URL'in içinde @ ile yapılan yönlendirme hilesi, alışılmadık port numarası, klavyeye yatmış gibi rastgele harflerden domain ya da gereksiz uzun adresler bakılan diğer şeyler. Her sinyalin ağırlığı aynı değil tabi.
2. OpenPhish eşleşmesi
OpenPhish'in günlük güncellenen feed'ini 12 saatte bir indirip lokalde tutuyorum. Tıklanan adres host olarak ve tam URL olarak listeden geçiriliyor. Listede eşleşme varsa puana falan bakılmıyor, doğrudan oltalama deniyor.
3. Tam ekran kırmızı uyarı
Skor belli bir eşiği geçtiyse sayfa zaten yüklenmiyor, yerine ekranı kaplayan kırmızı bir uyarı geliyor. İçinde adres, hangi sinyaller işin içinde, "Geri dön" ve "Yine de devam et" butonları var. Akış olarak Chrome'un kendi Safe Browsing ekranına benziyor.
4. Sayfa üstü sarı bar
Eşiği geçmeyen ama yine de işkillenilen adreslerde sayfa açılıyor, sadece üstüne sarı bir şerit düşüyor. Hangi sinyaller patladıysa şeritte yazıyor. Yani engellemiyor, sadece "haberin olsun" diyor.
5. Beyaz liste ve oturumluk bypass
Burada iki ayrı şey var. Birincisi popup üzerinden bir adresi beyaz listeye eklemek, bu kalıcı. Tarayıcıyı kapasanız bile gitmiyor. İkincisi tam ekran uyarıdaki "Yine de devam et" butonu, o da sadece o oturumla sınırlı; tarayıcı kapanıp açılınca sıfırdan başlıyor.
6. Aktif sekme paneli
İkona tıklayınca o sekmenin son analizi açılıyor. Durum kartı, skor, hangi sinyaller bulundu, aksiyon butonları...
7. Yerli site listesi
Garanti, Akbank, Ziraat, İş Bankası, Yapı Kredi, Halkbank, VakıfBank, Hepsiburada, Trendyol, n11, Getir, Yemeksepeti... Bu tarz sık kullandığımız adresler güvenli listede tutuluyor, üstlerinde analiz yapmıyor.
Yakalayamadıkları:
- Hiçbir listede olmayan ve marka taklidi de yapmayan tamamen yeni adresler
- Meşru bir sitenin hacklenip altında oltalama sayfası barındırması (domain temiz göründüğü için yakalanamıyor)
- Kısa link servislerinin arkasındaki gerçek hedef
- Sayfa içeriği veya form analizi yok, sadece URL üstünde çalışıyor
1. URL üzerinde heuristik analiz
Site açılmadan önce URL'nin kendisi belli işaretlere göre puan alıyor. Mesela paypa1, garant1, akbang tarzı marka yazımına yakın oynamalar var. Bir başkası xn-- ile başlayan ve içinde Kiril harfi olan IDN adresler. Domain yerine doğrudan IP yazılmış olması da hesaba katılıyor, aynı şekilde .tk .zip .xyz .top gibi geçmişi pek temiz olmayan uzantılar da. Bunların dışında subdomain derinliği, URL'in içinde @ ile yapılan yönlendirme hilesi, alışılmadık port numarası, klavyeye yatmış gibi rastgele harflerden domain ya da gereksiz uzun adresler bakılan diğer şeyler. Her sinyalin ağırlığı aynı değil tabi.
2. OpenPhish eşleşmesi
OpenPhish'in günlük güncellenen feed'ini 12 saatte bir indirip lokalde tutuyorum. Tıklanan adres host olarak ve tam URL olarak listeden geçiriliyor. Listede eşleşme varsa puana falan bakılmıyor, doğrudan oltalama deniyor.
3. Tam ekran kırmızı uyarı
Skor belli bir eşiği geçtiyse sayfa zaten yüklenmiyor, yerine ekranı kaplayan kırmızı bir uyarı geliyor. İçinde adres, hangi sinyaller işin içinde, "Geri dön" ve "Yine de devam et" butonları var. Akış olarak Chrome'un kendi Safe Browsing ekranına benziyor.
4. Sayfa üstü sarı bar
Eşiği geçmeyen ama yine de işkillenilen adreslerde sayfa açılıyor, sadece üstüne sarı bir şerit düşüyor. Hangi sinyaller patladıysa şeritte yazıyor. Yani engellemiyor, sadece "haberin olsun" diyor.
5. Beyaz liste ve oturumluk bypass
Burada iki ayrı şey var. Birincisi popup üzerinden bir adresi beyaz listeye eklemek, bu kalıcı. Tarayıcıyı kapasanız bile gitmiyor. İkincisi tam ekran uyarıdaki "Yine de devam et" butonu, o da sadece o oturumla sınırlı; tarayıcı kapanıp açılınca sıfırdan başlıyor.
6. Aktif sekme paneli
İkona tıklayınca o sekmenin son analizi açılıyor. Durum kartı, skor, hangi sinyaller bulundu, aksiyon butonları...
7. Yerli site listesi
Garanti, Akbank, Ziraat, İş Bankası, Yapı Kredi, Halkbank, VakıfBank, Hepsiburada, Trendyol, n11, Getir, Yemeksepeti... Bu tarz sık kullandığımız adresler güvenli listede tutuluyor, üstlerinde analiz yapmıyor.
Yakalayamadıkları:
- Hiçbir listede olmayan ve marka taklidi de yapmayan tamamen yeni adresler
- Meşru bir sitenin hacklenip altında oltalama sayfası barındırması (domain temiz göründüğü için yakalanamıyor)
- Kısa link servislerinin arkasındaki gerçek hedef
- Sayfa içeriği veya form analizi yok, sadece URL üstünde çalışıyor
Phishing Link Detector
*Ɲémesis tarafından bireysel olarak geliştirilmiştir.
Son düzenleme:
