Ters Proxy Saldırıları (Reverse Proxy Phishing): Gerçek Zamanlı Oturum Çerezlerini Ele Geçiren Ortadaki Adam Saldırıları
Nisan 7, 2026
Phishing,Siber Güvenlik,Siber Savunma
Kimlik doğrulama mekanizmalarının giderek karmaşıklaştığı günümüz siber güvenlik landscape’inde, saldırganlar da geleneksel yöntemlerin ötesine geçen daha sofistike tekniklere yönelmektedir. Çok faktörlü doğrulama (MFA) ve tek seferlik şifrelerin yaygınlaşmasıyla birlikte, klasik kimlik avı saldırılarının etkinliği azalmıştır. Bu durum, saldırganları gerçek zamanlı oturumları ele geçirebilen yeni nesil yöntemler geliştirmeye itmiştir. Ters proxy tabanlı phishing saldırıları, kullanıcı ile hedef site arasında bir aracı olarak konumlanarak tüm trafiği anlık olarak yönlendiren ve oturum çerezlerini çalarak kimlik doğrulama duvarlarını aşan ileri düzey bir tehdit modelidir. Bu saldırı türü, güvenlik önlemlerini atlatma konusunda son derece etkili olduğu için siber suçlular tarafından sıklıkla tercih edilmektedir.
Ters Proxy Phishing Saldırısı Nedir?
Ters proxy phishing saldırısı, saldırganın kontrolündeki bir sunucunun, meşru bir web sitesi ile kullanıcı arasında aracı (proxy) olarak çalıştığı gelişmiş bir kimlik avı yöntemidir. Saldırgan, hedef sitenin birebir kopyasını barındırmak yerine, kullanıcıdan gelen istekleri gerçek siteye iletir ve gelen yanıtları kullanıcıya geri yansıtır. Bu sayede kullanıcı, tamamen fonksiyonel ve canlı bir web sitesiyle etkileşime girdiğini sanır. Kullanıcı giriş bilgilerini girdiğinde veya çok faktörlü doğrulama kodunu onayladığında, bu veriler saldırganın sunucusu üzerinden geçerken gerçek zamanlı olarak ele geçirilir. Özellikle oturum çerezleri (session cookies) bu aşamada çalınarak, saldırganın hedef hesaba şifre ve MFA gerektirmeden doğrudan erişim sağlaması mümkün hale gelir.
Saldırı Teknikleri ve Uygulama Yöntemleri
Ters proxy tabanlı saldırılar, teknik altyapı ve hedefleme stratejilerine göre farklı varyasyonlarla uygulanabilir. Siber güvenlik araştırmalarında tespit edilen başlıca yöntemler şunlardır:
- Modüler Proxy Araçları (Modlishka, Evilginx vb.):
Açık kaynaklı veya özel geliştirilmiş proxy framework’leri kullanılarak hedef site dinamik olarak klonlanır. Bu araçlar, SSL sertifikalarını otomatik yönetir ve tüm trafiği şeffaf şekilde yönlendirir.
- Oturum Çerezi Hırsızlığı (Session Hijacking):
Kullanıcı başarılı şekilde giriş yaptığında, sunucu tarafından gönderilen oturum çerezleri proxy katmanında intercept edilir. Saldırgan bu çerezleri kendi tarayıcısına yükleyerek oturumu devralır.
- SSL/TLS Manipülasyonu:
Saldırgan, kullanıcıya geçerli bir SSL sertifikası sunarak bağlantının güvenli görünmesini sağlar. Ancak arka planda trafik saldırganın sunucusunda çözülerek incelenir ve yeniden şifrelenir.
- Hedefe Özgü Klonlama (Spear Phishing Entegrasyonu):
Kurumsal giriş sayfaları veya özel hizmetler hedef alınarak, çalışanlara yönelik kişiselleştirilmiş saldırı senaryoları kurgulanır. Sosyal mühendislik ile birleştirilen bu yaklaşım başarı oranını artırır.
Oluşturduğu Güvenlik Riskleri ve Etkileri
Ters proxy saldırılarının en tehlikeli özelliği, geleneksel güvenlik kontrollerini ve kullanıcı dikkatini atlayabilmesidir. URL yapısı, SSL sertifikası ve sayfa içeriği meşru göründüğü için tespit edilmesi son derece zordur. Bu durum, aşağıdaki kritik güvenlik risklerini doğurur:
- Çok Faktörlü Doğrulamanın Atlatılması: MFA kodları gerçek zamanlı olarak ele geçirildiği için, ek güvenlik katmanları etkisiz hale gelir.
- Oturum Devralma (Session Takeover): Çalınan çerezler sayesinde saldırgan, hedef hesaba tam erişim sağlar ve kullanıcı adına işlem yapabilir.
- Veri Sızıntısı ve Yetki Kötüye Kullanımı: Ele geçen hesaplar üzerinden hassas verilere erişilebilir veya kurum içi sistemlerde yetki yükseltme saldırıları gerçekleştirilebilir.
- Güvenlik Çözümlerini Atlatma: Geleneksel anti-phishing filtreleri, statik sayfa kopyalarını tespit etmeye yönelik olduğundan bu dinamik saldırıları yakalayamayabilir.
Korunma ve Mitigasyon Adımları
Ters proxy tabanlı saldırılara karşı etkili bir savunma hattı oluşturmak, hem teknik önlemleri hem de kullanıcı farkındalığını içeren bütüncül bir yaklaşım gerektirir. Kurumlar ve bireysel kullanıcılar, riskleri minimize etmek için şu adımları uygulamalıdır:
- FIDO2/WebAuthn Tabanlı Kimlik Doğrulama: Çerez tabanlı oturumların çalınmasına karşı, donanım tabanlı ve phishing dirençli kimlik doğrulama yöntemleri tercih edilmelidir.
- Çerez Güvenlik Politikaları: Oturum çerezlerine “HttpOnly”, “Secure” ve “SameSite” bayrakları eklenmeli, çerez ömürleri kısa tutulmalıdır.
- Davranışsal Analiz ve Anomali Tespiti: Kullanıcı giriş davranışları, coğrafi konum ve cihaz parmak izi gibi metrikler izlenerek şüpheli oturumlar gerçek zamanlı olarak engellenmelidir.
- Kullanıcı Eğitimi ve URL Kontrolü: Çalışanlar, giriş yaptıkları sitenin URL’sini dikkatle kontrol etmeleri ve beklenmedik yönlendirmelere karşı şüpheci olmaları konusunda bilinçlendirilmelidir.
Sonuç
Siber güvenlikte savunma stratejileri, saldırganların kullandığı tekniklerle paralel olarak evrilmek zorundadır. Ters proxy phishing saldırıları, kimlik doğrulama süreçlerindeki zafiyetleri hedef alarak geleneksel güvenlik önlemlerini bypass edebilen güçlü bir tehdit modelidir. Bu nedenle kurumlar, sadece statik koruma mekanizmalarına güvenmek yerine, oturum yönetimi, davranışsal analiz ve kullanıcı eğitimi gibi çok katmanlı bir savunma mimarisi benimsemelidir. Sürekli izleme, hızlı müdahale ve proaktif tehdit avcılığı, bu tür ileri düzey saldırılara karşı en etkili korunma yoludur.
Tags :
#Evilginx,#FIDO2,#KimlikAvı,#MFA,#Phishing,#ReverseProxy,#SessionHijacking,#SiberSavunma
Share This :