0

Özet: On-prem phishing simülasyonlarında internal DNS üzerinde tanımlanan fake domain, public internette zaten kayıtlı/aktifse kampanya sırasında ve kampanya sonrası kullanıcılar yanlışlıkla dışarıdaki gerçek (ve potansiyel olarak zararlı) siteye yönlenebilir. Bu ise kurumunuz için güvenlik riskine neden olabilir. Basit birkaç kontrolle bu risk tamamen önlenebilir.

Phishing simülasyonlarında fake domain nasıl kullanılır?

Bazen kurumlar phishing kampanyalarını kendi altyapılarında, yani on-premise olarak yürütür. Bu senaryoda zaman zaman  internal DNS üzerinde “fake domain” tanımlanır ve bu şekilde kullanıcı davranışı ölçülür. Amaç hangi kullanıcıların bu fake adrese tıklayacağı ve veri girişi yapacağını gözlemlemektir. Kampanya tamamlandığında ise söz konusu dns kaydı  sıklıkla silinir.

Kritik nokta şu: Aynı alan adı public internette gerçekten kayıtlıysa bu soruna neden olabilir. Kurum ağı dışında, mobil cihazından sahte linke tıklayan bir çalışan dahili olarak tanımlanan sahte adrese değil, public internette yer alan ve kurum kontrolünde olmayan adrese gidecektir. Aynı şekilde,  phishing kampanyası tamamlandıktan sonra dahili dns kaydı silinirse  çözümleme yine dış DNS üzerinden yapılır. Ve kampanya tamamlandıktan sonra epostadaki linke tıklayan bir kullanıcı yine dışarıdaki “public” siteye gider.

Bu küçük hata neden tehlikeli?

Dahili dns sunucusunda tanımlana sahte alan adı public internette de tanımlı ise, muhtemelen iyi amaçlara hizmet etmiyordur. Zira kurumun sahte alan adı olarak düşünüp kullanmayı planladığı alan adı ile birebir aynıdır, yani aslında sahtedir. Bu durum şu sonuçlara neden olabilir:

  • Beklenmedik yönlendirme: Kullanıcı dışarıdaki, yani public internetteki ve kurum kontrolünde olmayan sahte siteye gider.
  • Zararlı içerik riski: Dış sitede phishing/malware barınabilir.
  • Analiz karmaşası: Loglar kampanya trafiği ile gerçek saldırı trafiğini karıştırabilir.

Fake domain oluşturmadan önce yapılacak kontroller (Windows + web)

Bu risklerden kaçınmak için dahili sahte alan adları kullanılacağı zaman yapılması gereken bazı basit kontroller vardır.

1) DNS sorgusu (Windows)

Dahili sahte alan adını tanımlamadan önce bu alan adının public dns’de çözülüp çözülmediğini kontrol edin:

nslookup example-fake-domain.com

IP dönüyorsa domain aktiftir → kullanmayın. Sonuç yoksa büyük ihtimalle bu alan adı public internet’te yoktur (yine de diğer adımlarla doğrulayın).

2) Whois kontrolü (web)

Aşağıdaki servislerden biriyle domain’in kayıt durumunu doğrulayın (her biri ücretsizdir):

Domain kayıtlıysa kampanyada kullanmayın.

Özet

Dahili sahte alan adları, doğru kontrol edilmediğinde kampanya sonrasında veya kampanya devam ediyorken kullanıcı kurum dışındaysa dış dünyadaki gerçek bir adrese yönlendirmeye neden olabilir.
Basit Windows komutları (nslookup) ve ücretsiz web servisleri (Whois) ile yapacağınız hızlı kontroller, phishing simülasyonlarınızı güvenli ve öngörülebilir kılar.

🛡️

Phish-Guard ile güvenli farkındalık testleri:

Simülasyon çalışmalarınızı güvenli yapı taşlarıyla tasarlayın: ürün ve hizmetlerimiz için lütfen iletişime geçin.