Verizon 2015 raporunu incelediğinizde, phishing (sahte e-posta yemlemesi) saldırılarının günümüzde artış eğiliminde olduğunu görebilirsiniz. Bu tür sahte e-postaların sizin adresinize de geldiğine eminiz. Bu noktada akla gelen ilk soru, e-posta adreslerinizin kötü niyetli kişilerin eline nasıl geçtiğidir.

Çok düşünmeye gerek yok. Bu tür bilgiler, veri ihlalleri sonucu sistemler istismar edilerek ele geçiriliyor ve internet pazarında satılıyor. Tahmini olarak, $10-$16 arası bir fiyatla satıldığını iddia edenler de bulunmakta. Tüm kişisel bilgilerin (kredi kartı, sosyal güvenlik numarası vb.) ortalama bir ipad fiyatı ettiğini ifade edenler de var. Peki bu bilgilerimizi korumak adına neler yapabiliriz? İşte bu noktada bilinçli internet kullanıcısı kavramı devreye giriyor. “Neler yapılabiliriz?” konusunu ayrı bir yazıda inceleyelim. Şimdi sizin için bir phishing postasını analiz ettik ve neler bulduğumuzu paylaşmak istiyoruz.

E-posta hizmetinize web arayüzünden bağlanıyorsanız, muhtemelen bu tür e-postalar Junk vb. Klasörlere taşınıp korunuyorsunuzdur. Bu filtre sisteminin oldukça iyi çalıştığını söyleyebiliriz. Tüm bu güvenlik önlemlerine rağmen, insandaki merak duygusunu tetikleyici bir takım ifadelerle bu postaları açmak isteyenler de olmuyor değil.

Resimlerle beraber e-postayı inceliyoruz.

Resim-1

Resim-1

1. Resim-1’de Thunderbird posta okuyucusuna gelen, gönderen kısmında mantıklı gibi görünen bir kişi tarafından, Linkedin profilinin güncellendiğini belirten ifadeler görüyoruz. Bu ifadelerin hepsi, tıklanabilir bağlantılar içeriyor. Normal olarak, bu bağlantıya tıkladığınızda Linkedin sistemine web tarayıcısıyla gideceğinizi beklersiniz. Ancak işin detayı öyle değil.

Resim-2

Resim-2

2. Thunderbird posta programında bulunan, postanın detaylarını göster (view source) seçeneği ile kaynak kodları incelediğimizde, tıklama sonucu gidilecek adresin gerçekte neresi olduğunu çok net görebiliriz. Resim-2 üzerinde, 1 numara ile gösterilen yazı, ekrana gösterilen bağlantı olsa da 2 numaralı web adresi, tıklayan kişinin gideceği yerdir. Hatta o web adresine gitmekle kalmayıp support.php program parçacığını da çalıştıracaktır. Aynı şekilde 3 numaraya tıkladığınızda gidilecek adreste aynı.

Resim-3

Resim-3

3. Şimdi, her internet kullanıcısının yararlanabileceği whois web sayfasından bu gidilmek üzere kodlanan adresi sorgulatalım (başında http olmadan ve .com kısmı dahil yazmanız yeterli). Sonuçta ulaştığımız bilgilerin görüntülendiği Resim-3’ü inceleyelim.

Resimde 1 numarada, alan adının yalın halini görüyoruz. 2 numarada kayıt yaptıran kişiyi görüyoruz. 3 numarada ise bu alan adı bilgilerinin ne zaman güncellendiğini görüyoruz. ***** li isimli (gerçekten var mı bilinmez) kişi, epostanın gönderildiği 30 Haziran tarihiyle aynı tarihte alan adı bilgisini de güncellemiş. Muhtemelen isim, telefon gibi bilgileri değiştirmiş.

Resim-4

Resim-4

4. Ayrıca, detaylı whois bilgilerini de incelediğimizde karşımıza uzak doğuda bir ülke ve muhtemelen olmayan e-posta, olmayan adres ve telefon ile bir takım şirket bilgilerinin boş olduğunu görüyoruz.

5. Dikkatli davranıp tıklamadığımız bağlantıda çalışacak sorgu sonucunda neler olabileceğinin listesi çok uzun olabilir ancak şöyle ifade edelim. Muhtemelen sisteminize bir küçük program yüklenecek veya IP adresiniz ve işletim sistemi bilgileriniz kayıt altına alınacak o kadar. Bu bilgiler ışığında bir çok saldırıya ve güvenlik ihlaline maruz kalmanız mümkün.

Ev kullanıcısıysanız, internet servis sağlayıcınız büyük ihtimalle IP adreslerini dinamik olarak değiştiriyordur. Ancak, büyük firmalar ve web sunucusu gibi hizmetler sağlayan şirketler sabit IP adresi kullanırlar. Siz de şirket çalışanıysanız ve bu postaya iş yerinizden tıklarsanız, büyük bir açıklığa sebebiyet vermiş olacaksınız.

Lütfen tıklamayın. Tıklamanın o kadar kolay olduğu günümüzde, cep telefonunuzdan bir parmak ucu dokunuşu kadar kolay bu işlemi yapmadan bir daha düşünün.

Önemli bir not:

Linux işletim sisteminde whois ve nslookup komutlarını kullanarak sözü edilen bağlantıları komut satırından da araştırabilirsiniz.

Bu komutla alan adının ip adresini öğrenebilirsiniz.

Sisteminizde whois ve nslookup yüklü değilse, Linux size yükleme yolunu da söyleyecektir.

Resim:By Stomchak (Own work) [CC BY-SA 3.0 or GFDL], via Wikimedia Commons