Mail Saldırılarını Engelleyin! Detaylı Mail İnceleme
Selam, ben Hé-ll, bugün size mail güvenliği hakkında bilgi vereceğim. Öncelikle mail kutunuza bir sürü saçma sapan e-mail gelebilir. Bunun sebebi kayıt olduğunuz bir yerin hacklenmesi / databasesinin ele geçirilmesidir. Kayıt olduğunuz her hangi bir yerin hacklenip hacklenmediğini görmek için:
adresine giriyoruz. Ardından mail adresimizi yazıyoruz.
Eğer mailiniz her hangi bir şekilde sızdırılmışsa, böyle bir uyarı alacaksınız. Nereden sızıldığını görmek için ise:
Selam, ben Hé-ll, bugün size mail güvenliği hakkında bilgi vereceğim. Öncelikle mail kutunuza bir sürü saçma sapan e-mail gelebilir. Bunun sebebi kayıt olduğunuz bir yerin hacklenmesi / databasesinin ele geçirilmesidir. Kayıt olduğunuz her hangi bir yerin hacklenip hacklenmediğini görmek için:
adresine giriyoruz. Ardından mail adresimizi yazıyoruz.
Eğer mailiniz her hangi bir şekilde sızdırılmışsa, böyle bir uyarı alacaksınız. Nereden sızıldığını görmek için ise:
Breaches you were pwned in
kısmına bakmamız lazım.
Gördüğünüz gibi; steamda çok popüler olan ve kitlesi olan bir oyun hacklenmiş ve e postam sızdırılmış. Ayrıca kullanıcı adım, ip adresim, satın alma geçmişim ve şifrelerim (hashlı) sızdırılmış. Bu gerçekten çok kötü ve saçma. Yani eğer böyle bir saldırıya maruz kaldıysanız kesinlikle şifrelerinizi değiştirin. Gelelim önlem almaya, datamız sızdırıldı ve mail adresimize saçma sapan attachmentler içeren mailler geliyor. Gelin hep beraber bir mail analizi yapalım.
1 - Öncelikle gelen maili inceleyelim:
Gördüğünüz gibi, "Rank Math" adlı wordpress pluginine kayıt olduğum için gelen bir mail. SEO adına gelen bir mail, her hangi bir attachment içermiyor ama link içeriyor. Neden spam'a düştü? Bunun bir sürü sebebi olabilir, ilk bakışta gerçek bir mail olduğunu, firmanın yolladığını anladım. Ama incelemeye devam edelim.
2 - Sağ üstteki alt alta sıralanmış 3 noktaya basalım ve "Orijinali Göster" seçeneğine tıklayalım:
Evet, işaretli alanlar önemli kısımlarımız olacak. Gönderen mail adresi [email protected] şeklinde, ama bu bir phishing mail'i olabilir, ya da firmanın SMTP sunucusu hacklenmiş, bu mesajı gönderen saldırgan olabilir. Bu yüzden hâla tetikte olmam lazım. DKIM ve SPF kısmı pass geçmiş, yani gönderen kişiyi google doğruluyor. Ama hâla emin değilim, bu yüzden SPF kısmındaki ip adresini inceleyeceğim. Öncelikle abuseipdb'e girip bir araştırıyorum.
Hmm, databasede bulundu. Fakat her hangi bir sıkıntı görünmüyor, bir kaç kişi e-mail spammer olarak işaretlemiş ama kesin bir şey diyemeyiz. IP Adresi konusunda hâla emin olamadım. Virustotal'den taratıyorum.
Burada en önemli yer Comments (Community) kısmı idi ama her hangi bir yorum yok. Bu az da olsa içimi rahatlattı. Eğer phishing olsaydı reportlanırdı. Ama belki de ilk kez görülüyor, yani hâla tedirginim. WHOIS bilgilerini kontrol ediyorum (VT tarama kısmından) her hangi bir tuhaf veya şüpheli, sonuç çıkmıyor.
3 - From - Reply-to Uyuşmazlığı?
Bunu anlamak için iletimin orijinaline geri dönüp aşağıya kaydırıyorum.
Evet, from ve reply-to birbiri ile uyuşuyor. Artık mesajın güvenilir olduğundan %50 olarak eminim. Gerisi iletideki dosya ve linkleri kontrol etmekte kalıyor. İlgili şirket'in SMTP sunucusu hacklenmiş olabilir. Bu sebeple; link ve attachmentları da kontrol etmem gerekiyor. Bu analize girdiği için bir sonraki konuda anlatacağım.
DAHA DETAYLI İNCELEME İÇİN: İletinin gönderilme saniyesine bakabilirsiniz. Bir güvenli ileti genelde 1-40 saniye arasında gelmektedir. Örnek olarak, Google (1sn):
Mailchimp (4sn):
Quora (1sn):
Bu sizi yanıltmasın, kesinlikle buna göre karar vermeyin. Bir faktör olarak cebinizde kalsın.
NOT: Örnekteki mail 285 saniye sonra iletilmiş.
Umarım konu yararlı olmuştur, bilgilenmişsinizdir. Saygı ve sevgilerimle...
1 - Öncelikle gelen maili inceleyelim:
Gördüğünüz gibi, "Rank Math" adlı wordpress pluginine kayıt olduğum için gelen bir mail. SEO adına gelen bir mail, her hangi bir attachment içermiyor ama link içeriyor. Neden spam'a düştü? Bunun bir sürü sebebi olabilir, ilk bakışta gerçek bir mail olduğunu, firmanın yolladığını anladım. Ama incelemeye devam edelim.
2 - Sağ üstteki alt alta sıralanmış 3 noktaya basalım ve "Orijinali Göster" seçeneğine tıklayalım:
Evet, işaretli alanlar önemli kısımlarımız olacak. Gönderen mail adresi [email protected] şeklinde, ama bu bir phishing mail'i olabilir, ya da firmanın SMTP sunucusu hacklenmiş, bu mesajı gönderen saldırgan olabilir. Bu yüzden hâla tetikte olmam lazım. DKIM ve SPF kısmı pass geçmiş, yani gönderen kişiyi google doğruluyor. Ama hâla emin değilim, bu yüzden SPF kısmındaki ip adresini inceleyeceğim. Öncelikle abuseipdb'e girip bir araştırıyorum.
Hmm, databasede bulundu. Fakat her hangi bir sıkıntı görünmüyor, bir kaç kişi e-mail spammer olarak işaretlemiş ama kesin bir şey diyemeyiz. IP Adresi konusunda hâla emin olamadım. Virustotal'den taratıyorum.
Burada en önemli yer Comments (Community) kısmı idi ama her hangi bir yorum yok. Bu az da olsa içimi rahatlattı. Eğer phishing olsaydı reportlanırdı. Ama belki de ilk kez görülüyor, yani hâla tedirginim. WHOIS bilgilerini kontrol ediyorum (VT tarama kısmından) her hangi bir tuhaf veya şüpheli, sonuç çıkmıyor.
3 - From - Reply-to Uyuşmazlığı?
Bunu anlamak için iletimin orijinaline geri dönüp aşağıya kaydırıyorum.
Evet, from ve reply-to birbiri ile uyuşuyor. Artık mesajın güvenilir olduğundan %50 olarak eminim. Gerisi iletideki dosya ve linkleri kontrol etmekte kalıyor. İlgili şirket'in SMTP sunucusu hacklenmiş olabilir. Bu sebeple; link ve attachmentları da kontrol etmem gerekiyor. Bu analize girdiği için bir sonraki konuda anlatacağım.
DAHA DETAYLI İNCELEME İÇİN: İletinin gönderilme saniyesine bakabilirsiniz. Bir güvenli ileti genelde 1-40 saniye arasında gelmektedir. Örnek olarak, Google (1sn):
Mailchimp (4sn):
Quora (1sn):
Bu sizi yanıltmasın, kesinlikle buna göre karar vermeyin. Bir faktör olarak cebinizde kalsın.
NOT: Örnekteki mail 285 saniye sonra iletilmiş.
Umarım konu yararlı olmuştur, bilgilenmişsinizdir. Saygı ve sevgilerimle...
Son düzenleme:
