Merhaba yaşadıgım bırseyın nasıl yapıldıgını merak ettım ve bu konuyu actım ben ıtemsatış itempazar ve gamesatış gıbı sıtelerde satış yapıyorum bazen bana hesap almak ıstıyorum dıyorlar valorant hesaplarını almak ıstıyorlar yada pubg benden mail istiyorlar bende verdım sonra maılıme sankı ıtemsatıs ıtempazardan gelmıs gıbı mesaj atıyorlar ama aynısını yapıyorlar maılın domaın fılancok benzer ve resım de koyuyorlar para dekontu gıbı bunu nasıl yapıyorlar
Phising gibi bişey soru
- Konuyu başlatan Westraax
- Başlangıç tarihi
Çözüm
Merhaba, senin yaşadığın şey aslında klasik phishing / spoofing yöntemi. Adım adım anlatayım:
Sahte domain açma (lookalike domain)
Örn. itemsatis.com yerine itemsatıs.com (Türkçe “ı” harfi),
veya itempazar.com yerine itempazarr.com (fazladan harf),
ya da support-itemsatis.com gibi alt domain görünümlü.
Dışarıdan bakınca neredeyse aynı görünüyor.
E-posta göndermek için SMTP / fake mailer
Açtıkları bu domaini bir mail server’a bağlıyorlar.
Sana bilgi@item-satıs.com gibi gözüken e-posta atabiliyorlar.
Yani “görünüşte” gerçek siteden gelmiş gibi oluyor.
HTML şablon kopyalama
Gerçek sitenin gönderdiği maili kopyalayıp HTML/CSS kodlarını birebir alıyorlar.
Logoyu, tasarımı, renkleri, hatta “fatura/dekont” görsellerini koyuyorlar.
Böylece birebir aynı mailmiş gibi görünüyor.
Dekont / ödeme görseli düzenleme
Photoshop, online PSD editörleri veya hatta fatura şablon sitelerini kullanıp sahte dekont düzenliyorlar.
Bu dekontu maile ekleyip “bak ödeme yaptım” diyorlar.
Gönderen domainine bak:
Örn. @itemsatıs.com yerine @itemsatis.com olması gerek. Küçük farklar olur.
Mail başlıklarını (headers) incele:
Orijinal bir mailde genelde SPF, DKIM, DMARC kayıtları doğrulanır. Sahte olanlarda “failed” yazar.
Linklere dikkat et:
Üstüne gelince gerçek siteye mi gidiyor yoksa farklı domaine mi?
Türkçe karakter oyunları:
ı (noktasız i), l (küçük L) ile I (büyük i), rn yerine m gibi göz yanılmaları çok yaygın.
Amaç: Senin hesap bilgilerini almak (hesap satışı için verdiğin mail/şifre). Veya “ödeme yaptım” bahanesiyle seni yanıltıp hesabı vermeni sağlamak. Çoğu durumda ödeme hiç yapılmıyor, sadece dekont sahte.
Hesap satışında hiçbir zaman mail/şifreyi ödeme doğrulanmadan verme.
“Dekont”a inanma bankadan kendi hesabını kontrol et.
Gelen mailin tam domainine bak, sadece logoya güvenme.
1. Nasıl yapılıyor?
Sahte domain açma (lookalike domain)
Örn. itemsatis.com yerine itemsatıs.com (Türkçe “ı” harfi),
veya itempazar.com yerine itempazarr.com (fazladan harf),
ya da support-itemsatis.com gibi alt domain görünümlü.
Dışarıdan bakınca neredeyse aynı görünüyor.
E-posta göndermek için SMTP / fake mailer
Açtıkları bu domaini bir mail server’a bağlıyorlar.
Sana bilgi@item-satıs.com gibi gözüken e-posta atabiliyorlar.
Yani “görünüşte” gerçek siteden gelmiş gibi oluyor.
HTML şablon kopyalama
Gerçek sitenin gönderdiği maili kopyalayıp HTML/CSS kodlarını birebir alıyorlar.
Logoyu, tasarımı, renkleri, hatta “fatura/dekont” görsellerini koyuyorlar.
Böylece birebir aynı mailmiş gibi görünüyor.
Dekont / ödeme görseli düzenleme
Photoshop, online PSD editörleri veya hatta fatura şablon sitelerini kullanıp sahte dekont düzenliyorlar.
Bu dekontu maile ekleyip “bak ödeme yaptım” diyorlar.
2. Nasıl anlaşılır?
Gönderen domainine bak:
Örn. @itemsatıs.com yerine @itemsatis.com olması gerek. Küçük farklar olur.
Mail başlıklarını (headers) incele:
Orijinal bir mailde genelde SPF, DKIM, DMARC kayıtları doğrulanır. Sahte olanlarda “failed” yazar.
Linklere dikkat et:
Üstüne gelince gerçek siteye mi gidiyor yoksa farklı domaine mi?
Türkçe karakter oyunları:
ı (noktasız i), l (küçük L) ile I (büyük i), rn yerine m gibi göz yanılmaları çok yaygın.
3. Neden yapıyorlar?
Amaç: Senin hesap bilgilerini almak (hesap satışı için verdiğin mail/şifre). Veya “ödeme yaptım” bahanesiyle seni yanıltıp hesabı vermeni sağlamak. Çoğu durumda ödeme hiç yapılmıyor, sadece dekont sahte.
4. Sen ne yapabilirsin?
Hesap satışında hiçbir zaman mail/şifreyi ödeme doğrulanmadan verme.
“Dekont”a inanma bankadan kendi hesabını kontrol et.
Gelen mailin tam domainine bak, sadece logoya güvenme.
Peki sahte e-posta header'ı üzerinden nasıl analiz yaparsın ona değinelim. Diyelim sana şöyle görünen bir mail geldi:
Gönderen: [email protected]
Ama aslında sahte.
Mail Header’ını Aç: Her e-posta istemcisinde (Gmail, Outlook, Yandex, vs.) “Show original / Kaynağı göster / Mesaj kaynağı” seçeneği vardır. Burada aşağıdaki gibi uzun teknik satırlar görürsün. Örnek (vbnet):
Nerelere bakmam gerekir?
Görünüşte: [email protected] olabilir. Ama dikkat et: bazen odeme@itemsatıs.com (noktasız i) gibi benzer domain kullanılır. Gerçek mail hangi IP’den geldiğini gösterir. Örn: 185.34.56.78 gibi alakasız bir IP görünüyorsa bu sahte sunucudur. Gerçek bankanın ya da sitenin mailleri genelde kendi alan adıyla (mail.itemsatis.com) ve bilinen IP bloklarından gelir.
SPF (Sender Policy Framework) “Bu domainin adına bu IP mail gönderebilir mi?” kontrolü. Pass >>> büyük ihtimal gerçek. Fail >>> sahte.
DKIM (DomainKeys Identified Mail): Mailin içeriği gerçekten o domain tarafından imzalanmış mı? Eğer none veya fail ise, gönderici o domainin sahibi değil.
DMARC: SPF ve DKIM sonuçlarını kontrol eden üst protokol. Eğer fail ise, mail sahte olabilir.
Gerçek site:
Sahte site:
Buradan hemen anlarsın: gönderici görselde gerçek görünüyor ama doğrulama kayıtları başarısız. Özetlemek gerekirse:
Maili aç >>> Kaynağı görüntüle. Ctrl+F ile SPF, DKIM, DMARC ara. “fail” görürsen >>> sahte. Domainin yazımına harf harf bak. “Received from” IP’sini Whois ile sorgula (gerçek kurumun IP bloğu mu?).
Gönderen: [email protected]
Ama aslında sahte.
Mail Header’ını Aç: Her e-posta istemcisinde (Gmail, Outlook, Yandex, vs.) “Show original / Kaynağı göster / Mesaj kaynağı” seçeneği vardır. Burada aşağıdaki gibi uzun teknik satırlar görürsün. Örnek (vbnet):
Kod:
Received: from mail.fake-server.com (mail.fake-server.com. [185.34.56.78])
by mx.google.com with ESMTPS id abc123...
From: "Item Satış" <odeme@itemsatıs.com>
To: [email protected]
Subject: Ödeme Dekontu
SPF: FAIL with ip 185.34.56.78
DKIM: none
DMARC: failNerelere bakmam gerekir?
Görünüşte: [email protected] olabilir. Ama dikkat et: bazen odeme@itemsatıs.com (noktasız i) gibi benzer domain kullanılır. Gerçek mail hangi IP’den geldiğini gösterir. Örn: 185.34.56.78 gibi alakasız bir IP görünüyorsa bu sahte sunucudur. Gerçek bankanın ya da sitenin mailleri genelde kendi alan adıyla (mail.itemsatis.com) ve bilinen IP bloklarından gelir.
SPF (Sender Policy Framework) “Bu domainin adına bu IP mail gönderebilir mi?” kontrolü. Pass >>> büyük ihtimal gerçek. Fail >>> sahte.
DKIM (DomainKeys Identified Mail): Mailin içeriği gerçekten o domain tarafından imzalanmış mı? Eğer none veya fail ise, gönderici o domainin sahibi değil.
DMARC: SPF ve DKIM sonuçlarını kontrol eden üst protokol. Eğer fail ise, mail sahte olabilir.
Gerçek site:
Kod:
From: [email protected]
Received: from mail.itemsatis.com (mail.itemsatis.com. [104.20.15.1])
SPF: pass
DKIM: pass
DMARC: passSahte site:
Kod:
From: odeme@itemsatıs.com ← Türkçe “ı”
Received: from randomserver.net (185.34.56.78)
SPF: fail
DKIM: none
DMARC: failMaili aç >>> Kaynağı görüntüle. Ctrl+F ile SPF, DKIM, DMARC ara. “fail” görürsen >>> sahte. Domainin yazımına harf harf bak. “Received from” IP’sini Whois ile sorgula (gerçek kurumun IP bloğu mu?).
