Bu gün çok korktuğum ve ne yapacağımı bilemediğim, kolluk kuvvetlerinden destek bile alamayacağım bir e-posta aldım. Önce elim sonra da ayaklarım titredi. Halk arasında deriz ya elim ayağım titredi ve sonra da boşaldı. Aynen buna benzer bir durum oldu bende :)
Bu arkadaşın göndermiş olduğu e-posta ya baktığım zaman benzer bir durum daha önce de olmuş galiba ve kendisi seyri sefa yapmış. Bu görüntülerimin sizlerin zaman tünelinde yer almaması için talep etmiş olduğu ödemeyi yapacaktım ki “yer mi ulan Anadolu çocuğu” dedim ve ileti analizi yaptım.
Bu gün paylaşacak olduğum bu Sosyal Mühendislik Saldırısının nasıl yapıldığını Microsoft Exchange Server Reputation ve SMTP Gateway IP İtibarı konu başlıklı video içinde detaylı olarak anlatmıştım. İterseniz bu blog yazısından sonra isterseniz de burada bir ara verip video çalışmasını izledikten sonra blog yazısına devam edebilirsiniz.
Ben şimdi Hesabın Hack’lendi. Verilerin çalındı konu başlıklı blog yazısına geri dönüyorum ve posta kutuma gelen ve önemsiz posta kutusuna düşen ki neden önemsiz posta kutusuna düştüğünü de ayrıca paylaşacağım e-posta yı aşağıya bırakıyorum.
Hesabın Hack’lendi. Verilerin çalındı.
Sizin de dikkatinizi çekeceği gibi çok temiz bir dil ile ve dikte ederek yazılmış bir eposta. Mağdur olan kişi de psikolojik üstünlük oluşturacak şekilde yazılmış, konuyu net bir şekilde anlatılmış, sebep sonuç ilişkisi ile bitirilmiş.
Mailin detaylarına girmiyorum yukarıda paylaştığım ekran görüntüsü içinde detaylı olarak yazmakta. Ben bu mailin teknik tarafını, arka tarafta ne olup bittiğini sizlere paylaşacağım.
Exchange Server Hack’lendi
İletinin içeriğini okuduktan sonra bu e-posta nın kimden geldiğini merak ediyor olabilirsiniz. Bingo, mail sizden gelmekte. Yani bu hack mailini bana gönderen yine benim. Kendi-kendime ifşa yapmakta ve kendini tehtit etmekteyim.
Saldırganın bana detaylı olarak yazmış olduğu gönderi içinde de bu belirtilmişti zaten. Hakkın da suç duyurusunda bulunmam bir işe yaramayacağını zaten belirtmiş ve asla hata yapmayacağını da söylemişti.
Saldırgan ‘ın söylediği gibi, ben kendi-kendime böyle bir mail gönderebiliyorsam ve alabiliyorsam eğer bilgisayarım yada E-posta alt yapım gerçekten saldırıya uğramış ve bir zafiyet gerçekten var mıdır? Talep etmiş olduğu ödemeyi gönderip, özel videolarımın sizlerin zaman tüneline düşmesini engellemem gerekiyor mu diye düşünürken gelen e-posta nın internet headers analizini yapmak istedim.
Email Internet Headers
Bana gelen tehdit e-postasının internet headers bilgilerini yukarıda görebilmektesiniz. Son kullanıcılar için anlamsız veriler, bilgiler olsa bile bir çok detayı içinde barındırmaktadır.
Email Internet Headers içeriğini kopyalıyorum ve bir analiz çözücü yardımıyla mail içeriğini teknik olarak anlamaya çalışıyorum. Mxtoolbox üzerinde bunu rahatlıkla yapabilirsiniz.
email Header Analyzed
Email Header Analyzed aracı ile iletinin içeriğini çözebilir ve bir iletinin ilk çıkış yapmış olduğu yer ile hedefe varmış olduğu noktalar arasında nerelere gittiğini görebilirsiniz. Bu sağlıklı ve güvenli bir e-mail iletişimi için her bir nokta tarafından mühürlenen noktaları bizlere söylemektedir.
Email Header Analyzed aracınnın çıktılarını incelediğim zaman 45-191-61-12 ip adresinden çıkış yaptığını görebilmektesiniz. Kullanmakta olduğum e-posta alt yapısı Microsoft Office 365 ve Microsoft Office 365 alt yapısının sahip olduğu IP adreslerini de Office 365 URLs and IP address ranges sayfasından kontrol ediyorum. Sizlerin de göreceği üzere bu IP adresi Office 365 IP adres havuzunda bulunmamakta.
Exchange Server Hack IP Details
Office 365 URLs and IP address ranges sayfasında 45.191.61.12 IP adresi görülmemekte. Duruma biraz daha şüphe ile yaklaşıyorum ve diyorum ki Microsoft yeni bir veri merkezi açtı ve benim bundan haberim yok ve Office 365 URLs and IP address ranges sayfasını güncellememiş olabilir mi? Bu soruma cevap vermek için de 45.191.61.12 IP adresinin nerede olduğunu bakıyorum. 45.191.61.12 ip adresi Brazil ‘ya da bulunan bir veri merkezinde. Microsoft Azure ‘nin bu rada bu IP adresi arkasında bir veri merkezi olmadığını biliyorum.
Microsoft Exchange Server Reputation ve SMTP Gateway IP İtibarı konu başlıklı video çalışmasını izlemeden buraya kadar geldiyseniz eğer burada bir ara vermenizi ve video yu izlemenizi önermekteyim. Video çalışmasında aşağıda ki bölümde bu konuyu çok sade bir dil ile anlatmaya çalışmıştım.
Bu örneği Exchange server için verdim ama üçüncü taraf bir e-posta sistemi de olabilir.
Günümüz güvenlik tehtitleri o kadar gelişti ki bunun senaryo da ki tehtit için Exchange Server kurmasına bile gerek yok.
Ufak bir yazılım bile bu kandırmayı yapabilmektedir.
Kurulan bu e-posta sistemi yada hangi alt yapıyı kullanıyorsa kullansın, bizim exchange server ‘lardan bağımsız olarak sizlere de e-posta gönderebilir.
Ve hatta, bu kurulan yalan, gerçek olmayan e-posta sisteminde fatih.karaalioglu diye bir hesap açıldıysa benim adıma, sizlere e-posta gönderebilir.
Bu bilinen bir zaafiyettir ve bu zafiyette çok kullanılmaktadır.
Bir saldırgan, benim domain bilgilerimi çok basit bir şekilde taklit edebilir ama taklit edemeyecek olduğu bana ait olan IP adresi, IP adresimin bulunduğu veri merkezi ve bu durumda olduğu gibi Office 365 Tenant verilerimi taklit edemiyor.
Özet ile e-posta alt yapım güvende. Saldırgan ‘ın beni tehtit ettiği gibi bilgisayarımda bir zafiyet bulunmamakta ve elinde de sizlerin zaman tünelini süsleyecek bir video bulunmamakta.
Ama merak kötü bir şey, insanın gereksiz yere zamanını da almıyor değil. Hani yazı başında dile getirmiştim “Anadolu Çocuğu bunları yer mi” diye. Oltaya gelen var mı diye de bakmadım değil.
Exchange Server Hack Bitcoin BTC
Saldırganın paylaşmış olduğu Bitcoin cüzdanına baktığım zaman 29 Temmuz tarihinde bir kişinin bu oltaya geldiğini ve saldırgana talep etmiş olduğu ödemeyi gönderdiğini görebilmekteyim.
Siz siz olun, bu türde gelen maillere itibar etmeyin, bir şüpheniz varsa da uzman bir kişi tarafından destek almanızı önermekteyim.
