<![CDATA[TurkishCode Bilgisayar & Bilişim Topluluğu - E-Posta Güvenliği]]> https://forum.turkishcode.com/ Sun, 05 Apr 2026 21:55:56 +0000 MyBB <![CDATA[Süperonline "Phishing" Hakkında Uyarıyor]]> https://forum.turkishcode.com/konu-superonline-phishing-hakkinda-uyariyor.html Thu, 17 Mar 2016 12:02:18 +0000 root]]> https://forum.turkishcode.com/konu-superonline-phishing-hakkinda-uyariyor.html
Görünen o ki mail sahteciliğinde superonline adı da kullanılmakta. Bir çok yazı yazılmasına, haber yapılmasına, hatta çevremizde örnekleri ile karşılaşmamıza rağmen hala içimizde bu sahteciliğin farkına varamadan bilgilerini, verilerini karşı tarafa kendi eliye bilmeden verenlerimiz malesef mevcut.

İşte Superonline uyarı mesajı:

Turkcell Superonline tarafından gönderiliyor gibi görünen "Ödenmemiş Hesap var" , "Hesabınızda Borç Var" , "Hesabınız Elinizde" gibi konu başlıklarına sahip, zararlı yazılım içeren e-postalar tespit edilmiştir. "Phishing" olarak isimlendirilen bu tip saldırılara karşı kendinizi korumak için; 

  • Tanımadığınız kişilerden gelen,

  • Sizinle ilgili olmayan bilgiler içeren,

  • Şüpheli içerik barındırdığını düşündüğünüz, e-postalardaki ekli dosyaları ve bağlantıları kesinlikle çalıştırmamanızı ve açmamanızı öneririz.
]]>
Görünen o ki mail sahteciliğinde superonline adı da kullanılmakta. Bir çok yazı yazılmasına, haber yapılmasına, hatta çevremizde örnekleri ile karşılaşmamıza rağmen hala içimizde bu sahteciliğin farkına varamadan bilgilerini, verilerini karşı tarafa kendi eliye bilmeden verenlerimiz malesef mevcut.

İşte Superonline uyarı mesajı:

Turkcell Superonline tarafından gönderiliyor gibi görünen "Ödenmemiş Hesap var" , "Hesabınızda Borç Var" , "Hesabınız Elinizde" gibi konu başlıklarına sahip, zararlı yazılım içeren e-postalar tespit edilmiştir. "Phishing" olarak isimlendirilen bu tip saldırılara karşı kendinizi korumak için; 

  • Tanımadığınız kişilerden gelen,

  • Sizinle ilgili olmayan bilgiler içeren,

  • Şüpheli içerik barındırdığını düşündüğünüz, e-postalardaki ekli dosyaları ve bağlantıları kesinlikle çalıştırmamanızı ve açmamanızı öneririz.
]]> <![CDATA[Mail İle Banka Sahteciliği]]> https://forum.turkishcode.com/konu-mail-ile-banka-sahteciligi.html Wed, 07 Oct 2015 08:39:50 +0000 root]]> https://forum.turkishcode.com/konu-mail-ile-banka-sahteciligi.html
Bilgisi az olan vs. kişiler bu maile tıklayabilir tıkladığında ise olumsuz sonuçlarla karşılaşabilir. Banka bilgileri çalınması vs gibi.

Mail İçeriği aynen şöyle;

[Resim: er3inep3.png]


Nasıl anlarız peki bu mailin sahte olduğunu?

Hemen anlatayım şöyle;

1. Öncelikli  kimdem gelmiş bakıyoruz ve "root@akbankasi.co.uk" adresinden gelmiş ki bahsi geçen bankanın mail adresleri ile alakası yok.


2. Olarak bahsi geçen bizden tıklamamızı istediği linki incelersek "http://internetsubesi.akbankasi.com" şeklinde fakat gerçek adres ise "https://internetsubesi.akbank.com" şeklindedir. Aradaki fark bariz ortada ve sahte olan adrese "who is domain" sorgusu yaptığımızda ise 06.10.2015 tarihinde açıldığını görüyoruz ayrıca diğer bilgileride alakasız ve alan adı daha yeni oluşturulmuş. Bizi keklemek istediği gayet ortada.

Bağlantıya tıkladğımızda ise Akbank İnternet Şubesi'nin tıpatıp aynısı ile karşılaşıyoruz. Eğerki doğru bilgileri  girersek eyvah Smile]]>
Bilgisi az olan vs. kişiler bu maile tıklayabilir tıkladığında ise olumsuz sonuçlarla karşılaşabilir. Banka bilgileri çalınması vs gibi.

Mail İçeriği aynen şöyle;

[Resim: er3inep3.png]


Nasıl anlarız peki bu mailin sahte olduğunu?

Hemen anlatayım şöyle;

1. Öncelikli  kimdem gelmiş bakıyoruz ve "root@akbankasi.co.uk" adresinden gelmiş ki bahsi geçen bankanın mail adresleri ile alakası yok.


2. Olarak bahsi geçen bizden tıklamamızı istediği linki incelersek "http://internetsubesi.akbankasi.com" şeklinde fakat gerçek adres ise "https://internetsubesi.akbank.com" şeklindedir. Aradaki fark bariz ortada ve sahte olan adrese "who is domain" sorgusu yaptığımızda ise 06.10.2015 tarihinde açıldığını görüyoruz ayrıca diğer bilgileride alakasız ve alan adı daha yeni oluşturulmuş. Bizi keklemek istediği gayet ortada.

Bağlantıya tıkladğımızda ise Akbank İnternet Şubesi'nin tıpatıp aynısı ile karşılaşıyoruz. Eğerki doğru bilgileri  girersek eyvah Smile]]> <![CDATA[CryptoLocker Virüsü Nedir ve Nasıl Bulaşır?]]> https://forum.turkishcode.com/konu-cryptolocker-virusu-nedir-ve-nasil-bulasir.html Wed, 07 Oct 2015 07:17:28 +0000 root]]> https://forum.turkishcode.com/konu-cryptolocker-virusu-nedir-ve-nasil-bulasir.html CryptoLocker Virüsü Nedir?


Fidyeci (ransomware) truva atıdır[1]Microsoft Windows işletim sistemlerini hedef alır. İnternet üzerinde ilk olarak 5 Eylül 2013 tarihinde görülmüştür[2]. CryptoLocker, virüslü e-posta eklerinden bilgisayara bulaşarak, bilgisayara bağlı depolama birimlerindeki ve bilgisayara bağlı ağlarda bulunan belirli türlerdeki dosyaları şifreler. Daha sonra kullanıcıya, şifreli dosyaların çözülmesi için yüksek miktarda ödeme yapılmasını teklif eden bir mesaj görüntüler. Ödeme yöntemi olarak Bitcoin istemektedir ve belirlenen süre içersinde ödenmediği takdirde şifreli dosyaların geri getirilemeyeceğini tehtidinde bulunur.

CRYPTOLOCKER VİRÜSÜ NASIL BULAŞIR?

1 . Zararlı yazılım fatura epostaları şeklinde kullanıcılara eposta göndermektedir.


[Resim: li6jwy4n.png]
Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta
Şekil 1’de gösterildiği üzere fatura tutarı yüksek bir miktardır. Faturanın yüksek tutarından ötürü fatura hakkında bilgi almak isteyen kullanıcılar faturayı görmek istediklerinde Şekil 2’ de gösterilen web adresine yönlendirilmektedirler.

[Resim: ejc2rmdf.png]
Şekil 2- Fatura İndirme Sayfası
Kapçayı(doğrulama kodu) girip indir butonuna tıklanıldığında “.zip” uzantılı bir dosya indirmektedir. Bu dosyanın içinde ise “.exe” uzantılı fatura dosyası bulunmaktadır.


[Resim: idlu29gp.jpg]
Şekil 3-İndirilen Zararlı Dosya
İndirilen bu zararlı yazılım çalıştırıldığında ise zararlı yazılım kullanıcının bilgisayarına bulaşmakta ve içi boş olmayan .doc, .docx, .pdf, JPEG, odt, .txt, .7z, .rar, .zip tipinde olan dosyalar şifrelenmektedir. Şifrelenen dosyaların yeni uzantıları .encrypted olmaktadır. Şekil 4’te bu durum gösterilmektedir.


[Resim: 5nvnyhcq.png]
Şekil 4- Şifrelenen Veriler

[Resim: bq4sfzq4.png]
Şekil 5- Verilerin Şifrelenmesinden Sonra Ekrana Çıkan Görüntü

Zararlı yazılım bilgisayardaki verileri şifreleme işlemini bitirdikten sonra ekrana Şekil 5’teki gibi bir sayfa çıkarmaktadır. Görüldüğü üzere zararlı yazılım şifrelenen veriler karşılığında Şifre çözme yazılımı adı altında bir yazılımın satın alınmasını istemektedir.



[Resim: vkvv8mz8.png]
Şekil 6- Şifre Çözme Yazılımı Satın Alma Şekli ve Tutarı
Şekil 5’ te çıkan görüntüdeki linke tıklandığında aslında tor ağı üzerinde olan fakat bir tor proxy hizmeti veren sunucu üzerinden erişilebilen Şekil 6’ daki gibi kişiye özel bir web sayfasına yönlendirilme yapılmaktadır.
Şifre çözme yazılımının satın alınması konusunda ise 96 saat içinde satın alımı durumunda 2398 liradan 1198 liraya kadar indirim yapmaktadır.

Zararlı yazılım ilk yayıldığında antivirüs firmalarının büyük bir çoğunlu tarafından tanınmamıştır. Virustotal sonuçları Şekil 7’de gösterilmektedir.



[Resim: cyd6l2mn.png]
Şekil 7- Antivirüs Firmalarının CryptoLocker Sonuçları

Dikkat Edilmesi Gerekenler

CryptoLocker gibi eposta yoluyla gelen zararlı yazılımlardan etkilenmemek için gelen eposta adreslerine çok dikkat edilmelidir. Şekil 8’de gerçek bir ttnet fatura eposta adresi ile Şekil 9’da zararlı yazılımının eposta adresleri gösterilmektedir.
[Resim: eyzfdor8.png]
Şekil 8- Gerçek TTNet Fatura Gönderim Adresi

[Resim: gi2ou8yf.png]
Şekil 9- Sahte Fatura Gönderim Adresi
TTNet'in fatura görüntüleme adresi "https//:efatura.ttnet.com.tr" iken zararlı yazılımın kullandığı ise "efatura.ttnet-fatura.info" ve “efatura.ttnet-fatura.biz" adresleridir.
Eposta olarak gönderilen faturaların uzantılarına dikkat edilmelidir. CyrptoLocker zararlı yazılımı bir .exe dosyasıdır. Oysaki TTNet faturaları pdf şeklinde göstermektedir. Dosyaların uzantıları bilgisayarlarda normalde görünmemektedir. Dosya uzantılarını görebilmek için klasör ayarlarından bilinen dosya türleri için uzantılarını gösterme (Hide extensions for known types) ayarı değiştirilmelidir. Şekil 10’da bu ayarlama gösterilmektedir. 

[Resim: hw4fhsyn.png]
Şekil 10- Dosya Uzantılarının Gösterimi İçin Yapılandırma

Aynı zamanda Ttnet faturaları kullanıcılara faturaları indirtmek yerine browserda göstermektedir. Şekil 11‘ da gerçek Ttnet fatura görüntüleme ekranı gösterilmektedir. Şekil 2’de ise sahte sayfa gösterilmiştir.


[Resim: 79w7xwjj.jpg]
Şekil 11- Gerçek Fatura Görüntüleme Sayfası
Sonuç olarak, internetten indirilen dosyalar, epostalar açılmadan önce dikkatle okunmalıdır. Epostayı gönderen adreslere, epostanın içeriğine, indirilen dosyanın uzantısına dikkat edilmeli ve emin olunduktan sonra dosyalar açılmalıdır.

Alıntıdır.]]> CryptoLocker Virüsü Nedir?


Fidyeci (ransomware) truva atıdır[1]Microsoft Windows işletim sistemlerini hedef alır. İnternet üzerinde ilk olarak 5 Eylül 2013 tarihinde görülmüştür[2]. CryptoLocker, virüslü e-posta eklerinden bilgisayara bulaşarak, bilgisayara bağlı depolama birimlerindeki ve bilgisayara bağlı ağlarda bulunan belirli türlerdeki dosyaları şifreler. Daha sonra kullanıcıya, şifreli dosyaların çözülmesi için yüksek miktarda ödeme yapılmasını teklif eden bir mesaj görüntüler. Ödeme yöntemi olarak Bitcoin istemektedir ve belirlenen süre içersinde ödenmediği takdirde şifreli dosyaların geri getirilemeyeceğini tehtidinde bulunur.

CRYPTOLOCKER VİRÜSÜ NASIL BULAŞIR?

1 . Zararlı yazılım fatura epostaları şeklinde kullanıcılara eposta göndermektedir.


[Resim: li6jwy4n.png]
Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta
Şekil 1’de gösterildiği üzere fatura tutarı yüksek bir miktardır. Faturanın yüksek tutarından ötürü fatura hakkında bilgi almak isteyen kullanıcılar faturayı görmek istediklerinde Şekil 2’ de gösterilen web adresine yönlendirilmektedirler.

[Resim: ejc2rmdf.png]
Şekil 2- Fatura İndirme Sayfası
Kapçayı(doğrulama kodu) girip indir butonuna tıklanıldığında “.zip” uzantılı bir dosya indirmektedir. Bu dosyanın içinde ise “.exe” uzantılı fatura dosyası bulunmaktadır.


[Resim: idlu29gp.jpg]
Şekil 3-İndirilen Zararlı Dosya
İndirilen bu zararlı yazılım çalıştırıldığında ise zararlı yazılım kullanıcının bilgisayarına bulaşmakta ve içi boş olmayan .doc, .docx, .pdf, JPEG, odt, .txt, .7z, .rar, .zip tipinde olan dosyalar şifrelenmektedir. Şifrelenen dosyaların yeni uzantıları .encrypted olmaktadır. Şekil 4’te bu durum gösterilmektedir.


[Resim: 5nvnyhcq.png]
Şekil 4- Şifrelenen Veriler

[Resim: bq4sfzq4.png]
Şekil 5- Verilerin Şifrelenmesinden Sonra Ekrana Çıkan Görüntü

Zararlı yazılım bilgisayardaki verileri şifreleme işlemini bitirdikten sonra ekrana Şekil 5’teki gibi bir sayfa çıkarmaktadır. Görüldüğü üzere zararlı yazılım şifrelenen veriler karşılığında Şifre çözme yazılımı adı altında bir yazılımın satın alınmasını istemektedir.



[Resim: vkvv8mz8.png]
Şekil 6- Şifre Çözme Yazılımı Satın Alma Şekli ve Tutarı
Şekil 5’ te çıkan görüntüdeki linke tıklandığında aslında tor ağı üzerinde olan fakat bir tor proxy hizmeti veren sunucu üzerinden erişilebilen Şekil 6’ daki gibi kişiye özel bir web sayfasına yönlendirilme yapılmaktadır.
Şifre çözme yazılımının satın alınması konusunda ise 96 saat içinde satın alımı durumunda 2398 liradan 1198 liraya kadar indirim yapmaktadır.

Zararlı yazılım ilk yayıldığında antivirüs firmalarının büyük bir çoğunlu tarafından tanınmamıştır. Virustotal sonuçları Şekil 7’de gösterilmektedir.



[Resim: cyd6l2mn.png]
Şekil 7- Antivirüs Firmalarının CryptoLocker Sonuçları

Dikkat Edilmesi Gerekenler

CryptoLocker gibi eposta yoluyla gelen zararlı yazılımlardan etkilenmemek için gelen eposta adreslerine çok dikkat edilmelidir. Şekil 8’de gerçek bir ttnet fatura eposta adresi ile Şekil 9’da zararlı yazılımının eposta adresleri gösterilmektedir.
[Resim: eyzfdor8.png]
Şekil 8- Gerçek TTNet Fatura Gönderim Adresi

[Resim: gi2ou8yf.png]
Şekil 9- Sahte Fatura Gönderim Adresi
TTNet'in fatura görüntüleme adresi "https//:efatura.ttnet.com.tr" iken zararlı yazılımın kullandığı ise "efatura.ttnet-fatura.info" ve “efatura.ttnet-fatura.biz" adresleridir.
Eposta olarak gönderilen faturaların uzantılarına dikkat edilmelidir. CyrptoLocker zararlı yazılımı bir .exe dosyasıdır. Oysaki TTNet faturaları pdf şeklinde göstermektedir. Dosyaların uzantıları bilgisayarlarda normalde görünmemektedir. Dosya uzantılarını görebilmek için klasör ayarlarından bilinen dosya türleri için uzantılarını gösterme (Hide extensions for known types) ayarı değiştirilmelidir. Şekil 10’da bu ayarlama gösterilmektedir. 

[Resim: hw4fhsyn.png]
Şekil 10- Dosya Uzantılarının Gösterimi İçin Yapılandırma

Aynı zamanda Ttnet faturaları kullanıcılara faturaları indirtmek yerine browserda göstermektedir. Şekil 11‘ da gerçek Ttnet fatura görüntüleme ekranı gösterilmektedir. Şekil 2’de ise sahte sayfa gösterilmiştir.


[Resim: 79w7xwjj.jpg]
Şekil 11- Gerçek Fatura Görüntüleme Sayfası
Sonuç olarak, internetten indirilen dosyalar, epostalar açılmadan önce dikkatle okunmalıdır. Epostayı gönderen adreslere, epostanın içeriğine, indirilen dosyanın uzantısına dikkat edilmeli ve emin olunduktan sonra dosyalar açılmalıdır.

Alıntıdır.]]>