Thursday, April 30, 2020

Vahşi Fantezilerim Var! Siber Şantaj Maili Gelirse Nelere Bakmak Gerek?



Aşağıdaki mail geldi: 



Üstelik, gönderici de, alıcı da ben mişim gibi duruyor. 



Senaryo 2-3 yıldır alışkın olduğumuz “elimizde porno izlerken çekilmiş görüntüleriniz” var senaryosunun bir türevi. Siber şantajın nasıl yapıldığına ve siber şantajla karşılaştığımızda neleri kontrol edebileceğimize bakalım.
 

Siber Şantaj Nasıl Yapılıyor?

Siber şantaj mailleri istatistikler ve varsayımlar üzerine kuruludur. İnternet kullananların bir kısmının yetişkin içerik barındıran siteleri ziyaret ettikleri varsayımından yola çıkarak ihtimaller üzerine oynarlar. İnternet üzerinden indirilen içeriğin %35’inin yetişkin içerik olduğunu, PornHub’un günlük 78 milyon’dan fazla ziyaretçisi olduğunu düşünürsek bu noktada ihtimallerin yüksek olduğunu görebiliriz. 

Bunun yanında şantajcıların kurbanları ikna etmek için kullandıkları bir de “kanıt” ihtiyaçları oluyor. Bu geçtiğimiz yıllarda ifşa olan kullanıcı parolalarını kullanarak yapıyorlardı ve kullanıcının parolasını şantaj mailine yazıyorlardı. Bu durumda “parolanın patates123! Olduğunu biliyoruz çünkü bilgisayarını hackledik” gibi bir cümle kullanıyorlardı. Yine ihtimaller siber şantajcıların lehine çalışıyor çünkü internet kullananların önemli bir kısmı parolalarını ya hiç ya da çok seyrek değiştiriyor. 

Bu noktalar değerlendirildiğinde de internet kullananların önemli bir kısmı için korkutucu bir senaryo ortaya çıkıyor. Bu sayede kurbanlarını ikna etmeleri kolaylaşıyor.
 


Siber şantaj maili gelirse ne yapılmalı?

Öncelikle doğruluk payının araştırılması gerekir. Bunun için ilk yapılacak şey haveibeenpwned.com adresinden parolanızın çalınıp çalınmadığını kontrol etmek olur. Çalındıysa bu parolayı derhal değiştirin. Gelen mailde “parolanız” olarak belirtilen eskiden kullandığınız bir parolaysa muhtemelen daha önceki veri sızıntılarından birinden buldular, çok dert edecek bir şey yok. 

Güncel parolanızsa, derhal değiştirin. Gmail, Facebook, Twitter gibi sayısız platform iki kademeli kimlik doğrulaması seçeneği sunuyor, bunu aktifleştirin. 

Kullandığınız sistemde korsan (crackli) yazılım varsa veya güncel ve lisanslı bir antivirüs yoksa olay doğruluk payı olabilir, bu noktaları hızlıca giderin. 

Şantaj maili benden gelmiş gibi görünüyorsa?

Bu durumda mutlaka gelen mailin başlıklarını incelemek lazım. Kullandığınız e-posta hesabına bağlı olarak “orijinal iletiyi göster” gibi bir seçenek olacaktır. Bunu kullanarak mailin başlıklarına ulaşabilirsiniz. Mail başlıklarının incelenmesi kendi başına bir yazı konusu olabilir, bu nedenle sadece bu örnekte bizim açımızdan önemli olanla sınırlı kalacağız. 

Mail başlıklarını nasıl inceleyeceğiz?

Aşağıda görüldüğü gibi birçok farklı başlık var. Bunlar aslında bize mailin geldiği yeri, bize ulaşmadan nerelerden geçtiği, ekinin olup olmadığı, vb. pek çok bilgi verir. 



Bunların bir kısmı saldırgan tarafından belirlenebileceği için gördüğümüz her şeye inanmamakta fayda var.


Aşağıda işaretlenmiş “Received” başlığı mailin geçtiği e-posta sunucularını gösterir. Burada ilk adımda, muhtemelen mailin gönderildiği sunucu olan 154.xxx.xx.238 IP adresi görünüyor.





IP adresini Internette bulunan Whois kayıt sorgulama sitelerinden herhangi birini kullanarak bu IP adresinin kimin üzerine kayıtlı olduğunu görüntüleyebiliriz. 


Deneme amaçlı kendime gönderdiğim bir maile bakacak olursak “Received” başlığında görülen IP adresinin Google üzerine kayıtlı olduğu ortaya çıkıyor. 

Deneme mailinde görünen IP adresi için yapılan Whois sorgusu aşağıdaki sonuçları veriyor:

Burada Gmail gibi birden fazla alanadına hizmet veren e-posta sunucularının SPF kaydı oluşturamamasından istifade ederek bu siber şantaj maillerini gönderebiliyorlar gibi duruyor. 

Değilse evde oturmaktan delirip kendimi çılgın fantezilere vermiş değilim, endişelencek bir durum yok :)

Monday, April 27, 2020

Bir Daha Ping Atmayın!

 
Çoğunlukla sistemin internet erişimini test etmek için kullanılan ping komutu için PowerShell bize güzel bir alternatif sunuyor: Test-NetConnection


Bu komut kullanıldığında PowerShell internetbeacon.msedge.net adresine ping atar ve bağlantı için kullanılan arayüzün adını ve yerel IP adresini de gösterir.
Üstelik normal ping atmak için toplam 13 tuşa basmak gerekirken Test-NetConnection için test-n yazdıktan sonra [TAB] tuşuna basmak yeterli olduğundan 8 tuşa basmak yeteridir. Malum, devir tasarruf devri

Test-NetConnection nasıl kullanılır?
Test-NetConnection komutu sadece ping göndermek dışında da bazı özelliklere sahip.
Aşağıda görüldüğü gibi “-InformationLevel” seçeneği kullanılarak bir sonraki aktarmanın (paketin bu sistemden çıktıktan sonra gideceği IP adresi, genellikle gateway) adresini de gösterir. 


“-port” seçeneği ile port numarası belirterek karşıdaki sistemin ilgili portunun açık olup olmadığı da kontrol edilebilir. Buna ek olarak aşağıdaki örnekte görüldüğü gibi “-ComputerName” seçeneği kullanılarak bir adres belirlenebilir.
 



Aşağıda aynı komutun daha kısa (ve daha özet sonuç veren) yazılımı da görülebilir.



Ek olarak “ -InformationLevel Quiet” ile sonuç kısmı daha da kısaltılabilir. Yanıt “True” ise port açık, “False” ise port kapalı
 


 


MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...