Anasayfa » Forum

exchange mail adres...
 

exchange mail adresinden mail gönderen hacker  

  RSS
Ayhan YILDIRIM
(@ayhanyildirim)
Yeni Üye

iyi çalışmalar, bu sabah exchange mail kulanıcılarından birine aşağıdaki mail gelmişti. mail serverı ve client pc'yi virüs taramasından geçirdim fakat bişey çıkmadı. sosyal mühendislik gibi duruyor ama alıcı ve gönderen kısımda aynı mail adresi var. bu gibi spam saldırılarına maruz kalanlar oldumu, ne gibi çözümlerle bu spam mailleri durdurabiliriz. foruma genel olarak daha önce de baktığımda tavsiye edilen çözümleri denemiştim fakat bugün yine gelmiş spam mail ve bu defa fidye isteyerek, alıcı ve gönderici kısmında bizim mail gözüküyor, kendinden kendine göndermiş gibi. sizlerin bu gibi sorunlar karşısında uygulayıp netice aldığınız ne gibi çözümler var.

 

"From: abcd.efgh@xxx.com.tr

 To: abcd.efgh@xxx.com.tr

 Subject: account abcd.efgh@xxx.com.tr is compromised

Hello!

I'm a hacker who cracked your email and device a few months ago.

You entered a password on one of the sites you visited, and I intercepted it.

Of course you can will change it, or already changed it.

But it doesn't matter, my malware updated it every time.

Do not try to contact me or find me, it is impossible, since I sent you an email from your account.

Through your email, I uploaded malicious code to your Operation System.

I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.

Also I installed a Trojan on your device and long tome spying for you.

You are not my only victim, I usually lock computers and ask for a ransom.

But I was struck by the sites of intimate content that you often visit.

I am in shock of your fantasies! I've never seen anything like this!

So, when you had fun on piquant sites (you know what I mean!) I made screenshot with using my program from your camera of yours device.

After that, I combined them to the content of the currently viewed site.

There will be laughter when I send these photos to your contacts!

BUT I'm sure you don't want it.

Therefore, I expect payment from you for my silence.

I think $866 is an acceptable price for it!

Pay with Bitcoin.

My BTC wallet: 1DVU5Q2HQ4srFNSSaWBrVNMtL4pvBkfP5w

If you do not know how to do this - enter into Google "how to transfer money to a bitcoin wallet". It is not difficult.

After receiving the specified amount, all your data will be immediately destroyed automatically. My virus will also remove itself from your operating system.

My Trojan have auto alert, after this email is read, I will be know it!

I give you 2 days (48 hours) to make a payment.

If this does not happen - all your contacts will get crazy shots from your dark secret life!

And so that you do not obstruct, your device will be blocked (also after 48 hours)

Do not be silly!

Police or friends won't help you for sure ...

p.s. I can give you advice for the future. Do not enter your passwords on unsafe sites.

I hope for your prudence.

Farewell."

 

mailin header bilgileri ise aşağıdaki gibi:

Received: from yyyy.xxxx.com.tr (mail serverın local ip'si) by
 yyyy.xxxx.com.tr (mail serverın local ip'si) with Microsoft SMTP Server (TLS) id
 15.1.225.42; Thu, 25 Oct 2018 07:57:23 +0300
Received: from [202.53.172.94] (mail serverın public ip'si) by yyyy.xxxx.com.tr
 (mail serverın local ip'si) with Microsoft SMTP Server id 15.1.225.42 via Frontend
 Transport; Thu, 25 Oct 2018 07:57:23 +0300
From: <abcd.efgh@xxx.com.tr>
To: <abcd.efgh@xxx.com.tr>
Subject: account abcd.efgh@xxx.com.tr is compromised
Date: Thu, 25 Oct 2018 15:40:25 +0500
Message-ID: <002001d46c51$047db81e$d07367bc$@xxxx.com.tr>
MIME-Version: 1.0
Content-Type: text/plain; charset="ibm852"
Content-Transfer-Encoding: quoted-printable
X-Mailer: Microsoft Outlook 14.0
Thread-Index: Ac5q0nh0d20rg5qq5q0nh0d20rg5qq==
Content-Language: en
Return-Path: abcd.efgh@xxx.com.tr
Received-SPF: None (yyyy.xxxx.com.tr: abcd.efgh@xxx.com.tr does
 not designate permitted sender hosts)

 

buradaki 202.53.172.94 ip Bangladeş gözüküyor baktığımda.

Alıntı
Gönderildi : 25/10/2018 17:39
Anonim
(@Anonim)
Saygın Üye

phishingtir...

CevapAlıntı
Gönderildi : 25/10/2018 17:42
Ayhan YILDIRIM
(@ayhanyildirim)
Yeni Üye

[quote user="Mumin CICEK"]

phishingtir...

[/quote]

 

bu gibi phishing maillerinin önüne geçme adına neler tavsiye edersiniz. mail kullanıcısının kendisinden gelen mailleri engelleyecek bir kural oluşturmak yeterli değil gibi.

CevapAlıntı
Gönderildi : 25/10/2018 18:09
Anonim
(@Anonim)
Saygın Üye

merhaba

spoofing kuralı yazabilirsiniz mail sisteminizin önündeki güvenlik cihazında.

CevapAlıntı
Gönderildi : 25/10/2018 18:17
ibrahim yildiz
(@ibrahimyildiz)
Yeni Üye

Aynı konuyu 3 defa açmışsınız bu kurallara aykırı daha fazla açınca size olan ilgi artmıyor hatta arkadaşlar üçünü de silerse yanıt bulamamış olursunuz.

Bu yaşanan email spoofing'dir. Bunları engellemek için DKIM gibi güçlendirmeler yapmak ve mail tarayacak gateway çözümü kullanmanız gerekiyor.

https://www.cozumpark.com/forums/thread/525535.aspx
https://www.cozumpark.com/blogs/gvenlik/archive/2010/08/29/bilgi-g-venli-i-ve-genel-g-venlik-kavramlar-b-l-m-2.aspx

CevapAlıntı
Gönderildi : 25/10/2018 23:14
Turan COŞKUN
(@turancoskun)
Tanınmış Üye Forum Yöneticisi

[quote user="Ayhan YILDIRIM"]

 

bu gibi phishing maillerinin önüne geçme adına neler tavsiye edersiniz. mail kullanıcısının kendisinden gelen mailleri engelleyecek bir kural oluşturmak yeterli değil gibi.[/quote]

merhaba,

forum kuralları gereği, benzer içeriğe sahip diğer postunuz silindi. bkz.  https://www.cozumpark.com/forums/thread/650.aspx

mevcut sorununuzda, exchange relay tarafını kontrol etmeli, spf korumasına sahip bir spam gateway konumlandırmalısınız.

bu tarz sorunları kullanıcı seviyesinde çözmek zor ve  yönetilemez olacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 26/10/2018 03:00
Ayhan YILDIRIM
(@ayhanyildirim)
Yeni Üye

[quote user="İbrahim YILDIZ"]

Aynı konuyu 3 defa açmışsınız bu kurallara aykırı daha fazla açınca size olan ilgi artmıyor hatta arkadaşlar üçünü de silerse yanıt bulamamış olursunuz.

Bu yaşanan email spoofing'dir. Bunları engellemek için DKIM gibi güçlendirmeler yapmak ve mail tarayacak gateway çözümü kullanmanız gerekiyor.

https://www.cozumpark.com/forums/thread/525535.aspx
https://www.cozumpark.com/blogs/gvenlik/archive/2010/08/29/bilgi-g-venli-i-ve-genel-g-venlik-kavramlar-b-l-m-2.aspx

[/quote]

Forum İLGİ çekmek için değil, mevcut soruna ait çözümün daha fazla kişiye ulaşması adına kullanılır. konuyu farklı yerlerde de açma nedenim tam olarak hangi forum başlığına girdiğine karar veremeyişim, o anlık. yoksa ilk defa konu açıyor değilim. yolladığınız linklerde de bahsedildiği gibi ilk ve en basit çözüm olarak DKIM yapısı oluşturmak olarak gözüküyor ve ardından sağlam bir mail gateway gerektiği. (mailgateway'e dair tavsiyelerinizi de alabilirim, silme tehditi hatırlatmayacaksanız yine:) ) DKIM yapılandırmasını biraz trend-micro'nun Phishİnsight kurulumuna benzettim, onda da DNS txt kaydı açılıyordu galiba.

CevapAlıntı
Gönderildi : 26/10/2018 11:47
Ayhan YILDIRIM
(@ayhanyildirim)
Yeni Üye

[quote user="Turan COŞKUN"]

[quote user="Ayhan YILDIRIM"]

 

bu gibi phishing maillerinin önüne geçme adına neler tavsiye edersiniz. mail kullanıcısının kendisinden gelen mailleri engelleyecek bir kural oluşturmak yeterli değil gibi.[/quote]

merhaba,

forum kuralları gereği, benzer içeriğe sahip diğer postunuz silindi. bkz.  https://www.cozumpark.com/forums/thread/650.aspx

mevcut sorununuzda, exchange relay tarafını kontrol etmeli, spf korumasına sahip bir spam gateway konumlandırmalısınız.

bu tarz sorunları kullanıcı seviyesinde çözmek zor ve  yönetilemez olacaktır.

[/quote]

o an hangi başlığa açacağıma karar veremeyişimden kaynaklı, farklı yerlerde açışım. sorry...

relay kısmındaki connectorlar aklıma gelmemişti, kontrol ettireceğim.

galiba sonraki etapta yapılabilecek alternatifler DKIM yapılandırması oluşturup durumu gözlemlemek veya dediğiniz gibi uygun bir spam gateway kullanmak en sağlamı.

kullanıcı tarafında çözmenin zorluğunun yanısıra laf anlatmak ayrı bir dert:)

CevapAlıntı
Gönderildi : 26/10/2018 12:04
ibrahim yildiz
(@ibrahimyildiz)
Yeni Üye

Argümanınız global forum adabına uymuyor söyleyeyim 🙂
https://www.cozumpark.com/forums/thread/650.aspx
Bu forumun kuralları da gayet açık 11 ve 18. maddeler ile. İşte kendinizce daha fazla ilgi bulmaya çalışırken negatif durum oluşturmuş olursunuz bunla da karşılaşmış oldunuz. 🙂

Konuya gelince; Kullanıcı, yönetici bilgilendirmeleri öncelikli esastır ne çözüm uygularsanız uygulayın Phishing için eğitim, duyuru gerekli. Web den kaynakları derleyerek spoofing gibi durumları özetle paylaşın. Kullanıcı yetkinliği kazandırmak size de verim olarak geri dönüş sağlayacak.

DKIM ile kesin olarak spoofing, phishing engelleyemezsiniz birçok farklı yöntemi var. Hakeza attachment güvenliği vs de getirilmesi gerekli en temel düzeyde bu çağda.
Yani ek bir servis, uygulama kullanmadan bu işin kesin çözümüne yaklaşabilme yok ki kesin çözümü de uygulamada yok. 🙂 Spam ve phishing değişken bir realite.

https://www.cozumpark.com/forums/thread/495207.aspx
Öneri ise konu ilgisinde makale, forum sorusu çok bunları inceleyerek alan daraltın. GFI ME, SMG (symantec), Trendmicro HES gibi birçok görece daha uygun maliyetli uygulama çözümü mevcut. 
Yalnız konu her zaman şirketinizin email politikaları ile sınırlı olacaktır. Yani kimlerle ve nasıl yazıştığınız önemli, en iyi uygulamayı da alsanız policy, filter'lar legal dediğiniz maillerinizi durduruyorsa gevşetecek bu da spoofing vs devamiyetini sağlayabilecektir. Yani çözüm ayrıntılarını yapınıza göre siz oluşturmalısınız. Makale ve teknik doc toplayarak ilerlemenizi tavsiye ederim soru işaretlerinize alan daraltırsınız.

CevapAlıntı
Gönderildi : 26/10/2018 16:46
Ayhan YILDIRIM
(@ayhanyildirim)
Yeni Üye

[quote user="İbrahim YILDIZ"]

Argümanınız global forum adabına uymuyor söyleyeyim 🙂
https://www.cozumpark.com/forums/thread/650.aspx
Bu forumun kuralları da gayet açık 11 ve 18. maddeler ile. İşte kendinizce daha fazla ilgi bulmaya çalışırken negatif durum oluşturmuş olursunuz bunla da karşılaşmış oldunuz. 🙂

Konuya gelince; Kullanıcı, yönetici bilgilendirmeleri öncelikli esastır ne çözüm uygularsanız uygulayın Phishing için eğitim, duyuru gerekli. Web den kaynakları derleyerek spoofing gibi durumları özetle paylaşın. Kullanıcı yetkinliği kazandırmak size de verim olarak geri dönüş sağlayacak.

DKIM ile kesin olarak spoofing, phishing engelleyemezsiniz birçok farklı yöntemi var. Hakeza attachment güvenliği vs de getirilmesi gerekli en temel düzeyde bu çağda.
Yani ek bir servis, uygulama kullanmadan bu işin kesin çözümüne yaklaşabilme yok ki kesin çözümü de uygulamada yok. 🙂 Spam ve phishing değişken bir realite.

https://www.cozumpark.com/forums/thread/495207.aspx
Öneri ise konu ilgisinde makale, forum sorusu çok bunları inceleyerek alan daraltın. GFI ME, SMG (symantec), Trendmicro HES gibi birçok görece daha uygun maliyetli uygulama çözümü mevcut. 
Yalnız konu her zaman şirketinizin email politikaları ile sınırlı olacaktır. Yani kimlerle ve nasıl yazıştığınız önemli, en iyi uygulamayı da alsanız policy, filter'lar legal dediğiniz maillerinizi durduruyorsa gevşetecek bu da spoofing vs devamiyetini sağlayabilecektir. Yani çözüm ayrıntılarını yapınıza göre siz oluşturmalısınız. Makale ve teknik doc toplayarak ilerlemenizi tavsiye ederim soru işaretlerinize alan daraltırsınız.

[/quote]

güvenlikte en zayıf halka insan. dediğiniz gibi önce son kullancıyı (sık sık) bilgilendirmek gerektiğini anladım, mail gelen mac'i taratıp birsürü trojan görünce. 🙂 ilk defa bir mac'te bu kadar trojan gördüm son taramadan beri. Allahtan iç networkte kullanılan bir pc değil. bu durumu bildirince sonunda ikna oldular bir bütçe ayırmaya en kısa zamanda.

Şimdilik yukarda bahsedilen çözümlerle durumu çözmeye çalışıp bir yandan da kapsamlı bir uygulama/servis bulmaya çalışacağım. forumda daha önce de sık sık symantec ürünleri ile karşılaşıyordum tavsiye olarak. ilk etapta symantec ve trendmicro'nun çözümlerini kıyaslayıp bir maliyet durumu çıkaracağım buradaki yapıya uygunlukları bakımından.

Bu arada daha ilk kuralda "...Diğer üyelerin bakış açılarına hoşgörülü olunmalı, saygılı ve alçakgönüllülükle cevap verilmelidir. Aksi durumlarda kullanıcı uyarılacaktır. Aynı durumun tekrarlanması halinde ise hesabı silinecektir." maddesini gördüm, 11 ve 18'e varmadan. 🙂

yine de kusurumuz olduysa affola...

CevapAlıntı
Gönderildi : 26/10/2018 17:59
tuncay polat
(@tuncaypolat)
Yeni Üye

Merhaba, Aynı mail yapısını bizde alıyoruz ve konuda taze olduğu için yeniden konu açmıyım dedim. özellikle bir kullanıcımıza sürekli geliyor. Biz ortamımızda farklı olarak exchange server kullanmıyor ve hosting firması üzerinden maillerimizi çekiyoruz. Hosting firmasına konu hakkında bilgi verdiğimde geri döüş olarak, "anti spam sunucu arkasına alındı mail hizmetiniz" diye cevap dönüldü. Fakat bugün ve dün gene aynı mailler geldi. 

Hosting firmasının yapabileceği bir işlem var mı ya da hosting firmasını değiştirmeye mi gitmeliyiz? lokalimizdeki bir sunucu olmadığı için nasıl bir yol izleyebilirim. Kullanıcımızda lisanslı panda 360 kullanıyoruz. 

CevapAlıntı
Gönderildi : 01/11/2018 13:34
Turan COŞKUN
(@turancoskun)
Tanınmış Üye Forum Yöneticisi

Tuncay bey,

buna benzer durumlar için tüm adımlar, mail hizmetini veren kurum tarafından yapılmalı.

antispam gw arkasına almak mevcut hizmetin korunacağı anlamına gelmez.

en başta anti spoofing ve spf kontrolü talep edin.

devamında mevcut maillerden birini, örnek olarak hosting firması ile paylaşın.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/11/2018 02:35
tuncay polat
(@tuncaypolat)
Yeni Üye

[quote user="Turan COŞKUN"]

Tuncay bey,

buna benzer durumlar için tüm adımlar, mail hizmetini veren kurum tarafından yapılmalı.

antispam gw arkasına almak mevcut hizmetin korunacağı anlamına gelmez.

en başta anti spoofing ve spf kontrolü talep edin.

devamında mevcut maillerden birini, örnek olarak hosting firması ile paylaşın.

[/quote]

Turan Bey cevap için önecelikle teşekkürler. Hosting firması ile mail örnegini paylaşmıştım. Geri bu soruyu sorduğumda maillerimiz duruyordu. Ama nasıl bir hosting firması ise serverları çöktü şuan ve maillerin hepsi, web sitemiz gitti. 2 gün sonrada bize yeni server cpanel bilgilerini paylaştılar. Kurtarma işlemlerinin devam ettigini söylediler. Bende işlerin aksamaması adına lokaldeki mailleri pst olarak aldım ve yeni verdikleri sunucuya eşitliyorum.

Şuan yeni bir hosting arayışına girdik açıkcası. Önerebileceğiniz hosting firması var mı? 

CevapAlıntı
Gönderildi : 05/11/2018 16:23
Turan COŞKUN
(@turancoskun)
Tanınmış Üye Forum Yöneticisi

hosting firması ile anlaşmanız veya hizmet seçiminiz nedir bilmemekle birlikte, yaşanan durumdan dolayı değiştirmenizi öneririm.

paylaşımlı devam edecekseniz, portalda üzerinde öneriler mevcut inceleyebilirsiniz.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 09/11/2018 00:30
Paylaş:
  
Çalışıyor

Lütfen Giriş yap yada Kayıt ol