Bildirimler
Hepsini Temizle

[Çözüldü] Fake Mailler ile dolandırıcılık  

  RSS
Mehmet Baki ARAKLI
(@mehmet-baki)
Üye

Merhabalar, 

Müşterimde Exchange Online Plan1 Kullanılmaktadır, yurtdışı ile ticaret yapıyor ve yurtdışına ödeme yaparken email üzerinden banka hesap bilgilerini gönderiyorlar, karşı taraf mı hacklendi bizdemi bi sıkıntı var çözemedim. Ticaret yaptıkları şirketten mail gelmiş gibi yapıp başka bir hesaba ödeme yapmaları sağlanmış bir kere bu numarayı yuttuk. ikinci gelen mail'de kontrol ettiğimizde benzer bir domainden gelmiş gibi mail geliyor. ama domaini kontrol ettiğimde böyle bir domain yok aslında

fake domain adresi"palladio-immobilien.coeons.com" bu 

böyle bir domain kontrol ettiğimde DNS MX vs kaydı yok bu tarz hesaplardan mail gelmesini Exchange online üzerinde nasıl engelleyebilirim.
DKIM DMARC kayıtları mevcut. 

 

şimdiden teşekkür ederim.

Alıntı
Gönderildi : 27/12/2019 12:42
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

https://www.cozumpark.com/community/exchange_server-4/office-365-de-spam-kullanma/#post-546467
https://www.cozumpark.com/office-365-malware-protection-ve-anti-phishing-ozelligi/

Bu konuda sizin tarafta EAP ve 3rd daha iyi çözümler kullanmalısınız.
Başlığa uygun karşı taraf konusuyla ilgili mail filtering de sizin yapabileceğiniz birşey yok. Mailing karşılıklı 2 sistemin kontrol işidir. Bu konular da soruldu forumda.
Önlemek için genel bir güvenlik anlayışı uygulamanız lazım sadece mail sistemleriyle çözemezsiniz ve fatura, ödemeler konusunda karşılıklı teyit gibi işletmesel kurallar uygulamalısınız.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/12/2019 13:38
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bu tür durumlarda mailin gerçekten nereden geldiğine bakmak lazım.

İki senaryo oluyor

1 - Karşı taraftaki kullanıcı şifresi çalındığı için oradan mail geliyor, eğer size gelen mail' in orijinali duruyor ve header bilgisinde IP adresi müşteri ip adresi ise bunu kanıtlayabilirsiniz.

2 - Sizin mail sisteminiz çok güvenli olmadığı için siz Spoof dediğimiz olmayan veya sahte domainden mail alıp buna inanıp para ödemiş olabilirsiniz ki bu konuda müşterinizin çalıştığı firmanın hiç bir suçu olmaz.

Bunun çözümü için İbrahim bilgi paylaşmış ancak işin ilginç olanı Office 365 kullanıyor ise müşteriniz sanırım siz hiç yapılandırma yapmamışsınız. 

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/anti-spoofing-protection

Yani sizin müşterinize bu hizmeti vermeniz lazım, sadece lisans satışı ile ne yazık ki bu işler olmuyor 🙁

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 28/12/2019 18:39
Mehmet Baki ARAKLI
(@mehmet-baki)
Üye

@hakanuzuner

Hakan hocam selamlar,
öncelikle son kısımdaki fırçanız güzeldi 😀 teşekkürler, 

Exchange Online satışını benden önceki destek veren kişi yapmış:) ,verdiğiniz  linkte ki makaleye baktım da Antispoof ayarları için türkçe bir kaynak varmıdır. o makale çok karmaşık geldi bana 

şimdiden teşekkürler.

CevapAlıntı
Gönderildi : 03/01/2020 16:16
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Fırça yok, öneri var, benim niyetim doğru olanı paylaşmak 🙂

Türkçe benim bildiğim bir dokuman yok ama yine bakarım var ise paylaşırım.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 03/01/2020 17:34
Umit SEYHAN
(@umitseyhan)
Saygın Üye Forum Yöneticisi

Selamlar,

 

Bu tarz fake mailler maalesef gelmekte. Bu tür maillerin gelmesini enlemek için next generation anti spam ürünlerini kullanmanızı tavsiye ederim. Bu konuda Trend Micro veya Barracuda ürünlerini kullanabilirsiniz.

 

Bilginize.

CevapAlıntı
Gönderildi : 03/01/2020 19:16
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Adım adım hızlıca özetlemek gerekir ise öncelikle kendi domain yapınız için DNS üzerinde SPF kaydınızı oluşturun.

https://www.hakanuzuner.com/spf-sender-policy-framework-nedir-spf-kaydi-nasil-olusturulur/

Daha sonra EOP üzerinden aşağıdaki gibi SPF kontrolünü açman gerekli. Bu tabiki sana Spoof yapanlar için.

image 10

DKIM için

https://www.cozumpark.com/office-365-domainkeys-identified-mail-dkim/

Bu makale ise A' dan Z ye EOP için yapabileceğin tüm ince ayarları içeriyor ama İngilizce ne yazık ki

https://www.undocumented-features.com/2019/08/13/exchange-online-protection-eop-best-practices-and-recommendations/

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 03/01/2020 22:03
Mehmet Baki ARAKLI
(@mehmet-baki)
Üye

@hakanuzuner

Merhaba Hakan hocam,

Bir süredir şehir dışındaydım cevap veremedim, son kısımda dediğiniz gibi EOP tarafında bazı kurallar vs düzenledim. şuan müşterimizide bu durumla ilgili uyarılarda bulundum, hadi hayırlısı 🙂

CevapAlıntı
Gönderildi : 17/01/2020 15:14
Mehmet Baki ARAKLI
(@mehmet-baki)
Üye
Gönderen: @umitseyhan

Selamlar,

 

Bu tarz fake mailler maalesef gelmekte. Bu tür maillerin gelmesini enlemek için next generation anti spam ürünlerini kullanmanızı tavsiye ederim. Bu konuda Trend Micro veya Barracuda ürünlerini kullanabilirsiniz.

 

Bilginize.

Merhaba Ümit hocam,
Exchange Online Bulutta çalışan bir sistem sizin önerdiğiniz NG-Antispam ürününü ben nereye konumlandırmam gerekir o kısmı pek anlayamadım, 

CevapAlıntı
Gönderildi : 17/01/2020 15:17
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici
Gönderen: @mehmet-baki

@hakanuzuner

Merhaba Hakan hocam,

Bir süredir şehir dışındaydım cevap veremedim, son kısımda dediğiniz gibi EOP tarafında bazı kurallar vs düzenledim. şuan müşterimizide bu durumla ilgili uyarılarda bulundum, hadi hayırlısı 🙂

 

Süper, geçmiş olsun.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 17/01/2020 16:26
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici
Gönderen: @mehmet-baki
Gönderen: @umitseyhan

Selamlar,

 

Bu tarz fake mailler maalesef gelmekte. Bu tür maillerin gelmesini enlemek için next generation anti spam ürünlerini kullanmanızı tavsiye ederim. Bu konuda Trend Micro veya Barracuda ürünlerini kullanabilirsiniz.

 

Bilginize.

Merhaba Ümit hocam,
Exchange Online Bulutta çalışan bir sistem sizin önerdiğiniz NG-Antispam ürününü ben nereye konumlandırmam gerekir o kısmı pek anlayamadım, 

Merhaba, her ürün için yapılandırma ayarlarına bakabilirsiniz. Ürünler cloud temelli olacağı için aslında sizin lokasyonunuzda bir cihaz gibi düşünmeyin.

https://campus.barracuda.com/product/essentials/doc/24216132/how-to-configure-office-365-for-inbound-and-outbound-mail/

https://success.trendmicro.com/solution/1035623-adding-a-domain-to-be-managed-in-hosted-email-security-hes

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 17/01/2020 16:31
Mehmet Baki ARAKLI
(@mehmet-baki)
Üye

Çok teşekkürler Hocam,
İleride yeni bir  IT Excalibur hazırlarsanız bu konuyuda işlermisiniz. (Takipçisiyim)

Bu ileti 6 ay önce Mehmet Baki ARAKLI tarafından düzenlendi
CevapAlıntı
Gönderildi : 18/01/2020 09:28
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

11 Şubat günü IT Excalibur vol3 olacak ama bu konu orası için hafif kalır, yani bu çok bilinen bir konu olduğu için orada o kadar adamı toplayıp bunu konuşmak çok mantıklı olmaz 🙂 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 18/01/2020 12:02
Mehmet Baki ARAKLI
(@mehmet-baki)
Üye

Tekrardan selamlar,

Yaptığımız çalışmalardan sonra bu spoof olayından şimdilik kurtulduk. aradan 6 ay geçti. o donem exchange admin panelinden loglara bakınca Nijerya ip'lerini tespit etmiştim ama log kaydı almadık. firma konuyuy 5 ay önce savcılığa vermiş mahkeme log istiyor ama exchange online da sadece 3 aylık geriye log var. bu durumda ne yapmam gerekir sizce.

CevapAlıntı
Gönderildi : 04/06/2020 01:59
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Bu tür durumlar için SIEM veya Log yönetim ürünleri almanız gerekli, çünkü hiç bir üründe sonsuza kadar veya çok uzun yıllar log tutmak mümkün olmaz. Firewall, router, uygulama sunucuları, web sunucuları malum disk korumak için belirli bir dönemde logları siler veya üzerine yazar, zaten bunu yapmasa örnek bir web sitesine çok yoğun bir erişim sağlarsınız ve anında loglardan disk dolar gibi.

Özetle log kayıtlarını SIEM sistemleri ile kayıt altında tutmanız gerekli.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 04/06/2020 18:45
Paylaş: