Forum

Mail Dolandırıcılığ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Mail Dolandırıcılığı hk.

Emre Çetinkan
(@EmreCetinkan)
Üye

Merhaba,

Başımızdan geçen bir olayı paylaşmak istiyorum.

 

emrec@xyz.com kişisi (Satış Temsilcisi ) yurtdışından uzun süredir çalışmadığımız bir müşteri ile iletişime geçiyor.

Fiyat ve ürün konusunda anlaşıyorlar. emrec@xyz.com kişisi ödeme için karşıdaki müşteriye proforma gönderiyor(Swift bilgileri, Şirket bilgileri vs.)

 

Olay burada başlıyor;

emree@xyz.com diye mail adresinden müşteriye Aynı şekilde proforma gidiyor fakat bu sefer bizim şirket bilgilerimiz değil de, dolandırıcının Swift bilgileri vs var.Müşteri de dalgınlığına gelip karşıdaki kişiyi biz sanarak parayı gönderiyor. Sanırım dolandırıcının kullandığı mail adresi görünen ismini değiştirerek @xyz.com uzantılı mail adreine sahipmiş gibi göstermiş.

 

Bu konuda fikirlerinizi alabilir miyim.

 

Teşekkürler.

 

Edit: Kullanıcılar domain user, mail şifrelerini bilmiyorlar. Telefon ve bilgisayarlara mail kurulumlarını ben yapıyorum.Şifreler office 365'in kendi oluşturduğu complex şifreler.

Bu konu 9 ay önce Emre Çetinkan tarafından düzenlendi
Alıntı
Konu başlatıcı Gönderildi : 27/12/2021 14:11
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Bu konuda geçmişte deneyimler paylaşılmıştı. 
Promorma üzerinden yürüyen sözlü teyit almayan firmalarda genellikle phishing denemeleri olur. Sizin durumda hesap yine benzer phishing saldırıları ile ele geçirilmiş yazışmalar okunuyor olmalı. Genel mail, account güvenliği ile ilgili aksiyonları almalısınız.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/12/2021 14:49
Emre Çetinkan
(@EmreCetinkan)
Üye

Kendi tarafımızda kontrolleri yapacağım, fakat AV, Firewall vb. tam ve lisanslı. Kullanıcılar da domain user. Muhtemelen karşı taraftan kaynaklanan bir güvenlik açığı diye düşünüyorum.

CevapAlıntı
Konu başlatıcı Gönderildi : 27/12/2021 15:49
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Eğer bu mail gerçekten sizden gitmedi ise ki bunu çok kolay tespit edebilirsiniz, o yanlış swift bilgisi içeren maili size ayrı bir mailde ek olarak gönderirler, sizde onu açıp header bilgisinden hangi ip üzerinden çıktığını görebilirsiniz.

Ancak anlattığınızdan olayı spoof olduğunu anlıyorum, yani sizin domain gibi göstermiş ve karşı taraf mail sistemi eğer bir mail aldığında bu domain için SPF, DKIM, DMARC kontrolü yapmıyor ise bu spam değil normal bir mail gibi düşer veya cozumpark.com yerine czumpark.com gibi harf oyunu yapmış olabilir ki yine bu da sizin ile ilgili bir durum değildir.

Sadece sizin ile ilgili olan karşı taraf SPF vb kontrolleri yapıyor ama sizde bu kayıtlar olmadığı için sizin domain' i whitelist e almış ise örnek ben size yükselirdim, yani siz sorumluluklarınızı yerinize getirmeyip karşınızdaki şirketin surunda bir gedik açtırıyorsunuz, sonra sizin yerinize başkası oradan giriyor gibi düşünebilirsiniz.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/12/2021 16:20
Emre Çetinkan
(@EmreCetinkan)
Üye

Hakan Hocam,

 

Bizim tarafımızdan mailleşen arkadaş [email protected], işin tam ödeme kısmında bizim arkadaşımız proformayı atıyor,müşteriye ulaşıyor fakat sonra müşteriye [email protected] uzantılı adresten başka bir proforma  daha geliyor.Müşteri de ödemeyi buraya yapıyor. Aslında ödeme yapılan bilgiler şahısa ait zaten, herhangi bir şirket adına ödeme yapılmamış ama müşteri bunu da fark etmiyor. Muhtemelen karşıdaki taraf görünen adı değiştirdi, yoksa bizim domain uzantısı ile aynı sekilde mail açamayacağını biliyorum.

 

Müşterinin gönderdiği resim.

Resim1
Bu ileti 9 ay önce 4 defa Emre Çetinkan tarafından düzenlendi
CevapAlıntı
Konu başlatıcı Gönderildi : 27/12/2021 16:59
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Yani ikinci mail yine size ait bir domainden mi gitmiş? Eğer öyle ise sızıntı sizin taraftadır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/12/2021 21:10
Bülent Sönmez
(@bsonmez)
Üye

@EmreCetinkan Aynı durum bizim başımıza da geldi.Karşı taraf ödemeyi yaptı.Müşteriden mailleri istedik.Mailleri incelediğimde bizim uzantıdan ancak bizim sunucuyu kullanmadan mail atılmış.Sonrasında mail atılan sunucuyu bulduk.Bir web sayfasından size mail attırıyor.İstediğiniz mail uzantısını kullandırıyor.Benim sunucumdan çıkmasada benim mail adresimi çok kolay taklit ediyor.

CevapAlıntı
Gönderildi : 28/12/2021 09:39
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Evet buna mail spoof diyoruz, karşı taraf buna önlem almalı.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 28/12/2021 10:40
Paylaş: