banner

Başbakana Sahte E-Mail Gönderme

Fake E-Mail Delivery For The Prime Minister

Mehmet Keçeci

10.12.2011
 

    Aydınlık dergisinde çıkan sahte/fake e-maillerden sonra daha önceki senelerde 2 kez benim adımdan gönderiliyormuş gibi 2 sahte e-maili yakalamış ve bunu sitem ve facebook aracılığı ile yayınlamıştım. (Karşı tarafın e-mail adresini yanlış yazınca e-mail geri iletilir buraya gönderen ve geri dönme adresine benim e-maillerimi veya sitemin adresini girince bunlar bana gelir. Bu 2 tanesi de böyle ulaşmıştır. Daha sonra yanlış olan e-maillerin bana ulaşmasını serverdan yasakladım.) Bunun arkasındaki kişileri tabiki ben bilemiyorum. Şimdi onları tekrar yayınlıyorum.

1.si

Sahte E-Mailleri Nasıl Ayıracağız?

Sanki benim şahsi e-mailimden basbakanlik.gov.tr”ye gönderilen bir sahte e-maili inceleyelim.

Bu benim elime nasıl geçti? Geri dönüş e-mail adresine benim maili yazmış.

Şimdi bu sahte e-maili inceleyelim

Original message headers:

(E-Mailin asıl başlığı: Bu kısmı görmek için gelen maile sağ tıklayıp özellikleri tıklayıp ayrıntılarına bakarsak orada Bu iletinin Internet üstbilgisi: olarak görünen kısımdır.)

<font>Received: from ***.basbakanlik.gov.tr (172.16.1.4) by ***.basbakanlik.gov.tr (172.16.1.5) with Microsoft SMTP Server id 8.1.340.0; Sat, 11 Jul 2009 19:27:05 +0300</font><font>Received: from innuendo.warehouse.volia.net ([77.122.199.185]) by eSafe SMTP</font><font>Relay 1245132388; Sat, 11 Jul 2009 19:33:10   +0300Message-ID: <04cf01ca025d$1c982eb0$b9c77a4d@microsof-2b5406>From: Online Pfizer <***@hiperteknoloji.org>To: mkececih Reply-To: ***@hiperteknoloji.orgSubject: ID84343  C-A-N-A-D-l-A-N   P-H-A-R-M-A-C-YDate: Sat, 11 Jul 2009 16:23:46 -0120MIME-Version: 1.0Content-Type: multipart/related;  boundary="----=_NextPart_000_04CD_01CA025D.1C982EB0"X-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express 6.00.2900.3138X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3138X-Antivirus: avast! (VPS 080611-1, 11.06.2008), Outbound messageX-Antivirus-Status: CleanX-ESAFE-STATUS: Mail cleanX-ESAFE-DETAILS:Return-Path: ***@hiperteknoloji.org </font>

Bu sahte maili gönderen

77.122.199.185 UAUKRAINE KYYIV KIEV VOLIA adresinden gelmektedir.

(Received: from innuendo.warehouse.volia.net

([77.122.199.185]) by eSafe SMTP) ifadesinden de anlaşılmaktadır.  

Gelen e-mail benden geliyormuş gibi gözüksede aslında bu bir sahte e-maildir.

MSc. Mehmet Kececi

16/07/2009

İlk yayınlama adresi:

2. yayınlama adresi 01.01.2010

 

2.si

Benim Adıma Başbakanlığa Sahte E-Mail Atılıyor.

3 Mart 2010 Çarşamba, 02:52 tarihinde Mehmet Keçeci tarafından eklendi

Benim Adıma Başbakanlığa Sahte E-Mail Atılıyor.

Aşağıdaki IP adresinden benim adımaymış gibi Başbakanlığa sahte e-mail atıyorlar.
Daha öncede bunu yapmışlardı. Bu konu ile sahte e-maillerinin nasıl tesbit edileceğine dair bir makale yazmıştım.

Hatta bununla ilgili bir çok ulusal ve uluslararası kurumları da bizzat ben uyarmıştım. Çünkü her hosting firması kendi alanında neler yapıldığını tesbit edemez eğer bu tarzda çalışanlar var ise uyarılması gerekir. Batta bazılarının sistem açıklarından yararlanarak başkalarıda onları istismar ederler. Özellikle proxy lerin arkalarınada saklanırlar. Ama sonuçta bir açık vardır ve giderilmesi gerekir.

Artı bu çok rahatsız edici bir durumdur. Yanlış anlaşılmalar sonucu bir çok insana zarar verebilir.

Sahte e-mailin atıldığı şehir, kullandığı ISP ve IPsi aşağıdaki gibidir. Yani mahkemeye verildiği takdirde eğer bu IP istismar edilmemişse bu IP yi kullanan kişi zor durumda kalır. ISP sine bir uyarıyazısı yolladım. Cevabını bekliyorum.
(Sıradan bir cevap geldi şu telefonu arayıp daha geniş bilgi alabilirsiniz diye Türkiyede olsaydı arardıkta Ukranyanın konuştuğu dili bilmediğimden onuda yapamadık.)

109.162.23.117 UA UKRAINE KYYIV KIEV KYIVSTAR GSM

Received: from mx4.hotmail.com ([109.162.23.117]) by eSafe SMTP Relay
1258493660; Tue, 02 Mar 2010 23:02:56 +0200
From: Adderall__Percocet <benim e-mailim=””>

sahte e-mail

Sahte e-mailin atıldığı şehir.

Hatta bazıları benim adıma bana sahte e-mail atmaya kalkışıyorlar. Maalesef Internet ortamı bunlara müsait. Aşırı şekilde tedbir alınınca server”a yük biniyor. Bunun en iyi çaresi Internet Protokolünün güvenlik seviyesinin arttırılmsı. Bu da zaman isteyen bir olay fakat o zamana kadarda yeni yöntemler çıkar yani bir açmaz devam edecek demektir.

Yayın Linki: http://www.facebook.com/note.php?note_id=386831720504

SAHTE MAİL VE SİTELER

Size bana gönderilen sahte bir mail ile nasıl şifrelerinizi çalmaya çalıştıklarınızı göstereceğim.

Sahte Mail: support@paypal.login.com den geliyor.

Sizden PayPal hesabınızı yenilemenizi yoksa kapatılacağını söylüyor.

sahte e-mail

Renew Now linkine tıkladığınızda sahte olarak hazırlanmış siteye bağlanıyor. (Oltalama, Balıklama, Phishing olayı)

işte sahte site:

http://westmauicondorentals.com/https/secure/www.paypal.com/sslencrypt218bit/cgi-bin/processing/cgi-bin/webscrcmd_login.php

sahte e-mail

Orijinal PayPal sitesi ise

https://www.paypal.com/  ve dikkat ederseniz https yani –s– ekli yani security-güvenlik içeriyor artı link kısmı sarı

site adresi sade ve site orijinal linkleri de içeriyor.

sahte e-mail

Aman dikkat boş yere hesabı boşaltılardan olmayalım.

Daha sonra bilgisayar, Internet ve e-ticaret güvenliği ile ilgili geniş bir makale yayınlanacaktır.

Hazırlayan: MSc. Mehmet Keçeci 08.10.2007

Kaynak: http://www.hiperteknoloji.org

banner

Ayrıca tarayıcılarınızın sahte site uyarılarını mutlaka değerlendiriniz. Bunlar %97-99 arasında doğru sonuç verirler. Bir tane örnek verirsek

Sahte site

Benden Bana Gönderiliyormuş Gibi Gözüken Sahte/Spam Bir E-Mail İncelemesi

11.12.2011

Mehmet Keçeci

Aynı zamanda benden sizlerede gönderiliyormuş gibi gönderilebilir. Bunlar bilgisayarlara kurulan sahte e-mail serverları ile yapılabilmektedirler ve şuan kullanılan protokollerin bunları önleme gibi bir seviyeleride yoktur. Bu bir açıktır ve mutlaka protokollerin bu açığı kapatması gerekir.

=====================================================================================

Return-Path: <****@hiperteknoloji.org>  (Geri dönüş adresi benim e-mailim)

X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on ****

(Server”ımın adı (kapatıldı) ve kullandığı spam yazılımı ve sürümü)

X-Spam-Flag: YES

(Spam uyarısı)

X-Spam-Level: ***************************************

(Spam seviyesi)

X-Spam-Status: Yes, score=39.9 required=9.0 tests=BAYES_99, HELO_DYNAMIC_IPADDR2,HS_INDEX_PARAM,HTML_IMAGE_ONLY_08,HTML_MESSAGE, HTML_SHORT_LINK_IMG_1,MIME_HTML_ONLY,MISSING_DATE,RAZOR2_CF_RANGE_51_100, RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,RCVD_IN_BRBL_LASTEXT,RCVD_IN_PBL, RCVD_IN_RP_RNBL,RCVD_IN_SORBS_DUL,RCVD_IN_SORBS_WEB,RCVD_IN_XBL,RDNS_DYNAMIC, SPF_SOFTFAIL,TO_EQ_FM_DIRECT_MX,TO_EQ_FM_HTML_DIRECT,TO_EQ_FM_HTML_ONLY, T_SURBL_MULTI1,T_SURBL_MULTI2,T_SURBL_MULTI3,T_URIBL_BLACK_OVERLAP, URIBL_AB_SURBL,URIBL_BLACK,URIBL_DBL_SPAM,URIBL_JP_SURBL,URIBL_RHS_DOB, URIBL_SBL,URIBL_SC_SURBL,URIBL_WS_SURBL autolearn=spam version=3.3.1

(Spam seviyesine 39.9 verdiği için server tarafından engellenmemi fakat başına spam ifadesini yazarak kabul etmiltir. Hangi seviyede olduğunda engelleneceği bizim server ayarlarımızda konur. Eğer bu çok düşük konduğunda normal e-maillerin bir kısmıda spam sanılarak engellendiğinden fazla seviye artırılması iyi olmamaktadır. Buda spam yazılımların bir açığı olarak durmaktadır.)

X-Spam-Report:

* 0.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address

* [41.59.1.177 listed in dnsbl.sorbs.net] (Aslında hangi IP”den gönderildiğini gösteren ve uluslararası karalisteye girmiş sahte e-mailin gerçek kaynağı Tanzanya”dır..)

* 0.8 RCVD_IN_SORBS_WEB RBL: SORBS: sender is an abusable web server

* 1.7 URIBL_BLACK Contains an URL listed in the URIBL blacklist

* [URIs: buttonpump.com]

* 4.5 URIBL_AB_SURBL Contains an URL listed in the AB SURBL blocklist

* [URIs: buttonpump.com]

* 1.6 URIBL_WS_SURBL Contains an URL listed in the WS SURBL blocklist

* [URIs: buttonpump.com]

* 1.2 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist

* [URIs: buttonpump.com]

* 0.6 URIBL_SC_SURBL Contains an URL listed in the SC SURBL blocklist

* [URIs: buttonpump.com]

* 3.5 BAYES_99 BODY: Bayes spam probability is 99 to 100%

* [score: 1.0000] * 1.4 RCVD_IN_BRBL_LASTEXT RBL: RCVD_IN_BRBL_LASTEXT

* [41.59.1.177 listed in bb.barracudacentral.org]

* 1.3 RCVD_IN_RP_RNBL RBL: Relay in RNBL,

* https://senderscore.org/blacklistlookup/

(Bu adresten baktığınızda bu IP”nin karalistede olduğunu görebilirsiniz. (That IP address is currently listed in the Return Path Reputation Network Blacklist.) Sizin IP”niz karalistede olmaması gerekir. Eğer karalistede ise çıkartılması için başvurmanız gerekecek. İncelendikten sonra eğer spam e-mail göndermiyorsanız çıkartırlar. Bazıları tüm LP”leri kara listeye alırlar isteyenlerinkini çıkartırlar fakat bu tür sitelerin kullanımı iyi sonuç vermez. O yüzden IP karalistelerin iyi çalışanları oldukça güvenilirdir. Fakat IPler zaman içinde ISP ler tarafından değiştirildiğinden devamlı olumlu sonuç vermeyebilir.))

* [41.59.1.177 listed in bl.score.senderscore.com]

* 1.7 URIBL_DBL_SPAM Contains an URL listed in the DBL blocklist

* [URIs: buttonpump.com]

* 1.5 URIBL_RHS_DOB Contains an URI of a new domain (Day Old Bread)

* [URIs: buttonpump.com]

* 3.6 HELO_DYNAMIC_IPADDR2 Relay HELO”d using suspicious hostname (IP addr * 2)

* 0.4 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL

* [41.59.1.177 listed in zen.spamhaus.org]

* 3.3 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL

* 0.7 SPF_SOFTFAIL SPF: sender does not match SPF record (softfail)

* 0.6 HS_INDEX_PARAM URI: Link contains a common tracker pattern.

* 0.0 HTML_MESSAGE BODY: HTML included in message

* 1.7 HTML_IMAGE_ONLY_08 BODY: HTML: images with 400-800 bytes of words

* 0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts

* 1.9 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level

* above 50%

* [cf: 100]

* 0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%

* [cf: 100]

* 0.9 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/)

(Bu sitede spamları ayırmak için bir liste üretir ve bizi uyarır. Bu uyarılar server”a tanımlarımızdan gelir.)

* 1.6 URIBL_SBL Contains an URL listed in the SBL blocklist

* [URIs: buttonpump.com]

* 1.0 RDNS_DYNAMIC Delivered to internal network by host with

* dynamic-looking rDNS

* 0.0 T_SURBL_MULTI2 T_SURBL_MULTI2

* 0.0 T_URIBL_BLACK_OVERLAP T_URIBL_BLACK_OVERLAP

* 0.0 HTML_SHORT_LINK_IMG_1 HTML is very short with a linked image

* 0.0 T_SURBL_MULTI3 T_SURBL_MULTI3

* 0.0 T_SURBL_MULTI1 T_SURBL_MULTI1

* 1.4 MISSING_DATE Missing Date: header

* 0.0 TO_EQ_FM_HTML_ONLY To == From and HTML only

* 0.0 TO_EQ_FM_DIRECT_MX To == From and direct-to-MX

* 1.7 TO_EQ_FM_HTML_DIRECT To == From and HTML only, direct-to-MX

Delivered-To: hiperteknoloji.org-****@hiperteknoloji.org

(Hangi siteye ve e-maile teslim edileceğini bildirir. Bize gönderilmiş.)

Received: (qmail 4199 invoked by uid 0); 11 Dec 2011 08:54:16 -0000

(Ulaşma tarih ve saati 11 Kasım 2011 saat 08:54:16)

Received: from 177.1-59-41.data-dsm.ttcldata.net (41.59.1.177) by ***** with SMTP; 11 Dec 2011 08:54:16 -0000 Message-ID: <20111211115314.2386.qmail@177.1-59-41.data-dsm.ttcldata.net>

(Bana ulaşırken gönderilen IP (Sahte IP) ile bu e-mailin gelmesi içine geçen benim server IP görülmektedir. Kimden geldiğini belirten kısım IP ve ISP”si (177.1-59-41.data-dsm.ttcldata.net (41.59.1.177)) kısımdır ve sahte e-mailin gönderildiği asıl yerdir.)

To: <****@hiperteknoloji.org>

(Bize gönderilmiş)

Subject: ******SPAM****** ****@hiperteknoloji.org Rolex Today -23%

(Kopnunun başındaki bu ******SPAM****** ifade benim server tarafından, anti-virüs yazılımlarından veya live mail gibi programlardan atanarak bu e-mailin spam olduğunu bildirir ve bizleri uyarır. Buradaki ifade benim server”ım tarafından atanmıştır. Konudaki benim e-mailim sahtedir ve alıcıyı kandırmak amacı ile kkonmuştur. Sahte e-mailin asıl amacının bir saat sitesi reklamı olduğu anlaşılmaktadır.)

From: <****@hiperteknoloji.org>

(DİKKAT: Asıl aldatan kısım burasıdır sanki bu e-mail benden geliyormuş gibi gözükmesini sağlayan kısım burasıdır. Fakat aldanmamak gerekir. E-Mailin kaynağını IP ve ISP den anlayacağız.)

MIME-Version: 1.0

Content-Type: text/html;

charset=”ISO-8859-1″

(Karakter setinin 1 olması bunun İngilizceye göre ayarlanmış bir bilgisayardan gönderildiği anlaşılır. (Tabi ki burası istendiği ğibi değiştirilebilir). Eğer Türkçe olsaydı 9, 1254 ile biterdi.)

Content-Transfer-Encoding: 7bit

X-Spam-Prev-Subject: ****@hiperteknoloji.org Rolex Today -23%

(E-Mailin içeriği de aşağıdaki HTML kodlarında gizlidir.)

<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>

<html xmlns=”http://www.w3.org/1999/xhtml”>

<head> <meta http-equiv=”Content-Type” content=”application/xhtml+xml; charset=UTF-8″/> </head>

<body>

<table border=”0″ cellpadding=”0″ cellspacing=”0″ style=”width: 896px”> <tr><td align=”center” style=”font: normal 11px Verdana, sans-serif; color: #333;”>

<a href=”http://brxi.buttonpump.com?ionl” style=”text-decoration: none; color: #0099ff;”>Click here!</td></tr> <tr><td align=”center”> <br/>

<a href=”http://cpaf.buttonpump.com?cnha”><img src=”http://www.rolex.com/images/email/BaselEmailWatch.webp” style=”border-width: 0px”/></a>

(Buradada bir hile vardır resim rolex sitesiniden alınmışken üzerine tıkladığınızda buttonpump gibi başka bir siteye yönlendirmektedir. Yani sahte ve spam e-mail gönderici size farklı bir siteden ürünü satmak amacındadır.)

</td></tr> </table> </body></html>

Sahte ve Spam E-Mailin gönderildiği Ülke: Tanzanya

Sahte e-mailin kaynağı

 

 

banner