Bugune kadar makalelerimde bircok cesit Phishing’e degindim ve bunlardan nasil korunabileceginizi gosterdim. Bu makalemde ise daha once benimde hic karsilasmadigim ve gercekten cok akillica tasarlanmis bir Phishing ornegini anlatacagim. Bu ornegi yabanci bir sitede gordum ve inceledim, ve sizler icin burada cevirisini yaptim..

Adim 1 - E-posta Gelir

Size gelen bir e-posta oldugunu dusunun ve gelen e-postaya ait bilgiler su sekilde:

From: support@paypal.com Mon Jan 5 11:05:17 2004
Subject: PayPal Account Update
To: bobcromwell@insightbb.com
Reply-To: support@paypal.com
Date: Tue, 6 Jan 2004 01:05:17 +0900

Herhangi bir supheli birsey yok. Gelen mail “Paypal Destek” mailinden gelmis. Simdi mail icerigine bakalim:

Eger mail saglayiciniz HTML aktif sekilde calisitiriyorsa su sekilde bir mail ile karsilasacaksiniz:



Buraya kadar da hersey yolunda gozukuyor. Tamamen gercek bir Paypal uyari maili. Mailde gelen link tamamen dogru ve basinda “HTTPS” var. Ayrica sizden bir sifre falan da istemiyorlar sadece sistemde olusan bir sorundan dolayi hesabiniza bakmanizi istiyorlar. Yani tamamen “Guvenli!” gozukuyor.

Adim 2 - E-Mail’in Basligini Okuyalim

Mail basligini ayrintilariyla inceleyerek kim tarafindan gonderildigine ve o mail icerisindeki gizlenmis herseye ulasabilirsiniz. Eger Hotmail kullaniyorsaniz bunu su sekilde yapabilirsiniz:

Maili acin ve sag ustte “Yanitla” linkinin hemen yanindaki kucuk ok isaretine tiklayin.

Buradan da “Ileti Kaynagini Goster”e tiklayin.

Bize gelen mailin basligi su sekilde:



Koyu yazdigim kisma dikkat edin. Mailin geldigi sunucu “Unknown” yani bilinmiyor olarak geciyor ve sunucunun IP adresi gosteriliyor.

Hemen bir “Whois” cekiyoruz IP Adresine:

Gordugunuz gibi Whois sonucunda Paypal ile ilgili hicbir bilgi bulunmuyor. Ayrica mesaj basligindaki bilgilere tekrar bakacak olursak:

Date: Tue, 6 Jan 2004 01:05:17 +0900

Mailin gonderildigi server UTC +9 Zaman Dilimini kullaniyor ve bu da demek oluyor ki mailin gonderildigi server Asya kitasinin dogusunda bir ulke.

Adim 3 - Mail’in Kaynagini Okuyalim

Eger mail saglayiciniza HTML icerigini goruntuleme izni verdiyseniz yukarida gosterdigim resimdeki gibi bir icerigi goruntuleyeceksiniz. Mail ile gelen icerigin kaynak kodlarina bir bakalim:

Adim 4 - Phishing’i Analiz Edelim

Yukarida gosterdigim mailin kaynak kodlarinda kirmizi kutu icerisine aldigim kisma dikkatli bakin:



Burada duralim. Karsimizda ASCII ile gizlenmis bir link bulunmakta. Hemen bir ASCII Decoder ile gizlenmis metni cozelim:

http://www.paypal.comekjhaskjq1pwopwo@211.63.162.93:7301/paypal.htm

Yukarida gerceklesen olay:

Phishing Cesitleri; adli makalemde anlattigim 16. Phishing cesididir. Yani “Link Manipule Ile Phishing”.

Linke tiklayan kullanici 7301 numarali TCP portu ile 211.63.192.93 IP Adresine baglaniyor ve /paypal.htm dosyasini goruntuluyor. Burada cikan Paypal sayfasi tahmin edeceginiz gibi Sahte bir sayfa olup gireceginiz kullanici adi ve sifrenizi calmak icin hazirlanmis.

Boylece bu Phishing Saldirisini gerceklestiren saldirganlar bu maile inanan bircok kisinin banka hesabini bosaltmis oluyor.

Yukaridaki Ip Adresleri ve Fake Sayfa artik calismiyor. Fakat bu tarz saldirilar gun gectikce daha da artiyor. Bu konuda ne kadar supheci ve dikkatli olursaniz sizin acinizdan o kadar iyi olur kanaatindeyim.

Bir baska makalede gorusmek dilegiyle..