Seni Selamlıyorum!

Pazar akşamı evde kahvemi içerken telefonun bildirim sesiyle sıçradım. Yeni e-posta geldiğini belirten ikona dokunup keyifli keyifli e-postamı okumaya başlayacaktım ki bir ayrıntı dikkatimi çekti; e-postayı gönderen kişi BENDİM?! Başımdan aşağı kaynar sular döküldü, yoksa hacklenmiş miydim?

İşin hikaye kısmı bir yana, kendi mail adresimden gelmiş gibi görünen ve mail adresim dahil bir çok verimi çaldığını iddia eden yarım yamalak Türkçe bir e-posta ile karşı karşıyaydım. Bunun tamamen asılsız ve fidye amaçlı olduğunu anlamam pek uzun sürmedi ve internette araştırmaya başladığımda gördüm ki yalnız değilim. Hatta sabah işyerine gittiğimde haberini aldım ki devlete ait bir çok kurumsal e-posta adresine aynı şekilde fidye mailleri düşmüş. 

E-posta, bana ait bilgilerin ve fotoğrafların ele geçirildiği ve eğer istenen miktarda BTC’yi göndermezsem bu bilgilerin ifşa edileceğine dair tehdit içeriyordu. Biraz araştırdığımda bu şekilde şantaj yapmanın literatürde bir adının da olduğunu öğrendim. Karşınızda, Sextortion.

Kaspersky’den alıntı:

Şantaj belki de tarihin en eski suçlarından biridir, günümüz teknolojisi de buna yardım ediyor – diğer birçok şey gibi – bu da kelimenin tam anlamıyla patladı. Siber suçlular, kurbanlarından birçok şekilde para kazanabiliyorlar. Ancak iletişim yollarını (mesela mesajlaşmalarını, web kamerasını) hacklemek ve insanların son derece kişisel verilerini ele geçirmek –ki bu son derece insanlıktan uzak bir durum – için yapılan bu güçlü saldırılara sextortion diyoruz.

Gelen e-posta içeriğini aşağıda paylaşacağım ama önemli olan bu şekilde gelen maillerin gerçekten kimden geldiğini nasıl anlarız? Hangi detaylara dikkat etmemiz gerekiyor? Gelin biraz inceleyelim.

Fidyeci’den gelen e-posta’nın kaynağını görüntülediğimde header bilgilerinin aşağıdaki gibi yer aldığını görüyoruz.

Fidyeciden gelen e-posta’nın header bilgileri

İşaretli alan, e-postanın gerçekte gönderildiği sunucunun bilgilerini göstermekte. Bir alt satırda ise alıcıya ait sunucu bilgileri var. Gördüğünüz gibi sunucular farklı, bu da şu anlama geliyor; aslında maili gönderen kişi ve alan kişi aynı değil.

Peki gerçekten kendime e-posta gönderseydim header bilgileri nasıl olurdu? Bu sorunun cevabı da aşağıdaki fotoğrafta.

Kendime gönderdiğim e-postaya ait header bilgileri


Seni selamlıyorum!

Senin için kötü haberlerim var.
16/08/2018 – O gün işletim sisteminizi hackledim.
Şimdi hesabınıza tam erişimim var onur@ozkaleli.com.tr.

Nasıldı:
O gün bağlandığınız yönlendiricinin yazılımında bir güvenlik açığı vardı.
İlk önce bu yönlendiriciyi hackledim ve zararlı kodumu yerleştirdim.
İnternete girdiğinizde, trojan cihazınızın işletim sistemine yüklenmişti.

Bundan sonra, diskin tüm verilerini indirdim (tüm adres defterinize, görüntüleme sitelerinin geçmişine, tüm dosyalara, telefon numaralarına ve tüm kişilerinizin adreslerine sahibim).

Cihazınızı kilitlemek ve kilidini açmak için az miktarda para istemek istedim.
Ama düzenli olarak ziyaret ettiğin sitelere baktım. Yetişkinler için sitelerden bahsediyorum.

Söylemek istiyorum – sen büyük bir sapıksın. Sonsuzluk fantezin var!

Ondan sonra aklıma bir fikir geldi.
Zevk aldığınız yetişkin web sitesinin ekran görüntüsünü yaptım (bunun ne olduğunu biliyorsunuz, değil mi?).
Bundan sonra eğlencenin ve eğlencenin bir fotoğrafını çektim (cihazınızın kamerasını kullanarak). Güzelce ortaya çıktı, tereddüt etmeyin.

Bu resimleri akrabalarınıza, arkadaşlarınıza veya iş arkadaşlarınıza göstermek istemeyeceğinize şiddetle inanıyorum.
Sanırım $2re(USD) sessizliğim için küçük bir miktar.
Ayrıca, sana çok zaman harcadım!

Sadece Bitcoins’de para kabul ediyorum.
BTC cüzdanım: 1RcPmWuWP1Bowb5jA1NM7wyomb6R6Pg6j

Bitcoins nasıl gönderileceğinden emin değil misiniz?
Herhangi bir arama motorunda “btc cüzdanına nasıl para gönderilir” yazınız.
Kredi kartına para göndermekten daha kolay!

Ödeme için iki günden biraz fazla zamanınız var (tam olarak 50 saat).
Endişelenmeyin, zamanlayıcı bu mektubu açtığınız anda başlayacaktır. Evet, evet .. çoktan başladı!

Ödeme yapıldıktan sonra virüs ve kirli fotoğraflarınız otomatik olarak kendini imha ediyor.
Bitcoins alamıyorsam, cihazınız bloke olacak!
Ve “eğlence” fotoğraflarınız otomatik olarak tüm kişilerinize gönderilecektir.

Ben ihtiyatlı olmanı istiyorum.
– Virüsümü bulmaya ve yok etmeye çalışma! (Tüm verileriniz zaten uzak bir sunucuya yüklenmiştir)
– Bana ulaşmaya çalışmayın (bu mümkün değil, size hesabınızdan bir e-posta gönderdim)
– Çeşitli güvenlik hizmetleri size yardımcı olmayacaktır; Bir diski biçimlendirmek veya bir aygıtı imha etmek yardımcı olmaz. Verileriniz zaten uzak sunucuda.

Not; Ödemeden sonra artık sizi rahatsız etmeyeceğimi garanti ediyorum. Bu şekilde iletişim kurduğum tek kişi siz değilsiniz.

Şu andan itibaren, iyi antivirüsler kullanıp düzenli olarak güncellemenizi tavsiye ederim (günde birkaç kez)!

Bana kızma, herkesin kendi işi var.
Veda.

Mail içeriğindeki BTC cüzdanını “bitcoinabuse” sitesinde sorguladığımda 24 farklı ihbar olduğunu gördüm. Muhtemelen fidyeci tüm şantaj maillerinde aynı BTC cüzdanını kullandı.

Eğer siz de aynı şekilde bir fidye e-postası alır ya da benim gözden kaçırdığım farklı ipuçları yakalarsanız lütfen bana bildirin, üzerine tartışalım. Elimden geldiğince analiz etmeye ve sizleri de bilgilendirmeye çalıştım.

Sevgiler.
Onur

By | 2018-12-10T22:05:21+00:00 Aralık 10th, 2018|Siber Güvenlik|Yorum yok

About the Author:

Siz de fikrinizi belirtin