Letsdefend : Phishing Email Analysis Walkthrough Path

Oltalama saldırısı, genellikle kullanıcının kişisel bilgilerini, e-postalardaki kötü niyetli bağlantılara tıklamaları veya bilgisayarlarında kötü niyetli dosyaları çalıştırmaları için kandırarak çalmayı amaçlayan bir saldırı türüdür.

Oltalama saldırıları, siber saldırıları analiz etmek için oluşturulan Siber Ölüm Zinciri modelinin “Teslimat” aşamasına girer. ‘Teslimat’ aşaması, saldırganın önceden ayarlanmış kötü niyetli içeriği kurban sistemlere/kişilere aktardığı aşamadır.

Saldırganlar genellikle “hediye kazandınız”, “büyük indirimi kaçırmayın”, “e-postadaki bağlantıya tıklamazsanız hesabınız askıya alınacak” gibi aldatıcı ifadeler kullanarak kurbanların e-postadaki kötü amaçlı bağlantıya tıklamasını sağlamayı amaçlamaktadır.

Elbette saldırının amacı kullanıcının parola bilgilerini çalmak değil, zincirin en zayıf halkası olan insan faktörünü istismar etmektir. Saldırganlar kimlik avı saldırılarını sistemlere sızmak için ilk adım olarak kullanırlar.

Information Gathering

Spoofing

E-postalarda mutlaka bir kimlik doğrulama mekanizması bulunmadığından, saldırganlar başka birinin adına e-posta gönderebilirler. Saldırganlar bunu, kullanıcıyı gelen e-postanın güvenilir olduğuna inandırmak için spoofing adı verilen bir teknik kullanarak yapabilirler. E-posta sahteciliği tekniğini önlemek için çeşitli protokoller oluşturulmuştur. SPF, DKIM ve DMARC protokolleri, gönderenin adresinin sahte mi yoksa gerçek mi olduğunu belirlemek için kullanılabilir. Bazı e-posta programları e-postaları otomatik olarak kontrol eder. Ancak bu protokollerin kullanımı zorunlu değildir ve bazı durumlarda sorunlara neden olabilir. Sender Policy Framework (SPF) DomainKeys Identified Mail (DKIM) Bir mailin sahte olup olmadığını manuel olarak belirlemek için öncelikle mailin SMTP adresi tespit edilmelidir. Alan adının SPF, DKIM, DMARC ve MX kayıtları Mxtoolbox gibi araçlar kullanılarak elde edilebilir. Bu bilgileri karşılaştırmak size e-postanın sahte olup olmadığını söyleyecektir.

Kendi posta sunucularını kullanan büyük kurumların kendi IP adresleri olacağı için SMTP IP adresinin Whois kayıtlarına bakarak SMTP adresinin o kuruma ait olup olmadığını kontrol edebilirsiniz. Şunu da belirtmekte fayda var, göndericinin adresi sahte olmasa bile e-postanın güvenli olduğunu söyleyemeyiz. Kurumsal/kişisel e-posta adresleri hacklenerek güvenilir kişiler adına zararlı e-postalar gönderilebilir. Bu tür siber saldırılar geçmişte de yaşanmıştır, bu nedenle her zaman bu olasılığı göz önünde bulundurmakta fayda vardır.

E-mail Traffic Analysis

Bir oltalama saldırısını analiz etmek için birçok parametreye ihtiyaç vardır. Mail gateway üzerinde bir arama gerçekleştirirsek aşağıdaki parametreler bize saldırının boyutu ve hedef kitle hakkında fikir verebilir. Gönderen Adresi(info@letsdefend.io) SMTP IP Adresi(127.0.0.1) @letsdefend.io (domain base) letsdefend (Gmail hesabına ek olarak saldırgan Hotmail hesabından da gönderim yapmış olabilir) Konu (gönderen adresi ve SMTP adresi sürekli değişiyor olabilir) E-posta numaralarına ek olarak arama sonuçlarında alıcıların adres ve zaman bilgilerini de bilmek gerekir. Kötü amaçlı e-postalar sürekli aynı kullanıcılara iletiliyorsa, e-posta adresleri bir şekilde sızdırılmış ve PasteBin gibi sitelerde paylaşılmış olabilir. Saldırganlar, Kali Linux’taki Harvester aracını kullanarak e-posta adreslerini bulabilir. Kişisel e-posta adreslerinin web sitelerinde yayınlanması saldırganlar için potansiyel bir saldırı vektörü sağlayabilir, bu nedenle bu tür bilgilerin açıkça paylaşılmaması önerilir.

E-postalar mesai saatleri dışında gönderiliyorsa, saldırgan farklı bir zaman diliminde olabilir. Bu tür bilgileri toplayarak saldırının niteliğini anlamaya başlayabilirsiniz.

E-posta Başlığı Nedir ve Nasıl Okunur?

Bu derste, bir e-postadaki başlık bilgilerini, bunlara nasıl erişebileceğinizi ve bunlarla neler yapabileceğinizi açıklayacağız. Bir sonraki bölümde başlık analizinin nasıl yapılacağını açıklayacağımız için bu bölümü dikkatle takip etmeniz önemlidir.

E-posta Başlığı nedir?

Başlık, e-postanın gönderen, alıcı ve tarih gibi bilgileri içeren bir bölümüdür. Ayrıca ‘Return-Path’, ‘Reply-To’ ve ‘Received’ gibi bileşenler de vardır. Aşağıda örnek bir e-postanın başlık ayrıntılarını görebilirsiniz.

E-posta Başlığı ne işe yarar?

Başlıktaki “Kimden” ve “Kime” alanları sayesinde, bir e-postayı kimin gönderdiğini ve kimin aldığını öğrenebilirsiniz. “eml” formatında indirdiğiniz yukarıdaki e-postaya bakarsak, “ogunal@letsdefend.io” adresinden “info@letsdefend.io” adresine gönderildiğini görebiliriz.

Spam Blocker

Başlık analizi ve diğer çeşitli yöntemler kullanılarak spam e-postaları tespit etmek mümkündür. Bu, insanların SPAM e-postaları almasını önler.

Bir E-postanın Rotasını İzlemenizi Sağlar

Bir e-postanın doğru adresten gelip gelmediğini görmek için izlediği rotayı kontrol etmek önemlidir. Yukarıdaki örnek e-postaya bakarsak, “ogunal@letsdefend.io” adresinden geldiğini görebiliriz, ancak yine de “letsdefend.io” alan adından mı yoksa aynı adı taklit eden başka bir sahte sunucudan mı geldiği kesin değildir. Bu soruyu yanıtlamak için başlık bilgilerini kullanabiliriz.

Önemli Alanlar

From

Bir İnternet başlığındaki ‘Kimden’ alanı gönderenin adını ve e-posta adresini gösterir.

To

Posta başlığındaki bu alan, adları ve e-posta adresleri de dahil olmak üzere e-postanın alıcısının ayrıntılarını içerir. CC (karbon kopya) ve BCC (kör karbon kopya) gibi, hepsi alıcılarınızın ayrıntılarını içerdiğinden bu kategoriye girer.

Karbon kopya ve kör karbon kopya hakkında daha fazla bilgi edinmek için CC ve BCC nasıl kullanılır bölümüne bakın.

Date

Bu, e-postanın ne zaman gönderildiğini gösteren zaman damgasıdır. Gmail’de genellikle gün gg ay yyyy ss:dd:ss biçimini izler. Dolayısıyla, bir e-posta 16 Kasım 2021 tarihinde saat 16:57:23'te gönderildiyse, Wed, 16 Nov 2021 16:57:23 olarak görünür.

Subject

Konu, e-postanın konusudur. Tüm mesaj gövdesinin içeriğini özetler.

Return-Path

Bu e-posta başlık alanı Reply-To olarak da bilinir. Bir e-postayı yanıtladığınızda, yanıt Return-Path alanında belirtilen adrese gönderilir.

Domain Key and DKIM Signatures

Domain Key ve Domain Key Identified Mail (DKIM), SPF imzalarına benzer şekilde e-posta hizmet sağlayıcılarının e-postalarınızı tanımlamasına ve doğrulamasına yardımcı olan e-posta imzalarıdır.

Message-ID

Message-ID başlığı, her e-postayı tanımlayan benzersiz bir harf ve rakam kombinasyonudur. İki e-posta aynı Mesaj Kimliğine sahip olmayacaktır.

MIME-Version

Çok Amaçlı İnternet Posta Uzantıları (MIME) bir İnternet kodlama standardıdır. Resimler, videolar ve diğer ekler gibi metin olmayan içeriği metne dönüştürür, böylece metin olmayan içerik bir e-postaya eklenebilir ve SMTP (Basit Posta Aktarım Protokolü) aracılığıyla gönderilebilir.

Received

Alınan bölümü, bir e-postanın alıcının gelen kutusuna ulaşmadan önce geçtiği her posta sunucusunu listeler. Ters kronolojik sırayla listelenir — en üstteki posta sunucusu e-posta iletisinin geçtiği son sunucudur ve en alttaki posta sunucusu e-postanın geldiği yerdir.

X-Spam Status

X-Spam Durumu size bir e-posta iletisinin spam puanını gösterir. İlk olarak, bir iletinin spam olarak sınıflandırılıp sınıflandırılmadığını vurgular. Ardından, e-postanın spam puanını ve e-posta için spam eşiğini gösterir. Bir e-posta, gelen kutusunun spam eşiğini karşılayabilir veya aşabilir. Çok spam içeriyorsa ve eşiği aşıyorsa, otomatik olarak spam olarak sınıflandırılır ve Spam klasörüne gönderilir.

Alan Tanımları: gmass.co

E-posta Başlığınıza Nasıl Erişebilirsiniz?

Gmail

1- Söz konusu e-postayı açın

2- Sağ üstteki 3 noktaya tıklayın “…”

3- “Mesajı indir” düğmesine tıklayın.

4- İndirilen “.eml” uzantılı dosyayı herhangi bir notebook uygulaması Outlook ile açın

1- Söz konusu e-postayı açın

2- File -> Info -> Properties -> Internet headers

laba bağlanalım

soru 1

Not: Aşağıdaki soruları çözmek için “C:\Users\LetsDefend\Desktop\Files\Challenge+Mail.zip” dosyasını kullanın.

Dosya Şifresi: infected

Bu e-postaya yanıt vermek isteseydik, alıcının adresi ne olurdu?

belirtilen kısımdaki dosyayı açıp maildeki adresi alabiliriz

cevap: info@letsdefend.io

soru 2

E-posta hangi yıl gönderildi?

mailin headers ı açmamız gerekiyor bu butonu açalım

ve mailin gönderildiği tarihi burda bulabiliriz

cevap : 2022

soru 3

Message-ID nedir? (> < olmadan)

Message-ID üstbilgisi, her e-postayı tanımlayan benzersiz bir harf ve sayı kombinasyonudur. Hiçbir e-posta aynı Mesaj Kimliğine sahip olmayacaktır.

mail başlığında messege id yi bulabiliriz

cevap : 74bda5edf824cea8aad36e707.675c34a61f.20220321204512.a02caaccf3.a268ce5a@mail41.suw13.rsgsv.net

E-posta Başlık Analizi

Bir önceki derste, kimlik avı e-postasının ne olduğunu, başlık bilgilerinin ne olduğunu ve ne işe yaradığını inceledik. Şimdi, bir e-postanın oltalama olduğundan şüphelendiğimizde, ne yapmamız gerektiğini ve analiz sürecinin nasıl olması gerektiğini bileceğiz. Oltalama analizi sırasında başlıkları kontrol ederken yanıtlamamız gereken temel sorular şunlardır:

E-posta doğru SMTP sunucusundan mı gönderildi?

“Kimden” ve “Return-Path / Reply-To” verileri aynı mı?

Not: Aşağıdaki bağlan düğmesini kullanarak laboratuvar makinesine bağlanın. E-postayı analiz etmek için “C:\Users\LetsDefend\Desktop\Files\Mail-Analysis.zip” dosyasını kullanın. (Dosya Şifresi:infected)

E-posta doğru SMTP sunucusundan mı gönderildi?

E-postanın izlediği yolu görmek için “Received” alanını kontrol edebiliriz. Aşağıdaki resimde de görebileceğiniz gibi, e-posta “101.99.94.116” IP adresli sunucudan geldi.

Postayı kimin gönderdiğine (“gönderen”) bakarsak, “letsdefend.io” alan adından geldiğini görebiliriz.

Yani, normal şartlar altında, “letsdefend.io” posta göndermek için “101.99.94.116” adresini kullanıyor olmalıdır. Bunu doğrulamak için, “letsdefend.io “nun aktif olarak kullandığı MX sunucularını sorgulayabiliriz.” “mxtoolbox.com”, sorduğunuz alan adı tarafından kullanılan MX sunucularını göstererek size yardımcı olacaktır.

Yukarıdaki görsele bakacak olursak, “letsdefend.io” alan adı e-posta sunucusu olarak Google adreslerini kullanmaktadır. Dolayısıyla emkei.cz veya “101.99.94.116” adresleriyle bir ilişkisi yoktur. Bu inceleme, e-postanın orijinal adresten gelmediğini, sahte olduğunu göstermiştir.

‘Kimden’ ve ‘Return-Path / Reply-To’ ayrıntıları aynı mı?

İstisnai durumlar dışında, e-postayı gönderenin ve yanıtların alıcısının aynı olmasını bekleriz. Kimlik avı saldırılarında bu parçaların nasıl farklı kullanıldığına dair bir örnek: Birisi LetsDefend’e Google’da çalışan biriyle aynı soyadına sahip bir e-posta (Gmail, Hotmail, vb.) gönderir, LetsDefend çalışana faturayı düzenlediklerini ve XXX hesaplarına ödeme yapmaları gerektiğini söyler. Gerçek Google çalışanının e-posta adresini “Yanıtla-Kime” alanına ekler, böylece e-posta yanıtlandığında sahte e-posta adresi göze çarpmaz. Yukarıda indirdiğimiz e-postaya geri dönersek, tek yapmamız gereken ‘Kimden’ ve ‘Yanıtla-Kime’ bölümlerindeki e-posta adreslerini karşılaştırmaktır.

Gördüğünüz gibi veriler farklı. Başka bir deyişle, bu e-postaya yanıt vermek istersek, aşağıdaki gmail adresine bir yanıt göndereceğiz. Lütfen bu verilerin farklı olmasının her zaman bunun kesinlikle bir kimlik avı e-postası olduğu anlamına gelmediğini, olaya bir bütün olarak bakmamız gerektiğini unutmayın. Başka bir deyişle, bu şüpheli duruma ek olarak, e-postanın içeriğinde kötü amaçlı bir ek, URL veya yanıltıcı içerik varsa, bunun bir kimlik avı e-postası olduğunu anlayabiliriz. Bir sonraki derste e-postanın gövdesindeki verileri analiz edeceğiz.

Note: “C:\Users\LetsDefend\Desktop\Files\Header-Challenge.zip” dosyasını kullanarak aşağıdaki soruları çözün.

File Password: infected

soru 1

Soru: Gönderenin adresi ile Gönderenin adresi ile “Yanıtla-Kime” alanındaki adres farklı mı? Yanıt Biçimi: Y/N

resimde gördüğümüz gibi iki adres farklı

cevap : Y

soru 2

Bu e-postaya yanıt vermek istersem, hangi adrese gönderilecek?

Reply to kısmına bakarak cevabı bulabiliriz

cevap:mrs.dara@daum.net

Soru 3

E-posta hangi IP adresinden gönderildi?

yine mail adresini inceleyerek bulabiliriz

cevap:222.227.81.181

Static Analysis

Birçok kişi düz metni sıkıcı bulur, bu nedenle e-posta programları HTML desteği sunarak kullanıcının dikkatini çekmesi daha muhtemel e-postalar oluşturmanıza olanak tanır. Elbette bu özelliğin bir dezavantajı vardır. Saldırganlar HTML kullanarak zararsız gibi görünen düğmelerin veya metinlerin arkasına kötü amaçlı URL’leri gizleyen e-postalar oluşturabilir.Birçok kişi düz metni sıkıcı bulur, bu nedenle e-posta programları HTML desteği sunarak kullanıcının dikkatini çekmesi daha muhtemel e-postalar oluşturmanıza olanak tanır. Elbette bu özelliğin bir dezavantajı vardır. Saldırganlar HTML kullanarak zararsız gibi görünen düğmelerin veya metinlerin arkasına kötü amaçlı URL’leri gizleyen e-postalar oluşturabilir.

Yukarıdaki resimde görüldüğü gibi, kullanıcının bir bağlantıya tıkladığında gördüğü adres farklı olabilir (kullanıcı bağlantının üzerine geldiğinde gerçek adres görülür).

Çoğu oltalama saldırısında, saldırganlar yeni bir alan adı adresi alır ve birkaç gün içinde oltalama saldırısını tamamlar. Bu nedenle, e-postadaki alan adı yeniyse, bunun bir oltalama saldırısı olma olasılığı daha yüksektir.

E-postalardaki web adresleri için VirusTotal’da sorgulama yaparak, antivirüs motorlarının web adresini zararlı olarak algılayıp algılamadığını öğrenebilirsiniz. VirusTotal’da aynı adresi/dosyayı daha önce başka biri analiz etmişse, VirusTotal sıfırdan analiz etmez, size eski analiz sonucunu gösterir. Bu özellik hem avantaj hem de dezavantaj olarak değerlendirilebilir. E-postalardaki web adresleri için VirusTotal’da sorgulama yaparak, antivirüs motorlarının web adresini zararlı olarak algılayıp algılamadığını öğrenebilirsiniz. VirusTotal’da aynı adresi/dosyayı daha önce başka biri analiz etmişse, VirusTotal sıfırdan analiz etmez, size eski analiz sonucunu gösterir. Bu özellik hem avantaj hem de dezavantaj olarak değerlendirilebilir.

Saldırgan VirusTotal’da alan adresini kötü amaçlı içerik içermediği halde aratırsa, bu adres VirusTotal’a zararsız görünecektir. Ancak, bu küçük ayrıntıyı gözden kaçırırsanız, bu adresin zararsız olduğunu düşünerek kandırılabilirsiniz. Yukarıdaki resimde umuttosun.com adresinin zararsız göründüğünü görebilirsiniz, ancak kırmızı okla işaretlenmiş bölüme bakarsanız, bu adresin 9 ay önce tarandığını ve bu sonucun 9 aylık olduğunu görebilirsiniz. Tekrar taramak için mavi ok butonuna tıklayın.Saldırgan VirusTotal’da alan adresini kötü amaçlı içerik içermediği halde aratırsa, bu adres VirusTotal’a zararsız görünecektir. Ancak, bu küçük ayrıntıyı gözden kaçırırsanız, bu adresin zararsız olduğunu düşünerek kandırılabilirsiniz. Yukarıdaki resimde umuttosun.com adresinin zararsız göründüğünü görebilirsiniz, ancak kırmızı okla işaretlenmiş bölüme bakarsanız, bu adresin 9 ay önce tarandığını ve bu sonucun 9 aylık olduğunu görebilirsiniz. Tekrar taramak için mavi ok butonuna tıklayın.

Site daha önce VirusTotal tarafından tarandıysa, saldırganın hazırlık aşamasında sitenin tespit oranını görmek istediği anlamına gelebilir. Tekrar analiz edersek, antivirüs motoru bunu kimlik avı olarak algılayacaktır, bu da saldırganın analistleri kandırmaya çalıştığı anlamına gelir.

E-postadaki dosyaların statik analizini yapmak, dosyanın kapasitesi/kapasitesi hakkında bilgi sağlayabilir. Ancak statik analiz uzun zaman aldığından, dinamik analiz ihtiyacınız olan bilgileri daha hızlı sağlayabilir.

Cisco Talos Intelligence , IP adreslerinin itibarını öğrenebileceğimiz arama bölümlerine sahiptir. Tespit ettiğimiz e-postanın SMTP adresini Talos’ta aratarak IP adresinin itibarını görebilir ve kara listede olup olmadığını öğrenebiliriz. Eğer SMTP adresi kara listedeyse, saldırının ele geçirilmiş bir sunucu üzerinden gerçekleştirildiği varsayılabilir.Cisco Talos Intelligence , IP adreslerinin itibarını öğrenebileceğimiz arama bölümlerine sahiptir. Tespit ettiğimiz e-postanın SMTP adresini Talos’ta aratarak IP adresinin itibarını görebilir ve kara listede olup olmadığını öğrenebiliriz. Eğer SMTP adresi kara listedeyse, saldırının ele geçirilmiş bir sunucu üzerinden gerçekleştirildiği varsayılabilir.

Benzer şekilde, SMTP adresi VirusTotal ve AbuseIPDB’de aranarak IP adresinin geçmişte kötü niyetli faaliyetlere karışıp karışmadığı öğrenilebilir.Benzer şekilde, SMTP adresi VirusTotal ve AbuseIPDB’de aranarak IP adresinin geçmişte kötü niyetli faaliyetlere karışıp karışmadığı öğrenilebilir.

Dynamic Analysis

Bir e-postadaki URL’lerin ve dosyaların güvenli olduklarından emin olmak için kontrol edilmeleri gerekir. Bu dosyaların kişisel bilgisayarınızda çalıştırılarak verilerinizin bilgisayar korsanları tarafından çalınmasını istemezsiniz. Bu nedenle mailde yer alan web siteleri ve dosyalar sandbox ortamlarında çalıştırılmalı ve sistemde yapılan değişikliklerin zararlı olup olmadığı incelenmelidir.Bir e-postadaki URL’lerin ve dosyaların güvenli olduklarından emin olmak için kontrol edilmeleri gerekir. Bu dosyaların kişisel bilgisayarınızda çalıştırılarak verilerinizin bilgisayar korsanları tarafından çalınmasını istemezsiniz. Bu nedenle mailde yer alan web siteleri ve dosyalar sandbox ortamlarında çalıştırılmalı ve sistemde yapılan değişikliklerin zararlı olup olmadığı incelenmelidir.

E-postadaki web adreslerini hızlı bir şekilde kontrol etmek için Browserling gibi çevrimiçi web tarayıcılarını kullanabilirsiniz. Bu tür hizmetlerin avantajı, web sitesini kendi bilgisayarınızda ziyaret etmediğiniz için tarayıcıları etkileyebilecek olası bir sıfır gün güvenlik açığından etkilenmemenizdir. Öte yandan, Browserling gibi web tarayıcılarını kullanmanın dezavantajı, kötü amaçlı dosya web sitesinden indirilirse, onu çalıştıramayacak olmanızdır. Bu, analizinizi kesintiye uğratabilir.

E-posta içerisindeki linklere gitmeden önce URL içerisinde önemli bir bilgi olup olmadığını kontrol etmelisiniz. Yukarıdaki görselde yer alan örneği inceleyecek olursak, e-posta parametresinde kullanıcının e-posta adresi yer almaktadır. Yani kullanıcı oltalama sayfasında şifresini girmese bile popularshoppingsit.com’a tıklayıp web sitesini ziyaret ettiğinde saldırgan bu kullanıcının geçerli olduğunu bilecektir. Saldırgan, daha sonraki saldırılarda geçerli kullanıcıları sosyal mühendisliğe tabi tutarak saldırının başarı oranını artırabilir. Bu nedenle, web sitelerine erişmeden önce e-posta adresleri gibi bilgilerin değiştirilmesi önemlidir.E-posta içerisindeki linklere gitmeden önce URL içerisinde önemli bir bilgi olup olmadığını kontrol etmelisiniz. Yukarıdaki görselde yer alan örneği inceleyecek olursak, e-posta parametresinde kullanıcının e-posta adresi yer almaktadır. Yani kullanıcı oltalama sayfasında şifresini girmese bile popularshoppingsite.com’a tıklayıp web sitesini ziyaret ettiğinde saldırgan bu kullanıcının geçerli olduğunu bilecektir. Saldırgan, daha sonraki saldırılarda geçerli kullanıcıları sosyal mühendisliğe tabi tutarak saldırının başarı oranını artırabilir. Bu nedenle, web sitelerine erişmeden önce e-posta adresleri gibi bilgilerin değiştirilmesi önemlidir.

Sandbox ortamları, bilgisayarınıza kötü amaçlı yazılım bulaştırma riski olmadan şüpheli dosyaları ve web sitelerini incelemenize olanak tanır. Hem ücretli hem de ücretsiz kullanım için birçok sandbox hizmeti/ürünü mevcuttur. İhtiyacınıza göre bu hizmetlerden birini veya birkaçını seçebilirsiniz.

Yaygın olarak kullanılan bazı kum havuzları:

• VMRay

• Cuckoo Sandbox

• JoeSandbox

• AnyRun

• Hybrid Analysis(Falcon Sandbox)

Kötü amaçlı yazılımlar, tespiti zorlaştırmak için herhangi bir işlem yapmadan belirli bir süre bekleyebilir. Taranan dosyanın kötü amaçlı olmadığına karar vermeden önce kötü amaçlı yazılımın harekete geçmesini beklemeniz gerekir.

Ayrıca, e-postada URL ve dosya bulunmaması kötü amaçlı olmadığı anlamına gelmez. Saldırgan, analiz araçları tarafından tespit edilmesini önlemek için kötü amaçlı yazılımı bir resim olarak da gönderebilir.

Additional Techniques

Bir önceki derste bahsedilen oltalama saldırı tekniklerine ek olarak, saldırganlar normalde yasal olan web sitelerini de kullanabilirler. Bunlardan bazıları şunlardır:

Google ve Microsoft gibi bulut depolama hizmetleri sunan servisleri kullanmak

• Saldırganlar, kullanıcıları zararsız gibi görünen Google / Microsoft Drive bağlantılarına tıklamaları için kandırarak kötü amaçlı dosyalar indirmelerini sağlamaya çalışmaktadır.

Microsoft, WordPress, Blogspot, Wix gibi ücretsiz alt alan adlarının oluşturulmasına izin veren hizmetlerin kullanılması

• Saldırganlar bu servislerden ücretsiz bir subdomain oluşturarak güvenlik ürünlerini ve analistleri kandırmaya çalışmaktadır. Whois bilgileri subdomain olarak aranamadığı için analistler bu adreslerin geçmişte alındığına ve Microsoft, WordPress gibi kurumlara ait olduğuna inandırılabilir.

Form uygulamaları

• Çeşitli hizmetler serbest form oluşturulmasına izin verir ve saldırganlar kendileri bir kimlik avı sitesi oluşturmak yerine bundan faydalanırlar. Alan adı genellikle zararsız olduğundan, anti-virüs yazılımını tetiklemeden kullanıcıya iletilebilir. Google Form böyle bir hizmete örnektir. Whois bilgileri alan adının Google olduğunu gösterdiğinden, saldırgan analistleri yanıltabilir.