Bir e-postaya virüs bulaştığı nasıl anlaşılır?

Olivia Morelli ile - -

Spam  ve oltalama suçluların kötü kazançları uğruna kullandıkları en etkili iki yöntemdir. İnsanlık teknoloji ve internete giderek daha da bağlı hale geldikçe, siber suçluların organize suç örgütleri haline geldiklerini ve kötücül projelerini kurbanlarının bilgisayarlarının içine sokmanın yollarını bulduklarına şahit oluyoruz.

Aslında, bazı güvenlik uzmanlarının iddaasına göre organize olmayan siber suçlar yok olmuş durumda. Her ne kadar çoğunluk siber suçluların güvenlik sistemlerini kıran muhteşem kod yazan çılgın özellikli kişiler olduklarını sansalar da aslında gerçek böyle değil. Genelde bu siber suçlular aslında sadece sosyal mühendislik tekniklerini kullanarak bilgisayarlara kötücül yazılım sızdıran kişilerdir.

Proliferasyon için spam ve oltalama tekniklerinin kullanımı da bunun en büyük kanıtıdır ve aslında siber suçun mantığının gelişimi olarak da tanımlanabilir. Aslında, tek gereken sadece iyi niyetli bir çalışanın birisinin özgeçmişi gibi duran virüslü bir dosyayı açmasını sağlamak varken saatlerce uğraşıp siber saldırı planları yapmak biraz gereksizdir.

Bu tarz teknikler fidye yazılımının dağıtılması konusunda çok yüksek başarı oranı sağladığı ispatlanmıştır. Örneğin, 2017 yılında yılın fidye yazılımı olarak bilinen bir virüsün oltalama epostalarında yılın ilk çeyreğinde 93% oranında başarı  oranı sağladığı ispatlanmıştır. Açıkçası, oltalama epostalarının 2018 yılında daha da artacağını düşünmek oldukça imkan dahilindedir.

Kötücül spam postalarının örnekleri

Kötücül yazılımlı e-postalar şu anda var olan en etkili yöntem. Spam gönderenler güncel olayları kullanmakta (spor olayları, indirimler, vergi dönemleri  gibi) ve konularla ilgili yüzlerce eposta göndermekte çok başarılılar. Aşağıda verilen örnekler en çok kullanılan kötücül yazılım yayma yöntemlerdir. Umuyoruz ki bu örnekler size oltalama epostalarını gelecekte tespit edip tanımadığınız kişiler tarafından gönderilen epostalara daha şüphe ile yaklaşmanıza yardımcı olabilecektir. 

Örnek No. 1: Özgeçmiş veya iş başvuru emaili

İnsan kaynakları personellerine, müdürlere ve şirket sahiplerine gönderilen özgeçmiş epostaları. Bu tarz epostalar genelde sadece birkaç satır yazı içerir ve alıcıya epostayı açmasını söyler. Tipik olarak dolandırıcılar bu yöntemi belirli bir şirketi veya sağlık organizasyonlarını hedef alırken kullanırlar. Bu tarz epostalar genelde CryptoWall 3.0, GoldenEye, ve Cerber spam kampanyalarında kullanılmakta. Aşağıda bazı oltalama epostası örnekleri göreceksiniz.

Örnek No. 2: eTicaret devi Amazon'dan geldiğini iddaa eden oltalama epostaları.

Siber suçlular, sahte hesaplardan yolladıkları epostalarla Amazon kullanıcılarını ilk bakışta kandırmaya çalışırlar.  Bu tarz epostalar kurbanlara gönderdikleri virüslü epostalarla para sızdırmaya çalışırlar.

Örneğin, dolandırıcılar auto-shipping@amazon.com kullanıp Locky fidye yazılımı göndermekteler. Bu epostalar konu kısmında: “Your Amazon.com Order Has Dispatched (#sipariş numarası)” yazmakta ve içinde bir ZIP dosyası ile birlikte virüslü JS içermekte ve açıldığında belirli bir siteden virüsü indirmekte. Aşağıda Spora yayılma kampanyası ile dağılan Locky virüsü içeren eposta örnekleri göreceksiniz.

Amazon email scams

Örnek No. 3: Faturalar

Locky virüsünü içeren oltama epostalarının yayılmasına yardımcı olan diğer başarılı bir yöntemdir ve şu konu başlığı ile gelir “ATTN: Invoice-[rastgele numara].” Bu yanıltıcı epostalar yazı bölümünde kurbana “ekteki faturayı kontrol edin” yazan bir  (Microsoft Word Dökümanı) yollarlar. Buradaki tek sorun ise word dosyasının makro fonksiyonu içermesi. Bu oltalama epostalarıyla ilgili canlı bir örnek aşağıdadır.

Malicious emails distributing Locky

Örnek No. 4: Büyük spor müsabakalarından faydalanılması

Spordan hoşlanır mısınız? O zaman bu dolandırıcılık yöntemi hakkında mutlaka bilgi sahibi olmalısınız. Son zamanlarda, Kaspersky araştırmacıları Avrupa Futbol Şampiyonası, yaklaşan 2018 – 2022 Dünya Kupası ve Brezilya Olimpiyat Oyunları için özellikle geliştirilen hedefli epostalar tespit ettiler. Bu tarz mesajlar genelde ZIP arşiv dosyaları içinde bulunup JavaScript dosyası şeklinde Truva atları içerirler. Uzmanlara göre bu Truva atı bilgisayara daha fazla virüs indirmekte. Aşağıda virüslü bir mesaj örneği görebilirsiniz.

Malicious spam targeting FIFA fans

Örnek No. 5. Terörizm temalı Spamlar

Siber dolandırıcılar terörizm konusunun önemli bir konu olduğunu unutmamışlar. Tabiki bu tema da içinde virüs içermekte. Terörizm temalı spamlar dolandırıcıların favori yöntemleri olmasa da karşımıza çıkabileceğini bilmeliyiz. Aşağıda ilgili mesajın bir örneğini göstermekteyiz. Raporlara göre bu tarz spamlar DDoS saldırıları ile virüs yaymakta ve kişisel verileri çalmaya çalışmakta.

Terrorism-based phishing emails

Örnek No. 6 “güvenlik raporları” sunan Epostalar

Araştırmacılar Word dökümanlarını kullanarak virüs yayan bir eposta kampanyası daha tespit ettiler. Tespit edildi üzere bu dökümanlar makrolar aracılığı ile CryptXXX fidye yazılımı indirmekte ve hızlıca harekete geçmekte. Bu tarz epostalar genelde konu kısmında şu mesajı içermekte: “Security Breach – Security Report #[rastgele kod].” Mesaj kurbanın IP adresi ve bilgisayarının coğrafi konumunu içerip kurbanın mesajı gerçek ve güvenilir olarak algılamasını sağlamakta. Mesajlar kurbanı var olmayan güvenlik ihlali tehlikeleri hakkında uyarıp ekteki mesajı kontrol etmeleri söylenmekte. Elbette, ekteki dosya virüslüdür.

Phishing emails delivering ransomware

Örnek No. 7. Gerçek şirketlerin eposta adreslerinin taklidi

Kurbanı dosyayı açmaya ikna etmek için, dolandırıcılar başkası gibi davranmaktalar. Kurbanları bu tarz dosyaları açmaya en kolay şekilde ikna etmenin yolu ise meşru şirketler gibi gözükmektir. Sahte eposta hesapları kullanan dolandırıcılar çok dikkatli orjinaline benzeyen mesajlar hazırlamaktalar. Aşağıdaki örnekte Europcar şirketi gibi davranan dolandırıcılar tarafından gönderilen bir eposta gösterilmektedir.

Scammers impersonate Europcar employees

Aşağıdaki örnek A1 Telekom müşterilerine gönderilen mesajlar gösterilmektedir. Bu oltalama mesajları gizlenmiş bir  DropBox adresi içermekte olup ZIP veya JS dosyaları içermekte. Dahası, bu dosyaların analizi ile sonucu Crypt0l0cker virüsü içerdikleri anlaşışmıştır.

Mail spam targeting A1 Telekom users

Örnek No. 8. Patronunuzdan gelen acil bir mesaj

Son zamanlarda, dolandırıcılar kurbanları şüphelendirmeden birkaç dakika içinde para sızdırmanın yeni bir yöntemini buldular. Patronunuzdan çok acil halletmeniz gereken bir iş ile ilgili eposta aldığınızı düşünün. Ne yazık ki, detaylıca bakmadan hemen epostayı okuyup telaşlıca haraket ederseniz şirketin parasını suçlulara transfer edebilirsiniz Epostanın kimden geldiğine çok dikkat etmelisiniz bu size ipucu verecek en önemli konulardan birisidir. Aşağıda bu oltalama epostalarının birkaç örneğini bulabilirsiniz. 

Task from boss spam

Örnek No. 9. Vergi temalı oltalama yöntemleri

Dolandırıcılar titizlikle farklı ülkelerin vergi dönemlerini takip edip bunlara uygun şekilde vergi temalı eposta kampanyaları düzenleyip virüs yayarlar. Farklı sosyal mühendislik yöntemleri kullanıp kurbanlara sanal vergi beyannameleri iletip bunları açmalarını sağlamaya çalışırlar. Bu eklentiler genelde bankacılık bilgileri ile ilgili Truva atları(tuş kaydedicileri) içerirler ve sisteme girer girmez kurbanın adı, soy adı, kullanıcı adı, kredi kartı bilgileri ve benzeri verileri çalarlar. Virüs mesaja eklenmiş bir link veya mesaj şeklinde bulunabilir. Aşağıda, sahte vergi beyannamesi yolu ile Truva atı taşıyan bir eposta örneği göreceksiniz.

Income Tax Receipt virus

Dolandırıcılar kullanıcıların dikkatini çekmeye çalışıp gerçeklik içermeyen iddalarla dosyaları açmalarını sağlamaya çalışırlar örneğin haklarında açılmış dava olduğundan bahsederler. Mesaj ekteki mesajda lan “ vergi dairesinden gelen ilgili ceza”nın bir an önce ödenmesi gerektiğinden bahseder. Elbette ekteki dosya bir vergi cezası değildir Görüntü korumalı bir virüs dosyasıdır ve kullanıcılardan görüntüleme işlemi için aktif etmelerini istemekte. Sonuç olarak, virüs bilgisayara sızmakta.

Tax Subpoena scam

En son örnek iste dolandırıcıların muhasebecileri nasıl kandırdıklarını gösteren virüslü eklenti de bulunmaktadır. Bu eposta görünüşe göre bir veya daha fazla virüslü eklenti içerebilmektedir. Bunlar en basit virüslü dökümanlardır ve aktive edildikleri anda sisteme virüslü dosyaları indirmektedirler.

Tax Phishing

Virüslü epostaları tespit edip şahsi güvenliğinizi nasıl sağlayabilirsiniz?

Virüslü epostalardan uzak durmak istiyorsanız uymanız gereken bazı prensipler vardır.

  • Spam klasörünü Unutun. Epostaların Spam veya Diğer olarak işaretlenmesinin bir sebebi vardır. Eposta filtrelerinin otomatik olarak epstaları tarayıp virüs olduğundan şüphelenip Spam klasörüne attığı anlamına gelmektedir. Meşru epostalar bu kategoriye çok çok andir düşmektedir.
  • Bir epostayı açmadan önce göndereni kontrol edin. Gönderenin kimliği konusunda emin değilseniz, ilgili eposta ile hiçbir etkileşime girmeyin. Her ne kadar anti-virüs veya anti-kötücül yazılım programınız olsa dahi etraflıca düşünmeden tıklamamalısınız. Unutmayın – en güvenilir programlar bile bazen yeni virüsleri tespit edemeyebilirler. Göndereni tanımıyorsanız, her zaman şirketi arayıp böyle bir eposta gönderip göndermediğini sorabilirsiniz.
  • Bilgisayarınızı güncel tutun. Sisteminizde güncel olmayan eski programlar barındırmayın. Bu tarz risklerden kaçınmak için otomatik güncellemeleri aktive etmelisiniz. Son olarak ise iyi bir anti-kötücül yazılım programı kullanmanız gerekmektedir. Unutmamalısınız ki – sadece güncel programlar sisteminizi koruyabilir. Eski bir program kullanıyor ve güncellemeleri erteliyorsanız, basitçe sisteminize bu zararlı programları davet ediyorsunuz demektir.
  • URL'nin güvenli olup olmadığına tıklamadan bakın. Aldığınız eposta şüpheli linkler içeriyorsa üzerinde farenizi gezdirip doğruluğunu test edebilirsiniz. Tarayıcınızın sol alt köşesine bakın çünkü burada yönlendirileceğiniz gerçek adresi göreceksinizdir. Şüpheli duruyorsa veya dosyanın formatı .exe, .js veya .zip ise tıklamayın!
  • Siber suçlular yazım kurallarına pek dikkat etmezler. Bu yüzden, kısa mesajları yazarken dil bilgisel veya yazım hataları yapabilirler. Bu tarz hatalar tespit ederseniz, eklentiler ve linklerden uzak durmalısınız.
  • Acele etmeyin! Göndericinin şiddetle belirli bir linke tıklamanızı istiyorsa, iki kere düşünmenizde fayda var demektir. Ekteki dosya yüksek ihtimalle kötücül bir dosya olabilir. 

Yazar hakkında

Olivia Morelli
Olivia Morelli

Kötü Amaçlı Yazılım Analiz Uzmanı...

Olivia Morelli ile iletişme geç
Esolutions Şirketi hakkında

Kaynak: https://www.2-spyware.com/how-to-identify-an-email-infected-with-a-virus

Diğer dillerde oku


Dosyalar
Bizi Facebook'ta Beğenin