Merhabalar,
Ransomware maillerini engellemek için uyguladığım metodu paylaşmak istiyorum.
Şu ana kadar atılan maillerin hepsinde ortak olan nokta mail içerisindeki
linklerin FQDN sonrasındaki bir bölümü. Örnek verecek olursam: abc.com uzantılı
domaine sahipseniz gelen mailin içerisindeki link şu formatta oluyor:
http://xyc.ru/[email protected] . Bu bilgiden yola çıkarak Mail GW
üzerinde Custom Content Filter oluşturdum ve mail body içerisinde "
https?:\/\/\S*\/\S*php\?id\=\S*@abc\.com " regexi ile eşleşen mailleri
karantinaya aldım. ( Regex ile mail içerisindeki linke bakıp " php?id " ile
başlayan kısmı kontrol edip linkin sonunda abc.com uzantılı mail adresi olup
olmadığına bakıyorum. domain ve subject kontrolü yapmıyorum)
Ransomware mailleri ile ilgili ek olarak dikkat edilmesi gereken bir başka
nokta maillerin [email protected] gibi adreslerden de geliyor olması. Mail
GW üzerinde turkcell.com.tr gibi domainleri whitelist'e aldıysanız çıkarmakta
fayda var.
Saygılar
Mehmet ERGENE
-------------------
DDOS Saldırıları ve Korunma Yolları Eğitimi
İstanbul: 27-28 Şubat 2016
Ankara: 03-04 Mart 2016
-------------------
