Re: [NetSec] yeni sahte mailler (PTT)

[Vahit GUMUS]

Merhabalar,
Bu tarz mailler sender kısmı değişerek geliyor. Bu problemi şu şekilde 
çözdük(!)/ çözmeye çalıştık  .

KATI KURAL_LİSTESİ                                      : kelimeler içeriyor
SPESİFİK_KELİME_LİSTESİ                           : kelimeler içeriyor.
LEGAL_GONDERİCİ LİSTESİ                         : mail adresleri içeriyor
Listeleri paylaşabilirim.


İlk olarak içerisinde Türkcell , Avea, Türk Telekom , PTT vb kelimeler geçen 
tüm mailleri bloklayan KATI KURAL oluşturduk ve bir kenara koyduk. Nasıl 
kullanıldığını ileride anlatacağım.

Daha sonra  bu tarz fatura maili atan legal gönderim yapan adresleri saptadık. 
Legal_gonderici  listesi oluşturduk bu liste üzerinden söyle bir kural yazdık.  
Gönderen kısmında bu legal_gonderici listesinde olmayıp içerisinde  yukarıdaki 
katı kural dan biraz daha akıllı spesifik_kelimeler_listesindeki kelimeler 
geçiyorsa karantinaya alıyoruz.  Bunu yapmazsak legal fatura mailleri 
engelleniyor.

ACİL durumlarda Kullanıcıya mailin ulaşmaması için  KATI KURALI aktif  edip 
geçici süreyle katı politikalar uygulamak zorunda kalıyoruz.

Diyelim maili kaçırdık , Risk almamak için örnek yakaladığımız mailin linkine 
tıklayarak dosyayı indiriyor ve hash ini alıp Endpoint tarafında bu hash e 
sahip bir dosyaya sahip bir exe nin çalıştırılmaması için hemen politikamızı 
güncelliyoruz.

Bu bizim kurum olarak genel yaklaşımımız , Bu yaklaşım son çözüm değil gene 
farklı varyasyonlar için tetikte olmak gerekiyor.
Bu probleme  kesin çözüm bulduklarını anlatan birkaç ürünü dinledik. Fireeye , 
McAfee , Forcepoint , Symantec  herkes kendi çözümünü öneriyor.

Sizlerin de bu 3 ürünü incelme imkanı olanlardan  yorumlarını beklerim.

Bu tarz saldırıların geliş noktalarına odaklanmak gerekirse ilk olarak  data şu 
noktalardan gelebiliyor.

E-mail --  Web,  -- Endpoint (USB / cd / ( kapatıldıysa çok problem olmuyor.) )

İlk bu tarz mailler ekli gelirdi. Amaç güvenlik ürününün teknolojisinin 
zafiyetini kullanarak alt etmekti. Baktılar daha kolayı var insanların 
zafiyetini alt etmek daha kolay mailin içerisine  dikkatini çekecek ki millet 
olarak fahiş faturalar gelince hemen aksiyon alma ihtiyacı duyuyoruz. Bu gibi 
maillerin içerisine link koyuyorlar .  İlgili sayfaya gidiyorsunuz capthca 
kontrollü , tasarım açısından güzel bir sayfa direk güvenlik kodunu girip 
dosyayı indirmeye çalışıyorsunuz dosya indi hemen açılıyor çalıştırıldığı an 
geçmiş olsun.

Kişinin yahoo , hotmail hesaplarina gelirse ne olacak e-mail gateway iniz devre 
dışı kişi kurum içerisinden giriyor ve dosyayı indiriyor. Bu aşamada web 
gateway tarafınızın kabiliyetine odaklanmanız gerekiyor.  Bu sefer bu taraftan 
gol yiyebiliyorsunuz.

Hiçbiri olmadı dosyayı evde indirdi  dropbox , Google drive a attı , senkronize 
etti. Kurumda açık ise bu tarz paylaşımlar direk kurumdaki PC de senkron oldu . 
Bakın e-mail ve web gateway den geçmeden kuruma girdi  aynısını USB için de  
düşüne bilirsiniz.
Aklınıza farklı farklı senaryolar geliyordur.
Bu gibi açık kapıları adım adım yönetiminde desteği ile kapatmakta fayda var.


Vahit GÜMÜŞ
TÜRK Eximbank


From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Mustafa Sabri
Sent: Wednesday, April 27, 2016 10:37 AM
To: liste@netsectr.org
Subject: Re: [NetSec] yeni sahte mailler (PTT)

Merhaba, 26 Nisan itibariyle tarafımıza ulaşan PTT Kargo maillerine dair 
bilgiler aşağıdadır.
İyi Çalışmalar.

Sender

URL

jua...@mundomatica.com<mailto:jua...@mundomatica.com>

http://260000.ru

i...@hierrosdetoro.com<mailto:i...@hierrosdetoro.com>

http://søgårdhus.dk<http://xn--sgrdhus-fxa3o.dk>

stu...@taggiamare.it<mailto:stu...@taggiamare.it>

http://mufflesjuniorcollege.com

ibun...@kursundenizcilik.com<mailto:ibun...@kursundenizcilik.com>

http://visawaves.com

i...@kavakissagligi.com<mailto:i...@kavakissagligi.com>

http://schoolsite.org

ad...@exclusivasjjl.com<mailto:ad...@exclusivasjjl.com>

http://bbparcodegliulivi.it

seyful...@rikargida.com<mailto:seyful...@rikargida.com>

http://hotels4sale.org

ferra...@ya.com<mailto:ferra...@ya.com>

http://kyovaevents.com

iberarcviat...@negoservicios.com<mailto:iberarcviat...@negoservicios.com>

http://coslimburg.nl

lag...@perello.cat<mailto:lag...@perello.cat>

http://coeen.it

metintu...@birlesmisemlakcilaras.com<mailto:metintu...@birlesmisemlakcilaras.com>

http://verola.be

samiisle...@nomapozitif.com<mailto:samiisle...@nomapozitif.com>

http://localuri-timisoara.com

i...@emmenemme.com<mailto:i...@emmenemme.com>

http://formavih.org

madam...@telesto.pl<mailto:madam...@telesto.pl>

http://ассамблеямоды.рф<http://xn--80aadme9afdsxa2kzb.xn--p1ai>

u.dalki...@loryma.com<mailto:u.dalki...@loryma.com>

http://anchoragechamber.org<http://anchoragechamber.org/>

mer...@kavakissagligi.com<mailto:mer...@kavakissagligi.com>

http://ladiessuperliga.com

guent...@swed.at<mailto:guent...@swed.at>

http://sigirihelp.com

satina...@aykutambalaj.com.tr<mailto:satina...@aykutambalaj.com.tr>

http://harwoodlandscaping.ca

i...@zenlivingmornington.com.au<mailto:i...@zenlivingmornington.com.au>

http://gromoga.com

servico...@servicosta.e.telefonica.net<mailto:servico...@servicosta.e.telefonica.net>

http://solid.at

saz...@omagltd.com<mailto:saz...@omagltd.com>

http://djpbn-babel.net

yas...@createx.com.tr<mailto:yas...@createx.com.tr>

http://juventudrevolucion.net

hamedingerste...@icloud.com<mailto:hamedingerste...@icloud.com>

http://legendsdigitaltv.com

aysa...@cu.edu.tr<mailto:aysa...@cu.edu.tr>

http://magnumasia-ipo.com

i...@teknikaluminyumltd.com<mailto:i...@teknikaluminyumltd.com>

http://hfe-gmbh.de

098.fina...@partner.skoda.pl<mailto:098.fina...@partner.skoda.pl>

http://poliklinika9omsk.ru

off...@haustechnikhuber.at<mailto:off...@haustechnikhuber.at>

http://ny-realgirls.com

fiorentinifiore...@cizeta.info<mailto:fiorentinifiore...@cizeta.info>

http://szepetnek.hu


2016-04-25 17:08 GMT+03:00 Yalcin BEKMEZCI 
<yalcin.bekme...@abdiibrahim.com.tr<mailto:yalcin.bekme...@abdiibrahim.com.tr>>:

Merhabalar,

Gönderen : r.sanne...@autogiapponese.com<mailto:r.sanne...@autogiapponese.com>
Link adres : http://forumscene.no

Gönderen: h...@netek.pl<mailto:h...@netek.pl>
Link adres: http://pryceworld.com

Mail konu: ZX1316644743TR barkod kargonuz alinacak bekliyor




Yalçın BEKMEZCI



Bilgi Teknolojileri Uzmanı
(Sistem, Ağ ve Altyapı)



Information Technology Specialist

[http://www.abdiibrahim.com.tr/images/ai_logo.jpg]





T. 0212 622 67 19



M. 0535 303 3322



F. 0212 623 1952







[http://www.abdiibrahim.com.tr/images/abdiibrahim.gif]<http://www.abdiibrahim.com.tr/>
  [http://www.abdiibrahim.com.tr/images/mail-fb.gif] 
<https://www.facebook.com/abdiibrahimilac>   
[http://www.abdiibrahim.com.tr/images/mail-t.gif] 
<https://twitter.com/abdiibrahimilac>   
[http://www.abdiibrahim.com.tr/images/mail-in.gif] 
<http://www.linkedin.com/company/abdi-ibrahim-pharmaceuticals>   
[http://www.abdiibrahim.com.tr/images/mail-y.gif] 
<http://www.youtube.com/abdiibrahimilac>



[http://www.abdiibrahim.com.tr/images/mailing/facebook_logo.jpg]<http://www.facebook.com/abdiibrahimilac>
 [http://www.abdiibrahim.com.tr/images/mailing/twitter_logo.gif] 
<http://www.twitter.com/abdiibrahimilac>  
[http://www.abdiibrahim.com.tr/images/mailing/linkedin_logo.jpg] 
<http://www.linkedin.com/company/26693?trk=tyah>



[http://www.abdiibrahim.com.tr/images/mailing/disclaimer.jpg]



Bu e-posta mesaji ve ekleri sadece gonderildigi kisi veya kuruma ozeldir.
Dogru aliciya ulasmamis olmasi halinde, bu mesajin baska bir aliciya 
yonlendirilmesi, kopyalanmasi veya kullanilmasi yasaktir.

________________________________

This e-mail and any attachments transmitted with it are confidential and 
intended solely for the use of the individual or entity to whom they are 
addressed.
If you are not the intended recipient you are hereby notified that any 
forwarding, copying or use of the information is prohibited.


-------------------
Uygulamalı Ağ Güvenliği Eğitimi

06-08 Mayıs 2016 - ISTANBUL

-------------------


Bu elektronik posta ve onunla iletilen butun dosyalar sadece gondericisi 
tarafindan almasi amaclanan yetkili gercek ya da tuzel kisinin kullanimi 
icindir.Eger soz konusu yetkili alici degilseniz bu elektronik postanin 
icerigini aciklamaniz, kopyalamaniz, yonlendirmeniz ve kullanmaniz kesinlikle 
yasaktir ve bu elektronik postayi derhal silmeniz gerekmektedir. Turk Eximbank 
bu mesajin icerdigi bilgilerin dogrulugu veya eksiksiz oldugu konusunda 
herhangi bir garanti vermemektedir. Bu nedenle bu bilgilerin ne sekilde olursa 
olsun iceriginden,iletilmesinden, alinmasindan ve saklanmasindan sorumlu 
degildir. Bu mesajdaki gorusler yalnizca gonderen kisiye aittir ve Turk 
Eximbank'in goruslerini yansitmayabilir. Bu e-posta bilinen butun bilgisayar 
viruslerine karsi taranmistir. Ancak yollayici, bu e-posta mesajinin - virus 
koruma sistemleri ile kontrol ediliyor olsa bile - virus icermedigini garanti 
etmez ve meydana gelebilecek zararlardan dogacak hicbir sorumlulugu kabul etmez.
This e-mail and any files transmitted with it are confidential and intended 
solely for the use of the individual or entity to whom they are addressed. If 
you are not the intended recipient you are hereby notified that any 
dissemination, forwarding, copying or use of any of the information is strictly 
prohibited, and the e-mail should immediately be deleted. Turk Eximbank makes 
no warranty as to the accuracy or completeness of any information contained in 
this message and hereby excludes any liability of any kind for the information 
contained therein or for the information transmission, reception, storage or 
use of such in any way whatsoever. The opinions expressed in this message 
belong to sender alone and may not necessarily reflect the opinions.

-------------------
Uygulamalı Ağ Güvenliği Eğitimi

06-08 Mayıs 2016 - ISTANBUL

-------------------