Merhabalar, Office 365 kullanıyoruz ve Microsoft Enterprise Aggrement üyesiyiz, 7/24 Microsoft desteğimiz var,
Aynı sorunu biz de yaşadık, Öncelikle MS ATP365 (Microsoft Advanced Thread Protection) ı hızlıca devreye aldık, ertesi gün sayıda ciddi azalma oldu ancak hala mail gelen kullanıcılarımız vardı. Microsoft’a case açtık ve CNAME kayıtlarında eksiklik olduğunu bundan kaynaklı gönderilebildiği söylendi. CNAME kayıtlarımızı girdik, ertesi gün bir miktar kullanıcı daha maili aldı. Microsoft ile son görüşmelere istinaden henüz office365 nasıl aşıldığı çözülemediğini incelemelere devam edildiği bilgisi verildi. Söz konusu atak pop3 ve smtp relay sunucularda çok basit yapılıyor; https://www.wikihow.com/Send-Email-Using-Telnet göz atabilirsiniz, Ancak Exchange üzerinde ki office365’in de Exchange olduğu düşünülürse belli ki bir zafiyet bulunmuş. Ve tahminlerimize göre aşağıda göndeirlen mail metnine bakacak olursak işin içinde bir Türk olduğunu düşünüyoruz, herhangi bir translate bir metni bu kadar düzgün bağlaçları ile Türkçeye çevirmiş olamaz. Son olarak tüm kullanıcılara duyuru mail geçtik ve sistemlerimizde bir açık olmadığını bu mail ulaşırsa dikkate alınamamsı gerektiği duyurusunu attık ve şimdi Microsoft tarafından dönüş beklemeye devam ediyoruz. Subject: Verilerinizin bütünlüğünü kontrol edin (güvenlik servisine göre hesabınız saldırıya uğramıştır). Merhaba! Ben işletim sisteminize erişimi olan bir bilgisayar korsanıyım. Ayrıca hesabınıza tam erişimim var. Seni birkaç aydır izliyorum. Gerçek şu ki, ziyaret ettiğiniz yetişkin bir site aracılığıyla kötü amaçlı yazılım bulaştı. Buna aşina değilseniz açıklayacağım. Trojan Virüsü bana bir bilgisayar veya başka bir cihaz üzerinde tam erişim ve kontrol sağlıyor. Bu, ekranınızdaki her şeyi görebildiğim, kamerayı ve mikrofonu açabileceğim, ama bunu bilmiyorsun. Ayrıca tüm kişilerinize ve tüm yazışmalarınıza erişebiliyorum. Virüsten koruma yazılımınız neden kötü amaçlı yazılım algılamadı? Yanıt: Kötü amaçlı yazılımım sürücüyü kullanıyor, antivirüsünüzün sessiz olması için imzalarını her 4 saatte bir güncelliyoruz. Ekranın sol yarısında nasıl mastürbasyon yaptığınızı gösteren bir video yaptım ve sağ yarısında izlediğiniz videoyu görüyorsunuz. Farenin tek bir tıklamasıyla, bu videoyu sosyal ağlardaki tüm e-postalarınıza ve kişilerinize gönderebilirim. Ayrıca kullandığınız tüm e-posta yazışmalarınıza ve mesajlaşmalarınıza erişim gönderebilirim. Bunu önlemek istiyorsanız, 950€ tutarını bitcoin adresime aktarın (bunu nasıl yapacağınızı bilmiyorsanız Google'a yazın: "Bitcoin Satın Alın"). Bitcoin adresim (BTC Cüzdanı): 1GgPWdeYxnrCRzs4LgHrr2TdN2qgRWNqFw Ödemeyi aldıktan sonra videoyu sileceğim ve beni bir daha asla duymayacaksınız. Sana ödeme yapman için 48 saat veriyorum. Bu mektubu okumakla ilgili bildirim haberim var. Zamanlayıcı, bu harfi açar açmaz başlar. Bir yere şikayette bulunmak mantıklı değil çünkü bu e-posta bitcoin adresim gibi izlenemiyor. Hiç hata yapmıyorum. Bu mesajı başka biriyle paylaştığınızı fark edersem, video hemen dağıtılır. Saygılarımla! Saygılarımla Cihat Çalışkan From: Liste [mailto:[email protected]] On Behalf Of Turgay TURHAN Sent: Friday, January 24, 2020 1:48 PM To: [email protected] Subject: Re: [NetsecTR] Exchange Security Aynı konu bizim başımıza da geldi, kullanıcının mail hesabına kendi mail adresi ile mail gönderilmiş gibi bir durum ortaya konuyor. Nasıl yapıldığını anlamlandıramadım. _____ From: Liste < <mailto:[email protected]> [email protected]> on behalf of Onur ÇALIŞKAN < <mailto:[email protected]> [email protected]> Sent: Wednesday, January 22, 2020 11:20 AM To: <mailto:[email protected]> [email protected] < <mailto:[email protected]> [email protected]> Subject: [NetsecTR] Exchange Security Merhaba, Çalışmakta olduğum firmaya exchange mail hesabı üzerinden mail atılmış ve yetki elde edilmiş gibi bir mail gönderiliyor. [email protected] <mailto:[email protected]> hesabı üzerinden yine aynı hesabına mail atılarak ([email protected] <mailto:[email protected]> ) hesap ele geçilirmiş izlenimi veriliyor. Posta akışlarını inceledim göremiyorum. Yetkili kullanıcıların posta akışlarını inceledim göremedim. Mail maskeleme gibi bir yöntem izlenerek gönderilmiş olabilir mi ? Bu mail akışlarını nasıl yakalayabilirim ? Trend Micro ya ait mail security ürünü bu mailleri tutamamış ? Bu konu ile ilgili yardımcı olabileceğiniz bilgilendirebileceğiniz bir konu var mıdır? İlginiz ve alakanız için şimdiden teşekkürler İyi çalışmalar dilerim.
------------------------------------------------- Üyelikten ayrılmak için [email protected] adresine mail atabilirsiniz. -------------------------------------------------
