1. Ana Sayfa
  2. Haberler
  3. Turkcell, Vodafone ve TEB’den Gelen Aldatıcı ve Virüs Barındıran Fatura Bildirim Maillerinin Çözümü

Turkcell, Vodafone ve TEB’den Gelen Aldatıcı ve Virüs Barındıran Fatura Bildirim Maillerinin Çözümü

Son zamanların en akıllı virüs bulaştırma yönteminden birisiyle dün kendi sistemimde karşılaştım. İlk bakışta , ve adreslerini kullanarak kullanıcılara mail gelmektedir;

Bilgisayarlarınız 8000 portunu açarak, başka kişilerin ataklarına ( zombies attacks) yardımcı olacak bir kurban haline gelmektedir. Bilgisayarlarda regedit, msconfig ve users gibi yerlere kendini saklayarak sisteminizde gizlenmektedir.

Turkcell ‘den gelen; ” Fatura bildirimi”, Vodafone üzerinden; “Vodafone mms message” başlıkları adı altında mailer gelmektedir, normal bildirimlerden farklı olarak bu mailde bir winrar ( rar ) dosyası bulunmaktadır. Aslında bu tip firmalar faturalarını pdf olarak gönderim yapmaktadırlar ama başlıktan yola çıkarak bunu kullanıcılarımız gözardı edebilirler.

Etkili olduğu işletim sistemleri ;windows server 2008 ve sürümleri,windows server 2003 ve daha düşük sürümleri, Windows 7,Vista, XP gibi sürümlerde etkili olmaktadır. Windows server 2012 ve Windows 8 içerisinde etkili olmamaktadır.

Turkcell tarafından gelen maili bu makalemizde inceleyeceğiz;

Virüslü gelen mailin ayrıntıları

Received: from 89-119-150-34-static.albacom.net (89.119.150.34) by
*.beypilic.com.tr (10.1.1.11) with Microsoft SMTP Server id 14.0.639.21; Wed,
19 Dec 2012 11:25:45 +0200
Received: from mx9.mailcell1.turkcell.com.tr ([86.108.130.39])        by
ip226.226.onofis.com (IceWarp 9.3.1) with ESMTP id PBL79646        for
<ahmetyalabik@beypilic.com.tr>; Wed, 19 Dec 2012 10:35:35 +0100
Received: from EUROMAIL05 (10.210.142.107) by mx9.mailcell1.turkcell.com.tr id
hnthgm1h198s for <ahmetyalabik@beypilic.com.tr>; Wed, 19 Dec 2012 10:35:35 +0100
(envelope-from <turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>)
Date: Wed, 19 Dec 2012 10:35:35 +0100
Message-ID: <B4LV2I54OT08DL532T32CIF9QCNXIQUM@euromsg.net>
Subject: Fatura Bildirimi
From: Turkcell Kurumsal Tahsilat
<turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>
To: <ahmetyalabik@beypilic.com.tr>
X-Priority: 3
Content-Type: multipart/mixed; boundary=”—-=a__fclfriqrl_16_71_90″
MIME-Version: 1.0
Return-Path: loitering37@ato.gov.au
X-MS-Exchange-Organization-AuthSource: mail.beypilic.com.tr
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: haberdaret.turkcell.com.tr
X-MS-Exchange-Organization-SenderIdResult: PermError
Received-SPF: PermError (mail.beypilic.com.tr: domain of
turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr used an invalid SPF
mechanism)
X-ESET-AS: SCORE=84
X-MS-Exchange-Organization-SCL: 8
X-EsetResult: clean, is OK
X-EsetId: 7BEA4A3C43643C322EAB1B

Turkcell in attığı gerçek mailin ayrıntıları

Received: from mx9.mailcell1.turkcell.com.tr (86.108.130.39) *.beypilic.com.trEmail (10.1.1.11) with Microsoft SMTP Server id 14.0.639.21; Sat,
15 Dec 2012 11:57:23 +0200
Received: from EUROMAIL05 (10.210.142.107) by mx9.mailcell1.turkcell.com.tr id
hph5t41h198l for <ahmetyalabik@beypilic.com.tr>; Sat, 15 Dec 2012 12:07:14 +0200
(envelope-from <turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>)
Date: Sat, 15 Dec 2012 12:07:14 +0200
X-Priority: 3 (Normal)
Subject: =?iso-8859-9?Q?Bor=E7_Bildirimi?=
To: <ahmetyalabik@beypilic.com.tr>
From: Turkcell Kurumsal Tahsilat
<turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr>
Reply-To: <noreply@haberdaret.turkcell.com.tr>
MIME-Version: 1.0
X-EMID: C89842368CC24E0BADD1DBE0923C66AA
X-EM-SYSTEM: livea
X-EM-CAMP: FA93D3EDF78147C3934AFA8E5D1EE774
Message-ID: <C89842368CC24E0BADD1DBE0923C66AA@euromsg.net>
List-Unsubscribe: <http://www.euromsg.com>,
<mailto:jmr@turkcell.com.tr?subject=C89842368CC24E0BADD1DBE0923C66AA>;
Content-Type: multipart/mixed;
boundary=”————080102000201000308030506″
Return-Path: turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr
X-MS-Exchange-Organization-AuthSource: mail.beypilic.com.tr
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: haberdaret.turkcell.com.tr
X-MS-Exchange-Organization-SenderIdResult: PermError
Received-SPF: PermError (*beypilic.com.tr: domain of
turkcellkurumsaltahsilat@haberdaret.turkcell.com.tr used an invalid SPF
mechanism)
X-ESET-AS: SCORE=1
X-MS-Exchange-Organization-SCL: 0
X-EsetResult: clean, is OK
X-EsetId: 7BEA4A3C43643C322EAD15

Resim-1

Gelen zip dosyasını malwareantibytes isimli virüs programıyla tarattığımızda ise ;


Resim-2

Nod32 Uyarı Ekranı:


Resim-3

Msconfig ekran görüntüsü


Resim-4

Önlem olarak firewall cihazlarınızda :” ato.gov.au ” adresini engelleyerek sistemlerinize bu tip mailin ulaşmasını engelleyebilirsiniz.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

1987 Ankara doğumluyum. Amatörce başladığım IT teknolojileri macerama 6 yıldır profesyonel olarak devam etmekteyim. 2009 yılından beri Beypiliç firmasında Sistem Uzmanı olarak devam etmekyim. Son yıllarda yoğun olarak sanallaştırma teknolojileri, System Center ailesi ve Exchange Server üzerine yoğun olarak çalışmalarım devam etmektedir. MCT unvanımın yanında birçok Microsoft Infra alanındaki sertifikaya sahibim.

Yorum Yap

Yorumlar (10)

  1. 6 sene önce

    Ahmet ellerine sağlık, çok güzel ve çok faydalı bir yazı olmuş.

  2. 6 sene önce

    Gerçekten çok faydalı bir makale olmuş .

    Teşekkürler bilgilendirmelerin için.

  3. 6 sene önce

    Emre Bey yazınız için ayrıca teşekkür ederim.

    Çok faydalı bir yazı olmuş.

    Turkcell ile konu hakkında görüştüğümüzde bizede benzer açıklamalarda bulunmuşlardı.

  4. 6 sene önce

    Merhabalar
    öncelikle konu çok güzel ama aklıma takılan bir şey var. ” ato.gov.au ” adresini yasakladığımda firewalldan gelen bütün otomatik gönderim postalarını mı yasaklayacak yoksa bu virüs içeren mailler mi yasaklayacak ?

  5. 6 sene önce

    Emre bey
    bankaların gönderdiği otomatik kur bilgileri vb. bilgilendirmelerde iptal oluyor galiba. Öyle mi ?

  6. 6 sene önce

    Merhaba Kadir Bey;
    Sadece spam olarak yayılan virüsün yayıldığı adresi engellemektedir.Normal kurumlardan gelen mailler sisteminize sorunsuz düşer.

    İyi Çalışmalar

  7. Sonunda fidyeci virüsle müşterim vasıtasıyla tanıştım. Siber atak olmadığı için veri kaybı yaşanmadı. Bu konuda en etkin çözüm:
    Öncelikle e-mail tarafında sahte fatura geliyor. Bu fatura bizi bir linke gönderiyor örneğin; ttnet-fatura.com daha sonra bu sitedeki sahte faturayı indirme butonu arka planda “https” bağlantılı copy.com dosya sunucusundan içinde virüs olan sıkıştırılmış zip dosyasını indiriyor. Zip içerisinde pdf ikonlu exe virüsü var.
    Firmalar için çözüm:
    Bizim amacımız ikinci adımı kesmek. Yani “ttnet-fatura.com” gibi adreslerin web kategorisi yoktur. Bir çok firewall üzerinde web filtrelemede kategori vardır. Kategorisiz olan sitelerde kullanıcıya uyarı getireceğiz. Böylece kullanıcının dalgınlığının önüne geçmiş olacağız.
    Sophos UTM tarafında örneği:
    https://youtu.be/a1bvEpFlaoI
    Örnekte: turkcell-fatura.biz adresine girerken uyarı verdiğini görebilirsiniz.
    Firmalar için öneriler:
    Öncelikle maaşınızı aldığınız departman kesinlikle önemli. 🙂 Firewall tarafında muhasebe veya finans departmanına beyaz liste ile çıkış vermelisiniz. Diğer siteler mutlaka bloklu olmalı.
    Kişisel güvenliğiniz için öneriler:
    Telefondan veya tabletten e-mail adresinize girip faturalarınıza ve banka hesaplarınıza bakın. Açıkçası denemedim fakat tarayıcı eklentisi Norton Identity Safe Toolbar uyarı verebilir.
    Alternatif çözüm için Sophos’la görüşüyorum.
    Amaç birinci adımı kesmek için Sophos’tan web kategorileri gibi e-mail domain kategorileri isteyeceğim. Örneğin; Muhasebe departmanını sadece bankalardan e-mail gelecek şekilde ayarlana bilmeli. Bu benim çoktan düşündüğüm bir konuydu. Zira spamlari kesmek yeterli değil. Departmanlara ilgisiz e-mailler geliyor. İlgiye göre e-mailler gelirse departman e-mail trafiği azalacaktır.