Bugün posta sunucumuza çok ikna edici bir Amazon Prime dolandırıcılığı geldi ve doğrudan spam’e gitti. İşte nedeni.
Çoğu zaman, sizi tehlikeli, kurnaz ve inatçı siber suçluların doğası ve taktikleri hakkında bilgilendirmek bu sitedeki ciddi görevimizdir.
Bu o günlerden biri değil.
Aslında bu, o günlerden birinin tam tersidir. Bu, kalkıştan sonraki gün, uçuş için havaalanına üç saat erken gelmenin kimlik avı eşdeğerini yapan bir spam gönderici tarafından gönderilen kabul edilebilir bir spam e-posta hakkındadır.
Kötü niyetli bir e-postanın büyük bir başarısızlığa uğramasıyla ilgili çünkü her şeyi doğru yapmış olmasına rağmen en önemli şeyi yanlış yapmış, ancak spam tuzağına kaçınılmaz, hızlı ve tek yönlü bir yolculuğu garantilemiş.
Yine de başarısızlık durumunda öğrenilecek değerli dersler var ve talihsiz spam gönderen kişinin sıkıntısını daha da artırmak için, bunu güvenliği artırabilecek öğretilebilir bir ana dönüştürmekten daha iyi bir yol düşünemiyorum.
Yanlış gitmeyen şeylerle başlayalım.
ne yanlış gitmedi
Nasıl giyinirlerse giyinsinler, dolandırıcılık neredeyse her zaman acil para talebiyle sonuçlanır. Dolandırıcının görevi nefes kesen parayı mümkün olduğunca inandırıcı hale getirmektir; bunu da sizin haber almayı beklediğiniz birinin veya bir şeyin kimliğine bürünerek yaparlar.
Çoğu zaman bu, tanıdık markaların kimliğine bürünmek anlamına gelir. Dolandırıcılar Microsoft, Google, Amazon ve UPS gibi küresel markaları seviyor çünkü anında tanınabiliyorlar, logoları ve stilleri kopyalanması kolay ve insanlar onlardan e-posta almaya alışkın.
Bu durumda, acil para talebi Amazon paketine sarılmış olarak geldi ve Prime avantajlarım bir faturalandırma sorunu nedeniyle askıya alınmış gibi davranıldı ve ödeme yöntemimi güncelleyerek 24 saat içerisinde çözüme kavuşturuldu.
Önerme makul, renkler doğru görünüyor, logo da öyle ve “Amazon.co.uk Müşteri Hizmetleri” işareti beni doğru bir şekilde Birleşik Krallık’a yerleştirdi.
Dolandırıcı, dolandırıcılığın daha inandırıcı görünmesini sağlamak için birkaç numara daha kullandı.
Alışılmadık bir şekilde, e-postanın “Gönderen” adresi, Amazon olmayan bir e-postayı gizlemeye yönelik sevimli bir girişimden ziyade, dürüstlükten iyiye bir amazon.co.uk e-postasıydı. Bunun dolandırıcının Amazon altyapısını kullandığı veya e-postanın herhangi bir şekilde Amazon’a dokunduğu anlamına gelmediğini unutmamak önemlidir; bir e-posta Gönderen adresine istediğiniz her şeyi yazabilirsiniz. Dolandırıcıların sevimli numaralara yönelmelerinin bir nedeni var, buna aşağıda değineceğiz.
Tabii ki e-posta sadece bir yemdir, kullanıcıların ödeme ayrıntılarının çalınması bir web sitesinde bir yerde gerçekleşmelidir ve dolandırıcılar genellikle kendi altyapılarını çalıştırmazlar. Bunun için daha çok başkasınınkini kaçırıyorlar. Bu e-postadaki Ödeme Yöntemini Güncelle bağlantısı, Vietnam’ın önde gelen sunak mobilyası inşaatçısına ait bir sitedeki yönetici sayfasına bağlantı verir.
Adresi bir e-posta tarama motoruna veya keskin gözlü bir alıcıya garip görünebileceğinden, mobilya sitesine, Rusya’nın Facebook’a verdiği yanıt olan, büyük ve köklü bir web sitesi olan VKontakte’ye açık bir yönlendirme yoluyla ulaşılır. alarm zilleri.
Açık yönlendirme, bir sitedeki, web üzerindeki herhangi bir sayfaya yönlendirme yapacak şekilde değiştirilebilen bir URL’dir. İstenmeyen bir güvenlik kusuru olarak geniş çapta tanınmasına rağmen, açık yönlendirmeler, arama motorlarında ve sosyal medya sitelerinde yaygındır; bu siteler, tıkladığınız bağlantıları izlemek için bunları kullanır ve bu da dolandırıcıların hoşuna gider.
“Sevgili Cusotmer Prime” diye başlamasının yanı sıra, e-posta onu inandırıcı kılan şeylerle dolu. Tüm bu bileşenler hazır olduğunda, bu e-postanın başarıya ulaşacağını düşünebilirsiniz, ancak geldiğinde anında ve rezil bir şekilde spam klasörüne atıldı.
Neler yolunda gitmedi
Dolandırıcının kullandığı amazon.co.uk adresini hatırlıyor musunuz? Doğru gitmeyen şey buydu. Saf haliyle e-posta, gönderenin istediği her şeyi Gönderen adresine koymasına olanak tanır, ancak şirketler biraz çalışmayla, dolandırıcıların alan adlarını bu şekilde kullanması durumunda bunun sonuçlarının ortaya çıkacağından emin olabilirler.
Amazon, Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk’u (DMARC) uygulamaya koydu. Dolandırıcılık postası gelir gelmez altyapımız, e-postanın Amazon tarafından dijital olarak imzalanıp imzalanmadığını (imzalanmamıştı) ve dolandırıcının sunucusunun amazon.co.uk e-postaları göndermesine izin verilip verilmediğini (öyle değildi) kontrol etti. Bu kontrollerin olumsuz olması nedeniyle e-postanın geri kalanının ne kadar ikna edici olduğunun hiçbir önemi yoktu.
Artık dolandırıcının burada 3D satranç oynuyor olması ve bunu kasten yapmış olması ihtimali var. E-posta sistemlerini ve politikalarını yönetmek zor olabilir; pek çok kuruluş (muhtemelen daha küçük olanlar) DMARC’yi uygulamadı veya e-posta kimlik doğrulama sorununa zor bir çözüm olarak onu kapattı.
Belki de dolandırıcı, bazı arka plan matematik işlemleri yapmış ve “gerçek” bir e-posta adresi kullanmanın avantajlarının, önemli dezavantajlarından daha ağır bastığını hesaplamıştır. Belki. Ancak bunu yapabilen bir dolandırıcı muhtemelen yazım denetleyiciyi de kullanabilir, bu yüzden Hanlon’un Razor’una güvenmeyi tercih ediyorum: “Aptallıkla yeterince açıklanabilen bir şeyi asla kötü niyetle ilişkilendirmeyin.”
VKontakte son gülen oldu
VKontakte aracılığıyla yönlendirilen URL’yi kontrol ettiğimde, rahatsız edici URL’nin zaten farkında olduğunu gösteren tuhaf bir şey fark ettim. Yönlendirmenin, yanıtın bir yeniden yönlendirme olduğunu belirten bir 301 veya 302 durum kodu döndürmesi gerekirdi, ancak döndürmedi; sunucunun bir çaydanlık olduğunu belirten bir durum kodu olan 418’i döndürdü.
1 Nisan Şaka Günü, 1998’de yayınlanan resmi Hyper Text Cezve Kontrol Protokolünden (HTCPCP/1.0):
Çaydanlıkla kahve pişirmeye yönelik herhangi bir girişim “418 Ben bir çaydanlığım” hata koduyla sonuçlanacaktır. Ortaya çıkan varlık gövdesi kısa ve sağlam OLABİLİR.
Teşekkürler.
En önemli ders
E-postanın dayandığı SMTP protokolü, internetin küçük ve güvenilir olduğu bir çağın 50 yıllık bir kalıntısıdır. İçsel güvenlik eksikliği, yıllar içinde e-postaların şifrelenmesini ve Gönderen adreslerine güvenilebilmesini sağlayan bir dizi teknolojiyle daha da güçlendirildi. Ancak SMTP spesifikasyonunun bir parçası olmadıkları için isteğe bağlıdırlar ve işletmelerin bunları benimsemeye karar vermesi gerekir.
Bu dolandırıcılığın işletmelere vereceği en önemli ders, ne kadar küçük olursa olsun, DMARC kurmaktır.
Dolandırıcı ister pislikten ister 3D satranç oynuyor olsun, e-postaları sahteciliğe karşı kontroller karşısında her zaman başarısız olacaktı.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE