İnternet, bilgi, bilişim güvenliğine dair her türlü karalamalara sahiplik yapan kişisel bir blog.

E-Posta Güvenliği (Mail Hack)

Bu yazımı Hukuk Fakültesinde okuyan Aslı arkadaşımızın bitirme tezinde fikir edinmesi amacıyla yazmıştım. Ancak websitemde de yayınlayarak arkadaşlarımın yararlanmasını istedim. Bankacılık işlemlerinin e-posta adreslerine kadar inmesi sonrasında, bilgisayar korsanlarının hedefini bu yöne çekmektedir. Artık tüm işlemlerin internet ortamına taşındığı bu yıllarda, e-posta hesaplarında önemli bilgiler bulunduran bilgisayar kullanıcıları hedef haline gelmiştir. Şifrelerinin akılda kalmasını isteyen bilgisayar kullanıcıları her zaman için bu korsanların hedefi haline gelmiştir. Bu korsanlar için; Hack safhasının ilk adımını brute force(şifre deneme) yöntemi oluşturmaktadır. Bu yöntemde başarılı olamayan korsan sosyal mühendislik, kurbanın bilgisayarını ele geçirme, zararlı yazılımları yüklemek gibi methodlara başvurmaktadır. Şimdi bunlardan söz edelim.

1) Brute Force İşlemi;
Bilgisayar kullanısının şifresini tahmin etmeye yönelik Hacking işlemidir. Bu işlemde “wordlist” denilen ve içerisinde bilgisayar kullanıcılarının şifre olarak kullanılması düşünülen şifreler bulunmaktadır. Bu wordlist yardımıyla şifreler ve e-posta hesapları kontrol edilir. Her wordlist’te en az 50.000 ayrı şifre yer almaktadır. Farklı bir algoritma yöntemiyle de bu şifreler 100.000’i bulabilir.

2) Oltalama işlemi(Phising)
Son günlerde Bilişim Suçları şubelerini fazla mesai yapmasını sağlayan bir yöntemdir. Bu yöntem; profesyonel olmayan bilgisayar kullanıcılarını hedef almaktadır. Zira bilgisayar ve internet konusunda yeteri bilgiye sahip değilseniz bu yönteme kurban olarak kullanabilirsiniz. Sahte(fake) olarak websayfasında girdiğiniz e-posta bilgileriniz saldırgan tarafından ele geçirilir. Bunu anlamanın en iyi yolu; girdiğiniz websitelere emin olmanız, adres satırı teyit etmenizdir.

3) Sosyal Mühendislik
Sözde kendisini banka yetkilisi/polis/kamu çalışanı olarak tanıtan kişiler tarafından hesap bilgilerinizin ele geçirilmesini amaçlayan bir yöntemdir. İsminden anlaşılacağı gibi, Sosyal Mühendislik korsanlar arasında sanat olarak görünmektedir. Bunun sebebi kelime oyunlarının iyi yapılması ayrıca karşıdaki kişiyi ikna etme yeteneğidir. Sosyal mühendislik yöntemini kullanan saldırgan, hedef kullanıcısına e-posta göndererek, bilgi güncellenmesi veya şifre yenileme başlıklarıyla bilgilerinizi talep etmektedir. Bu tarz E-posta kutunuza gelen ve sizden kimlik bilgilerinizi isteyen e-mailleri dikkate almayınız. Hiçbir banka şifre işlemlerini e-posta aracılığıyla yapmamaktadır.

4) Keylogger yazılımları
Eğer ki internetten sıkça dosya indiren(download) bir kişiyseniz sizde bu yöntemin hedefi olabilirsiniz. Bilgisayarınıza sessizce yüklenen keylogger yazılımı sizin her adımınızı takip etmektedir. Bu yazılımın yüklendiği bilgisayarda açılan e-posta hesaplarıyla da dahil olmak üzere tüm yapılan işlemler depolanarak saldırgana rapor olarak gönderilir. Tanımadığınız kişilerden dosya alıp-verme işlemi yapmamanız gerektiğini unutmayınız.

Lütfen alıntı yaparken kaynak belirtiniz.

Mustafa

2004 yılından bu yana Web ve Bilgi Güvenliği üzerine araştırmalarda bulundum. Çok sayıda yerli yada yabancı websitelerinde bulunan zaafiyetleri ilgililere göndererek kapatılmasını sağladım. Octosec ailesindenim. Siber Güvenlik Eylem Planı kapsamında TSE Kayıtlı Sızma Uzmanı sertifikam bulunmaktadır.

Leave a Reply