1️⃣ ZIP Dosyası İçeriği:
ZIP dosyası içerisinde sadece bulut-sorusturma-06-05-2025-id-ist9930234.url adında bir URL dosyası bulundu.

2️⃣ URL Dosyası İçeriği:
URL dosyasının içeriği şu şekildeydi:

ini
Kopyala
Düzenle
[InternetShortcut]
URL=file://cloud.gib.sorusturma-reconnect.6b6vg5migs.govtrd.store/smbpaylasim/dmca.lnk
InternetShortcut: Bu, bir bağlantı kısayoludur. Tıklandığında doğrudan belirtilen adrese gider.

3️⃣ Alan Adı Analizi:
cloud.gib.sorusturma-reconnect.6b6vg5migs.govtrd.store

.gov.tr yerine .govtrd.store kullanılmış.

Türkiye'deki resmi devlet siteleri her zaman .gov.tr uzantısına sahiptir.

.store uzantısı, sahte bir domain olduğunun güçlü bir göstergesidir.

4️⃣ Protokol Kullanımı:
URL, file:// protokolü ile başlıyor.

file://, yerel ağda veya cihazda dosya çalıştırmaya olanak sağlar.

Bu tip protokol kullanımı, kötü amaçlı dosyaları uzaktan çalıştırmak veya ağ üzerinde virüs yaymak için kullanılır.

5️⃣ SMB Paylaşımı (Server Message Block):
URL'nin devamında /smbpaylasim/dmca.lnk ifadesi var.

smbpaylasim: SMB (Server Message Block) dosya paylaşımı protokolü.

Kötü niyetli yazılımlar genellikle SMB protokolünü kullanarak ağdaki diğer cihazlara bulaşır.

Bu yapı, sisteme yetkisiz erişim sağlamak amacıyla oluşturulmuş olabilir.

6️⃣ Güvenlik Kontrolleri:
Alan adı sorgulaması yapıldığında, bu domainin resmi bir GİB sayfası olmadığı tespit edildi.

Yönlendirmeler tamamen sahte bir alan adına yapılmış.

7️⃣ E-Posta Güvenliği:
GİB (Gelir İdaresi Başkanlığı) genelde e-posta yoluyla ZIP dosyası göndermez.

E-posta başlığı ve içerik yapısı sahte ve profesyonelce hazırlanmış.

SPF, DKIM, ve DMARC güvenlik kontrollerinden geçememiş.

@arthapot yapay zeka