[NetSec] yeni sahte turkcell mail

3,284 views
Skip to first unread message

Yalcin BEKMEZCI

unread,
Jan 20, 2016, 1:16:31 AM1/20/16
to li...@netsectr.org

Merhabalar yeni sahte turkcell fatura maili gelmeye  başladı gelen mail aşağıdaki gibidir

 

 

 

Yalçın BEKMEZCI

 

Bilgi Teknolojileri Uzmanı

(Sistem, Ağ ve Altyapı)

 

Information Technology Specialist

http://www.abdiibrahim.com.tr/images/ai_logo.jpg

 

 

T. 0212 622 67 19

 

M. 0535 303 3322

 

F. 0212 623 1952

 

 

 

http://www.abdiibrahim.com.tr/images/abdiibrahim.gif  http://www.abdiibrahim.com.tr/images/mail-fb.gif  http://www.abdiibrahim.com.tr/images/mail-t.gif  http://www.abdiibrahim.com.tr/images/mail-in.gif  http://www.abdiibrahim.com.tr/images/mail-y.gif 

 

 

  
 
 
Bu e-posta mesaji ve ekleri sadece gonderildigi kisi veya kuruma ozeldir.
Dogru aliciya ulasmamis olmasi halinde, bu mesajin baska bir aliciya yonlendirilmesi, kopyalanmasi veya kullanilmasi yasaktir.
This e-mail and any attachments transmitted with it are confidential and intended solely for the use of the individual or entity to whom they are addressed.
If you are not the intended recipient you are hereby notified that any forwarding, copying or use of the information is prohibited.

Fatih Ekrem Genc

unread,
Jan 20, 2016, 6:43:02 AM1/20/16
to li...@netsectr.org
Herkese merhaba



tıkladığınızda sizi yönlendirmeye çalıştığı link http://spa-sibo.ru/8eyZIA/RTcJyB.php?id=ma...@adressiniz.com


bilginize


-------------------
DDOS Saldırıları ve Korunma Yolları Eğitimi

İstanbul: 27-28 Şubat 2016
Ankara: 03-04 Mart 2016

-------------------

Salih Üçpınar

unread,
Jan 20, 2016, 6:49:38 AM1/20/16
to li...@netsectr.org
Merhaba,

Mail içerisinde yer alan link gece boyunca inactive tutularak önlem alınmayan sandbox/antimalware vb.. cihazlar üzerinden son kullanıcıya kadar ulaşması sağlanmıştır.

Korumalarınızda özellikle cloud'a yönlendirip link'i analiz eden ürünlerde bu tarz bir zaafiyet olabilir. 404 sayfa ulaşılamıyor vb.. hatalar için gerekli imzaların varlığından/kullanıldığından emin olmanızda fayda var.

İyi çalışmalar,



From: yalcin....@abdiibrahim.com.tr
To: li...@netsectr.org
Date: Tue, 19 Jan 2016 23:36:44 +0000
Subject: [NetSec] yeni sahte turkcell mail

Osman Özer

unread,
Jan 21, 2016, 3:37:28 AM1/21/16
to li...@netsectr.org

Merhabalar

 

Bu versiyon dün bir arkadaşıma mail olarak gelmiş. Bilgisayarda aviranın free versiyonunu kullanıyor. Avira dosyalar şifrelenmeden virüsü silmiş. Hiç bir kayıp yok.

 

 

 

Osman ÖZER
Kıdemli Bilgi İşlem Teknisyeni

Fraport IC İçtaş Antalya Havalimanı Terminal Yatırım ve İşletmeciliği A.Ş.

Antalya Havalimanı 1. Dış Hatlar Terminali, 07230  Antalya - Türkiye

Tel : 0 (242) 315 10 67         Fax:  0 (242) 315 10 99

 

www.icfairports.com

e-mail: osman...@icfairports.com

Description: Description: e-mail

 

From: NetSec [mailto:netsec-...@netsectr.org] On Behalf Of Yalcin BEKMEZCI
Sent: Wednesday, January 20, 2016 1:37 AM
To: 'li...@netsectr.org'
Subject: [NetSec] yeni sahte turkcell mail

 

Merhabalar yeni sahte turkcell fatura maili gelmeye  başladı gelen mail aşağıdaki gibidir

Yalcin BEKMEZCI

unread,
Jan 21, 2016, 3:44:16 AM1/21/16
to li...@netsectr.org

Merhaba ;

 

Firewall üzerinden linkler bloklanarak kullanıcıların siteye erişimi kapatılarak linkin zarar vermesi engelene bilir

SELCUK UYAR

unread,
Jan 21, 2016, 3:51:49 AM1/21/16
to li...@netsectr.org

Merhaba,

Bu urller her mailde değişiyor. Bu urllerin bugün için redirect olduğu adres tcell-hesap[.]com, dikkat ettiğim kadarıyla son 3-4 aylık dönemde gelen bütün fatura virüsleri downloader.disk.yandex.com’a upload edilmiş ve buradan indiriliyor. Kurumsal olarak kullanmıyorsanız disk.yandex.com’u blocklamakta işinize yarayabilir.

 

 

 

From: NetSec [mailto:netsec-...@netsectr.org] On Behalf Of Fatih Ekrem Genc
Sent: Wednesday, January 20, 2016 8:23 AM
To: li...@netsectr.org
Subject: Re: [NetSec] yeni sahte turkcell mail

 

Herkese merhaba


 

bilginize

 

mehmet ergene

unread,
Jan 21, 2016, 7:43:56 AM1/21/16
to li...@netsectr.org
Merhaba,

Ayrı bir mail de atmıştım ama bu mailleşmeye de eklemek istedim. Mail GW kullanıyorsansanız bu mailleri engellemek için aşağıdaki metodu uygulayabilirsiniz.
Şu ana kadar atılan maillerin hepsinde ortak olan nokta mail içerisindeki linklerin FQDN sonrasındaki bir bölümü. Örnek verecek olursam: abc.com uzantılı mail domainine sahipseniz gelen mailin içerisindeki link şu formatta oluyor: http://xyc.ru/gfdsds.php?id=user...@abc.com . Bu bilgiden yola çıkarak Mail GW üzerinde Custom Content Filter oluşturdum ve mail body içerisinde " https?:\/\/\S*\/\S*php\?id\=\S*@abc\.com " regexi ile eşleşen mailleri karantinaya aldım. ( Regex ile mail içerisindeki linke bakıp " php?id " ile başlayan kısmı kontrol edip linkin sonunda abc.com uzantılı mail adresi olup olmadığına bakıyorum. domain ve subject kontrolü yapmıyorum)

Ransomware mailleri ile ilgili ek olarak dikkat edilmesi gereken bir başka nokta maillerin ad...@turkcell.com.tr gibi adreslerden de geliyor olması. Mail GW üzerinde turkcell.com.tr gibi domainleri whitelist'e aldıysanız çıkarmakta fayda var.
 
Mehmet ERGENE

mehmet ergene

unread,
Jan 21, 2016, 7:50:42 AM1/21/16
to li...@netsectr.org
Merhaba,

Evet URL ler değişiyor fakat URL lerin sadece FQDN kısmı değişiyor. benim regex ile kontrol ettiğim kısım fqdn sonrasında gelen php?id=isim@domain kısmı. buradaki isim@domain mail gw üzerinde host ettiğiniz mail domainleri.

Saygılar.
Mehmet ERGENE

Hakki Ozer

unread,
Jan 21, 2016, 10:52:11 AM1/21/16
to li...@netsectr.org, mehmet ergene
Merhaba, 

ad...@turkcell.com.tr den sonra bugün saldırılar devam ediyor. 

from     : j...@dpautomatics.com 
subject  : Hesabiniz Elinizde 19739 

Received : 
from [94.245.178.168] (helo=Unknown)
by mail43.extendcp.com with esmtpsa (UNKNOWN:DHE-RSA-AES256-SHA:256)
(Exim 4.80.1)


Kimden: "mehmet ergene" <mehmet...@yahoo.com>
Kime: li...@netsectr.org
Gönderilenler: 21 Ocak Perşembe 2016 11:04:09
Konu: Re: [NetSec] yeni sahte turkcell mail



-------------------------------------------
Internet uzerinden iletisimde zamaninda, guvenli, hatasiz ve viruslerden arindirilmis gonderim garanti edilemez. Gonderen taraf, hata ve unutmalardan dolayi sorumluluk kabul etmez. Mesajda yalnizca muhatabini ilgilendiren, kisiye veya kuruma ozel bilgiler yer aliyor olabilir. Mesajin muhatabi degilseniz, icerigini ve varsa ekindeki dosyalari kimseye aktarmayiniz veya kopyalamayiniz. Boyle bir durumda lutfen gondereni uyarip mesaji imha ediniz. Gostermis oldugunuz hassasiyetten dolayi tesekkur ederiz.

Internet communications cannot be guaranteed to be timely, secure, error orvirus-free. The sender does not accept liability for any errors or omissions. Thee-mail message may contain confidential and/or privileged information. If you are not the intended recipient or have received this mail in error, please notify the sender immediately and delete this e-mail from your computer. Any unauthorized copying, disclosure o r distribution of the material in this e-mail isstrictly forbidden. Thank you for your cooperation.


image001.png

Osman Özer

unread,
Jan 21, 2016, 3:56:16 PM1/21/16
to li...@netsectr.org

Merhaba

 

Avira free version dosyalar şifrelenmeden virüsü temizliyor.

 

 

Osman ÖZER
Kıdemli Bilgi İşlem Teknisyeni

Fraport IC İçtaş Antalya Havalimanı Terminal Yatırım ve İşletmeciliği A.Ş.

Antalya Havalimanı 1. Dış Hatlar Terminali, 07230  Antalya - Türkiye

Tel : 0 (242) 315 10 67         Fax:  0 (242) 315 10 99

 

www.icfairports.com

e-mail: osman...@icfairports.com

Description: Description: e-mail

 

İSMAİL TAŞDELEN

unread,
Jan 23, 2016, 5:23:39 AM1/23/16
to li...@netsectr.org

Arkadaşlar banada gelen sahte bir mail oldu 😊 Tereciye tere satmak denilen şey galiba bu 😄👍

Siz çok akıllı olmak bana alışverişlerde kolaylik vermek 😄🚧

21 Oca 2016 22:55 tarihinde "Osman Özer" <osman...@icfairports.com> yazdı:
Screenshot_2016-01-23-12-12-34.png

Oğuzhan Akkaya

unread,
Jan 29, 2016, 3:42:28 PM1/29/16
to li...@netsectr.org
İsmail Bey öncelikle tereciye tere satmaktan bahsetmişsiniz lakin SEH(Social Engineering Toolkit) toolkitleri kullanılarak aşırı profesyonel phising saldırıları yapılmaktadır.Saldırganların hepsi aynı kategoriye girmemekle beraber küçümsememek gerek.El elden,beyin beyinden üstündür,ki genç yaşlarımda wwv.facebook.com'u kullanarak DNS poisoningle aşırı realistik phising saldırısıyla ve kullandığımız kanallar aracılığıyla binlerce facebook accountu elde etmiştik.Buna bilgi güvenliği sektöründe çalışan insanlarda dahil.Bir başka konuda http://referralkey.com/ ile alakalı muhtemelen linkedininizde ekli olan birisi sizi referans olarak eklemek için bu maili size gönderdi.Çünkü ben de hintli geliştiricilerden yoğun biçimde alıyorum ve bende kullanıyorum.Bu sitenin uluslararası bir kabul edilebilirliği mevcut.Sizden istenen referans mektubunu oltalama mailini gibi bu grupta paylaşmanızı tasnif etmiyorum.Eleştirilerim yapıcı olmaya yöneliktir lütfen yanlış anlaşılmasın.
 
Herkese iyi çalışmalar dilerim,
Saygılarımla...
 
 
 
23.01.2016, 12:23, "İSMAİL TAŞDELEN" <pentest...@gmail.com>:
,

-------------------
DDOS Saldırıları ve Korunma Yolları Eğitimi

İstanbul: 27-28 Şubat 2016
Ankara: 03-04 Mart 2016

-------------------

 
 
-- 
Oğuzhan Akkaya
Chief Researcher at Cydets R&D Anonim Yatırım Ortaklığı A.Ş
Information Security Researcher & Full Stack Developer
 Ins. Mail: oguzhan...@cydets.com
Per.Mail: oak...@ymail.com
 
 
Reply all
Reply to author
Forward
0 new messages