Open in app

Sign in

Write

Sign in

Oltalama(Phishing) Saldırısı Nedir? Nasıl yapılır?

Aslıhan Kuzucu
8 min readOct 25, 2023

--

“Oltalama saldırıları” (phishing attacks), genellikle sahte veya aldatıcı iletiler aracılığıyla kullanıcıları kandırmayı amaçlayan eylemlerdir. Oltalama saldırıları, genellikle kişisel bilgileri çalmak, kimlik avı yapmak, finansal dolandırıcılık gerçekleştirmek veya kötü amaçlı yazılımları dağıtmak gibi hedeflere ulaşmak için kullanılır.

Oltalama saldırılarının bazı çeşitleri:

E-posta Oltalaması (Phishing Email): Kötü niyetli kişiler, resmi kurumların veya tanınmış şirketlerin gibi görünen sahte e-postalar göndererek alıcıları yanıltmaya çalışır. Bu e-postalarda genellikle linklere tıklanması veya ekleri açılması istenir. Örneğin, sahte bir banka e-postasıyla hesap bilgilerinizi güncellemeniz istenebilir.

Kimlik Avı (Spear Phishing): Bu tür saldırılar, hedeflenen bireylerin veya kuruluşların özel bilgilerini çalmayı amaçlar. Saldırganlar önceden araştırma yaparak hedeflerin ilgi alanlarına, iş rollerine veya ilişkilerine dayalı özelleştirilmiş sahte iletiler oluştururlar.

Klonlanmış Web Siteleri (Pharming): Saldırganlar, meşru web sitelerini taklit eden sahte siteler oluşturarak kullanıcıları kandırmaya çalışırlar. Kullanıcılar bu sahte sitelere girdiklerinde, kişisel bilgileri çalınabilir.

Sosyal Mühendislik: Saldırganlar, insanların duygusal tepkilerini ve davranışlarını manipüle ederek güvenlerini kazanmaya çalışırlar. Bu yöntemle, kullanıcılar istenmeyen işlemleri gerçekleştirebilirler.

SMS Oltalama (Smishing): Phishing e-postalarının kısa mesaj (SMS) versiyonlarıdır. Kullanıcılara sahte linkler veya kötü amaçlı yazılımlar içeren SMS’ler gönderilir.

Notlar:

SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol 3) ve IMAP (Internet Message Access Protocol), e-posta iletişimi için kullanılan temel protokollerdir. İşlevleri ve kullanımları farklıdır.

SMTP (Simple Mail Transfer Protocol):

SMTP, e-postaların gönderilmesi için kullanılan bir ileti iletim protokolüdür. Gönderen tarafından e-posta sunucusuna iletilen e-postalar, bu protokol aracılığıyla alıcı tarafına iletilmek üzere yönlendirilir. SMTP, e-postaların alıcı sunuculara iletilmesi ve ileti gönderimi sırasında kullanılan komutları ve kuralları tanımlar. Bu protokol, e-posta gönderiminde temel bir bileşendir.

POP3 (Post Office Protocol 3):

POP3, e-posta almak için kullanılan bir ileti erişim protokolüdür. E-posta sunucusundaki iletileri alıcı cihaza indirerek kullanıcının yerel e-posta istemcisine (örneğin, e-posta istemcisi programlarına) depolar. POP3, iletileri sunucudan indirerek kullanıcının cihazına taşıdığı için, iletiler genellikle sunucudan silinir. Bu nedenle, POP3 kullanırken iletilere yalnızca bir cihazdan erişmek mümkündür.

IMAP (Internet Message Access Protocol):

IMAP, e-posta almak ve yönetmek için kullanılan bir ileti erişim protokolüdür. IMAP, POP3'ten farklı olarak iletileri sunucuda tutar ve alıcı cihazdaki e-posta istemcisine sadece ileti başlıklarını ve içerik özetlerini indirir. İletilere erişim, sunucuda tutulduğu için farklı cihazlardan veya yerlerden erişmek kolaydır. İletiler sunucuda kalır ve yerel cihazlarda sadece senkronizasyon yapılır, bu da iletilere çeşitli cihazlardan erişimi kolaylaştırır.

Kısacası:

SMTP: E-posta gönderimini sağlayan protokoldür.

POP3: E-postaları sunucudan indirip yerel cihaza depolayan protokoldür.

IMAP: E-postaları sunucuda tutup farklı cihazlardan erişimi sağlayan protokoldür.

Seçiminiz, e-postalarınızı nasıl yönetmek istediğinize bağlı olacaktır. Eğer birden fazla cihazda e-postalarınıza erişmek istiyorsanız, IMAP tercih edilebilir. Eğer e-postalarınızı yerel cihazınızda tutmak istiyorsanız ve sık sık sunucudan silinmesini istemiyorsanız, POP3 kullanabilirsiniz.

“https://www.arin.net/" Nedir?

“arin.net” web sitesi, ARIN (American Registry for Internet Numbers) adlı kuruluşun resmi web sitesidir. ARIN, Kuzey Amerika’da (Amerika Birleşik Devletleri, Kanada ve birkaç diğer ülke) internet numaralarını yöneten bir kuruluştur. Internet Protocol (IP) adresleri ve otonom sistem numaraları gibi kaynakları dağıtarak ve yöneterek internet altyapısının düzgün işleyişini sağlar.

ARIN’in başlıca görevleri şunlardır:

  • IP Adres Tahsisi: ARIN, Kuzey Amerika bölgesindeki internet hizmet sağlayıcılarına ve şirketlere IP adres tahsisleri yapar. Bu, internet üzerinde cihazların benzersiz kimliklerine sahip olmalarını sağlar.
  • Otonom Sistem (AS) Tahsisi: Otonom sistem numaraları, internet üzerindeki bağımsız ağ bölgelerini temsil eder. ARIN, bu AS numaralarını tahsis eder ve yönetir.
  • Kaynak Yönetimi ve Koordinasyonu: ARIN, internet numaralarının etkili ve adil bir şekilde dağıtılmasını sağlamak amacıyla kaynak yönetimi ve koordinasyonunu yürütür.
  • Veri Tabanı ve Dökümantasyon: ARIN, IP adres tahsislerini ve otonom sistem numaralarını içeren bir veritabanı sürdürür. Ayrıca, internet numarası yönetimi ve ilgili politikalar hakkında dökümantasyon sağlar.
  • Politika Geliştirme: ARIN, internet numaralarının tahsisi ve yönetimi için politikaları geliştirir. Bu politikalar, internet topluluğu tarafından tartışılır ve oluşturulur.

SPF NEDİR?

Sender Policy Framework veya kısaca SPF, e-posta sahtekarlığı ve istenmeyen e-posta (spam) engellemek amacıyla kullanılan bir kimlik doğrulama protokolüdür. SPF, bir alan adının(domain) yetkili e-posta sunucularının hangileri olduğunu belirlemek için DNS (Alan Adı Sistemi) kayıtlarını kullanır. Bu sayede, bir e-posta sunucusunun belirli bir alan adından geldiğini doğrulamak ve sahte e-postaları engellemek mümkün hale gelir.

SPF çalışma prensibi şu şekildedir:

Alan Sahibi SPF kaydını oluşturur: E-posta göndermek isteyen bir alan sahibi (örneğin, bir e-posta hizmet sağlayıcısı veya şirket) SPF kaydını alan adının DNS kayıtlarına ekler. Bu kayıt, hangi IP adreslerinin yetkili e-posta gönderen sunucular olduğunu belirtir.

E-posta sunucusu doğrulama yapar: Bir alıcı e-posta sunucusu, gelen bir e-postanın kaynak IP adresini belirler. Daha sonra, gönderilen e-postanın alan adının SPF kaydını DNS’ten alır.

SPF kaydı kontrol edilir: E-posta sunucusu, SPF kaydındaki IP adresleri listesine bakarak gönderen sunucunun yetkili bir kaynaktan gelip gelmediğini doğrular. Eğer IP adresi SPF kaydındaki listeye uygunsa, e-posta kabul edilir. Aksi takdirde, e-posta spam olarak işaretlenir veya reddedilir.

DKIM NEDİR?

DKIM, “Alan Tabanlı Mesaj Kimliği Doğrulaması” (DomainKeys Identified Mail) kısaltmasıyla bilinir. DKIM, e-posta iletişiminde kimlik doğrulama ve bütünlük sağlamak için kullanılan bir güvenlik yöntemidir. Bu yöntem, e-posta gönderenin kimliğini doğrulamak ve e-posta içeriğinin değiştirilmediğini garantilemek amacıyla kullanılır.

DKIM nasıl çalışır:

E-posta Gönderen: E-posta gönderen, gönderdiği e-postayı imzalar. E-posta sunucusu, iletiyi gönderenin alan adını kullanarak bir dijital imza oluşturur.

İmza Ekleme: E-posta sunucusu, oluşturulan dijital imzayı e-postanın başlık kısmına (header) ekler. İmza, e-postanın içeriğindeki değişikliklerin olup olmadığını kontrol etmek için kullanılır.

DNS Kaydı: E-posta sunucusu, dijital imza oluştururken kullandığı anahtarın (private key) genel anahtarını alan adının DNS kayıtlarına ekler. Bu genel anahtar, alıcı e-posta sunucusunun imzayı doğrulamasına olanak tanır.

E-posta Alıcı: E-posta alıcısı, gelen e-postanın başlığında bulunan dijital imzayı alır. Alıcı, e-postanın geldiği sunucunun DNS kayıtlarından genel anahtarı alır.

Doğrulama: Alıcı e-posta sunucusu, aldığı dijital imzayı aldığı genel anahtarla çözerek içeriği doğrular. Eğer imza geçerliyse ve içerik değişmemişse, e-posta geçerli olarak kabul edilir.

DMARC NEDİR?

Doğrulama, Raporlama ve Uyum Politikası (Domain-based Message Authentication, Reporting, and Conformance veya kısaca DMARC), e-posta güvenliği için kullanılan bir protokoldür. DMARC, SPF (Gönderen Politika Çerçevesi) ve DKIM (Alan Tabanlı Mesaj Kimliği Doğrulaması) gibi diğer kimlik doğrulama mekanizmalarını birleştirerek, sahte e-posta adreslerinden kaynaklanan sahtekarlık ve istenmeyen e-postaların engellenmesi için kullanılır.

DMARC nasıl çalışır:

SPF ve DKIM Doğrulaması: E-posta gönderen, SPF ve DKIM gibi kimlik doğrulama yöntemlerini kullanarak gönderdiği e-postaları imzalar veya doğrular. SPF, gönderen sunucunun yetkili olduğu IP adreslerini belirlerken, DKIM dijital imza kullanarak e-postanın bütünlüğünü sağlar.

DMARC Politikası: E-posta gönderen, alan adının DNS kayıtlarına DMARC politikası ekler. Bu politika, e-postaların nasıl işlenmesi gerektiğini belirler. Eğer bir alıcı e-posta sunucusu SPF ve DKIM doğrulamalarından geçemeyen bir e-posta alırsa, DMARC politikası bu e-postanın ne yapılması gerektiğini belirler.

  • “none”: E-postalar doğrulama sonuçlarına bakılmaksızın teslim edilir, ancak DMARC raporları alıcıya iletilir.
  • “quarantine”: Doğrulama başarısızlığı durumunda e-posta istenmeyen e-posta klasörüne yönlendirilir.
  • “reject”: Doğrulama başarısızlığı durumunda e-posta reddedilir ve alıcıya iletilmez.

Raporlama: DMARC politikası eklenmiş bir e-posta alan adına gelen e-posta sunucuları, doğrulama sonuçlarını gönderenin belirttiği bir adrese raporlar. Bu raporlar, e-posta gönderenin hangi IP adreslerinden e-posta gönderdiğini ve hangi doğrulama yöntemlerinin kullanıldığını içerir. Bu sayede alan sahipleri, e-posta gönderenlerinin etkinliklerini izleyebilir ve sahte e-postaları tespit edebilir.

S/MIME NEDİR?

S/MIME, “Güvenli/Multi-Purpose Internet Mail Extensions” kısaltmasıyla bilinir. S/MIME, e-posta iletişiminde güvenliği sağlamak ve mesajların şifrelenmesi ile dijital imzalanması için kullanılan bir kriptografik protokoldür. Bu protokol, e-postaların gizliliğini ve bütünlüğünü korumak, kimlik doğrulamasını sağlamak ve sahte e-postaları tespit etmek amacıyla kullanılır.

S/MIME nasıl çalışır:

Dijital İmzalama: E-posta gönderen, özel bir anahtar kullanarak e-postanın dijital bir imzasını oluşturur. Bu imza, e-postanın göndereninin kimliğini ve e-posta içeriğinin değiştirilmediğini doğrulamak için kullanılır.

Şifreleme: Eğer e-posta içeriğinin gizliliği önemliyse, içerik bir simetrik anahtar ile şifrelenir. Şifrelenmiş içerik, alıcı tarafında sadece doğru anahtara sahip kişiler tarafından çözülebilir.

Anahtarlar ve Sertifikalar: S/MIME kullanımı için genel anahtar altyapısı (Public Key Infrastructure veya PKI) gereklidir. E-posta gönderenin genel anahtarı dijital imza oluştururken, alıcının genel anahtarı içeriği çözmek için kullanılır. Bu anahtarlar, sertifikalar aracılığıyla doğrulama sağlamak için kullanılır.

Sertifikalar: Sertifikalar, genel anahtarın kimlik bilgilerini doğrulayan dijital belgelerdir. Sertifika sağlayıcıları, genel anahtar sahiplerinin kimliğini doğrulayarak sertifikaları oluşturur.

Tryhackme Çözümleri

Link: https://tryhackme.com/room/phishingemails5fgjlzxc

Phishing Tooları:

Message Header Analyzer (Google Apps): E-posta başlık bilgilerini analiz etmek için kullanılır. E-postanın geldiği kaynağı, IP adreslerini ve diğer ilgili bilgileri incelemeye yardımcı olur.

Message Header Analyzer: E-posta başlık bilgilerini analiz eder ve e-postanın yolculuğunu takip etmenizi sağlar. E-posta iletişiminde kimlik doğrulaması ve kaynak bilgisini anlamak için kullanılır.

mailheader.org: E-posta başlık bilgilerini analiz etmek ve gönderen hakkında bilgi sağlamak için kullanılır.

IPinfo.io: Bir IP adresi hakkında ayrıntılı bilgiler sunar. IP’nin konumu, sahibi, kullanımı gibi bilgileri görüntülemek için kullanılır.

URLScan.io & Wannabrowser & URL2PNG: URL’leri analiz eder, kötü niyetli veya zararlı içeriği tespit etmeye yardımcı olur. URL2PNG, web sayfalarının ekran görüntülerini almak için kullanılır.

URL Extractor (convertcsv.com): Metin belgelerinden veya web sayfalarından URL’leri çıkarmak için kullanılır. Çıkardığınız URL’leri liste olarak alabilirsiniz.

CyberChef: Kriptografik ve metin tabanlı işlemleri gerçekleştirmek için kullanılır. Metni şifrelemek, deşifrelemek, dönüştürmek veya analiz etmek için çok amaçlı bir araçtır.

Any.Run: Kötü amaçlı yazılım örneklerini güvenli bir şekilde çalıştırıp analiz etmek için kullanılır. Davranışsal analiz sağlar.

Hybrid Analysis: Kötü amaçlı yazılım örneklerini analiz etmek için kullanılır. Dosya davranışlarını ve etkilerini incelemeye yardımcı olur.

PhishTool: Zararlı bağlantıları veya sahte web sitelerini tespit etmek ve analiz etmek için kullanılır. Genellikle kimlik avı saldırılarını tespit etmeye yardımcı olur.

Nessus Nedir, Ne İçin Kullanılır?

Nessus, güvenlik açıkları ve zayıflıkları tespit etmek için kullanılan popüler bir açık kaynaklı güvenlik tarayıcıdır. Bu araç, ağlarda ve sistemlerdeki güvenlik zafiyetlerini tanımlamak, değerlendirmek ve raporlamak için kullanılır. Kuruluşlar, güvenlik ekibi ve siber güvenlik profesyonelleri, Nessus’u ağ güvenliğini artırmak ve potansiyel riskleri tespit etmek amacıyla sıklıkla kullanır.

Nessus’un Kullanımı:

  • Tarama Hedeflerinin Belirlenmesi: Kullanıcılar, tarama yapmak istedikleri hedefleri belirler. Bu hedefler genellikle IP adresleri, ağ segmentleri, sunucular veya cihazlar olabilir.
  • Tarama Politikalarının Ayarlanması: Tarama yapmadan önce, kullanıcılar tarama politikalarını belirler. Bu politikalar, hangi tür güvenlik açıkları veya zayıflıklarının taranacağını ve nasıl taranacağını tanımlar.
  • Taramanın Başlatılması: Belirlenen tarama hedefleri ve politikaları temel alınarak, kullanıcılar Nessus’u kullanarak taramayı başlatır. Nessus, hedef sistemlere veya ağlara yönelik tarayıcı modül ve güvenlik testlerini gerçekleştirir.
  • Zayıflık ve Açıklıkların Tespiti: Nessus, tarama sonucunda güvenlik açıklıklarını ve zayıflıkları tespit eder. Bu, potansiyel tehditleri ve riskleri belirlemek için kullanılır.
  • Rapor Oluşturma: Tarama sonuçları, kapsamlı bir rapor olarak sunulur. Bu raporlar, tespit edilen güvenlik açıklıklarını, risk düzeyini, etkilenen sistemleri ve önerilen düzeltme önlemlerini içerir.
Cybersecurity
Phishing
Tryhackme
Tryhackme Walkthrough
Oltalama Saldırıları

--

--

Aslıhan Kuzucu

Written by Aslıhan Kuzucu

72 Followers

Curious computer engineer interested in cyber security👩‍💻

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams