Şüpheli bir e-posta nasıl analiz edilir?

Gerçekliği şüpheli bir e-posta aldığınızda, kendiniz analiz edebilirsiniz. Peki bunu nasıl yapabilirsiniz?

Bir kimlik avını gösteren işaretler çok bariz olabilir — gönderen adresi ile sözde şirketin adresi arasında uyumsuzluk, mantıksal tutarsızlıklar, çevrimiçi hizmetlerden geliyormuş gibi görünen bildirimler — ancak sahte bir e-postayı tespit etmek her zaman o kadar kolay değildir. Sahte bir e-postayı daha inandırıcı hale getirmenin bir yolu da, e-posta adresinin yer aldığı kısmın değiştirilmesidir.

Bu teknik, toplu kimlik avı saldırılarında nadiren karşımıza çıksa da daha çok bir hedefe yönelik saldırılarda kullanılıyor. Bir ileti gerçek gibi görünüyor ancak göndericinin gerçekliğinden şüphe duyuyorsanız, biraz daha detaya girmeyi ve Aktarım (Received) üst bilgisini kontrol etmeyi deneyin. Bu yazımızda bunu nasıl yapacağınızı açıklıyoruz.

Şüphe uyandıran nedenler

Herhangi bir garip istek, açık bir tehlike işaretidir. Örneğin, sizden göreviniz olmayan veya standart dışı herhangi bir işlem yapmanızı isteyen bir e-posta, özellikle de önemli (CEO’nun şahsi talebi) veya acil (iki saat içinde ödenmesi gerekiyor!) olduğu söyleniyorsa, daha dikkatli bir şekilde ele alınmalıdır. Bunlar standart kimlik avı hileleridir. Ayrıca;

  • E-postada yer alan, kimlik veya ödeme bilgilerinizi girmenizi isteyen başka bir internet sitesine ait bağlantıyı izlemeniz,
  • Bir dosyayı (özellikle yürütülebilir bir dosyayı) indirmeniz ve açmanız,
  • Para göndermeniz veya sistemlere veya hizmetlere erişim ile ilgili eylemler gerçekleştirmeniz isteniyorsa bu durumda da gelen iletiye dikkat etmelisiniz.

E-posta üst bilgisine nasıl ulaşılır?

Ne yazık ki, iletide gösterilen Gönderen alanının değiştirilmesi kolaydır. Ancak Received üst bilgisinde, gönderenin gerçek alan adı yer almak zorundadır. Bu üst bilgiye herhangi bir posta istemcisinden ulaşabilirsiniz. Günümüz iş dünyasında yaygın olarak kullanılması nedeniyle burada Microsoft Outlook’tan örnek vereceğiz. Bununla birlikte, bu bilgiye erişmek diğer istemciler için de çok farklı değildir; farklı bir istemci kullanıyorsanız, bu konuda yardım dokümanlarına bakabilir veya üst bilgiye kendiniz ulaşmaya çalışabilirsiniz.

Microsoft Outlook’ta:

  1. Kontrol etmek istediğiniz iletiyi açın,
  2. Dosya sekmesinden Özellikler‘i seçin,
  3. Açılan Özellikler penceresinde, internet üst bilgileri bölümünden Received alanını bulun.

Bir e-posta alıcıya ulaşmadan önce birden fazla ara düğümden geçebileceği için birkaç Received alanı ile karşılaşabilirsiniz. Bu durumda, gönderenin gerçek kimlik bilgisinin yer aldığı en alttaki alana bakın. Bu alan şuna benzer şekilde görünür:

Received üst bilgisi

 

Received üst bilgisinde alan adı nasıl kontrol edilir?

Received üst bilgisinden faydalanmanın en kolay yolu Tehdit İstihbaratı Portalımızı kullanmaktır. Portaldaki bazı özellikleri ücretsizdir, yani kayıt olmadan bunları kullanabilirsiniz.

Adresi kontrol etmek için kopyalayın, Kaspersky Tehdit İstihbarat Portalı‘na gidin, kopyaladığınız üst bilgiyi Ara sekmesindeki kutuya yapıştırın ve Ara‘ya tıklayın. Portal, alan adını, güvenilirliğini ve WHOIS ayrıntıları hakkında mevcut tüm bilgileri getirecektir. Arama sonucu şuna benzer şekilde görünür:

Kaspersky Tehdit İstihbarat Portalından alınan bilgiler

 

İlk satırda muhtemelen “İyi” kararı veya “Kategorize edilmemiş” işareti görüntülenecektir. Bu, sistemlerimizin daha önce bu alan adının suç amaçlı kullanımı ile karşılaşmadığı anlamına gelir. Saldırganlar hedefli bir saldırı hazırlarken, yeni bir alan adı kaydetmiş olabilir veya ele geçirdikleri iyi bir itibara sahip, geçerli bir alan adını kullanabilir. Gönderenin temsil ettiğini düşündüğünüzün şirket ile eşleşip eşleşmediğini görmek için alan adının kayıtlı olduğu şirketi dikkatlice kontrol edin. Örneğin, İsviçre’deki bir iş ortağınızın çalışanının Malezya’da kayıtlı bilinmeyen bir alan adı üzerinden e-posta göndermesi pek olası değildir.

Bu arada, şüpheli görünen e-posta bağlantılarını kontrol etmek için portalımızı, bir e-posta ekini kontrol etmek için de Dosya Analizi sekmesini kullanmak iyi bir fikirdir.

Kaspersky Tehdit İstihbarat Portalı başka birçok kullanışlı özelliğe sahiptir, ancak bu özelliklerin çoğu yalnızca kayıtlı kullanıcılar tarafından kullanılabilir. Hizmetimiz hakkında daha fazla bilgi için Portal Hakkında sekmesine göz atın.

Kimlik avına ve kötü niyetli e-postalara karşı koruma

Şüpheli e-postaları kontrol etmek iyi bir fikirdir ancak kimlik avı e-postalarının son kullanıcılara ulaşmasını engellemek daha da iyidir. Bu nedenle, her zaman kurumsal posta sunucusu düzeyinde kimlik avı önleme çözümü yüklemenizi öneriyoruz.

Buna ek olarak, iş istasyonlarındaki kimlik avı korumasına sahip bir güvenlik çözümü, göndericinin, alıcıyı kandırmayı başarsa bile e-postadaki kimlik avı bağlantıları ile yönlendirmesini önler.

İpuçları