e- Mail Sistemleri ve Saldırı Yöntemleri
Günümüzde kullanılan e-Mail sistemleri, şirket alanları haricinde free yani ücretiz dağıtılan e-Mail sistemleridir. Şirket alanları ve şahısların kendilerini geliştirmek için aldıkları Domain - Hosting web hizmetleri üzerinden kullandıkları e-mailler genel olarak kişisel alana hitap etmektedir.
Free Mail Türleri:
@linuxmail.org
@(hotmail msn windowslive).com
@gmail.com
@yahoo.com
@mynet.com
@mail.com
@mymail.com
..
vb. genişlemektedir. Bu maillerin arasında en geniş kullanımı olan mail türü (Hotmail ve Gmail) olarak bilinmektedir.
Şirket ve Şahsi alanların Server Mail Türleri:
(Horde SquirrelMail RounCube) vb. bu mailler aldığınız alan adı üzerinden kullanıldığından dolayı uzantılarını kendi isimleri taşımazlar. Kullanıcının şahsi isim veya şirket gibi uzantılarda mail olanakları sağlarlar.
Web Mail Sistemleri olarak üstte belirttiğimiz mail türlerini sıralayabiliriz.
Free Mail Saldırı Türleri:
Free Mailler üzerinde ki saldırı yöntemlerine kısaca değineceğiz.
Phishing Fake: Aslında her ne kadar ikisi birbirinden farksız gibi gözükse de biri kulağı düz tutmak biri tersten tutmak gibidir. Phishing elinizle kulağınızı düz tutmak gibidir.Fake ise elinizle doğru elinizle kulağınızı ters tutmak gibidir. Phishing günümüzün güncel tabir edebileceğimiz bir açık türüdür. Kullanıcı zafiyetini kullanarak Web üzerinden örneğin: Hotmail.com adresi yerine Hotmaill.com gibi bir adres alınarak bir fake sayfa düzenlenir. Kullanıcı URL bağlantısını göz ardı ettiğinden dolayı hataya düşebilir.
(.exe) Uygulamaları: Dünden bugüne gelişen ve değişen tek saldırı yöntemi budur. Kullanıcı zafiyeti ile birlikte e-Mail üzerinden bir dosya aracılığıyla bilgisayara erişimdir.Kullanıcı kendini aldatan bir dosyayı mail üzerinden alarak sistemine müdahale edilmesini sağlayabilir.Bu da bütün kullandığı sistemlerin karşı tarafın eline geçmesine imkan sağlamaktadır.
XSRF- CSRF : Son 1 yıl içerisinde gelişen Post ve Get metotları ile birlikte mailler üzerinde etkili hale gelmeye başlayan bir sistemdir. Detaylı Bilgi İçinBR
ClickJacking: Aldatma sanatı. OWASP fuarında tamamen geçen ve nerdeyse engellenmesi mümkün olmayan bir açık türüdür. Üst bölümde farklı sayfa veya farklı bir şekil görebilirsiniz yalnız altı bölümde sizlere üst bölümün sadece fake olduğunu yansıtabilir alt tarafta saldırgan yapmak istediği işlemi yaptırabilir. XSRF CSRF ile birleştirilip açığı bulunan mail sistemleri üzerinden kullanıcı hiç şüphelenmeden işlem yapabilirsiniz. Detaylı Bilgi İçin
XSS: Güncelliğini yitiren eski efsane mail hackleme sanatıdır.Mail üzerinden kullanıcıya link yollanarak Cookie yani kayıtlı mail bilgilerin şifrelenmiş hali alınır ve Browser Cookie Editör yardımı ile değiştirme yaparak kullanılır.
Detaylı Bilgi İçin
Şirket ve Şahsi Alanların Server Mail Saldırı Türleri:
Şirket veya Şahsi kullanılan domain hosting üzerindeki maillerin hepsi genel anlamda hosting güvenliğine bağlıdır.Yukarıda bahsettiğimiz Free Mail Saldırı Türleri alanını tamamen kapsamaktadırlar.Free Mail Sistemleri üzerinde etkilenen açıklar ve saldırı senaryoları aynı şekilde Şahsi Alan Mailleri üzerinde de geçerlidir.Fakat onlar dan ayrı olarak bu maillerin en büyük tehlike özelliği şahsi alanın güvenliğidir. Kullandığınız hosting veya domain alanında bir sistem açığı bulunması durumunda Port Shell Yönlendirme vb. yöntemlerle hosting alanınıza girebilir Web Maile ulaşarak bilgilerinizi elde edebilirler. Bundan dolayı Hosting veya Domain hizmetlerinden yararlanırken seçici olunuz. Gelişmiş kendini yenileyebilen İnternet üzerinde yaygınlığı olan yerlerden kullanım yaparsanız sizin en sağlıklı yöntem olacaktır.
e-Mail üzerinde ki güvenlik sistemleri üzerinde eskisi kadar büyük açıklar bulunmadığından dolayı artık kişisel kullanıcı güvenliğine tabidir.Kişi Bilişim Güvenliği alanında yeterli bilgiye sahip ise bilgilerini elde tutması daha kolay olacaktır.
Günümüzde kullanılan e-Mail sistemleri, şirket alanları haricinde free yani ücretiz dağıtılan e-Mail sistemleridir. Şirket alanları ve şahısların kendilerini geliştirmek için aldıkları Domain - Hosting web hizmetleri üzerinden kullandıkları e-mailler genel olarak kişisel alana hitap etmektedir.
Free Mail Türleri:
@linuxmail.org
@(hotmail msn windowslive).com
@gmail.com
@yahoo.com
@mynet.com
@mail.com
@mymail.com
..
vb. genişlemektedir. Bu maillerin arasında en geniş kullanımı olan mail türü (Hotmail ve Gmail) olarak bilinmektedir.
Şirket ve Şahsi alanların Server Mail Türleri:
(Horde SquirrelMail RounCube) vb. bu mailler aldığınız alan adı üzerinden kullanıldığından dolayı uzantılarını kendi isimleri taşımazlar. Kullanıcının şahsi isim veya şirket gibi uzantılarda mail olanakları sağlarlar.
Web Mail Sistemleri olarak üstte belirttiğimiz mail türlerini sıralayabiliriz.
Free Mail Saldırı Türleri:
Free Mailler üzerinde ki saldırı yöntemlerine kısaca değineceğiz.
Phishing Fake: Aslında her ne kadar ikisi birbirinden farksız gibi gözükse de biri kulağı düz tutmak biri tersten tutmak gibidir. Phishing elinizle kulağınızı düz tutmak gibidir.Fake ise elinizle doğru elinizle kulağınızı ters tutmak gibidir. Phishing günümüzün güncel tabir edebileceğimiz bir açık türüdür. Kullanıcı zafiyetini kullanarak Web üzerinden örneğin: Hotmail.com adresi yerine Hotmaill.com gibi bir adres alınarak bir fake sayfa düzenlenir. Kullanıcı URL bağlantısını göz ardı ettiğinden dolayı hataya düşebilir.
(.exe) Uygulamaları: Dünden bugüne gelişen ve değişen tek saldırı yöntemi budur. Kullanıcı zafiyeti ile birlikte e-Mail üzerinden bir dosya aracılığıyla bilgisayara erişimdir.Kullanıcı kendini aldatan bir dosyayı mail üzerinden alarak sistemine müdahale edilmesini sağlayabilir.Bu da bütün kullandığı sistemlerin karşı tarafın eline geçmesine imkan sağlamaktadır.
XSRF- CSRF : Son 1 yıl içerisinde gelişen Post ve Get metotları ile birlikte mailler üzerinde etkili hale gelmeye başlayan bir sistemdir. Detaylı Bilgi İçinBR
ClickJacking: Aldatma sanatı. OWASP fuarında tamamen geçen ve nerdeyse engellenmesi mümkün olmayan bir açık türüdür. Üst bölümde farklı sayfa veya farklı bir şekil görebilirsiniz yalnız altı bölümde sizlere üst bölümün sadece fake olduğunu yansıtabilir alt tarafta saldırgan yapmak istediği işlemi yaptırabilir. XSRF CSRF ile birleştirilip açığı bulunan mail sistemleri üzerinden kullanıcı hiç şüphelenmeden işlem yapabilirsiniz. Detaylı Bilgi İçin
XSS: Güncelliğini yitiren eski efsane mail hackleme sanatıdır.Mail üzerinden kullanıcıya link yollanarak Cookie yani kayıtlı mail bilgilerin şifrelenmiş hali alınır ve Browser Cookie Editör yardımı ile değiştirme yaparak kullanılır.
Detaylı Bilgi İçin
Şirket ve Şahsi Alanların Server Mail Saldırı Türleri:
Şirket veya Şahsi kullanılan domain hosting üzerindeki maillerin hepsi genel anlamda hosting güvenliğine bağlıdır.Yukarıda bahsettiğimiz Free Mail Saldırı Türleri alanını tamamen kapsamaktadırlar.Free Mail Sistemleri üzerinde etkilenen açıklar ve saldırı senaryoları aynı şekilde Şahsi Alan Mailleri üzerinde de geçerlidir.Fakat onlar dan ayrı olarak bu maillerin en büyük tehlike özelliği şahsi alanın güvenliğidir. Kullandığınız hosting veya domain alanında bir sistem açığı bulunması durumunda Port Shell Yönlendirme vb. yöntemlerle hosting alanınıza girebilir Web Maile ulaşarak bilgilerinizi elde edebilirler. Bundan dolayı Hosting veya Domain hizmetlerinden yararlanırken seçici olunuz. Gelişmiş kendini yenileyebilen İnternet üzerinde yaygınlığı olan yerlerden kullanım yaparsanız sizin en sağlıklı yöntem olacaktır.
e-Mail üzerinde ki güvenlik sistemleri üzerinde eskisi kadar büyük açıklar bulunmadığından dolayı artık kişisel kullanıcı güvenliğine tabidir.Kişi Bilişim Güvenliği alanında yeterli bilgiye sahip ise bilgilerini elde tutması daha kolay olacaktır.