Makaleler

Mail Tehditleri Nelerdir?

Günümüzde e-posta güvenlik riskleri, endişe verici bir hızla artmaktadır. Spear phishing, balina avı, fidye zararlısı ve diğer malware saldırıları, birçok kurum için büyük bir tehdit haline gelmiştir. Bu nedenle büyük veya küçük işletmeler, ortaya çıkan e-posta güvenlik risklerine karşı koruma yolları bulmak zorundadır. Günümüzde, siber saldırıların%90’ından fazlası bir e-postayla başlatılmıştır. Gerçekleşen bir güvenlik ihlali, müşteri ya da şirket itibarına ciddi zarar verebilmektedir. Bu tür tehditlerin engellenmesi için çok katmanlı bir e-posta güvenlik prosedürü gerekmektedir. Bunun bir nedeni, e-postanın varsayılan olarak güvenli iletişim aracı olmadığıdır. Çünkü bu iletişim internet’ üzerinden bir sunucudan diğerine geçmektedir. Dolayısıyla, kuruluşlar ve kişiler e-posta güvenlik risklerine karşı korunmak istiyorlarsa, aşağıdaki farkındalık ve önlemlerin kazanılmış olması gerekmektedir. Mail güvenliğini sağlamak için geliştirilmiş çeşitli donanım ve yazılımlar vardır. Kaspersky ve Fortinet’in mail güvenliği için geliştirdiği uçtan uca çözümler içerisinden kurumuz ve network yapınız için birçok yazılım ve donanım ürünü bulunmakta. Bu çözümleri de makalemizde sizinle paylaşacağız. Fakat bu çözümler mail güvenliğinizi sağlamak alabileceğiniz önlemleri eksiksiz yerine getiremez. Mail güvenliğinde de diğer siber güvenlik tehditlerinden korunma yollarında olduğu gibi en önemli husus kişi ve personellerin mail yoluyla gelecek saldırılara ve fishing’lere karşı farkındalık kazanmasıdır.

Sahtecilik ve Oltalama Saldırıları

Oltalama saldırıları siber suçluların kullanıcıların banka hesapları veya TCK numaraları gibi hassas bilgilerini ele geçirmesi için kullandığı tehlikeli bir yöntemdir. Bazen siber suçlular grafik ve logolar kullanarak daha yasal ve gerçek görünen sahte e-postaları dizayn etmektedir. Hatta gerçek gibi görünen bir bağlantı verebilmektedir. Sonuçta, e-postanın sahte olduğunu anlamayan kullanıcılar kötü niyetli bir web sitesine girer. Bu yüzden kullanıcılar bu tür tehditlere karşı anti-phishing çözümlerini / araçlarını bilmelidir. Bu tür saldırılardan korunmak için ücretsiz olarak Keepnet Labs Phishing Simulator’u kullanabilirsiniz.

Güvenlik Zayıflıkları

Sağlayıcıların e-posta hizmetlerinde yanlış yapılandırmalarından kaynaklanan eksiklikleri keşfetmek gereklidir. E-posta hizmetlerinde keşfedilen güvenlik açıkları, saldırganların bu güvenlik açıklarını kötüye kullandıklarında hedef sisteme sızma, bilginin çalınması ve sistem erişimleri gibi sonuçlar doğurabilir.

Domain Squatting

Domain Squatting, doğrudan veya dolaylı olarak büyük maddi kazançlar elde etmek için kötü niyetli amaçlarla alan adı satın alma girişimidir.[1] Alan adı (domain), internet dünyasında önemli bir unsurdur. Bu bağlamda işletme adı, marka adı, ticari marka adı, şirket adı ve kişisel adları içeren alan adlarının bir benzeri ya da sahtesi tasarlanarak, şirketin ticari kimliğinden faydalanmak, önemli mali kayıplara neden olabilmektedir.

İstemci Kaynaklı Saldırılar

Bu saldırılar, istemci uygulamalarında, kötü amaçlı bir sunucuyla etkileşim kuran veya kötü niyetli verileri işleyen güvenlik açıklarını hedef alan saldırılardır. Burada, müşteri bir saldırıya neden olabilecek bağlantıyı çalıştırır. Kullanıcılar, bir bağlantıyı tıklama, bir belge açma veya zararlı web sitesine girme gibi eylemlerde bulunur. İnternet kullanıcıları için internet tarayıcıları, medya oynatıcıları, Adobe, Java vb. İstemci tarafı araçları gibi saldırı vektörlerini içerir.

Zararlı Ekler

E-posta eki içerisindeki zararlı içerikler kullanıcı tarafından açıldığında, tüm bilgisayar sistemi ve ağı ele geçirilebilir. Başarılı bir anti-phishing çözümü için, bu dosyalar imza tabanlı anti virüs yazılımı ve davranış analizi hizmetleri ile analiz edilmelidir.

Ransomware

Ransomware, kurbanın verisine erişimi engelleyen veya fidye ödenene kadar onu yayınlamak veya silmekle tehdit eden kötü amaçlı bir yazılım türüdür Sosyal mühendislik yoluyla geliştirilen inandırıcı senaryolar ile kullanıcılara devlet, resmi kurum, asker, polis veya hacker’ın kimliğini gizleyerek herhangi kimlik arkasına sığınmadan şantaj, dosya şifreleme, kişisel verileri sızdırma tehditleri ile üretilen fidye yazılımları mevcut.

Yanlış Yapılandırma

Bu çok yaygın bir güvenlik sorunudur. E-posta hizmetinde yanlış yapılandırma, kimlik doğrulaması olmadan e-posta göndermeye izin veren ciddi krizlere neden olabilir.

Örneğin, kimlik doğrulaması olmadan e-posta hizmetinize bağlanan bir siber suçlu, çalışanlarınıza rastgele bir e-posta gönderebilir. CEO’yu taklit eden bir siber suçlu başarılı olabilir.

Son Kullanıcı Farkındalığı

Tüm güvenlik önlemlerini atlayan bir siber suçlu, son kullanıcının sınırsız bilgisini kullanarak sisteme saldırabilmektedir. Kişilerin %97’si iyi tasarlanmış bir oltalama e-postasını anlayamadığından, kullanıcılar, oltalama saldırı testleri, sınavlar, anketler ve oyun yoluyla tehditlerden haberdar olmak için düzenli olarak eğitilmelidir. Ücretsiz olarak eğitim içeriklerinden yararlanmak için Keepnet Labs Awareness Educator modülünü kullanabilirsiniz.

Dosya Biçimi Exploit’leri

Dosya biçimi exploitleri, birçok işletme için birincil bilgi güvenlik tehditlerinden biri haline gelmektedir. Güvenlik açıklarından yararlanan saldırılar, uygulamalarda kusurları (arabellek taşmaları gibi) tetikleyen dikkatli bir şekilde hazırlanmış kötü amaçlı dosyalar oluşturur. Bu güvenlik açıkları, platformları genelde aştığı için büyük ölçüde endişe vericidir. Örneğin, Adobe Acrobat’daki dosya biçimi güvenlik açığı, bir saldırganın Windows, Macintosh ve Linux sistemlerini tehlikeye düşüren tek bir kötü amaçlı PDF dosyası oluşturmasına izin verebilir. Dolayısıyla bu tür saldırılara karşı önlemler almak önemlidir.

Güvenli E-posta İletişimi Nasıl Sağlanır?

Bir e-posta gönderildiğinde veya alındığında, e-postanın gerçek kişi tarafından gönderilip, gönderilmediğinin tespit edilmesi gereklidir. Bu noktada SPF, DKIM ve DMARC gibi güvenlik araçları aktif edilerek proaktif bir güvenlik sağlanabilir. Siber saldırganlar SPF, DKIM ve DMARC gibi güvenlik önlemleri alınmamış e-posta servislerinden faydalanarak sahte e-postalar gönderebilmekte veya başkalarını taklit edebilmektedirler.

E-postanın taklit edilmesi kolaydır ve suçluların tanınmış markaların kullanıcı güvenini kullanmaları için kanıtlanmış bir yöntem olduğunu belirlenmiştir. İyi bilinen bir markanın logosunu bir e-postaya eklemek, birçok kullanıcıyla anında güven sağlamaktadır. E-posta güvenliğini iyileştirmenin en önemli yollarından biri de bu noktada DMARC (domain-based message authentication) standardının aktif edilmesidir.

DMARC Nedir Ne İşe Yarar?

Domain-based Message Authentication adını verdiğimiz DMARC kaydı, e-posta gönderenlerin doğru göndericiden veya meşru olup olmadığını anlamasını sağlayan güvenlik standardı olarak bilinir. Eğer gönderici meşru değilse ne yapılacağını belirlemesini kolaylaştıran bir teknolojidir. Bu sayede e-posta servisi karşı tarafın doğru alıcı olup olmadığını tespit edebilir.

DMARC protokolü, aslında birlikte kullanıldığında, e-posta güvenliğini artırmaya yardımcı olan bir dizi protokolün ve teknolojinin en üst katmanıdır. DMARC, SPF (Sender Policy Framework) ve DKIM (Domain Keys Identified Mail) olarak bilinen e-posta kimlik doğrulama teknolojileri için politika katmanı olarak düşünülebilir. DMARC, spam ve hileli e-postaları azaltmaya yardımcı olabilecek bir kimlik doğrulama katmanı sağlamaktadır. DMARC politikası olmadan, alıcıların belirli bir e-postanın gerçekten gelip gelmediğini iddia ettiği alandan yetkilendirilmiş olup olmadığını bilmenin kolay bir yolu yoktur. Bu nedenle e-posta servisinde DMARC kayıtlarının aktif edilmesi büyük bir avantaj sağlayacaktır.

DMARC sadece doğrudan domain sahteciliğine karşı koruma sağlamak için tasarlanmıştır. Örnek olarak example.com alan adından gelen bir e-posta için example.com’un işletmecileri bu alanı korumak için DMARC kullanıyorsa, gönderilen e-postalar servisler tarafından kontrol edilerek spam olup olmadığının anlaşılmasına olanak sağlar.

DMARC, bütün phishing (oltalama) saldırılarını engelliyor mu?

Hayır. DMARC sadece doğrudan domain sahteciliğine karşı koruma sağlamak için tasarlanmıştır. example.com’un sahipleri / işletmecileri bu alanı korumak için DMARC kullanıyorsa, otherdomain.com veya example.net üzerinde herhangi bir etkisi olmaz (“.net” ve “.com” gibi). Belirli bir alan adını takliti kimlik avı için yaygın bir yöntem kullanılırken, DMARC’nin ele almadığı başka saldırı vektörleri de bulunmaktadır. Örneğin istismar edilen hedefe benzeyen bir etki alanından gönderme (örneğin exampl3.com vs. example.com) veya “Gönderen” alanını istismar edilen hedeften gelme durumu gibi.

SPF Nedir Ne İşe Yarar?

SPF, e-posta sahteciliğini algılamak ve spam saldırılarını önlemek için kullanılan önemli standartlar arasında gelir. E-posta iletisini doğrulamak için işlem tanımlayan bir e-posta kimlik doğrulaması biçimidir. Bir alan adının sahibi, SPF protokolleriyle hangi posta sunucularının kullanılacağını veya gönderebileceğini tam olarak belirleyebilir.

En temel düzeyde SPF, bir alandan gelen e-postanın o alanın yöneticileri tarafından yetkilendirilmiş bir ana bilgisayardan gönderildiğini doğrulamak için posta sunucularına bilgi veren bir dizi yöntem kullanır.

Alan adının yöneticisi, o alandan e-posta göndermeye yetkili posta sunucularını tanımlayan bir politikayı yayınlar. Bu politikaya SPF kaydı denir ve alanın genel DNS kayıtlarının bir parçası olarak listelenir. Karşı sunucu bir e-posta aldığında bu alan adının SPF kayıtlarından sorgulama yaparak güvenlik sağlamaktadır.

Bir e-posta iletisinin yetkili bir posta sunucusundan gönderildiğini doğrulamak söz konusu olduğunda, diğer bir aşamada DKIM kayıtları da devreye girer.

SPF Nasıl Çalışır?

En temel düzeyde SPF, bir alandan gelen e-postanın o alanın yöneticileri tarafından yetkilendirilmiş bir ana bilgisayardan gönderildiğini doğrulamak için posta sunucularını almak için bir yöntem oluşturmaktadır. Aşağıdaki üç adım SPF’nin nasıl çalıştığını özetlemektedir:

Bir alan(domain) yöneticisi, o alandan e-posta göndermeye yetkili posta sunucularını tanımlayan politikayı yayınlar. Bu politikaya SPF kaydı denir ve alanın genel DNS kayıtlarının bir parçası olarak listelenir.

Gelen posta sunucusu gelen bir e-postayı aldığında, DNS’teki geri dönüş (return-path) etki alanı kurallarına bakar. Gelen sunucu, posta göndericinin IP adresini SPF kaydında tanımlanan yetkili IP adresleriyle karşılaştırır.

Alıcı posta sunucusu daha sonra e-posta mesajının kabul edilip edilmeyeceğine, reddedileceğine veya başka bir şekilde işaretleneceğine karar vermek için gönderen alanın SPF kaydında belirtilen kuralları kullanır.

DKIM Nedir Ne İşe Yarar?

DKIM, bir iletinin alıcı tarafından doğrulanabilecek şekilde sorumluluğunu almasını sağlayan bir e-posta kimlik doğrulaması biçimidir. DKIM, e-posta sahteciliğini tespit etmek ve spam gibi zararlı e-postaların iletilmesini önlemek için yetkili bir posta sunucusundan gönderildiğini doğrulayarak “public key cryptography” kullanmaktadır. DKIM e-posta mesajının başlığına dijital bir imza ekleyerek çalışır. Bu imza daha sonra kuruluşun DNS kaydında bulunan genel bir şifreleme anahtarı tarafından doğrulanır.

Alan adı sahibi, alanın genel DNS kayıtlarında özel olarak biçimlendirilmiş bir TXT kaydı olarak bir şifreli ortak anahtarı (public key) yayınlar. Giden posta sunucusu tarafından bir posta iletisi gönderildiğinde, sunucu iletiye benzersiz bir DKIM imza başlığı oluşturur ve ekler. Bu başlık, iki kriptografik hash bulundurur, belirtilen başlıklardan birini ve ileti gövdesinden birini (veya bir kısmını) içerir. Başlık, imzanın nasıl oluşturulduğu hakkında bilgi içerir. Bu sayede güvenlik sağlanır.

DKIM Nasıl Çalışır?

Basitçe söylemek gerekirse, DKIM bir e-posta mesajının başlığına dijital imza ekleyerek çalışır. Bu imza daha sonra kuruluşun DNS kaydında bulunan genel bir şifreleme anahtarına karşı doğrulanabilmektedir. Bir e-posta mesajının başlığına dijital imza ekleyerek çalışmaktadır. Bu imza, kuruluşun DNS kayıtlarındaki ortak bir şifreleme anahtarına karşı doğrulanabilir. Genel anlamda, süreç şu şekilde çalışır:

Alan adı sahibi, alanın genel DNS kayıtlarında özel olarak biçimlendirilmiş bir TXT kaydı olarak bir şifreli ortak anahtarı (public key) yayınlar.

Giden posta sunucusu tarafından bir posta iletisi gönderildiğinde, sunucu iletiye benzersiz bir DKIM imza başlığı oluşturur ve ekler. Bu başlık, iki kriptografik hash bulundurur, belirtilen başlıklardan birini ve ileti gövdesinden birini (veya bir kısmını) içerir. Başlık, imzanın nasıl oluşturulduğu hakkında bilgi içerir.

Gelen posta sunucusu gelen bir e-posta aldığında, gönderenin genel DKIM anahtarını DNS’de arar. Gelen sunucu imzayı çözmek ve yeni hesaplanmış bir versiyonla karşılaştırmak için bu anahtarı kullanır. İki değer eşleşirse, iletinin değişmeden geçişi kanıtlanabilir.

Mail güvenliğinin sağlanması için kullanılan yöntemler:

- Geo-location tabanlı filtreleme ile geldiği ülkeye göre filtreleme politikaları uygulayarak mailin zararlı içeriklere karşı taranması işlemi

- Erişim kontrolünün iki-faktörlü kimlik doğrulama(two-factor authentication) ile güçlendirilmesi

- Veri Kaybı Önleme(Data Loss Prevention)

- Sandbox

- Tehdit istihbaratı

- Mail şifreleme

- İçerik kontrolü: Kuruma gelen ve kurumdan gönderilen maillerin izlenmesi ve zararlı içeriklere karşı taranması

- Bayesian Algoritması : Spamcilerin her geçen gün değişen taktiklerine adapte olarak kendini güncelleyebilmek ve aynı zamanda koruduğu kurumun mail akışına da uyum sağlayarak ne tür filtrelemeler yapması gerektiğini değerlendirebilen özellikleriyle öne çıkan Bayesian filtreleme ise son dönemlerde yeni bir anti-spam çözümü olarak sunulmaktadır.

- Anti-spam yazılımları: Anti-spam teknolojisi yasal olmayan ve istenmeyen içerikleri barındıran spam maillerin engellenmesi ve zararlı etkilerinin giderilmesi gibi çözümleri kapsayan ve email sistemleriyle entegre bir şekilde çalışan özel yazılımlardır. Anti-spam yazılımlar imza tabanlı, istatistiksel, sezgisel(heuristic) veya öngörüsel(predictive) mail sınıflandırma algoritmalarını kullanırlar.

E-postalarınızı bilgisayar korsanlarından nasıl koruyabilirsiniz?

- "Güçlü bir şifre seçin. E-posta parolası periyodik olarak 60-90 gün arası mutlaka değiştirilmelidir. En az 8 karakter büyük küçük harf, özel karakter ve sayı içermelidir. Böylece kaba kuvvet saldırılarına karşı sağlamla güçlü bir hale gelir.

- Güçlü bir şifre seçtikten sonra, İki faktörlü kimlik doğrulaması kullanın.

- E-posta yoluyla şifre sıfırlama olmayan bir e-posta servisi seçin.

- Tüm e-posta ve sosyal medya hesaplarınızda farklı şifreler kullanın.

- Tarayıcıların şifre kaydetme özelliklerini kullanmayın.

- Bildiğiniz ve beklediğiniz bir e-posta alsanız bile e-posta adresini kontrol edin. Gerekmediği sürece e-posta içindeki linklere tıklamayın. Gönderilen bağlantıyı açmanız gerekiyorsa da bağlantı adresini kopyalayıp, tarayıcıya yapıştırıp açmanız en doğrusudur.

- Bankadan gönderildiğini doğruladığınız fatura veya ekstreleri açmadan önce; Bilgisayarınıza indirin, Anti virüs programınız ile tarama yapın.

- Beklemediğiniz veya tanımadığınız birinden gönderilen e-postalara yanıt vermeyin.

- Mutlaka E-posta içerik (spam) tarama özelliği olan güvenlik yazılımları kullanın ve spam korumasını gelen mailleri tarayacak şekilde yapılandırın.

Hazırlayanlar: Mehmet Özyiğit, Mihail Frolov, Salim Furkan Demir

Kapak Tasarımı: Mihail Frolov