İstenmeyen e-posta göndericiler, filtreleri atlatarak istenmeyen e-postaları alıcılara ulaştırmak için sürekli yeni yollar arıyor. Mesajı tercihen istenmeyen e-posta filtrelerinin gözünde itibarı iyi olan biri tarafından gönderilmiş gibi göstermek istiyorlar. Örneğin, istenmeyen e-postayı kendi web siteniz aracılığı ile sizin firmanınizdeki bir adresten göndermeye çalışıyorlar. Aşağıda açıklayacağımız bu yöntem son zamanlarda daha fazla popülerlik kazandı.
Günümüzde nerdeyse tüm firmalar, hizmetlerini iyileştirmek, müşteri tabanını korumak ve buna benzer nedenlerle müşterilerinden geri bildirim almak istiyor. Şirketler, bu geri bildirimleri alabilmek için genellikle internet sitelerine bir veveyaha fazla geri bildirim formu koyuyor. Kullanıcılar bu formları kullanarak soru sorabiliyor, tavsiye bırakabiliyor, şirket etkinliklerine kayıt yaptırabiliyor, bültenlere abone olabiliyor veya diğer güncellemeleri alabiliyor. Bu sırada saldırganlar da tamamen ilgisiz kişilere ve firmalare istenmeyen e-posta gönderebilmek için bu mekanizmayı kötüye kullanmaya çalışıyor.
Saldırganlar mesaj göndermek için web sitenizi nasıl kullanabiliyor?
Aslına bakarsanız mekanizma çok basit. Çevrimiçi bir hizmeti kullanmadan, bir posta listesine girmeden veya bir firmanın internet sitesinde soru sormadan önce siteye kayıt olmaları gerekir. Bu da en azından isimlerini ve e-posta adreslerini girmeleri gerekli olduğu manasına gelir. Kullanıcı, kayıt talebini ilettikten sonra şirket de e-posta yoluyla bir doğrulama mesajı gönderir. İstenmeyen e-posta göndericiler işte bu kayıt doğrulama mesajlarına kendi bilgilerini eklemenin bir yolunu buldu.
Kayıt adresi olarak kurbanın e-posta adresini yazdıktan sonra, isim kısmına kendi reklam metinlerini (örneğin, “indirimli demir levha satıyoruz, http://sheetiron.Su adresine gidin” cümlesini) giriyorlar. Kayıt mekanizması, kurbana doğrulama mesajını gönderiyor. Mesaj kibarca açılıyor: “Merhaba, indirimli demir levha satıyoruz. Http://sheetiron.Su adresine gidin! Lütfen kayıt talebinizi doğrulayın….” Biri bu oyunu bir inşaat firmanınin sitesindeki formu kullanarak yaptığında oldukça ikna edici olabiliyor.
Saldırganların geri bildirim formlarını kullanma biçimi nasıl gelişti?
İstenmeyen e-posta göndericilerin kötüye kullanmış olduğu bu yeni aracın aslında istenmeyen e-postalarla başa çıkma gayretlerinden doğmuş olması gerçekten dikkat çekici. Bir vakitler, henüz İnternet yeni doğmuşken, internet sitelerinin geri bildirim araçları herkezin mesaj bırakabildiği ziyaretçi defterlerini andırıyordu. Şakacılar ve istenmeyen mesaj gönderenler bu durumu istismar ettikçe ziyaretçi defterleri gitgide birer kaotik karmaşaya dönüştü. Bu yüzden internet sitesi güvenlik uzmanları, ziyaretçilerin önce kayıt yaptırmasını mecburi hale getirdi. Saldırganlar bu duruma sahte e-posta adresleri altında bir takım kullanıcıları otomatik olarak siteye kaydeden programlarla karşılık verdi; böylelikle internet sitesinin sahibi olan şirketi istenmeyen mesajlara boğmaya devam edebiliyorlardı.
Bunun üstüne web site geliştiricileri, kullanıcıların e-posta adreslerini doğrulamasını mecburi tutmaya başladı. İstenmeyen e-posta göndericilerin bu sefer mesaj göndermek için kötüye kullanmış olduğu mekanizma da işte tam olarak bu. Bu durumda firmanın e-posta hesabına hiçbir şey gönderilmiyor. Kayıt işlemi sırasında toplanan kullanıcı verileri bir veri tabanına kaydediliyor ve kurbanlara şöyle bir şey geliyor:
İtibar sahibi firmalarin internet siteleri aracılığı ile istenmeyen e-posta göndermenin avantajları
İnternet yoluyla yeni müşteri akışı sağlamak ve mevcut müşterilerinin sadakatini korumak isteyen nerdeyse her şirket, internet sitesine oldukça fazla ilgi gösterir. Sitenin tasarımı, içeriği ve kullanım kolaylığı son derece önemlidir. Şirketler genellikle internet sitelerinin itibarını da dikkatle takip eder. Ancak saldırganları çeken de tam olarak bu şüphe edilmeyen itibardır.
Güvenilir bir kaynaktan gönderilen mesajlar genellikle istenmeyen e-posta filtrelerinden kolayca geçer. Bu mesajlar temelde saygın bir şirketten gelen resmi mesajlar olma statüsüne sahiptir. Üstelik mesajda yer alan tüm teknik başlıklar da tam olarak olması gerekli olduğu gibidir. Aynı zamanda e-postanın içinde istenmeyen mesaj içeriği taşıyan kısım nispeten az bir miktardadır (filtreler bunlara tepki verir). İstenmeyen e-posta puanlaması çok çeşitli etmenler göz önünde bulundurularak hesaplanır, dolayısı ile mesajın genel güvenilirliği, bu ufak kısmın önüne geçer ve mesaj filtreyi atlatır.
Bu istenmeyen e-posta gönderme yöntemi son vakitlerda dolandırıcılar arasında gitgide daha popüler hale geldi. Bunu bir hizmet olarak sunmaya bile başladılar: Geri bildirim formları aracılığı ile reklamınızı yayma hizmeti.
Siteniz aracılığı ile gönderilen istenmeyen e-postalar işletmenizi tehdit eder
İşletme itibarınız ve müşterilerinizin güvenliği tehlikede. Öncelikle, sizin adınıza bir tür davetsiz reklam içeren kayıt bildirimleri gönderiliyorsa bu mesajları alanlar, istenmeyen e-posta gönderenin sizin firmanıniz olduğunu düşünebilir (bu kişilerin sizin web sitenizde gerçekten bir kayıt formu doldurmadıklarını unutmayın).
İkincisi, istenmeyen e-posta gönderenler zaman zaman isim alanına bir kimlik avı bağlantısı ekler ve alıcıyı dolandırıcılık içeriğine veya kurban için daha kötü sonuçlar doğurabilecek olan kötü amaçlı bir koda yönlendirerek firmanınizi daha da büyük tehlikeye sokar.
Dolandırıcılar zaman zaman kasıtlı biçimde bir firmanın adını kötüye kullanarak itibarına zarar verebilir. Örneğin bu yöntemle firmanınizin kullanıcılarına var olmayan promosyonlar ve ödüller sunduğunuza yönelik sahte mesajlar gönderilebilir. Bu aldatıcı mesajlar, güvenilir bir kaynaktan geldiği için pekçok kişiye inandırıcı görünebilir.
Sitenizin bir istenmeyen e-posta aracı haline gelmesini nasıl önleyebilirsiniz?
İlk olarak, küçük bir test yaparak web sitenizdeki geri bildirim formlarının nasıl çalıştığını anlayın. Web sitenizde yer alan ilgili formu açın ve bireysel e-posta adresinizi kullanarak kayıt olun. Fakat isim alanına aşağıda belirtilen mesajı girin: “Garajımı satıyorum….” Bir internet sitesi adresi ve bir telefon numarası ekleyin. Ardından bu tür bilgiler için bir doğrulama mekanizması olup olmadığını öğrenmek için e-posta adresinize tam olarak ne gönderildiğini kontrol edin.
“Merhaba, garajımı satıyorum…” ile başlayan bir mesaj alırsanız web sitenizden sorumlu kişilerle iletişime geçin ve onlara yaşamakta olan, gerçek insanların isimlerinde numara, noktalı virgül, “http://” veya benzer semboller ve dizeler olamayacağını hatırlatın. Bu kişilerin, bir kullanıcı bunun gibi geçersiz karakterler veya kısımlar içeren bir isimle kayıt olmaya çalıştığında hata uyarısı verecek basit giriş kontrolleri oluşturması gerekir. Geliştiriciler bu kontrolleri sitenize ya da e-posta mekanizmanıza kolaylıkla ekleyebilir.
Geliştiricilerin gözünden kaçan bir şey kalmaması için ise güvenlik açığı olup olmadığını görmek üzere web sitenizi denetletebilirsiniz.
Maria Vergelis: Kaspersky Blog