Önemli Gmail güvenlik açığı! Sizin adresinizle gönderilen binlerce phishing mail!

E-posta hesaplarımdan birinde dün farkettiğim olay sonrası bu konuda bilgilendirme ve bilgi edinme amaçlı olarak konuyu açıyorum.

Olay şöyle gelişiyor, Gmail e-posta adresiniz, Google hesabınız kontrol edilmeden (Ele geçirilmeden) E-Posta protokolleri üzerinden kullanılıyor. Uzak e-posta istemcisi ve terminal bazlı çalıştığını düşündüğüm yöntem sayesinde sizin kesinlikle haberinizin olmadığı (Söz konusu e-posta hesabım aktifti fakat çok uzun süredir ben aktif olarak kullanmıyordum. E-Posta kontrolü yapmıyordum.) maillistlere e-posta gönderiyor. Gönderilen e-postalar phishing, sniffing, hacking işlemleri için kullanılan linkler içeriyor. 14 Nisan itibariyle başladığını farkettiğim atak dün (14.09.2023) tarihine kadar devam etmiş. Günlük e-posta gönderme limitlerini sonuna kadar kullandığı için e-posta günlük limit uyarısı ve Mail Delivery Subsystem uyarılarıyla durumu gelen kutunuzda da görebiliyorsunuz.

Benim merak ettiğim kısım, normal koşullarda 2 aşamalı doğrulama, cihaz doğrulama ve uygulamaya özel şifre yöntemleriyle eriştiğimiz ve harici istemcilerle e-posta çektiğimiz, gönderdiğimiz gmail hesabı böyle bir saldırıya nereden açık olabilir? Durumu fark edince POP ve IMAP izinlerini kaldırdım. Yalnızca webmail üzerinden erişim sağlıyorum ancak, benim kontrol edebildiğim güvenlik önlemleri dışında Google tarafında bu konuyla ilgili açıklanmayan bir açık söz konusu olabilir mi? Ömer Çolak hocam, Umut Barış, Sota, teraspy Emmi, caylakpenguen üstat, Müşteki üstatların ve ismi şu an aklıma gelmeyen tüm üstatlarımızın görüşlerini rica ediyorum.

Tüm üyelerimize de bu konuda uyarı yapmak istiyorum, kullanmadığınız, aktif olmadığını düşündüğünüz Gmail hesaplarınız dahi varsa konuyla ilgili kontrollerinizi yapmanız, söz konusu gönderilen e-postalarla ilgili herhangi bir yasal geri dönüş olması halinde en azından durumla ilgili bağlantınızın olmadığını kanıtlama yönünde avantaj sağlayacaktır diye düşünüyorum.

Bu arada Google topluluklar alanında bu konuya ilişkin tüm soruları kilitleyerek yanıtlanmasını engellemiş, konuyla ilgili burnuma kötü kokular geliyor. Ulaşabildiğim en eski şikayet 8 Mart tarihli. Sanki o aralar bu konu patlamış gibi görünüyor.

Güncel;

Konuyla ilgili benzer deneyimleri olan kullanıcılarımız da bilgi paylaşabilirlerse konuyla ilgili daha doyurucu bir cevaba ulaşmamız açısından faydası olabilir.

slowfood' Alıntı:

Güncel;

Konuyla ilgili benzer deneyimleri olan kullanıcılarımız da bilgi paylaşabilirlerse konuyla ilgili daha doyurucu bir cevaba ulaşmamız açısından faydası olabilir.

Genişletmek için tıkla ...

Bende dün farkettiğim bir olayı yazmak istiyorum. Ben en az 15 yıldır kendi adıma kayıtlı gmail'in dün rusca diline çevrildiğini gördüm ve Türkçe yapmak için epey uğraştım.

Necati_Simsek' Alıntı:

Bende dün farkettiğim bir olayı yazmak istiyorum. Ben en az 15 yıldır kendi adıma kayıtlı gmail'in dün rusca diline çevrildiğini gördüm ve Türkçe yapmak için epey uğraştım.

Genişletmek için tıkla ...

Topluluk şikayetlerinin doğrudan kapatılması dahil birşeyler oluyor bence. Asıl kafa karıştıran spoofing işleminin gmail domaini kapsamında yapılabilmesi. Paylaştığınız için çok teşekkürler.

Konuyla doğrudan alakalı değil ama bana da Pazartesi günü Facebook'dan mail geldi. Facebook hesabım için şifre yenileme talebinde bulunulmuş, ben böyle bir talepte bulunmadım halbuki. Başka bir arkadaşımın Facebook hesap gitti, Sahibinden ve Instagram hesabına da saldırı oldu.

Yani adresi bilse bile istemciye doğrudan bağlayamaz bence.
Mantığa oturtamıyorum, siber güvenlik uzmanı değilim elbette, istemciye bağlayıp sizden mail gidecek ama mailler görünmeyecek öyle mi?
Bana pek mümkün gibi gelmedi.
Hesapta 2FA var mıydı?
Cihazlarınızın temizliğinden emin misiniz?
Tarayıcı çerezleriniz veya uygulama verileriniz çalınmış olabilir mi?
Gmail harici diyorum.
Aynı şifre başka sitede, platformda girildiyse, ve e postalarınız için çalınma haberciniz yoksa e postanız ordan patlamış olabilir.
Android cihazda e postanız muhtemelen ekli değildi.
Çünkü ikincil e posta bile olsa muhtemelen Android bildirimi gelecekti bence.

Muhtemelen açık sizden kaynaklıdır.
Google Play store'da büyük şirketlerin uygulamaları hariç bir uygulamaya kolay kolay güvenmeyin.
Ki o büyük şirketlerin uygulamaları bile açıklarla hep mücadele halinde.
Bugün yeni bir özellik geliyor, yarın bir yerden açık bulunuyor.
Çünkü birileri hep bununla meşgul ve bu işten para kazanıyor.

Büyük şirketlerden kastım, Facebook (Meta) Onun yan ürünleri olan Instagram ve Whatsapp gibi.
Ya da işte Candy Crush gibi. (King firmasına ait)
Ya da Asphalt serisi, Assassin's Creed, Grand Theft Auto gibi yapımlar sizi dolandırmaz.
Hesaplarınızı çalmak gibi bir dertleri yoktur.
Bunlar yüksek ihtimalle temiz uygulamalar.
Tabi saydığım sosyal medya uygulamalarına sadece sanal kart emanet edin.
Gidip kredi kartını veya maaş kartınızı (ya da vadesiz hesap kartınızı) doğrudan girmeyin, kaydetmeyin, kaydetmemiş olsanız bile asla kullanmayın.
Sanal kartın bakiyesi sizin kontrolünüzde olduğu için zarara uğramanız imkansıza yakındır. (İçinde bakiye kalırsa o başka, bakiyeyi otomatik düzenli tazeletmiyorsanız)

Unutmayın, bir uygulama çok indirildi diye güvenli olacak diye bir kural yok.
O oyunun veya uygulamanın içine öyle bir şey enjekte eder ki, biri fark edene kadar yaşar gider.
Ki örnekleri mevcut.

O yüzden geliştiricisini bilmediğiniz uygulamaları marketten bile olsa indirmeyin.
Android tarafı maalesef buna daha fazla elverişli.
IOS'ta çok zordur diye düşünüyorum.
Aynı şey Windows için de geçerli, hem kullanıcısı fazla, hem de MAC OS'a göre daha rahat kurcalanabiliyor.

Popüler siteler bile olsa .apk yüklememeye çalışın.
Birkaç yıl önce Kaspersky APKPURE sitesinde bir uygulamada güvenlik açığı veya virüs tespit etti.
Ve site yöneticileri hemen olaya müdahale etti.

Tıpkı seneler önce bir hackerın Whatsapp'ın bir harfini değiştirerek isim oyunuyla yüzbinlerce kullanıcıya sahte WhatsApp yüklemesi gibi.
Önceden Android daha fazla yol geçen hanıydı yani.
Tabi mağazayı denetlemek zor iş, mükerrer uygulamalara müsaade etmek veya kategoriye göre ciddi bir inceleme birimi olmaması buna neden oluyor diye düşünüyorum. Apple'da bu iş daha sıkı, tabi ki mükemmel düzeyde değildir.

Diyeceklerim bunlar.
Oyun hilesi içeren .apk dosyaları da kolaylıkla virüs enjekte edilmiş biçimde sürülebiliyor.
Örneğin siz X oyunu için X123 diye hile uygulaması yazdınız ve amacınız gerçekten sadece oyunun verilerine müdahale etmek olsun.
Ama o .apk'yi ben alıp, bir geliştirici veya hacker olduğumu varsayalım, içine bir şekilde zararlı kodlar enjekte etsem, bunu da en basiti YouTube kanalından insanlara paylaşsam ne olur? Hoop, yüzlerce binlerce köle cihazım, köle makinem olur.
İster veri çal, ister bot makine yap.
Ki şu Çin işi dandirik lisanssız Android boxların yüzde 99'u bot makine çıktı.
Adamlar Android'e Android sistem servisi adı gibi görünüp sizin makineden para kazanma yolu yapmışlar.
Tabi kart hırsızlığı vs de yapılmış olabilir.
Parayı nasıl kazanıyorlar, youtube izlenmesi vs bunları satıyorlar.
Adamın elinde yüzlerce binlerce doğal bot var.
Bir IP'den gelen istek değil.
Benzersiz yüzlerce binlerce IP'den gelen izleme.
Fark edilmez, normal kullanıcı gibi görünür.
Mis gibi yöntem.

Ben bunları sevgili Can Değer abimiz sayesinde öğrendim, sizlere de tavsiye ederim.
YouTube, Twitch, Instagram ve Twitter'da takılıyor kendisi.
En son sanırım IBM'de çalışıyordu. Siber güvenlik tornacısı diyebilirim.

Siber güvenliğe dalma hikayesi de trajikomiktir, tanıdıkça seveceksiniz.
Çocuklarınız yolun başında ise mutlaka izletin, fikir verecektir.
Ağaç yaş iken eğilir.






















https://www.youtube.com/watch?v=DBrnN_NrHUs

https://www.youtube.com/watch?v=9yHD239uWf0

https://www.youtube.com/watch?v=Nq-WOL-3rac

https://www.youtube.com/watch?v=QqQhZ0SGUaA

https://www.youtube.com/watch?v=qP3oXG1kum4

Tüm panellere erişimde varsa 2. adımda doğrulama özelliğini kullanıyorum.

telev ki oltalandınız enazından 2. aşamayı geçemesinler.

Umut Barış' Alıntı:

Yani adresi bilse bile istemciye doğrudan bağlayamaz bence.
Mantığa oturtamıyorum, siber güvenlik uzmanı değilim elbette, istemciye bağlayıp sizden mail gidecek ama mailler görünmeyecek öyle mi?
Bana pek mümkün gibi gelmedi.
Hesapta 2FA var mıydı?
Cihazlarınızın temizliğinden emin misiniz?
Tarayıcı çerezleriniz veya uygulama verileriniz çalınmış olabilir mi?
Gmail harici diyorum.
Aynı şifre başka sitede, platformda girildiyse, ve e postalarınız için çalınma haberciniz yoksa e postanız ordan patlamış olabilir.
Android cihazda e postanız muhtemelen ekli değildi.
Çünkü ikincil e posta bile olsa muhtemelen Android bildirimi gelecekti bence.

Muhtemelen açık sizden kaynaklıdır.
Google Play store'da büyük şirketlerin uygulamaları hariç bir uygulamaya kolay kolay güvenmeyin.
Ki o büyük şirketlerin uygulamaları bile açıklarla hep mücadele halinde.
Bugün yeni bir özellik geliyor, yarın bir yerden açık bulunuyor.
Çünkü birileri hep bununla meşgul ve bu işten para kazanıyor.

Büyük şirketlerden kastım, Facebook (Meta) Onun yan ürünleri olan Instagram ve Whatsapp gibi.
Ya da işte Candy Crush gibi. (King firmasına ait)
Ya da Asphalt serisi, Assassin's Creed, Grand Theft Auto gibi yapımlar sizi dolandırmaz.
Hesaplarınızı çalmak gibi bir dertleri yoktur.
Bunlar yüksek ihtimalle temiz uygulamalar.
Tabi saydığım sosyal medya uygulamalarına sadece sanal kart emanet edin.
Gidip kredi kartını veya maaş kartınızı (ya da vadesiz hesap kartınızı) doğrudan girmeyin, kaydetmeyin, kaydetmemiş olsanız bile asla kullanmayın.
Sanal kartın bakiyesi sizin kontrolünüzde olduğu için zarara uğramanız imkansıza yakındır. (İçinde bakiye kalırsa o başka, bakiyeyi otomatik düzenli tazeletmiyorsanız)

Unutmayın, bir uygulama çok indirildi diye güvenli olacak diye bir kural yok.
O oyunun veya uygulamanın içine öyle bir şey enjekte eder ki, biri fark edene kadar yaşar gider.
Ki örnekleri mevcut.

O yüzden geliştiricisini bilmediğiniz uygulamaları marketten bile olsa indirmeyin.
Android tarafı maalesef buna daha fazla elverişli.
IOS'ta çok zordur diye düşünüyorum.
Aynı şey Windows için de geçerli, hem kullanıcısı fazla, hem de MAC OS'a göre daha rahat kurcalanabiliyor.

Popüler siteler bile olsa .apk yüklememeye çalışın.
Birkaç yıl önce Kaspersky APKPURE sitesinde bir uygulamada güvenlik açığı veya virüs tespit etti.
Ve site yöneticileri hemen olaya müdahale etti.

Tıpkı seneler önce bir hackerın Whatsapp'ın bir harfini değiştirerek isim oyunuyla yüzbinlerce kullanıcıya sahte WhatsApp yüklemesi gibi.
Önceden Android daha fazla yol geçen hanıydı yani.
Tabi mağazayı denetlemek zor iş, mükerrer uygulamalara müsaade etmek veya kategoriye göre ciddi bir inceleme birimi olmaması buna neden oluyor diye düşünüyorum. Apple'da bu iş daha sıkı, tabi ki mükemmel düzeyde değildir.

Diyeceklerim bunlar.
Oyun hilesi içeren .apk dosyaları da kolaylıkla virüs enjekte edilmiş biçimde sürülebiliyor.
Örneğin siz X oyunu için X123 diye hile uygulaması yazdınız ve amacınız gerçekten sadece oyunun verilerine müdahale etmek olsun.
Ama o .apk'yi ben alıp, bir geliştirici veya hacker olduğumu varsayalım, içine bir şekilde zararlı kodlar enjekte etsem, bunu da en basiti YouTube kanalından insanlara paylaşsam ne olur? Hoop, yüzlerce binlerce köle cihazım, köle makinem olur.
İster veri çal, ister bot makine yap.
Ki şu Çin işi dandirik lisanssız Android boxların yüzde 99'u bot makine çıktı.
Adamlar Android'e Android sistem servisi adı gibi görünüp sizin makineden para kazanma yolu yapmışlar.
Tabi kart hırsızlığı vs de yapılmış olabilir.
Parayı nasıl kazanıyorlar, youtube izlenmesi vs bunları satıyorlar.
Adamın elinde yüzlerce binlerce doğal bot var.
Bir IP'den gelen istek değil.
Benzersiz yüzlerce binlerce IP'den gelen izleme.
Fark edilmez, normal kullanıcı gibi görünür.
Mis gibi yöntem.

Ben bunları sevgili Can Değer abimiz sayesinde öğrendim, sizlere de tavsiye ederim.
YouTube, Twitch, Instagram ve Twitter'da takılıyor kendisi.
En son sanırım IBM'de çalışıyordu. Siber güvenlik tornacısı diyebilirim.

Siber güvenliğe dalma hikayesi de trajikomiktir, tanıdıkça seveceksiniz.
Çocuklarınız yolun başında ise mutlaka izletin, fikir verecektir.
Ağaç yaş iken eğilir.

https://www.youtube.com/@CanDeger

https://www.youtube.com/watch?v=DBrnN_NrHUs

https://www.youtube.com/watch?v=9yHD239uWf0

https://www.youtube.com/watch?v=Nq-WOL-3rac

https://www.youtube.com/watch?v=QqQhZ0SGUaA

https://www.youtube.com/watch?v=qP3oXG1kum4

Genişletmek için tıkla ...

Olmaz Umut kardeşim. Şöyle söyleyeyim sende çok iyi bilirsin, hesap ele geçirme işlemi sessiz yapılır ve kullanıcıyı uyandırmamaya çalışırsın. Ancak bu durum hesap ele geçirme değil. Çünkü öyle bir durumda hesabın tüm güvenlik öğelerini garantiye alıp hesabı geri aldırmamak için de hazırlık yaparsın. Google hesabı ele geçirilmemiş. Sadece e-posta adresinden gönderim yapılmış ki biliyorsun spoofing zaten bireysel korumasız domainlerde olan birşeydir. Ancak spoofing için domain spf verisine müdahale gerekir ki bildiğin gibi ana domain gmail.com.

Evet bunca yıl hiçbir zaman "Bana olmaz" demedim. Ancak yine bunca yıllık bilişim geçmişimle standart kullanıcı kadar güvenlik açığım olmadığını da söyleyebilirim. Bu arada Can DEĞER' i bende takip ediyorum. (Abone olun olum!) Üslubu hoşuma gidiyor.

Bir konuda önemli bir bilgi paylaşayım gönderilen ve alınan epostalar bildiriliyor. Yani bugün temizledim hepsini, haberim yok değil. Sorun benim müdahil olmadığım şekilde gönderilmiş olmaları. Ayrıca hesabı uzun zamandır kullanmadığım için bildirimleri kapatmış olmam. ;)

Sota' Alıntı:

Tüm panellere erişimde varsa 2. adımda doğrulama özelliğini kullanıyorum.

telev ki oltalandınız enazından 2. aşamayı geçemesinler.

Genişletmek için tıkla ...

Anlayamadınııız. Başkan sen bari yapma. Mevzu hesabın ele geçmesi ya da 2fa 3fa bilmem kaç fa değil. Senin sunucundan senin adına ve senin login bilgini hiç kullanmadan gönderim yapılması.

slowfood' Alıntı:

Anlayamadınııız. Başkan sen bari yapma. Mevzu hesabın ele geçmesi ya da 2fa 3fa bilmem kaç fa değil. Senin sunucundan senin adına ve senin login bilgini hiç kullanmadan gönderim yapılması.

Genişletmek için tıkla ...

Anam bunun için tüm çerezlerin çekilmesi gerekir.

Sota' Alıntı:

Anam bunun için tüm çerezlerin çekilmesi gerekir.

Genişletmek için tıkla ...

Yahu ne çerezi? Müdahale sunucu bazlı, açık e-posta protokollerinde. Bir hesabı alan adam, o hesaba bağlı tüm e-posta adreslerine, güvenlik bağlantılarına, telefon numaralarına, kimlik bilgilerine aynı şekilde dalmaz mı? Ön kapıyı düşünmeyin, arkanın arkasındaki kapıyı getirin gözünüzün önüne. Buna izin ancak domain sahibinin açığıyla olur.

slowfood' Alıntı:

Yahu ne çerezi? Müdahale sunucu bazlı, açık e-posta protokollerinde. Bir hesabı alan adam, o hesaba bağlı tüm e-posta adreslerine, güvenlik bağlantılarına, telefon numaralarına, kimlik bilgilerine aynı şekilde dalmaz mı? Ön kapıyı düşünmeyin, arkanın arkasındaki kapıyı getirin gözünüzün önüne. Buna izin ancak domain sahibinin açığıyla olur.

Genişletmek için tıkla ...

ohoooo login olunmadan mail çıkabiliyorlarsa gmail geçmiş olsun.
Adam kol gibi arka kapı açmış kendine

şuan mobilim tüm içeriği okumadım

Sota' Alıntı:

ohoooo login olunmadan mail çıkabiliyorlarsa gmail geçmiş olsun.
Adam kol gibi arka kapı açmış kendine

şuan mobilim tüm içeriği okumadım

Genişletmek için tıkla ...

Şimdi anladın işte. Umut Barış kardeşim, konunun özeti bu.

slowfood' Alıntı:

Olmaz Umut kardeşim. Şöyle söyleyeyim sende çok iyi bilirsin, hesap ele geçirme işlemi sessiz yapılır ve kullanıcıyı uyandırmamaya çalışırsın. Ancak bu durum hesap ele geçirme değil. Çünkü öyle bir durumda hesabın tüm güvenlik öğelerini garantiye alıp hesabı geri aldırmamak için de hazırlık yaparsın. Google hesabı ele geçirilmemiş. Sadece e-posta adresinden gönderim yapılmış ki biliyorsun spoofing zaten bireysel korumasız domainlerde olan birşeydir. Ancak spoofing için domain spf verisine müdahale gerekir ki bildiğin gibi ana domain gmail.com.

Evet bunca yıl hiçbir zaman "Bana olmaz" demedim. Ancak yine bunca yıllık bilişim geçmişimle standart kullanıcı kadar güvenlik açığım olmadığını da söyleyebilirim. Bu arada Can DEĞER' i bende takip ediyorum. (Abone olun olum!) Üslubu hoşuma gidiyor.

Bir konuda önemli bir bilgi paylaşayım gönderilen ve alınan epostalar bildiriliyor. Yani bugün temizledim hepsini, haberim yok değil. Sorun benim müdahil olmadığım şekilde gönderilmiş olmaları. Ayrıca hesabı uzun zamandır kullanmadığım için bildirimleri kapatmış olmam. ;)

Genişletmek için tıkla ...

Spoofing olduğuna emin misiniz peki?
Oltaya 1 kere düşüyordum onu da son anda fark ettim.