Önemli Gmail güvenlik açığı! Sizin adresinizle gönderilen binlerce phishing mail!

teraspy Çevrimdışı

teraspy 

TFC Team
26 Kas 2018
22,683
65
Çok anladığım bir konu değil ama gayet kolay yapılır ,adam uygulamaya koyduğu mini kod ile sana ait tüm verileri alabilir ,okuyabilir,değiştirebilir ve gönderebilir.Uygulama derken sadece "apk" dan bahsetmiyorum,ama şimdi popüler olan apk içine kod gömmek ,çok da zor değil bu arada:) Eskiden ben genç iken "kurabiye" ler işe yarıyordu,al kurabiyeyi ye,şimdilerde meraklısına çok şey var yedirecek,başta çok aranılan bir "apk" :kiskis
 
slowfood Çevrimdışı

slowfood 

Moderatör
23 May 2022
7,881
Spoofing olduğuna emin misiniz peki?
Oltaya 1 kere düşüyordum onu da son anda fark ettim. :hihi
Hesapla ilgili tüm log kontrollerini yaptım. Biliyorsunuz tüm login işlemleri, arka planda çalışan uygulamaların Oauth verileri log tutuluyor. Kaldı ki en azından bir feedback uygulaması bırakır hesap ile bağlantılı. Backdoor için anahtar gibi düşünelim. Öyle bir hamle de yok. Yani şifre veya hesap ele geçirmek için hiçbir hamle yok. Tek müdahale gönderilen e-postalar.
 
slowfood Çevrimdışı

slowfood 

Moderatör
23 May 2022
7,881
Çok anladığım bir konu değil ama gayet kolay yapılır ,adam uygulamaya koyduğu mini kod ile sana ait tüm verileri alabilir ,okuyabilir,değiştirebilir ve gönderebilir.Uygulama derken sadece "apk" dan bahsetmiyorum,ama şimdi popüler olan apk içine kod gömmek ,çok da zor değil bu arada:) Eskiden ben genç iken "kurabiye" ler işe yarıyordu,al kurabiyeyi ye,şimdilerde meraklısına çok şey var yedirecek,başta çok aranılan bir "apk" :kiskis
İşte işin bizi şaşırtan kısmı, bu bahsettiğimiz yöntemlerin tamamı hesaba müdahale ediyor Sayın Emmi. Ancak burada yapılan fiziksel dünyadan örnek vermek gerekirse, adam sizin isminizi gönderen olarak yazıp millete mektup yolluyor. Ne evinizle, ne işinizle, ne başka bir malınız mülkünüzle ilgili. (Örneği anlatınca gerçek dünyada bunun ne kadar daha kolay olduğunu gördüm ve daha da korktum.) Gönderdiği mektupların kopyası ve gönderilemeyenlerin raporları da sizin posta kutunuzu dolduruyor.
 
Ömer Çolak Çevrimdışı

Ömer Çolak 

Süper Üye
17 Tem 2021
1,053
29
Bu konuda biraz temel bilgiye sahibim. Daha detaylı bilgi için daha detaylı bir araştırma gerekiyor.

Öncelikle mail sistemi bildiğimiz posta sistemine benzer çalışıyor. Elinizde bir posta mektubu, gönderici adresi ve alıcı adresi bilgisi yer alıyor. Gönderici adresine istediğinizi yazabilmeniz maalesef doğal olarak mümkün. Normal posta sisteminde de böyleydi eskiden. Pulu yapıştırıp kutuya atıyordunuz ve gidiyordu.

Elbette elektronik posta sistemi oldukça gelişmiş protokollere sahip. Bu verdiğim örnekteki gibi kötüye kullanımı zorlaştıran bir kaç güvenlik önlemi mevcut;
  • Kimlik doğrulama: DKIM, SPF, DMARC gibi doğrulamalarla alıcı posta kutusu gelen mailin gerçekliğini kontrol eder. Bu kontrolleri yapmayan posta kutularına da her türlü mail gelir spam botlarından doğal olarak. Ve o kutulara sizin adınıza da mail gelebilir.
  • SSL'i zaten anlatmama gerek yok. Ancak mevcut senaryoda SSL'siz olarak da gönderilebilir.
  • Ve diğer konudan ilgisiz önlemler...
Eğer sizin adınıza bir gmail hesabından başka bir gmail hesabına mail ulaşabiliyorsa bunun spoofing olmadığına eminim. Eğer spoofing ise google'ın ciddi bir problemi var denebilir. Ancak mart ayından bu yana bunun böyle kalabilecek olması pek mümkün değil.

Benim tahminimce burada kullanıcının kendi güvenliği ile ilgili bir problem var. Örneğin outlook sizin adınıza posta gönderebilir ve bunu 2FA sadece giriş yaparken kontrol eder. Sonrasında yetkilidir. Bu postayı da google'ın smtp sunucusuna emir yollayarak gönderir. Yani bu şekilde yetkilendirilmiş birşeylerin var olabilmesi bana daha olası geliyor. Zira dediğim gibi bir gmailden gayet güvenli bir posta kutusuna mail gönderildiğinde ulaşabilirken dışarıdan gönderici alanına sizin mail adresiniz yazıldığında bu güvenli posta kutuları onları kesinlikle kontrol edecektir ve spam olarak bile ulaştırmayacaktır.
 
slowfood Çevrimdışı

slowfood 

Moderatör
23 May 2022
7,881
Bu konuda biraz temel bilgiye sahibim. Daha detaylı bilgi için daha detaylı bir araştırma gerekiyor.

Öncelikle mail sistemi bildiğimiz posta sistemine benzer çalışıyor. Elinizde bir posta mektubu, gönderici adresi ve alıcı adresi bilgisi yer alıyor. Gönderici adresine istediğinizi yazabilmeniz maalesef doğal olarak mümkün. Normal posta sisteminde de böyleydi eskiden. Pulu yapıştırıp kutuya atıyordunuz ve gidiyordu.

Elbette elektronik posta sistemi oldukça gelişmiş protokollere sahip. Bu verdiğim örnekteki gibi kötüye kullanımı zorlaştıran bir kaç güvenlik önlemi mevcut;
  • Kimlik doğrulama: DKIM, SPF, DMARC gibi doğrulamalarla alıcı posta kutusu gelen mailin gerçekliğini kontrol eder. Bu kontrolleri yapmayan posta kutularına da her türlü mail gelir spam botlarından doğal olarak. Ve o kutulara sizin adınıza da mail gelebilir.
  • SSL'i zaten anlatmama gerek yok. Ancak mevcut senaryoda SSL'siz olarak da gönderilebilir.
  • Ve diğer konudan ilgisiz önlemler...
Eğer sizin adınıza bir gmail hesabından başka bir gmail hesabına mail ulaşabiliyorsa bunun spoofing olmadığına eminim. Eğer spoofing ise google'ın ciddi bir problemi var denebilir. Ancak mart ayından bu yana bunun böyle kalabilecek olması pek mümkün değil.

Benim tahminimce burada kullanıcının kendi güvenliği ile ilgili bir problem var. Örneğin outlook sizin adınıza posta gönderebilir ve bunu 2FA sadece giriş yaparken kontrol eder. Sonrasında yetkilidir. Bu postayı da google'ın smtp sunucusuna emir yollayarak gönderir. Yani bu şekilde yetkilendirilmiş birşeylerin var olabilmesi bana daha olası geliyor. Zira dediğim gibi bir gmailden gayet güvenli bir posta kutusuna mail gönderildiğinde ulaşabilirken dışarıdan gönderici alanına sizin mail adresiniz yazıldığında bu güvenli posta kutuları onları kesinlikle kontrol edecektir ve spam olarak bile ulaştırmayacaktır.
İşte anlatmaya çalıştığım tam olarak bu hocam. Yani burada SPF, DKIM verileriyle ilgili bir problem var gibi görünüyor. Bizler aynı zamanda bireysel e-posta sunucuları da yönetiyoruz ve dolayısıyla domain sahibi olduğumuz için SPF, DKIM v.b. verileri kontrol yetkimiz mevcut. Ancak gmail domaini altındaki SPF verileri hiçbir şekilde bizlerin kontrolünde değil. Ayrıca genellikle bahsedilen 2FA ile ilgili bir açıklık getirmek istiyorum, authenticator dahil 2FA ve bildirime dayalı tüm güvenlik önlemleri açık. Cihazlarım authenticator modunda tanımlı ve sürekli yanımda. Sizin de söylediğiniz gibi konuyla ilgili özellikle sunucu tarafındaki işlemlerle ilgili daha fazla araştırma yapmamız gerekiyor ancak asıl kafamı karıştıran bununla ilgili asıl muhatabın en azından "Konu hakkında bilgimiz var, inceleniyor." bile demeden tüm talepleri yanıta kilitli halde kapatması. Google topluluklar sekmesini bir dönem aktif kullanan biri olarak bu durum bana normal gelmiyor.
 
Ömer Çolak Çevrimdışı

Ömer Çolak 

Süper Üye
17 Tem 2021
1,053
29
İşte anlatmaya çalıştığım tam olarak bu hocam. Yani burada SPF, DKIM verileriyle ilgili bir problem var gibi görünüyor. Bizler aynı zamanda bireysel e-posta sunucuları da yönetiyoruz ve dolayısıyla domain sahibi olduğumuz için SPF, DKIM v.b. verileri kontrol yetkimiz mevcut. Ancak gmail domaini altındaki SPF verileri hiçbir şekilde bizlerin kontrolünde değil. Ayrıca genellikle bahsedilen 2FA ile ilgili bir açıklık getirmek istiyorum, authenticator dahil 2FA ve bildirime dayalı tüm güvenlik önlemleri açık. Cihazlarım authenticator modunda tanımlı ve sürekli yanımda. Sizin de söylediğiniz gibi konuyla ilgili özellikle sunucu tarafındaki işlemlerle ilgili daha fazla araştırma yapmamız gerekiyor ancak asıl kafamı karıştıran bununla ilgili asıl muhatabın en azından "Konu hakkında bilgimiz var, inceleniyor." bile demeden tüm talepleri yanıta kilitli halde kapatması. Google topluluklar sekmesini bir dönem aktif kullanan biri olarak bu durum bana normal gelmiyor.
Dediğim gibi mail göndermeye yetkilendirilmiş birşeyler var olabilir. Google'ın o tutumu hakkında birşey diyemiyorum fakat mart ayı değil de son 1-2 hafta içerisinde olsa bir tür açık var diye yorumlayabilirdim ben de.

Olan durum tüm kullanıcıları risk altında bırakmıyor olabilir.
 
Müşteki Çevrimdışı
22 Ara 2018
415
Geçmiş olsun.

Fake Sender ID ile sizin posta adresinizdenmiş gibi mail gönderilebiliyor. Bunu zaten biliyorsunuzdur. Önüne geçmek mümkün değil ama spame düştüğü için sorun çıkarmıyor.

Fiziki olarak bir gönderimden bahsediyorsanız bunu da SMTP yoluyla yapabilirler. smtp.gmail.com PORT 465 user: gmailiniz şifre: şifreniz

Herhangi bir SMTP kütüphanesi kullanılarak hesabınıza login olmadan gönderim yapılabilir. Bunu da güvenlikten kapatmak gerekiyor.

Son ihtimal üçüncü parti uygulamalar. Google ile kaydol seçeneği kullanılırken verilen izinlere dikkat etmek gerekiyor.
 
slowfood Çevrimdışı

slowfood 

Moderatör
23 May 2022
7,881
Geçmiş olsun.

Fake Sender ID ile sizin posta adresinizdenmiş gibi mail gönderilebiliyor. Bunu zaten biliyorsunuzdur. Önüne geçmek mümkün değil ama spame düştüğü için sorun çıkarmıyor.

Fiziki olarak bir gönderimden bahsediyorsanız bunu da SMTP yoluyla yapabilirler. smtp.gmail.com PORT 465 user: gmailiniz şifre: şifreniz

Herhangi bir SMTP kütüphanesi kullanılarak hesabınıza login olmadan gönderim yapılabilir. Bunu da güvenlikten kapatmak gerekiyor.

Son ihtimal üçüncü parti uygulamalar. Google ile kaydol seçeneği kullanılırken verilen izinlere dikkat etmek gerekiyor.
Çok teşekkür ederim üstadım. Hesabı kontrol altına aldıktan sonra pek bir sorun yaşamadım şimdilik. Bahsettiğiniz diğer yöntemler bildiğiniz gibi çok eskiden beri kullanılan yöntemler ve çoğunlukla orijinal e-posta kutusunun işlemleri ruhu duymuyor. (Fake sender, different smtp gibi) Farklı olan kısım tüm gönderilen e-postalara iletim raporu gelmesi. Ayrıca incelediğimde taslaklarda daha hazırlanmış ve gönderilmemiş e-postalar buldum.

Güvenlik açığı açısından en fazla dikkat edilmesi gereken konu olan 3rd party uygulamalara alışkanlığım gereği zaten izin vermiyorum ki onları da kontrol ettim, mevcutta hiçbir 3rd party uygulama yoktu.

Önlem olarak e-posta erişimine sadece webmail' i açık bıraktım ve smtp pop3 erişimlerini kapattım. Onlara da uygulamaya özel parola oluşturarak tek seferlik parola ile erişim sağladığım halde vazgeçtim. Şimdilik bir sorun görünmüyor. Ama konu ile ilgili bir haber çıkarsa hele ki antitröst davalarının ardından umarım "Ben demiştim." gibi birşey olmaz. 😊
 
Hasan3472 Çevrimdışı

Hasan3472 

Aktif Üye
30 Kas 2021
198
39
Benim de 7 yıl önce hem Facebook hemde gmail hesaplarıma Ankara dan giriş zorlaması saldırısı vardı. Acaba niye Ankara. Devlete bağlı hacker grupları herkesi kontrol mu ediyordu yoksa bir grup kötü niyetli hacker grubu idi veya kafayı patlatmaya bozan bir eleman mı çözemedim. Şimdi bu olay durdu bende.
 
Müşteki Çevrimdışı
22 Ara 2018
415
Çok teşekkür ederim üstadım. Hesabı kontrol altına aldıktan sonra pek bir sorun yaşamadım şimdilik. Bahsettiğiniz diğer yöntemler bildiğiniz gibi çok eskiden beri kullanılan yöntemler ve çoğunlukla orijinal e-posta kutusunun işlemleri ruhu duymuyor. (Fake sender, different smtp gibi) Farklı olan kısım tüm gönderilen e-postalara iletim raporu gelmesi. Ayrıca incelediğimde taslaklarda daha hazırlanmış ve gönderilmemiş e-postalar buldum.

Güvenlik açığı açısından en fazla dikkat edilmesi gereken konu olan 3rd party uygulamalara alışkanlığım gereği zaten izin vermiyorum ki onları da kontrol ettim, mevcutta hiçbir 3rd party uygulama yoktu.

Önlem olarak e-posta erişimine sadece webmail' i açık bıraktım ve smtp pop3 erişimlerini kapattım. Onlara da uygulamaya özel parola oluşturarak tek seferlik parola ile erişim sağladığım halde vazgeçtim. Şimdilik bir sorun görünmüyor. Ama konu ile ilgili bir haber çıkarsa hele ki antitröst davalarının ardından umarım "Ben demiştim." gibi birşey olmaz. 😊
Rica ederim ne demek :)

Ben faturayı size kesiyorum :) Dışarı erişim imkanı verilmiş. Genel olarak bir zaafiyetten bahsedemeyiz.
 
Geri
Üst Alt