Beyaz Şapka Ağustos 2017 - Page 14

Mehmet Sesli mehmet.sesli@nebulabilisim.com.tr İşte bu noktada, punycode devreye giriyor. Zarf göndereninde yer alan ad- res punycode ile manipüle edildiğinde, SMTP gateway ürünleri bu kontrolleri varsayılan olarak yapmadığı için e-postalar sunuculara iletilmektedir. Aşağıdaki örnekte punycode kullanılan e-posta’nın SMTP komutlarını görü- yoruz. Ekran Görüntüsü 4: Punycode kullanılan e-posta’nın kullanıcı tarafındaki görünümü Ekran Görüntüsü 3: Punycode kullanılan e-posta’nın SMTP komutları Ekran görüntüsü 3’ten de görülebileceği gibi, Zarf göndereninde ses- li@mehmet.com yerinde sesli@--xnmhmet-zwe.com kullanılmıştır. Bu iki adreste kullanıcı tarafında aynı şekilde görünmektedir. Bu yöntem ile SMTP gateway ürünlerinin yaptığı kontroller atlatılıp, kullanıcıya legal görünümlü e-posta ulaştırılabilmektedir. Alınabilecek Önlemler; Öncelikle maillerin gerçek adreslerden kontrolünü sağlamak için SPF, DKIM kontrolü kullanılabilir. Punycode kullanılan alan adlarının (IDN:Internationalized Domain Na- mes) da kontrol edildiği bir siber istihbarat servisi kullanılabilir. Böylece saldırıda kullanılacak alan adını, Siber İstihbarat servisinin sağladığı liste üzerinden kontrol ederek, oltalama e-postalarının engellenmesini sağla- yabilirsiniz.