e-Mail Sistemleri ve Saldırı Yöntemleri

ExSeLaNs35

Günümüzde kullanılan e-Mail sistemleri, şirket alanları haricinde free yani ücretiz dağıtılan e-Mail sistemleridir. Şirket alanları ve şahısların kendilerini geliştirmek için aldıkları “Domain - Hosting” web hizmetleri üzerinden kullandıkları e-mail’ler genel olarak kişisel alana hitap etmektedir.

Free Mail Türleri:

@linuxmail.org
@(hotmail – msn – windowslive).com
@gmail.com
@yahoo.com
@mynet.com
@mail.com
@mymail.com
…..

vb. genişlemektedir. Bu maillerin arasında en geniş kullanımı olan mail türü (Hotmail ve Gmail) olarak bilinmektedir.



Şirket ve Şahsi alanların Server Mail Türleri:

(Horde – SquirrelMail – RounCube) vb. bu mailler aldığınız alan adı üzerinden kullanıldığından dolayı uzantılarını kendi isimleri taşımazlar. Kullanıcının şahsi isim veya şirket gibi uzantılarda mail olanakları sağlarlar.



Web Mail Sistemleri olarak üstte belirttiğimiz mail türlerini sıralayabiliriz.

Free Mail Saldırı Türleri:

Free Mailler üzerinde ki saldırı yöntemlerine kısaca değineceğiz.

Phishing – Fake: Aslında her ne kadar ikisi birbirinden farksız gibi gözükse de biri kulağı düz tutmak biri tersten tutmak gibidir. Phishing elinizle kulağınızı düz tutmak gibidir.Fake ise elinizle doğru elinizle kulağınızı ters tutmak gibidir. Phishing günümüzün güncel tabir edebileceğimiz bir açık türüdür. Kullanıcı zafiyetini kullanarak Web üzerinden örneğin: Hotmail.com adresi yerine Hotmaill.com gibi bir adres alınarak bir fake sayfa düzenlenir. Kullanıcı URL bağlantısını göz ardı ettiğinden dolayı hataya düşebilir.



(.exe) Uygulamaları: Dünden bugüne gelişen ve değişen tek saldırı yöntemi budur. Kullanıcı zafiyeti ile birlikte e-Mail üzerinden bir dosya aracılığıyla bilgisayar’a erişimdir.Kullanıcı kendini aldatan bir dosyayı mail üzerinden alarak sistemine müdahale edilmesini sağlayabilir.Bu da bütün kullandığı sistemlerin karşı tarafın eline geçmesine imkan sağlamaktadır.

XSRF- CSRF : Son 1 yıl içerisinde gelişen Post ve Get metotları ile birlikte mailler üzerinde etkili hale gelmeye başlayan bir sistemdir.

ClickJacking: Aldatma sanatı. OWASP fuarında tamamen geçen ve nerdeyse engellenmesi mümkün olmayan bir açık türüdür. Üst bölümde farklı sayfa veya farklı bir şekil görebilirsiniz yalnız altı bölümde sizlere üst bölümün sadece fake olduğunu yansıtabilir alt tarafta saldırgan yapmak istediği işlemi yaptırabilir. XSRF – CSRF ile birleştirilip açığı bulunan mail sistemleri üzerinden kullanıcı hiç şüphelenmeden işlem yapabilirsiniz.

XSS: Güncelliğini yitiren eski efsane mail hackleme sanatıdır.Mail üzerinden kullanıcıya link yollanarak “Cookie” yani kayıtlı mail bilgilerin şifrelenmiş hali alınır ve Browser – Cookie Editör yardımı ile değiştirme yaparak kullanılır.


Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=511636
Şirket ve Şahsi Alanların Server Mail Saldırı Türleri:


Şirket veya Şahsi kullanılan domain – hosting üzerindeki maillerin hepsi genel anlamda hosting güvenliğine bağlıdır.Yukarıda bahsettiğimiz “Free Mail Saldırı Türleri” alanını tamamen kapsamaktadırlar.Free Mail Sistemleri üzerinde etkilenen açıklar ve saldırı senaryoları aynı şekilde Şahsi Alan Mail’leri üzerinde de geçerlidir.Fakat onlar dan ayrı olarak bu maillerin en büyük tehlike özelliği şahsi alanın güvenliğidir. Kullandığınız “hosting” veya “domain” alanında bir sistem açığı bulunması durumunda “Port – Shell – Yönlendirme vb.” yöntemlerle hosting alanınıza girebilir Web Mail’e ulaşarak bilgilerinizi elde edebilirler. Bundan dolayı “Hosting veya Domain” hizmetlerinden yararlanırken seçici olunuz. Gelişmiş kendini yenileyebilen İnternet üzerinde yaygınlığı olan yerlerden kullanım yaparsanız sizin en sağlıklı yöntem olacaktır.

e-Mail üzerinde ki güvenlik sistemleri üzerinde eskisi kadar büyük açıklar bulunmadığından dolayı artık kişisel kullanıcı güvenliğine tabi’dir.Kişi Bilişim Güvenliği alanında yeterli bilgiye sahip ise bilgilerini elde tutması daha kolay olacaktır.