Şirket web siteniz aracılığıyla gönderilen istenmeyen e-postalar

Dolandırıcılar, itibarlı şirketlerin web sitelerinde yer alan geri bildirim formlarını istenmeyen e-posta göndermek için kullanıyor.

İstenmeyen e-posta göndericiler, filtreleri atlatarak istenmeyen e-postaları alıcılara ulaştırmak için sürekli yeni yollar arıyor. Mesajı tercihen istenmeyen e-posta filtrelerinin gözünde itibarı iyi olan biri tarafından gönderilmiş gibi göstermek istiyorlar. Örneğin, istenmeyen e-postayı kendi web siteniz aracılığıyla sizin şirketinizdeki bir adresten göndermeye çalışıyorlar. Aşağıda açıklayacağımız bu yöntem son zamanlarda daha fazla popülerlik kazandı.

Günümüzde neredeyse tüm şirketler, hizmetlerini iyileştirmek, müşteri tabanını korumak ve benzeri sebeplerle müşterilerinden geri bildirim almak istiyor. Şirketler, bu geri bildirimleri alabilmek için çoğunlukla web sitelerine bir veya daha fazla geri bildirim formu koyuyor. Kullanıcılar bu formları kullanarak soru sorabiliyor, öneri bırakabiliyor, şirket etkinliklerine kayıt yaptırabiliyor, bültenlere abone olabiliyor ya da diğer güncellemeleri alabiliyor. Bu sırada saldırganlar da tamamen ilgisiz kişilere ve şirketlere istenmeyen e-posta gönderebilmek için bu mekanizmayı kötüye kullanmaya çalışıyor.

Saldırganlar mesaj göndermek için web sitenizi nasıl kullanabiliyor?

Aslına bakarsanız mekanizma çok basit. Çevrimiçi bir hizmeti kullanmadan, bir posta listesine girmeden ya da bir şirketin web sitesinde soru sormadan önce siteye kayıt olmaları gerekir. Bu da en azından isimlerini ve e-posta adreslerini girmeleri gerektiği anlamına gelir. Kullanıcı, kayıt talebini ilettikten sonra şirket de e-posta yoluyla bir doğrulama mesajı gönderir. İstenmeyen e-posta göndericiler işte bu kayıt doğrulama mesajlarına kendi bilgilerini eklemenin bir yolunu buldu.

Kayıt adresi olarak kurbanın e-posta adresini yazdıktan sonra, isim kısmına kendi reklam metinlerini (örneğin, “indirimli demir levha satıyoruz, http://sheetiron.su adresine gidin” cümlesini) giriyorlar. Kayıt mekanizması, kurbana doğrulama mesajını gönderiyor. Mesaj kibarca açılıyor: “Merhaba, indirimli demir levha satıyoruz. http://sheetiron.su adresine gidin! Lütfen kayıt talebinizi doğrulayın….” Biri bu oyunu bir inşaat şirketinin sitesindeki formu kullanarak yaptığında oldukça ikna edici olabiliyor.

Saldırganların geri bildirim formlarını kullanma şekli nasıl gelişti?

İstenmeyen e-posta göndericilerin kötüye kullandığı bu yeni aracın aslında istenmeyen e-postalarla başa çıkma gayretlerinden doğmuş olması gerçekten dikkat çekici. Bir zamanlar, henüz İnternet yeni doğmuşken, web sitelerinin geri bildirim araçları herkesin mesaj bırakabildiği ziyaretçi defterlerini andırıyordu. Şakacılar ve istenmeyen mesaj gönderenler bu durumu istismar ettikçe ziyaretçi defterleri gitgide birer kaotik karmaşaya dönüştü. Bu yüzden web sitesi güvenlik uzmanları, ziyaretçilerin önce kayıt yaptırmasını zorunlu hale getirdi. Saldırganlar bu duruma sahte e-posta adresleri altında bir takım kullanıcıları otomatik olarak siteye kaydeden programlarla karşılık verdi; böylece web sitesinin sahibi olan şirketi istenmeyen mesajlara boğmaya devam edebiliyorlardı.

Bunun üzerine web site geliştiricileri, kullanıcıların e-posta adreslerini doğrulamasını zorunlu tutmaya başladı. İstenmeyen e-posta göndericilerin bu sefer mesaj göndermek için kötüye kullandığı mekanizma da işte tam olarak bu. Bu durumda şirketin e-posta hesabına hiçbir şey gönderilmiyor. Kayıt işlemi sırasında toplanan kullanıcı verileri bir veri tabanına kaydediliyor ve kurbanlara şöyle bir şey geliyor:

İtibar sahibi şirketlerin web siteleri aracılığıyla istenmeyen e-posta göndermenin avantajları

İnternet yoluyla yeni müşteri akışı sağlamak ve mevcut müşterilerinin sadakatini korumak isteyen neredeyse her şirket, web sitesine oldukça fazla ilgi gösterir. Sitenin tasarımı, içeriği ve kullanım kolaylığı çok önemlidir. Şirketler genelde web sitelerinin itibarını da dikkatle takip eder. Ancak saldırganları çeken de tam olarak bu şüphe edilmeyen itibardır.

Güvenilir bir kaynaktan gönderilen mesajlar çoğunlukla istenmeyen e-posta filtrelerinden kolayca geçer. Bu mesajlar temelde saygın bir şirketten gelen resmi mesajlar olma statüsüne sahiptir. Üstelik mesajda yer alan tüm teknik başlıklar da tam olarak olması gerektiği gibidir. Aynı zamanda e-postanın içinde istenmeyen mesaj içeriği taşıyan kısım nispeten az bir miktardadır (filtreler bunlara tepki verir). İstenmeyen e-posta puanlaması çok çeşitli etmenler göz önünde bulundurularak hesaplanır, dolayısıyla mesajın genel güvenilirliği, bu ufak kısmın önüne geçer ve mesaj filtreyi atlatır.

Bu istenmeyen e-posta gönderme yöntemi son zamanlarda dolandırıcılar arasında gitgide daha popüler hale geldi. Bunu bir hizmet olarak sunmaya bile başladılar: Geri bildirim formları aracılığıyla reklamınızı yayma hizmeti.

Siteniz aracılığıyla gönderilen istenmeyen e-postalar işletmenizi tehdit eder

İşletme itibarınız ve müşterilerinizin güvenliği tehlikede. Öncelikle, sizin adınıza bir tür davetsiz reklam içeren kayıt bildirimleri gönderiliyorsa bu mesajları alanlar, istenmeyen e-posta gönderenin sizin şirketiniz olduğunu düşünebilir (bu kişilerin sizin web sitenizde gerçekten bir kayıt formu doldurmadıklarını unutmayın).

İkincisi, istenmeyen e-posta gönderenler bazen isim alanına bir kimlik avı bağlantısı ekler ve alıcıyı dolandırıcılık içeriğine ya da kurban için daha kötü sonuçlar doğurabilecek olan kötü amaçlı bir koda yönlendirerek şirketinizi daha da büyük tehlikeye sokar.

Dolandırıcılar bazen kasıtlı biçimde bir şirketin ismini kötüye kullanarak itibarına zarar verebilir. Örneğin bu yöntemle şirketinizin kullanıcılarına var olmayan promosyonlar ve ödüller sunduğunuza dair sahte mesajlar gönderilebilir. Bu aldatıcı mesajlar, güvenilir bir kaynaktan geldiği için birçok kişiye inandırıcı görünebilir.

Sitenizin bir istenmeyen e-posta aracı haline gelmesini nasıl önleyebilirsiniz?

İlk olarak, küçük bir test yaparak web sitenizdeki geri bildirim formlarının nasıl çalıştığını anlayın. Web sitenizde yer alan ilgili formu açın ve kişisel e-posta adresinizi kullanarak kayıt olun. Fakat isim alanına aşağıdaki mesajı girin: “Garajımı satıyorum….” Bir web sitesi adresi ve bir telefon numarası ekleyin. Ardından bu tür bilgiler için bir doğrulama mekanizması olup olmadığını öğrenmek için e-posta adresinize tam olarak ne gönderildiğini kontrol edin.

“Merhaba, garajımı satıyorum…” ile başlayan bir mesaj alırsanız web sitenizden sorumlu kişilerle iletişime geçin ve onlara yaşayan, gerçek insanların isimlerinde numara, noktalı virgül, “http://” ya da benzer semboller ve dizeler olamayacağını hatırlatın. Bu kişilerin, bir kullanıcı bunun gibi geçersiz karakterler ya da kısımlar içeren bir isimle kayıt yaptırmaya çalıştığında hata uyarısı verecek basit giriş kontrolleri oluşturması gerekir. Geliştiriciler bu kontrolleri sitenize veya e-posta mekanizmanıza kolaylıkla ekleyebilir.

Geliştiricilerin gözünden kaçan bir şey kalmaması için ise güvenlik açığı olup olmadığını görmek üzere web sitenizi denetletebilirsiniz.

İpuçları

Ekstra güvenlik katmanı olarak VLAN

Şirket dışından gelen çok sayıda e-postayla ilgilenmek zorunda olan çalışanlar, kötü amaçlı istenmeyen postaların saldırısına uğrama riski taşırlar. Bu yazımızda, bulaşma ihtimaline karşı şirket sistemlerinizi nasıl koruyabileceğinizi açıklıyoruz.