{"id":13355,"date":"2025-05-21T17:02:44","date_gmt":"2025-05-21T14:02:44","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=13355"},"modified":"2025-05-21T17:02:44","modified_gmt":"2025-05-21T14:02:44","slug":"dkim-replay-attack-through-google-oauth","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/dkim-replay-attack-through-google-oauth\/13355\/","title":{"rendered":"Google’dan e-posta: Emniyet g\u00fc\u00e7leri hesab\u0131n\u0131z\u0131 inceliyor"},"content":{"rendered":"

Google\u2019\u0131n hesab\u0131n\u0131z\u0131n i\u00e7eri\u011fini yay\u0131nlamak i\u00e7in bir mahkeme celbi ald\u0131\u011f\u0131n\u0131 s\u00f6yleyen bir e-posta ald\u0131\u011f\u0131n\u0131z\u0131 d\u00fc\u015f\u00fcn\u00fcn. E-posta m\u00fckemmel bir \u015fekilde \u201cGoogle tarz\u0131\u201d ve g\u00f6nderenin adresi de ger\u00e7ek g\u00f6r\u00fcn\u00fcyor: no-reply@accounts.google.com<\/em><\/strong>. En hafif tabirle biraz sinir bozucu (ya da belki pani\u011fe yol a\u00e7\u0131c\u0131?), de\u011fil mi?<\/p>\n

Ve ne \u015fans! E-posta, olup bitenlerle ilgili t\u00fcm ayr\u0131nt\u0131lar\u0131n yer ald\u0131\u011f\u0131 bir Google destek sayfas\u0131na ba\u011flant\u0131 i\u00e7eriyor. Ba\u011flant\u0131daki alan ad\u0131 da ger\u00e7ek g\u00f6r\u00fcn\u00fcyor ve Google\u2019a ait gibi duruyor\u2026<\/p>\n

Blogumuzun d\u00fczenli okuyucular\u0131 muhtemelen burada yeni bir kimlik av\u0131 d\u00fczene\u011finden<\/a> bahsetti\u011fimizi tahmin etmi\u015flerdir. Ve hakl\u0131lar da. Doland\u0131r\u0131c\u0131lar bu kez kurbanlar\u0131n\u0131 kand\u0131rmak ve e-postalar\u0131n m\u00fcmk\u00fcn oldu\u011funca inand\u0131r\u0131c\u0131 g\u00f6r\u00fcnmesini sa\u011flamak i\u00e7in \u00e7e\u015fitli orijinal Google hizmetlerinden yararlan\u0131yor. Peki sistem nas\u0131l \u00e7al\u0131\u015f\u0131yor?<\/p>\n

Kimlik av\u0131 e-postas\u0131 resmi bir Google bildirimini nas\u0131l taklit ediyor?<\/h2>\n

A\u015fa\u011f\u0131daki ekran g\u00f6r\u00fcnt\u00fcs\u00fc sald\u0131r\u0131y\u0131 ba\u015flatan e-postay\u0131 g\u00f6steriyor; ve Google\u2019\u0131n g\u00fcvenlik sisteminden gelen bir uyar\u0131 gibi davranarak ger\u00e7ekten inand\u0131r\u0131c\u0131 bir i\u015f \u00e7\u0131kar\u0131yor. Mesaj, kullan\u0131c\u0131ya \u015firketin Google hesab\u0131ndaki verilere eri\u015fim talep eden bir mahkeme celbi ald\u0131\u011f\u0131n\u0131 bildiriyor.<\/p>\n

\"no-reply@accounts.google.com<\/a>

no-reply@accounts.google.com adresinden gelen, Google LLC\u2019ye bir emniyet te\u015fkilat\u0131 taraf\u0131ndan verilen ve Google\u2019\u0131n kullan\u0131c\u0131n\u0131n Google Hesab\u0131 i\u00e7eri\u011finin bir kopyas\u0131n\u0131 \u00fcretmesini talep eden bir mahkeme celbi k\u0131l\u0131\u011f\u0131ndaki doland\u0131r\u0131c\u0131l\u0131k e-postas\u0131. Kaynak<\/a><\/p><\/div>\n

\u201ckimden<\/strong>\u201d alan\u0131 ger\u00e7ek bir Google adresi i\u00e7eriyor: no-reply@accounts.google.com<\/em><\/strong>. Bu, Google\u2019\u0131n g\u00fcvenlik bildirimlerinin geldi\u011fi adresle ayn\u0131d\u0131r. E-posta ayr\u0131ca \u00f6zg\u00fcnl\u00fck yan\u0131lsamas\u0131n\u0131 g\u00fc\u00e7lendiren birka\u00e7 ayr\u0131nt\u0131 i\u00e7eriyor: Bir Google Hesap Kimli\u011fi, bir destek bileti numaras\u0131 ve davan\u0131n bir ba\u011flant\u0131s\u0131. Ve en \u00f6nemlisi, e-postada al\u0131c\u0131ya, dava materyalleri hakk\u0131nda daha fazla bilgi edinmek veya mahkeme celbine itiraz etmek isterse, bunu bir ba\u011flant\u0131ya t\u0131klayarak yapabilece\u011fi s\u00f6yleniyor.<\/p>\n

Ba\u011flant\u0131n\u0131n kendisi de olduk\u00e7a makul g\u00f6r\u00fcn\u00fcyor. Adres, resmi Google alan ad\u0131n\u0131 ve yukar\u0131da belirtilen destek bileti numaras\u0131n\u0131 i\u00e7eriyor. Ve bu tuza\u011f\u0131 fark etmek i\u00e7in bilgili bir kullan\u0131c\u0131 olmak gerekiyor: Google destek sayfalar\u0131 support.google.com<\/em><\/strong> adresinde bulunur, ancak bu ba\u011flant\u0131 bunun yerine sites.google.com<\/em><\/strong> adresine y\u00f6nlendiriyor. Doland\u0131r\u0131c\u0131lar elbette b\u00f6yle teknik konular\u0131 anlamayan ya da kelime de\u011fi\u015fikli\u011fini fark etmeyen kullan\u0131c\u0131lar\u0131 hedefliyor.<\/p>\n

Kullan\u0131c\u0131 oturum a\u00e7mam\u0131\u015fsa, ba\u011flant\u0131ya t\u0131klad\u0131\u011f\u0131nda ger\u00e7ek bir Google hesab\u0131 giri\u015f sayfas\u0131na y\u00f6nlendiriliyor. Kimlik do\u011frulamas\u0131n\u0131n ard\u0131ndan, sites.google.com<\/em><\/strong> adresinde, resmi Google destek sitesini olduk\u00e7a inand\u0131r\u0131c\u0131 bir \u015fekilde taklit eden bir sayfaya ula\u015f\u0131yorlar.<\/p>\n

\"Google<\/a>

E-postada ba\u011flant\u0131s\u0131 verilen sahte Google Destek sayfas\u0131 b\u00f6yle g\u00f6r\u00fcn\u00fcyor. Kaynak<\/a><\/p><\/div>\n

\u015eimdi de sites.google.com<\/em><\/strong> alan ad\u0131n\u0131n ger\u00e7ek Google Sites<\/a> hizmetine ait oldu\u011fu ortaya \u00e7\u0131kt\u0131. 2008\u2019de kullan\u0131ma sunulan bu site, olduk\u00e7a basit bir internet sitesi kurucusu, s\u0131ra d\u0131\u015f\u0131 bir \u015fey de\u011fil. Google Sites ile ilgili \u00f6nemli n\u00fcans, platformda olu\u015fturulan t\u00fcm web sitelerinin otomatik olarak bir google.com<\/em> alt etki alan\u0131nda bar\u0131nd\u0131r\u0131lmas\u0131: sites.google.com<\/em><\/strong>.<\/p>\n

Sald\u0131rganlar b\u00f6yle bir adresi hem kurbanlar\u0131n dikkatini da\u011f\u0131tmak hem de \u00e7e\u015fitli g\u00fcvenlik sistemlerini atlatmak i\u00e7in kullanabilir, \u00e7\u00fcnk\u00fc hem kullan\u0131c\u0131lar hem de g\u00fcvenlik \u00e7\u00f6z\u00fcmleri Google etki alan\u0131na g\u00fcvenme e\u011filimindedir. Doland\u0131r\u0131c\u0131lar\u0131n kimlik av\u0131 sayfalar\u0131 olu\u015fturmak i\u00e7in Google Sites\u2019\u0131 giderek daha fazla kullanmas\u0131<\/a> \u015fa\u015f\u0131rt\u0131c\u0131 de\u011fil.<\/p>\n

Sahte siteleri tespit etmek: \u015eeytan ayr\u0131nt\u0131da (yani e-posta ayr\u0131nt\u0131lar\u0131nda) gizlidir<\/h2>\n

Tehlikeli bir e-postan\u0131n ilk i\u015faretini daha \u00f6nce tan\u0131mlam\u0131\u015ft\u0131k: sites.google.com<\/em><\/strong> adresinde bulunan sahte destek sayfas\u0131n\u0131n adresi.<\/em> Daha fazla tehlike i\u015fareti i\u00e7in e-posta ba\u015fl\u0131\u011f\u0131na bak\u0131n:<\/p>\n

<\/a>

Sahte olan\u0131 tespit edin: Ayr\u0131nt\u0131l\u0131 g\u00f6r\u00fcn\u00fcmden \u201cal\u0131c\u0131\u201d ve \u201cg\u00f6nderen\u201d alanlar\u0131na bak\u0131n. Kaynak<\/a><\/p><\/div>\n

Dikkat edilmesi gereken alanlar \u201cg\u00f6nderen<\/strong>\u201c, \u201cal\u0131c\u0131<\/strong>\u201d ve \u201cg\u00f6nderen<\/strong>\u201d alanlar\u0131. \u201cg\u00f6nderen<\/strong>\u201d k\u0131sm\u0131 iyi g\u00f6r\u00fcn\u00fcyor: G\u00f6nderen resmi Google e-postas\u0131, no-reply@accounts.google.com<\/em><\/strong>.<\/p>\n

Ama bak\u0131n, hemen alt\u0131ndaki \u201cal\u0131c\u0131<\/strong>\u201d alan\u0131 ger\u00e7ek al\u0131c\u0131 adresini g\u00f6steriyor ve bu kesinlikle sahte g\u00f6r\u00fcn\u00fcyor: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong>. Adres, Google\u2019\u0131n baz\u0131 teknik adreslerini taklit etmek i\u00e7in \u00e7ok u\u011fra\u015f\u0131yor ama alan ad\u0131ndaki yaz\u0131m hatas\u0131, bu adresin sahte oldu\u011funu a\u00e7\u0131k\u00e7a belli ediyor. Dahas\u0131, orada kesinlikle bir i\u015fi yok; bu alan\u0131n al\u0131c\u0131n\u0131n e-postas\u0131n\u0131 i\u00e7ermesi gerek.<\/p>\n

Ayr\u0131nt\u0131lar\u0131 incelemeye devam etti\u011fimizde, \u201cg\u00f6nderen<\/strong>\u201d alan\u0131nda ba\u015fka bir \u015f\u00fcpheli adres ortaya \u00e7\u0131k\u0131yor. \u015eu anda, bu adresin Google alan\u0131na yak\u0131n bir yerde olmad\u0131\u011f\u0131 a\u00e7\u0131k: fwd-04-1.fwd.privateemail[.]com<\/strong>. Tekrar edelim ki bunun gibi sa\u00e7mal\u0131klar\u0131n ger\u00e7ek bir e-postada yeri yok. Referans olmas\u0131 a\u00e7\u0131s\u0131ndan, bu alanlar\u0131n ger\u00e7ek bir Google g\u00fcvenlik uyar\u0131s\u0131nda nas\u0131l g\u00f6r\u00fcnd\u00fc\u011f\u00fcn\u00fc burada bulabilirsiniz:<\/p>\n

\"Ger\u00e7ek<\/a>

Ger\u00e7ek bir Google g\u00fcvenlik uyar\u0131s\u0131ndaki \u201ckime\u201d ve \u201cg\u00f6nderen\u201d alanlar\u0131<\/p><\/div>\n

\u015ea\u015f\u0131rt\u0131c\u0131 olmayan bir \u015fekilde, bu ince i\u015faretler muhtemelen ortalama bir kullan\u0131c\u0131 taraf\u0131ndan fark edilmeyecek; \u00f6zellikle de ba\u015flar\u0131na gelmek \u00fczere olan bir yasal sorundan zaten korkmu\u015fken. Sahte e-postan\u0131n asl\u0131nda Google taraf\u0131ndan imzalanm\u0131\u015f olmas\u0131 da kafa kar\u0131\u015f\u0131kl\u0131\u011f\u0131n\u0131 art\u0131r\u0131yor; \u201cimzalayan<\/strong>\u201d alan\u0131nda accounts.google.com<\/em><\/strong> adresi g\u00f6r\u00fcl\u00fcyor. Bu yaz\u0131n\u0131n bir sonraki b\u00f6l\u00fcm\u00fcnde, su\u00e7lular\u0131n bunu nas\u0131l ba\u015fard\u0131klar\u0131n\u0131 a\u00e7\u0131klayaca\u011f\u0131z ve ard\u0131ndan kurban olmaktan nas\u0131l ka\u00e7\u0131nabilece\u011finizi konu\u015faca\u011f\u0131z.<\/p>\n

Sald\u0131r\u0131n\u0131n ad\u0131m ad\u0131m yeniden canland\u0131r\u0131lmas\u0131<\/h2>\n

Doland\u0131r\u0131c\u0131lar\u0131n b\u00f6yle bir e-postay\u0131 tam olarak nas\u0131l g\u00f6ndermeyi ba\u015fard\u0131klar\u0131n\u0131 ve neyin pe\u015finde olduklar\u0131n\u0131 anlamak i\u00e7in siber g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131 sald\u0131r\u0131y\u0131 yeniden canland\u0131rd\u0131<\/a>. Ara\u015ft\u0131rmalar\u0131, sald\u0131rganlar\u0131n (art\u0131k iptal edilmi\u015f olan) googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong> alan ad\u0131n\u0131 kaydettirmek i\u00e7in Namecheap\u2019i kulland\u0131klar\u0131n\u0131 ortaya \u00e7\u0131kard\u0131.<\/p>\n

Daha sonra, bu alan ad\u0131 \u00fczerinde \u00fccretsiz bir e-posta hesab\u0131 olu\u015fturmak i\u00e7in yine ayn\u0131 hizmeti kulland\u0131lar: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/strong>. Su\u00e7lular ayr\u0131ca ayn\u0131 alan ad\u0131na Google Workspace\u2019in \u00fccretsiz deneme s\u00fcr\u00fcm\u00fcn\u00fc de kaydetti. Daha sonra doland\u0131r\u0131c\u0131lar kendi web uygulamalar\u0131n\u0131 Google OAuth sistemine kaydettirmi\u015f ve Google Workspace hesaplar\u0131na eri\u015fim izni vermi\u015fler.<\/p>\n

Google OAuth, \u00fc\u00e7\u00fcnc\u00fc taraf web uygulamalar\u0131n\u0131n, kullan\u0131c\u0131lar\u0131n izniyle kimliklerini do\u011frulamak i\u00e7in Google hesap verilerini kullanmas\u0131na<\/a> olanak tan\u0131yan bir teknoloji. Google OAuth ile muhtemelen \u00fc\u00e7\u00fcnc\u00fc taraf hizmetlerde kimlik do\u011frulama y\u00f6ntemi olarak kar\u015f\u0131la\u015fm\u0131\u015fs\u0131n\u0131zd\u0131r: \u201cGoogle ile oturum a\u00e7\u201d d\u00fc\u011fmesine her t\u0131klad\u0131\u011f\u0131n\u0131zda kulland\u0131\u011f\u0131n\u0131z sistem. Bunun yan\u0131 s\u0131ra, uygulamalar \u00f6rne\u011fin dosyalar\u0131 Google Drive\u2019\u0131n\u0131za kaydetme izni almak i\u00e7in Google OAuth\u2019u kullanabilir.<\/p>\n

Ama doland\u0131r\u0131c\u0131lara geri d\u00f6nelim. Bir Google OAuth uygulamas\u0131 kaydedildikten sonra, hizmet, do\u011frulanm\u0131\u015f etki alan\u0131yla ili\u015fkili e-posta adresine bir bildirim g\u00f6nderilmesine izin veriyor. \u0130lgin\u00e7tir ki, web uygulamas\u0131n\u0131n y\u00f6neticisi \u201cUygulama ad\u0131\u201d olarak herhangi bir metni manuel olarak girmekte serbest. Su\u00e7lular\u0131n istismar etti\u011fi \u015fey de bu gibi g\u00f6r\u00fcn\u00fcyor.<\/p>\n

A\u015fa\u011f\u0131daki ekran g\u00f6r\u00fcnt\u00fcs\u00fcnde, ara\u015ft\u0131rmac\u0131lar bunu \u201cAny Phishing Email Text Inject Here with phishing URLs\u2026\u201d ad\u0131yla bir uygulama kaydederek g\u00f6steriyor.<\/p>\n

\"Google<\/a>

Bir web uygulamas\u0131n\u0131 Google OAuth\u2019a rastgele bir adla kaydetme: Kimlik av\u0131 ba\u011flant\u0131s\u0131 i\u00e7eren bir doland\u0131r\u0131c\u0131l\u0131k e-postas\u0131n\u0131n metni ad olarak girilebilir. Kaynak<\/a><\/p><\/div>\n

Google daha sonra resmi adresinden bu kimlik av\u0131 metnini i\u00e7eren bir g\u00fcvenlik uyar\u0131s\u0131 g\u00f6nderiyor. Bu e-posta, Namecheap arac\u0131l\u0131\u011f\u0131yla kaydedilen alan ad\u0131 \u00fczerindeki doland\u0131r\u0131c\u0131lar\u0131n e-posta adresine gidiyor. Bu hizmet, Google\u2019dan al\u0131nan bildirimin herhangi bir adrese iletilmesini sa\u011fl\u0131yor. Tek yapmalar\u0131 gereken belirli bir y\u00f6nlendirme kural\u0131 belirlemek ve potansiyel kurbanlar\u0131n e-posta adreslerini belirtmek.<\/p>\n

\"Doland\u0131r\u0131c\u0131lar,<\/a>

Sahte e-postan\u0131n birden fazla al\u0131c\u0131ya g\u00f6nderilmesine izin veren bir y\u00f6nlendirme kural\u0131 olu\u015fturmak. Kaynak<\/a><\/p><\/div>\n

Kendinizi bunun gibi kimlik av\u0131 sald\u0131r\u0131lar\u0131ndan nas\u0131l korursunuz?<\/h2>\n

Sald\u0131rganlar\u0131n bu kimlik av\u0131 kampanyas\u0131yla ne elde etmeyi umduklar\u0131 tam olarak belli de\u011fil. Kimlik do\u011frulamak i\u00e7in Google OAuth kullan\u0131lmas\u0131, kurban\u0131n Google hesab\u0131 kimlik bilgilerinin doland\u0131r\u0131c\u0131larla payla\u015f\u0131ld\u0131\u011f\u0131 anlam\u0131na gelmez. \u0130\u015flem, kullan\u0131c\u0131n\u0131n yetkilendirdi\u011fi izinlere ve doland\u0131r\u0131c\u0131lar taraf\u0131ndan yap\u0131land\u0131r\u0131lan ayarlara ba\u011fl\u0131 olarak, kullan\u0131c\u0131n\u0131n hesap verilerine yaln\u0131zca s\u0131n\u0131rl\u0131 eri\u015fim sa\u011flayan bir belirte\u00e7 olu\u015fturur.<\/p>\n

Kand\u0131r\u0131lan kullan\u0131c\u0131n\u0131n ula\u015ft\u0131\u011f\u0131 sahte Google Destek sayfas\u0131n\u0131n amac\u0131, s\u00f6zde davalar\u0131yla ilgili baz\u0131 \u201cyasal belgeleri\u201d indirmeye ikna etmekti. Bu belgelerin niteli\u011fi bilinmiyor, ancak b\u00fcy\u00fck olas\u0131l\u0131kla k\u00f6t\u00fc ama\u00e7l\u0131 kod i\u00e7eriyorlard\u0131.<\/p>\n

Ara\u015ft\u0131rmac\u0131lar bu kimlik av\u0131 kampanyas\u0131n\u0131 Google\u2019a bildirdi. \u015eirket bunun kullan\u0131c\u0131lar i\u00e7in potansiyel bir risk oldu\u011funu kabul etti<\/a> ve \u015fu anda OAuth g\u00fcvenlik a\u00e7\u0131\u011f\u0131 i\u00e7in bir d\u00fczeltme \u00fczerinde \u00e7al\u0131\u015f\u0131yor. Ancak sorunun \u00e7\u00f6z\u00fclmesinin ne kadar s\u00fcrece\u011fi bilinmiyor.<\/p>\n

Bu arada, bu ve di\u011fer karma\u015f\u0131k kimlik av\u0131 planlar\u0131n\u0131n kurban\u0131 olmaktan ka\u00e7\u0131nman\u0131za yard\u0131mc\u0131 olacak baz\u0131 tavsiyeler:<\/p>\n