Ionos müşterilerine yönelik kimlik avı saldırılarına karşı dikkatli olun
Siber dolandırıcılar şu anda hain kimlik avı e-postalarıyla Alman sunucu Ionos’un müşterilerini cezbetmeye çalışıyor. Aldığımız posta, alıcının posta kutusuna erişmeye devam edebilmesi için posta istemcisinin bağlantı ayarlarını derhal değiştirmesi gerektiğini belirtiyor.
Bu aslında gerekli olabilir çünkü şirket şu anda şifrelenmemiş posta erişimini kapatıyor ve eski şifreleme protokolleri TLS 1.0 ve TLS 1.1’i aşamalı olarak kaldırıyor. Saldırganlar, belirsizliği Ionos müşterilerinden erişim verilerini çalmak için kullanır.
E-posta şu şekilde yapılandırılmıştır:
Referans: Son hatırlatma: e-posta erişiminizi mevcut güvenlik standartlarına göre ayarlayın
e-posta iletişiminizi korumak için her ikisini de kullanacağız e-posta sunucularımıza şifresiz erişim (IMAP, POP3 ve SMTP) yanı sıra eski olanlar aracılığıyla erişim TLS 1.0 ve TLS 1.1 şifreleme protokollerini devre dışı bırakın. Biz bu kapanışı 25/04/2023 ile 05/16/2023 arasında yapın önce.
Aşağıdaki e-posta hesaplarına hala şifrelenmemiş olarak erişiyorsunuz ile: [E-Mail-Adresse des Empfängers]
Etkinleştirmek için eki indirmeniz gerekir ve Yönergeleri izleyin.
Lütfen 8 Mayıs 2023’e kadar Şifrelemenin (SSL/TLS) etkinleştirildiği cihazlar veya programlar ve TLS 1.2 veya üstünü destekliyorlar
HTML dosyası eklendi
Postanın amacı, alıcının posta istemcisini yapılandırma talimatlarını içerdiği varsayılan eki açmasıdır. İlk bakışta ciddi bir izlenim bırakan bir HTML dosyasıdır. Kaynak metin de ilk başta şüpheli görünmüyor, gömülü CSS dosyaları doğrudan mail.ionos.de ve frontend-services.ionos.com gibi Ionos etki alanlarından yüklenir.
E-postaya ekli, erişim verilerine yönelik bir HTML dosyasıdır.
Ancak şüpheli olan, dosyanın vaat edilen yapılandırma talimatlarını değil, şirketin web posta uygulamasının bir parçası olduğu söylenen bir oturum açma formunu içermesidir. Erişim verilerinizi buraya girip formu gönderirseniz, şifrelenmemiş e-posta erişimini devre dışı bırakma hakkında gerçekten bilgi içeren gerçek bir Ionos sayfasına ulaşırsınız.
Panama’dan alan adları
Tarayıcının geliştirici araçlarına bir bakış, gerçekte ne olduğunu gösterir: yazdığınız erişim verileri önce bir POST isteği aracılığıyla businessmail-ionos.net’e gönderilir ve buradan Ionos’taki hedef sayfaya iletilir. Ancak Haberler Security tarafından yapılan araştırma, businessmail-ionos.net etki alanının Ionos’a ait olmadığını gösterdi.
businessmail-ionos.net adresinde, açık deniz ana bilgisayarı Panama sunucusuna ait olan 190.123.44.203 IP adresi yanıt verir. Görünüşe göre mail-ionos.info, email-ionosde.su, webmail-all-ink.info ve all-ink.info kimlik avı etki alanları da aynı IP altında aktif.
Ekin HTML kaynak koduna bir kez daha bakıldığında, burada şüpheli bir şey olduğu şüphesi doğrulandı: kaynak kodunun okunması kolaydır, ancak giriş formunun bulunduğu kısım büyük ölçüde örtülmüştür. Bu nedenle yukarıda belirtilen, formun girilen erişim verilerini gönderdiği alan dosyasında düz metin olarak bulunmaz.
Görünmeyeni sil
Eki olan böyle bir e-posta aldıysanız, en iyisi onu görmeden silmek. Halihazırda buna kanan herkesin erişim verilerini Ionos’ta hemen değiştirmesi gerekir. Şifrelenmemiş posta erişimini kapatmayla ilgili zararsız bilgileri doğrudan Ionos’tan bulabilirsiniz. Bu c’t makalesinde, bu tür e-dolandırıcılık e-postalarını nasıl başarılı bir şekilde tanıyacağınızı ve onları nasıl savuşturacağınızı öğrenebilirsiniz.
(rei)
Haberin Sonu