bencede
New member
Ionos müşterilerine yönelik kimlik avı saldırılarına karşı dikkatli olun
Siber suçlular şu anda kötü kimlik avı e-postalarıyla Alman sunucu Ionos’un müşterilerini cezbetmeye çalışıyor. Aldığımız e-posta, alıcının posta kutusuna erişmeye devam etmesi için e-posta istemcisinin bağlantı ayarlarını derhal değiştirmesi gerektiğini belirtiyor.
Şirket şu anda şifrelenmemiş postaya erişimi devre dışı bıraktığı ve eski TLS 1.0 ve TLS 1.1 şifreleme protokollerini aşamalı olarak kullanımdan kaldırdığı için bu aslında gerekli olabilir. Saldırganlar, Ionos müşteri oturum açma bilgilerini dolandırıcılık yapmak için belirsizliği kullanır.
E-posta şu şekilde yapılandırılmıştır:
Referans: Son hatırlatma: e-posta erişiminizi mevcut güvenlik standartlarına göre ayarlayın
e-posta iletişiminizi korumak için her ikisini de kullanacağız e-posta sunucularımıza şifresiz erişim (IMAP, POP3 ve SMTP) yanı sıra eski olanlar aracılığıyla erişim TLS 1.0 ve TLS 1.1 şifreleme protokollerini kapatın. Biz 04/25/2023 ve 05/16/2023 tarihleri arasında bu duraktan çıkın Önce.
Aşağıdaki şifrelenmemiş e-posta hesaplarına hala erişebilirsiniz İLE: [E-Mail-Adresse des Empfängers]
Aktivasyon için eki indirmeniz gerekiyor ve Talimatları takip et.
8 Mayıs 2023’e kadar, Şifrelemenin (SSL/TLS) etkinleştirildiği cihazlar veya programlar ve TLS 1.2 veya üstünü destekler
Ekli HTML dosyası
Postanın amacı, alıcının muhtemelen posta istemcisini yapılandırma talimatlarını içeren eki açmasıdır. İlk bakışta ciddi bir izlenim bırakan bir HTML dosyasıdır. Kaynak metin ilk bakışta masum görünse bile, katıştırılmış CSS dosyaları doğrudan mail.ionos.de ve frontend-services.ionos.com gibi Ionos etki alanlarından yüklenir.
E-postaya ekli, giriş bilgileriniz için bir HTML dosyasıdır.
Ancak şüpheli olan, dosyanın söz verilen kurulum talimatlarını içermemesi, bunun yerine şirketin web posta uygulamasının bir parçası olduğu söylenen bir oturum açma formu olmasıdır. Giriş bilgilerinizi buraya girip formu gönderirseniz, şifrelenmemiş e-posta erişimini devre dışı bırakma hakkında gerçekten bilgi içeren gerçek bir Ionos sayfasıyla karşılaşacaksınız.
Panama’dan alan adları
Tarayıcının geliştirici araçlarına bir bakış gerçekte ne olduğunu gösterir: Girdiğiniz oturum açma verileri önce bir POST isteği aracılığıyla businessmail-ionos.net’e gönderilir ve buradan Ionos’taki açılış sayfasına iletilir. Ancak Haberler Security tarafından yapılan araştırma, businessmail-ionos.net etki alanının Ionos’a ait olmadığını göstermiştir.
businessmail-ionos.net’te, offshore barındırıcısı Panama sunucusuna ait olan 190.123.44.203 IP adresi yanıt verir. Görünüşe göre mail-ionos.info, email-ionosde.su, webmail-all-ink.info ve all-ink.info kimlik avı alan adları da aynı IP ile aktif.
Ekin HTML kaynak koduna bir kez daha bakıldığında, bir şeylerin yanlış olduğu şüphesi doğrulandı: kaynak kodun okunması kolay, ancak giriş formunun bulunduğu kısım çok örtülü. Bu nedenle formun girilen erişim verilerini gönderdiği yukarıda belirtilen alan dosyada şifrelenmemiş olarak bulunmaz.
Görünmezi sil
Eki olan böyle bir e-posta aldıysanız, görülmeden silmek en iyisidir. Halihazırda buna kanan herkes Ionos giriş bilgilerini hemen değiştirmelidir. Şifrelenmemiş postaya erişimi devre dışı bırakma hakkında zararsız bilgileri doğrudan Ionos’tan bulabilirsiniz. Bu c’t makalesinde, kimlik avı e-postalarını doğru bir şekilde nasıl tanıyacağınızı ve reddedeceğinizi öğrenebilirsiniz.
(rei)
Haberin Sonu