4 gün önce gelen bir maili takip ederek bir kredi kartı şebekesi yakaladım. keylogger yukleterek kredi kartı calan şebekenin tuzagında bazı hosting firmalarıda var. bunların tüm uzakmasaüstü bağlantı şifreleri ve diğer interaktif şifreleri çalınmış.
Dikkat: aşağıdaki konuda geçen hiçbir linke girmeyiniz.
olay 4 gun once gelen şu maille basladı.
---------
Selam kolay gelsin . xxxx'e en cok takilanalrdan birisiyim .
mailinizi zar zar buldum . benim bir teklifim olacaktı . bizim
egitder.org.tr yi yenilemek istiyoruz ve butcemiz beya genis .
sostasarim.com/kurumsal bunu sitemize kurmak istiyoruz .
parayı dert etmeyin. bize bu konuda yardıme debilirmisiniz .
site biraz gec acılır , beklerseniz acılacaktır .
kolay gelsin
---------
Sözde site yaptırmak istiyor verdiği adrese firefoxla girdim (explorerle girmeyin keylogger yukletiyor)
Kodlanmış bir javascript vardı. Kodunu çözdüğümde kurdsyria.com diye bir siteden root.exe dosyasını indirip calıstıran bir kod oldugunu anladım. Bu dosyayı manuel olarak bilgisayarıma indirip hex editorle baktım. Dosyanın sonunda keyloggerin konusmaları gonderdiği ftp adresi ve şifresi vardı. Bu siteye ftp ile baglandıgımda cok sayıda zor ile başlayan txt dosyası vardır. Bir kaçını inceleyince keylogger tarafından gönderilmiş dosyalar oldugunu anladım. Dosyaları bilgisayara indirip baktım bir çok interaktif şifresi ve uzakmasaustu bağlantısı şifresi olan dosyalar vardı. Üstelik interaktif olanlar düzgün bir şekilde gruplanmıstı. Ayrıca bir klasorde cc.rar diye bir dosyayı indirdim. İçinde ayıklanmıs binlerce yerli ve yabancı kredi kartı bilgisi vardı.
hemen uyarı veren bir exe hazırlayıp keylogger yerine bu dosyayı yukledim sitelerine indexlerini de siteye girenleri uyaracak şekilde değiştirdim.
sonra da bana mail gonderene sunu yazdım:
---------
Selam
Teklifinize uygun bir siteyi verdiginiz adreste de söz konusu olan
kurdsyria.com adresine yükledim. Ayrica teklifinizi detayli
inceledigimde uluslararasi bir kredi karti, inter aktif banka hesabi çalan
bir sebeke oldugunuzu anlamis bulunmaktayim. news klasörünüzde bulunan
cc.rar dosyasindaki tüm bilgileri istanbul emniyet müdürlügü bilisim suclari
bölümüne göndermis bulunmaktayim. Umarim begenmissinizdir.
NOT: Bu mail gönderici disinda birine ulastiysa lütfen maildeki linkleri
açmayiniz. Bilgisayariniza keylogger yükletmek isteyen bir siteye
yönlenmektedir.
----------------
Maili gönderirken cok emin değildim gercekten bu adresten gelip gelmediğine. maili gönderen adres hem org.tr liydi hem de bir eğitim derneğine aitti. Cunku baskasından gelmiş gibi mail gönderilebiliyordu. Ama bu maili gönderdikten 2 dk sonra sitedeki cc.rar dosyası silindi ve asagıdaki cevap geldi.
--------------
anlayamadim kimsiniz ki siz . sizi tanimiyorum , ve bahsettiğinizden
birsey anlamadim . benim kimsenin hesap numarasi yada baska sifresiylen
isim olmas. bu turden olaylara zaten .ORG.TR alan adi; acilmaz .
yanlis kisiye mail attiniz sanirim.
---------------
ilginç bir şekilde org.tr ye vurgu yapıyor ama cc.rar dosyası da siliniyor.
yazdıgım cevap:
----------------
Demek bu mail size ait.
cc.rar dosyasini alip emniyet müdürlügüne gönderdim merak etmeyin.
bi daha da böyle terbiyesizlik yapmayin.
çalistiginiz dernege de suç duyurusu yapmis bulunmaktayim.
------------------------
gelen cevap:
--------------
kimsiniz siz aksam aksam sakamisiniz beyfendi . isimden gucumden
aldınız beni , sizi tanimiyorum mailde atmadim . bahsettiginiz
sozde kurdistan sitesinide ilk defa gordum
---------
İlginç ben halbuki siteye uyarı veren bir index atmıstım, kürdistan sitesi oldugunu nasıl anladıysa ??
gönderdiğim cevap:
-----------
Bu yüzden mi maili alir almaz indexi ve cc.rar dosyasini sildiniz ???
----------------
gelen cevap:
----------------
beyfendi , o siteyi bilmiyorum . gecenlerde 2-3 tane pkkli hacker siteyi
hacklemislerdi . onlarin attigi mail olabilir . yada mail sifremi bilior
olabilirler . sifremi degiemiyom cunku nasil degistigini bilmiyorum .
anlatabildim mi , sizi tanimiyorum ben . ayrica gönderilen kutusuna baktim
. size giden bi mail yok bu adresten
----------------------
gönderdiğim cevap:
------------------
Umarim dediginiz gibidir.
Yoksa basiniz çok büyük bir belaya girecek.
Bunu takibini bilisim suçlari yapar. Sitenizde uluslar arasi bir kredi karti
ve inter aktif banka hesabi çetesine ait bilgiler vardi çünkü.
Tüm yazismalarinizi saklamaniz sizin lehinize olacaktir.
--------------------------
gelen cevap:
----------------------
beyfendi benim yasim 43 , boyle seylere ayiracak zamanim yok . cocuk gibi
islerlen ne siz ugrasin nede bizi ugrasin . biz Egitim Dernekleri Resmi
sitesiyiniz . boyle olaylar olmasini istemiyoruz , hem kariyer hemde
sosyallik bakimindan bu bizi kayıba ugratir . dedigim gibi ne siz
ugrasin nede bize bi zarar gelsin . gereksiz seyler , benden size mail
gelse ben size cvp yazmazdim. ayrica baskasinin mail adresinden mail
atilabildigini biliyorum . kurban olarak bizi secmis olabilirler . neyse
size kolay gelsin . benim diyeceklerim bukadar , yapanlar 15-17 yasinda
cocuklardir buyuk ihtimal , bizim siteyi hacklendigi zaman biz islem
yaptirmadik . msnde konustum arkdalan 17 yasindaymis ve acidim cocuga ,
alt tarafi bi sayfa degisti ve bunun cezasi cok agir , avukatimiz 2 yil
dedi ama ben razi gelmedim . kul hakkına girer azda olsa .
umarim ne bizim hakkimizda nede onların hakkinda bi islem
yaptirmazssiniz . gene vicdan sizin ben karisamam...
---------------------
yazısmalarımız bu kadar. son cevapta ilginç bir şekilde yaptıgını iddia ettiği kişileri korumaya geçiyor.
Dosyalar bende henuz hiç bir yere göndermedim, göndersem de sonuc ne olur bilmiyorum ama bu mesajı buraya yazmamım sebebi keylogger yuklettiği kişilerden biri büyük bir host firması. bu firmanın tüm uzak masa üstü bağlantıları ve interaktif şifreleri bu adamların elinde.
firma adı vermem dogru olmayabilir. keyloggerin gönderdiği dosyalarda görünen bir kaç IP şunlar:
[212.175.25.82 - Uzak Masaüstü]-[15:00:25]
[88.255.78.74 - Uzak Masaüstü]-[14:10:16]
[212.175.16.130 - Uzak Masaüstü]-[14:10:17]
tabi şifreleride kayıtlı.
yine bu firmanın interaktif şifreleri de keyloggerle gelmiş.
bu mesajı ilgili firma okuyorsa içinde uzak kelimesi bulunan bir hosting firması. tanıyan bilen varsa uyarması yerinde olur.
Not: Mesajlarda geçen eğitim derneğinin ilgisi olmayabilirde onların mail sunucusunu kullanan biri de göndermiş olabilir. Bu yüzden derneği itham altında tutmak istemiyorum. Ama ben aynı gün dernek sitesinde yazılı adreslere aşağıdaki uyarıyı gönderdim:
-------------
Sayin Ilgili
Sitenizin mail sistemi (egitder.org.tr) ve sitenizin adi kullanilarak
tarafima gönderilmis asagidaki mailde bulunan linkler keylogger barindiran
sitelere aittir. Söz konusu sitenin kredi karti bilgileri ve interaktif
banka hesaplari çalan bir sebekeye ait oldugunu tespit etmis bulunmaktayim.
Mailde sözü geçen kisilerle derneginizin bir baglantisi varsa bu çeteye
bilerek veya bilmereyerek yardim etmektesiniz.
(Not: Lütfen maildeki linkleri tiklamayiniz, keylogger barindiran siteleri
açmaktadir)
----------------
Son bir not: Bir cok yerde denedim. Windowsu güncel olmayan bilgisayarlarda explorer direk yükleyip calıstırıyor virüsü. Siz siz olan windows güncellemelerinizi acık tutun. yoksa hiç ruhunuz bile duymadan girdiğiniz siteden keylogger yükletebilirler.
Ayrıca bu keylogger bilgileri 21 nolu porttan gönderiyor(ftp). başlat çalıştıra cmd yazarak komut satırına geçip netstat -an yazıp 21 nolu portunuzun kullanılıp kullanılmadıgına bakın. ftp programına girmediğiniz halde 21 nolu port acıksa bu tür bir keylogger almış olabilirsiniz.
[color=#800000][b]Bu yazi ibret olmasi niyeti ile alintidir.. [/b][/color]