Kurbana gelen e-posta şu şekildedir;
E-postanın mesaj içeriği:
BAŞLIK ;
AFSPREKEN VIA WHATSAPP : “WhatsApp üzerinden buluşma” anlamına gelir.
DIT WERKT BETER DAN TINDER : "Bu Tinder'dan daha iyi çalışıyor" diyor, yani Tinder'a alternatif bir çözüm öneriliyor.
ALT METİN ;
100% Gratis afspreken en ontmoeten via WhatsApp. Bestaat dat wel? Jazeker! : "WhatsApp üzerinden %100 ücretsiz buluşma ve tanışma. Böyle bir şey mümkün mü? Evet, kesinlikle!"
AÇIKLAMALAR ;
Flirten voor singles wordt hier kinderspel.: "Bekarlar için flört etmek burada çocuk oyuncağı oluyor." Burada hizmetin kolaylığını vurguluyorlar.
En heb je al een partner? Onze WhatsApp-contacten zorgen voor meer afwisseling.: "Zaten bir partneriniz mi var? WhatsApp bağlantılarımız daha fazla çeşitlilik sağlar." Hem bekarlar hem de ilişkisi olanlar için uygun olduğu belirtilmiş.
Nu ook in Nederland en België van start, dus probeer het eens uit!: "Şimdi Hollanda ve Belçika'da da başladı, bir kez dene!"
BUTON ;
PROBEER NU GRATIS UIT >> : "Şimdi ücretsiz dene." Kullanıcıyı, hizmeti denemeye teşvik eden bir çağrı.
GENEL OLARAK ;
WhatsApp üzerinden flört etme ve tanışma imkanı sunan bir platform tanıtılıyor. Amaç, Tinder gibi bilinen platformlardan farklı ve basit bir deneyim sunduklarını göstermek.
E-mail header ile toplanan IoC’ler
Ip adres: 162.19.52.233
DNS: comet-sas.fr
URL: http://secure-netcloud.com/?a=79&c=143&s1=6DEC&email=phishing@pot
Return path: returnJRevTSy2@comet-sas.fr
Ülke: France
Şehir: Calais, Hauts-de-France
Gönderim zamanı: 08:12 2022 19:29 (UTC)
IoC’leri incelemeye başlayalım ;
IP: 162.19.52.233
AbuselPDB üzerinden incelediğimiz IP’nin herhangi bir raporlanması bulunmamaktadır.
VirüsTotal üzerinden incelediğimiz IP’nin Community Score puanı 0/94 çıkmıştır.
DNS: comet-sas.fr
VirüsTotal üzerinden incelediğimiz DNS’in Community Score puanı 0/94 çıkmıştır.
SPF Kaydı;
MxTool üzerinden yapılan SPF kaydı sorgusunda Gönderici sunucusunun IP adresi olan 162.19.52.233 belirtilen SPF kaydına uygundur.
DMARC Kaydı;
MxTool ile yapılan incelemede DMARC kaydının olması olumlu, ancak etkin bir politika olmadığı için e-posta kimlik doğrulama sistemleri tam koruma sağlayamıyor.
DKIM imzası;
MxTool ile yapılan incelemede herhangi bir DKIM imzası bulunmamıştır.
SPF kaydı: Gönderici sunucunun, belirli bir domain adına e-posta gönderme yetkisine sahip olup olmadığını doğrular.
DMARC kaydı: SPF ve DKIM protokollerini bir araya getirerek sahte e-postaları tespit eder ve bunlarla nasıl başa çıkılacağını belirler.
DKIM imzası: E-posta içeriğinin, gönderildiği sırada değiştirilmediğini ve yetkili bir sunucudan geldiğini doğrular
URL: http://secure-netcloud.com/?a=79&c=143&s1=6DEC&email=phishing@pot
VirüsTotal üzerinden incelediğimiz URL’nin Community Score puanı 7/94 çıkmıştır. Phishing ve Malicious uyarıları vermektedir.
Genel değerlendirme:
Mailde bulunan IP adresi temiz lakin mailin yönlendirdiği sitenin Community Score 7/94 çıkmıştır. IP nin konumu Fransa olarak gözükmektedir. DNS’nin SPF kaydı bulunmaktadır DMARC kaydının olması olumlu, ancak etkin bir politika olmadığı için e-posta kimlik doğrulama sistemleri tam koruma sağlayamıyor. DKIM imzası ise bulunmuyor.
VirüsTotal üzerinden incelediğimiz URL’nin Community Score puanı 7/94 çıkmıştır. Phishing ve Malicious uyarıları vermektedir.
Genel değerlendirme:
Mailde bulunan IP adresi temiz lakin mailin yönlendirdiği sitenin Community Score 7/94 çıkmıştır. IP nin konumu Fransa olarak gözükmektedir. DNS’nin SPF kaydı bulunmaktadır DMARC kaydının olması olumlu, ancak etkin bir politika olmadığı için e-posta kimlik doğrulama sistemleri tam koruma sağlayamıyor. DKIM imzası ise bulunmuyor.
0 Yorumlar