Hackerlar PTT müşterilerinin peşinde

PTT müşterilerini hedefleyen Cryptolocker saldırıları yoğun olarak tekrar gündemde

Hackerlar PTT müşterilerinin peşinde

İnternetteki virüs saldırılarıyla stratejik bir mücadele yürüten siber güvenlikte dünya devi Comodo, hackerların PTT ismini de kullanarak virüslü mesajlar ürettiğini belirledi. İnternet kullanıcılarına resmi olarak PTT’den geliyormuş gibi gönderilen e-postaların içeriğinde kargo gönderisinin adrese ulaştırılamadığı belirtiliyor ve kargonun alınması için adres değişikliği formunun doldurulmasını istiyor.


PTT görünümlü maillere dikkat edilmesi gerektiğini belirten Teknoloji Direktörü Fatih Orhan, “Sözkonusu e-mailler, resmi PTT e-mailleri şablonuna benzese de, e-mailin gönderen bilgisi sahtedir. Gönderen adı olarak “PTT”, “PTT Teslimat”, “PTT Kargo Takip” gibi tanımlamalar kullanılsa bile e-posta adresleri PTT'yle bağlantılı değildir” uyarısı yaptı. Comodo Antispam Laboratuvarının yaptığı farklı analizlerde kullanıcının gördüğü eposta adreslerinin bazılarının PTT resmi adresi ile aynı olduğu durumlara bile rastlanıldığı ifade edildi. Fakat bu durumlarda bile e-postanın içeriğinde bulunan zararlı bir bağlantı (link) tıklandığında kullanıcıyı farklı adreslere yönlendirilip, trojan/arka-kapı açan zararlı indirmeye yönelttiği, ve bu uygulamanın indirilip çalıştırılması sonucu kullanıcının bilgisayarında birçok zarara yol açtığı tespit edildi.

PTT’den geliyormuş gibi görünen e-postaların görünümü şu şekilde:

 1462868562_ptt.png

E-posta'da yer alan linke tıkladığınız zaman sizi PTT'nin birebir sitesi karşınıza çıkıyor. Kullanıcıların burada asıl dikkat etmeleri gerekn nokta linke tıklarlar ise adres çubuğunda yazan adrese bakmalaır gerekiyor. Eğer PTT'nin resmi site adresi dışında bir adres yazıyorsa hemen hiç bir işlem yapmadan siteden çıkmalılar.


Son web sitesinde ise CAPTCHA içeren bir form bulunuyor. Bu CAPTCHA sabit kodlu ve sayfanın yenilenmesiyle değişiyor. CAPTCHA girilerek butona tıklanması ile bir zip dosyası indirililebiliyor. Bu zip dosyasında “PTT_Yeni_Adres_Form.exe” adlı çalıştırılabilir bir dosya bulunuyor. Bu dosya, Comodo’nun ileri düzey zararlı analiz platformu Valkyrie tarafından incelendiğinde kötü amaçlı yazılım olarak sınıflandırılıyor.