Özellikle insanların önemli bilgilerini çalmak için kullanılan phishing yöntemi yüzünden epey kişinin başı yandı ve yanmaya devam ediyor. Genelde bir bankadan geliyormuş gibi görünen fake mailler ile insanların banka hesap bilgilerini, ilgili bankanın kendi sitesiymiş gibi görünen bir web sayfasına girmeye teşvik etmek ve bu suretle bilgileri çalmak için kullanılan bu yöntemin Türkçe karşılığı yemleme olarak geçiyor.

Bu gün posta kutuma, içeriğini aşağıda görebileceğiniz gibi bir mail aldım. Özetle, Western Union'dan geliyormuş gibi görünen ve Moskova'dan Maksim Zverev isimli bir kişiye gönderdiğim Western Union çekinin güvenlik servisi tarafından bloklandığını, ekteki dosya içerisinde bulunan faturanın çıktısını alarak en yakın Western Union şubesine başvurmamı tembihleyen bir mail düştü. Moskova'da Maksim isimli bir tanıdığım olmadığı ve olsa bile Western Union ile kendisine para göndermemiş olduğumdan dolayı ve ayrıca daha önceden -Akbank'ta bir hesabım bulunmamasına rağmen- Akbank tarafından geliyormuş gibi görünen ve hesap bilgilerimi güncellememi isteyen benzer maillerden dolayı, konu hakkında geçmiş tecrübem sayesinde ekteki zip dosyasına itibar etmedim :)

Mailin içeriği şu şekilde:

From: Berry Humphrey [mailto:[email protected]]
Sent: Thu 8/28/2008 5:47 AM
To: ….@……..com
Subject: Western Union MTCN #1495202428

Hello!
Attention! The wire sent to Maksim Zverev, Moscow, Russia has been blocked by our security service.

Your credit card issuing bank has halted the transaction by the demand of the Federal Criminal Investigation Service (case No. 42781 since the recipient has been undergoing the international retrieval by the InterPol.

Please contact the closest Western Union office and make sure you have your ID card, the credit card that was used for making the payment, and the invoice file with you.

(The invoice file is attached to this message; please print it out and hand it to our agent.)

You can find the address of the closest Western Union agent on our website at http://www.westernunion.com

Thank you!

Yukarıdaki içeriğe ve ekinde In776162.zip gibi bir isme sahip zip dosyası bulunan mailleri açmadan silmenizi önreririm. Çünkü, bu zip dosyasının içeriğinde clamav'ın trojan.Zbot-1971 olarak tanımladığı bir trojan bulunuyor. Amacı ise öncelikli olarak PC'nin firewall'unu disable etmek ve önemli finansal bilgileri (kredi kartı numaraları, internet bankacılığı erişim şifreleri vs.) çalmaktan ibaret. Ayrıca screen snapshot alıyor, çeşitli componentleri download ediyor ve sisteme sızması için girişimleri için gerekli ortamı hazırlıyormuş.

Korunmak için antivirüs yazılımlarınızı muhakkak update etmeniz ve maili kesinlikle açmamak gerekiyor. Ben mail trafiğim için  üzerinde clamav.0.92 kurulu bir SMTP gateway kullanıyorum ancak trojan yeni tanımlanmış olduğundan olsa gerek clamav'ın bu versiyonu trojanı tespit edemedi ve mail posta kutuma düşmeyi başardı. Bunun üzerine clamav'i son sürüm olan 0.93.3'a upgrade ettim. Şimdi tespit edilebiliyor.

Detaylı bilgi için aşağıdaki adrese bakabilirsiniz.

http://blog.mxlab.be/2008/08/27/western-union-mtcn-troja/