Kurbana gelen e-posta şu şekildedir;



E-postanın mesaj içeriği: 


BAŞLIK ;


  • AFSPREKEN VIA WHATSAPP : “WhatsApp üzerinden buluşma” anlamına gelir.


  • DIT WERKT BETER DAN TINDER : "Bu Tinder'dan daha iyi çalışıyor" diyor, yani Tinder'a alternatif bir çözüm öneriliyor.


ALT METİN ;


  • 100% Gratis afspreken en ontmoeten via WhatsApp. Bestaat dat wel? Jazeker! : "WhatsApp üzerinden %100 ücretsiz buluşma ve tanışma. Böyle bir şey mümkün mü? Evet, kesinlikle!"

AÇIKLAMALAR ; 


  • Flirten voor singles wordt hier kinderspel.: "Bekarlar için flört etmek burada çocuk oyuncağı oluyor." Burada hizmetin kolaylığını vurguluyorlar.


  • En heb je al een partner? Onze WhatsApp-contacten zorgen voor meer afwisseling.: "Zaten bir partneriniz mi var? WhatsApp bağlantılarımız daha fazla çeşitlilik sağlar." Hem bekarlar hem de ilişkisi olanlar için uygun olduğu belirtilmiş.


  • Nu ook in Nederland en België van start, dus probeer het eens uit!: "Şimdi Hollanda ve Belçika'da da başladı, bir kez dene!"


BUTON ;


  • PROBEER NU GRATIS UIT >> ; "Şimdi ücretsiz dene." Kullanıcıyı, hizmeti denemeye teşvik eden bir çağrı.




GENEL OLARAK ;


WhatsApp üzerinden flört etme ve tanışma imkanı sunan bir platform tanıtılıyor. Amaç, Tinder gibi bilinen platformlardan farklı ve basit bir deneyim sunduklarını göstermek.

E-mail header ile toplanan IoC’ler 


Ip adres: 162.19.52.233

DNS: comet-sas.fr

URL: http://secure-netcloud.com/?a=79&c=143&s1=6DEC&email=phishing@pot

Return path: returnJRevTSy2@comet-sas.fr

Ülke: France

Şehir: Calais, Hauts-de-France

Gönderim zamanı: 08:12 2022 19:29 (UTC)


Return-Path

returnJRevTSy2@comet-sas.fr

Reply-To: 

<news@aichakandisha.com>

Content-Type: 

text/html; charset="utf-8"

Content-Transfer-Encoding: 

7bit

MIME-Version: 

1.0

IoC’leri incelemeye başlayalım ;


IP: 162.19.52.233



AbuselPDB üzerinden incelediğimiz IP’nin herhangi bir raporlanması bulunmamaktadır.


VirüsTotal üzerinden incelediğimiz IP’nin Community Score puanı 0/94 çıkmıştır.

DNS: comet-sas.fr



VirüsTotal üzerinden incelediğimiz DNS’in Community Score puanı 0/94 çıkmıştır.



SPF Kaydı;


MxTool üzerinden yapılan SPF kaydı sorgusunda Gönderici sunucusunun IP adresi olan 162.19.52.233 belirtilen SPF kaydına uygundur.




DMARC Kaydı;


MxTool ile yapılan incelemede DMARC kaydının olması olumlu, ancak etkin bir politika olmadığı için e-posta kimlik doğrulama sistemleri tam koruma sağlayamıyor.


DKIM imzası;


MxTool ile yapılan incelemede herhangi bir DKIM imzası bulunmamıştır. 





SPF kaydı: Gönderici sunucunun, belirli bir domain adına e-posta gönderme yetkisine sahip olup olmadığını doğrular.


DMARC kaydı: SPF ve DKIM protokollerini bir araya getirerek sahte e-postaları tespit eder ve bunlarla nasıl başa çıkılacağını belirler.


DKIM imzası: E-posta içeriğinin, gönderildiği sırada değiştirilmediğini ve yetkili bir sunucudan geldiğini doğrular









URL:  http://secure-netcloud.com/?a=79&c=143&s1=6DEC&email=phishing@pot 


VirüsTotal üzerinden incelediğimiz URL’nin Community Score puanı 7/94 çıkmıştır. Phishing ve Malicious uyarıları vermektedir.






Genel değerlendirme: 


Mailde bulunan IP adresi temiz lakin mailin yönlendirdiği sitenin Community Score 7/94 çıkmıştır. IP nin konumu Fransa olarak gözükmektedir. DNS’nin SPF kaydı bulunmaktadır DMARC kaydının olması olumlu, ancak etkin bir politika olmadığı için e-posta kimlik doğrulama sistemleri tam koruma sağlayamıyor. DKIM imzası ise bulunmuyor.