E-posta adresi toplama

E-posta adresi toplama veya E-posta adresi hasadı veya kazıma,^[a] çeşitli yöntemler kullanarak e-posta adresi listelerinin elde edilmesi işlemidir. Genel olarak bunlar daha sonra toplu e-posta veya spam gönderimi için kullanılır. Ayrıca bu işlem, sosyal mühendislik^[b] ile gelişmiş sürekli tehditlerin^[c] de ön adımı olarak kullanılabilir.

Yöntemler

En basit yöntem spamcilerin diğer spamcilerden e-posta adresi listeleri satın alması ya da takas etmesidir.

Bir diğer yaygın yöntem ise “hasat botları”^[d] ya da “hasatçılar”^[e] olarak bilinen ve örümcek^[f] Web sayfalarını, Usenet'teki gönderileri, posta listesi arşivlerini, internet forumlarını ve diğer çevrim içi kaynakları kullanarak herkese açık verilerden e-posta adresleri elde eden özel yazılımların kullanılmasıdır.

Spam gönderenler ayrıca e-posta adreslerini toplamak için dizin toplama saldırısı^[g] olarak bilinen ve belirli bir etki alanındaki geçerli e-posta adreslerinin, o etki alanındaki e-posta adreslerindeki ortak kullanıcı adları kullanılarak e-posta adresinin tahmin edilmesiyle bulunduğu bir tür sözlük saldırısı^[h] da kullanabilir. Örneğin, ahmet@example.com, ahmeta@example.com, ahmetb@example.com, vb. adresleri denemek ve alıcı e-posta sunucusu tarafından reddedilmek yerine teslim edilmek üzere kabul edilen diğerleri, o etki alanı için teorik olarak geçerli e-posta adresleri listesine eklenir.

E-posta adresi toplamanın bir başka yöntemi de kullanıcı geçerli bir e-posta adresi verdiği sürece ücretsiz bir ürün veya hizmet sunmak ve daha sonra kullanıcılardan toplanan adresleri spam hedefi olarak kullanmaktır. Sunulan yaygın ürün ve hizmetler arasında günün fıkraları, günlük İncil alıntıları, haberler veya hisse senedi uyarıları, ücretsiz ürünler ve hatta kişinin bölgesi için kayıtlı cinsel suçlu uyarıları yer almaktadır. Bir başka teknik de 2007 yılının sonlarında iDate adlı şirket tarafından kullanılmış ve Quechup web sitesinin abonelerine yönelik e-posta toplama yöntemiyle kurbanın arkadaşlarına ve bağlantılarına spam gönderilmiştir.^[1]

Hasat kaynakları

Spam gönderenler e-posta adreslerini çeşitli kaynaklardan toplayabilir. Popüler bir yöntem, sahiplerinin başka amaçlarla yayınladıkları e-posta adreslerini kullanır. Usenet gönderileri, özellikle de Google Gruplar gibi arşivlerde bulunanlar sıklıkla adres verir. Web'de adres içeren sayfaları (kurumsal personel dizinleri veya profesyonel toplulukların üyelik listeleri gibi) spambotlar kullanarak aramak, çoğu teslim edilebilir binlerce adres verebilir. Spam gönderenler ayrıca postacıların adreslerini toplamak amacıyla tartışma posta listelerine de abone olmuşlardır. DNS ve WHOIS sistemleri, tüm İnternet alan adları için teknik iletişim bilgilerinin yayınlanmasını gerektirir; spam gönderenler e-posta adresleri için bu kaynakları yasadışı olarak taramışlardır. Spam gönderenler ayrıca, işletmelerin alan adları için genellikle tüm e-posta adreslerinin aynı temel kalıbı izleyeceği sonucuna varmış ve böylece adreslerini toplamadıkları çalışanların e-posta adreslerini doğru bir şekilde tahmin edebilmişlerdir. Birçok spam göndericisi web sayfalarındaki e-posta adreslerini bulmak için web örümcekleri adı verilen programlar kullanmaktadır. Usenet makale mesaj-ID'leri genellikle e-posta adreslerine benzer ve bunlar da toplanır. Spamcılar ayrıca, aramada bulunan web sitelerini gerçekten taramadan, doğrudan Google Arama sonuçlarından e-posta adreslerini de toplamışlardır.

Spam virüsleri, mağdur bilgisayarın disk sürücülerini (ve muhtemelen ağ arabirimlerini) e-posta adresleri için tarayan bir işlev içerebilir. Bu tarayıcılar Web'de ya da Whois'de hiç gösterilmemiş e-posta adreslerini keşfeder. Paylaşılan bir ağ segmentinde bulunan güvenliği ihlal edilmiş bir bilgisayar, ağ komşularına yöneltilen trafikten e-posta adreslerini yakalayabilir. Toplanan adresler daha sonra virüs tarafından oluşturulan bot-net aracılığıyla spam gönderene geri gönderilir. Buna ek olarak, bazen adreslere başka bilgiler eklenebilir ve finansal ve kişisel verileri elde etmek için çapraz referans verilebilir.

“E-pending”^[i] adı verilen yeni ve tartışmalı bir taktik, e-posta adreslerinin doğrudan pazarlama veri tabanlarına eklenmesini içermektedir. Doğrudan pazarlamacılar normalde potansiyel müşteri listelerini dergi abonelikleri ve müşteri listeleri gibi kaynaklardan elde ederler. Doğrudan pazarlamacılar, kayıtlarındaki isimlere ve sokak adreslerine karşılık gelen e-posta adresleri için Web'de ve diğer kaynaklarda arama yaparak hedefli spam e-posta gönderebilirler. Ancak, çoğu spam “hedeflemede” olduğu gibi, bu da kesin değildir; örneğin kullanıcılar, belirli bir sokak adresinden evlerini ipotek ettirme talepleri aldıklarını bildirmişlerdir - adres, posta durağı ve ofis numarası dahil olmak üzere açıkça bir iş adresidir.

Spam gönderenler bazen adreslerin teslim edilebilir olduğunu doğrulamak için çeşitli yöntemler kullanırlar. Örneğin, HTML ile yazılmış bir spam mesajına gizli bir Web hatası^[j] eklemek, alıcının posta istemcisinin alıcının adresini veya diğer herhangi bir benzersiz anahtarı spam gönderenin Web sitesine iletmesine neden olabilir.^[2] Kullanıcılar, posta programlarının resimleri görüntüleme seçeneğini kapatarak veya e-postayı biçimlendirilmiş yerine düz metin olarak okuyarak bu tür suistimallere karşı korunabilirler.

Aynı şekilde, spam gönderenler bazen gönderilen adresleri spam listelerinden kaldırdığını iddia eden Web sayfaları işletmektedir. Bazı durumlarda, bunların girilen adresleri daha fazla spam almak üzere abone yaptığı tespit edilmiştir.^[3]

Kişiler bir form doldurduğunda, bu form genellikle verileri aktarmak için bir web hizmeti veya http postası kullanan bir spamciye satılır. Bu işlem anında gerçekleşir ve e-posta çeşitli spam veri tabanlarına düşer. Spamciden elde edilen gelir kaynakla paylaşılır. Örneğin, bir kişi mortgage için çevrim içi başvuruda bulunursa, bu sitenin sahibi adresi satmak için bir spamciyle anlaşma yapmış olabilir. Bunlar spam gönderenler tarafından en iyi e-postalar olarak kabul edilir, çünkü yenidirler ve kullanıcı genellikle spam tarafından pazarlanan bir ürün veya hizmete yeni kaydolmuştur.

Yasallık

Birçok ülkede e-posta adreslerinin toplanmasını ya da kullanılmasını kısıtlayan anti-spam yasaları mevcuttur.

Avustralya'da, e-posta adresi toplama programlarının (adres toplama yazılımı) oluşturulması veya kullanılması, 2003 anti-spam mevzuatına göre, yalnızca istenmeyen ticari e-posta göndermek için e-posta adresi toplama programlarının kullanılması amaçlanıyorsa yasa dışıdır.^[4][5] Mevzuat, 'Avustralya bağlantılı' e-postaları yasaklamayı amaçlamaktadır - Avustralya'dan kaynaklanan spam başka bir yere gönderilir ve spam bir Avustralya adresine gönderilir.

Yeni Zelanda'da 2007 tarihli İstenmeyen Elektronik Mesajlar Yasası'nda benzer kısıtlamalar bulunmaktadır.^[6] Amerika Birleşik Devletleri'nde 2003 tarihli CAN-SPAM Yasası^[7] alıcının e-posta adresinin aşağıdaki yollarla elde edildiği durumlarda alıcıya ticari e-posta gönderilmesini yasadışı hale getirmiştir:

• İsimleri, harfleri veya sayıları çok sayıda permütasyon halinde birleştirerek olası elektronik posta adresleri üreten otomatik bir araç kullanmak.
• Başka bir kişi tarafından işletilen bir İnternet web sitesinden veya tescilli çevrimiçi hizmetten elektronik posta adresleri çıkarmak için otomatik bir araç kullanmak ve söz konusu web sitesi veya çevrimiçi hizmet, adresin elde edildiği sırada, söz konusu web sitesinin veya çevrimiçi hizmetin operatörünün, elektronik posta iletilerini başlatmak veya başkalarının başlatmasını sağlamak amacıyla söz konusu web sitesi veya çevrimiçi hizmet tarafından tutulan adresleri başka herhangi bir tarafa vermeyeceğini, satmayacağını veya başka bir şekilde aktarmayacağını belirten bir bildirim içeriyorsa.

Ayrıca, web sitesi operatörleri yasal olarak toplanan listelerini dağıtamazlar. 2003 tarihli CAN-SPAM Yasası, web sitelerinin ve çevrimiçi hizmetlerin operatörlerinin, sitenin veya hizmetin, söz konusu web sitesi veya çevrimiçi hizmet tarafından tutulan adresleri, elektronik posta mesajları başlatmak veya başkalarının başlatmasını sağlamak amacıyla başka herhangi bir tarafa vermeyeceğine, satmayacağına veya başka bir şekilde aktarmayacağına dair bir bildirim içermesini gerektirir.

Karşı önlemler

Adres değiştirme

Adres değiştirme ^[k] —örneğin “bob@example.com” adresini “bob at example nokta com” olarak değiştirmek— e-posta adreslerinin toplanmasını zorlaştırmak için kullanılan yaygın bir tekniktir. Üstesinden gelmek nispeten kolay olsa da -örneğin bu araması google aramasına bakınız- yine de etkilidir.^[8][9] Adresi inceleyip manuel olarak düzeltmesi gereken kullanıcılar için biraz zahmetlidir.

Görüntüler

Bir e-posta adresinin bir kısmını veya tamamını görüntülemek için resim kullanmak çok etkili bir hasat karşı önlemidir. Görüntülerden otomatik olarak metin çıkarmak için gereken işlem spam gönderenler için ekonomik olarak uygun değildir. Adresi elle yazan kullanıcılar için çok sakıncalıdır.

İletişim formları

E-posta gönderen ancak alıcının adresini göstermeyen e-posta iletişim formları, ilk etapta bir e-posta adresi yayınlamaktan kaçınır. Ancak bu yöntem, kullanıcıların tercih ettikleri e-posta istemcisinde oluşturmalarını engeller, mesaj içeriğini düz metinle sınırlar ve kullanıcıya “gönderilen” posta klasöründe söylediklerinin kaydını otomatik olarak bırakmaz.

JavaScript gizleme

JavaScript e-posta gizleme,^[l] adresi örümceklerden gizlerken kullanıcılar için normal, tıklanabilir bir e-posta bağlantısı üretir. Harvesters tarafından görülen kaynak kodunda, e-posta adresi karıştırılır, kodlanır veya başka bir şekilde gizlenir.^[8] Çoğu kullanıcı için çok uygun olsa da, örneğin metin tabanlı tarayıcılar ve ekran okuyucular için veya JavaScript özellikli bir tarayıcı kullanmayanlar için erişilebilirliği azaltır.^[10]

HTML gizleme

HTML'de e-posta adresleri, adresin içine gizli öğeler eklemek veya parçaları sırasız listelemek ve doğru sırayı geri yüklemek için CSS kullanmak gibi birçok yolla gizlenebilir. Her biri çoğu kullanıcı için şeffaf olma avantajına sahiptir, ancak hiçbiri tıklanabilir e-posta bağlantılarını desteklemez ve hiçbiri metin tabanlı tarayıcılar ve ekran okuyucular için erişilebilir değildir.

CAPTCHA

Kullanıcıların bir e-posta adresi vermeden önce bir CAPTCHA'yı tamamlamalarını istemek etkili bir hasat karşı önlemidir. Popüler bir çözüm reCAPTCHA Posta saklama hizmetidir. (Not, 12.9.18: Mailhide artık desteklenmemektedir.)^[11]

CAN-SPAM Bildirimi

Spam gönderenlerin 2003 tarihli CAN-SPAM Yasası kapsamında kovuşturulmasını sağlamak için, bir web sitesi operatörü “site veya hizmetin, söz konusu web sitesi veya çevrimiçi hizmet tarafından tutulan adresleri, elektronik posta mesajları başlatmak veya başkalarının başlatmasını sağlamak amacıyla başka herhangi bir tarafa vermeyeceği, satmayacağı veya başka bir şekilde aktarmayacağına” dair bir bildirim yayınlamalıdır.^[12]

Posta Sunucusu İzleme

E-posta sunucuları, dizin toplama saldırılarıyla mücadele etmek için, kısa bir süre içinde birden fazla geçersiz alıcı adresi belirten uzak göndericilerle iletişim kurmayı reddetmek de dahil olmak üzere çeşitli yöntemler kullanır, ancak bu tür önlemlerin çoğu meşru e-postaların kesintiye uğraması riskini taşır.

Örümcek Tuzakları

Örümcek tuzağı,^[m] e-posta toplayan örümceklerle mücadele etmek için tasarlanmış bir bal küpü olan bir web sitesinin bir parçasıdır.^[13] Web sitesinin robots.txt dosyası örümcekleri bu alandan uzak durmaları için uyaracağından, iyi huylu örümcekler etkilenmez — ancak bu elbette kötü niyetli örümceklerin dikkate almadığı bir uyarıdır. Bazı tuzaklar, tuzağa erişilir erişilmez istemcinin IP'sinden erişimi engeller.^[14][15][16] Ağ tarpiti gibi diğerleri, örümceği yavaşça ve durmaksızın işe yaramaz bilgilerle besleyerek kötü niyetli örümceklerin zamanını ve kaynaklarını boşa harcamak için tasarlanmıştır.^[17] “Yem”^[n] içeriği, liste zehirleme^[o] olarak bilinen bir teknik olan çok sayıda sahte adres içerebilir; ancak bazıları bu uygulamayı zararlı bulmaktadır.^{[18][19][20][21]}

Notlar

1. ing: scraping
2. ing: social engineering
3. ing: advanced persistent threat
4. ing: harvesting bots
5. ing: harvester
6. ing: web crawler
7. ing: directory harvest attack
8. ing: dictionary attack
9. ing: email appending
10. ing: web beacon
11. ing:address munging
12. ing: obfuscation
13. ing: spider trap
14. ing: bait
15. ing: list poisoning

Ayrıca bakınız

• Anti-spam yöntemleri
• E-posta spam
• Web örümceği
• Web kazıma