Ağ güvenliği uzmanlarının neredeyse tuzağa düştüğü hassas oltalama saldırısı

Son zamanlarda, 16 milyar kullanıcı bilgisi içeren devasa bir veri kümesi internette yayıldı; bu, hem geçmişteki sızdırılan verileri hem de yeni çalınan giriş bilgilerini içeriyor. Çoğunlukla eski verilerin yeniden düzenlenmesi olmasına rağmen, güncellenmiş veriler yine de rahatsız edici. Bu, tarihin en büyük tek hesap sızıntısı koleksiyonlarından biri olarak görülüyor.

Hackerler bu verileri kullanarak çeşitli saldırılar düzenliyor, ben de onların hedeflerinden biri oldum.

19 Haziran'da kişisel cihazlarıma ve hesaplarıma yönelik gerçekleştirilen phishing saldırısı, on yıllık siber güvenlik kariyerimde karşılaştığım en sofistike olanıydı. Saldırganlar önce hesaplarımın birden fazla platformda saldırıya uğradığı izlenimini yarattılar, ardından bir ticaret platformu çalışanı gibi davranarak "yardım" teklif ettiler. Sosyal mühendislik yöntemlerini SMS, telefon ve sahte e-postalarla birleşik bir taktikle birleştirdiler, tüm tasarım sahte bir aciliyet, güvenilirlik ve ölçek etkisi yaratmayı amaçlıyordu. Bu sahte saldırı geniş bir etki alanına sahipti ve son derece otoriterdi; işte bu, saldırının bu kadar yanıltıcı olmasının anahtarıdır.

Aşağıda saldırı sürecini detaylı bir şekilde yeniden oluşturacağım, içindeki tehlike sinyallerini analiz edeceğim ve aldığım koruma önlemlerini paylaşacağım. Aynı zamanda, yatırımcıların sürekli olarak yükselen tehdit ortamında güvenliği sağlamak için faydalı dersler ve pratik öneriler sunacağım.

Tarih verileri ve son sızan veriler, hackerlar tarafından yüksek hedefli çok kanallı saldırılar gerçekleştirmek için kullanılabilir. Bu, katmanlı güvenlik korumasının, net kullanıcı iletişim mekanizmalarının ve gerçek zamanlı yanıt stratejilerinin önemini bir kez daha kanıtlıyor. Hem kurumsal hem de bireysel kullanıcılar, bu durumdan faydalanabilir; doğrulama protokolleri, alan adı tanıma alışkanlıkları ve yanıt adımları gibi, dikkatsizliklerin büyük güvenlik açıklarına dönüşmesini önlemeye yardımcı olabilecek pratik araçlar edinebilirler.

SIM Kart Kaçırma

Saldırı, bir öğleden sonra saat 15:15 civarında başladı. Anonim bir mesaj, birinin mobil operatörü kandırarak telefon numaramı başkalarına sızdırmaya çalıştığını belirtiyordu. Bu saldırı yöntemi SIM değişimi olarak adlandırılmaktadır.

Dikkat edilmesi gereken bir nokta, bu bilginin kısa koddan değil, normal bir 10 haneli telefon numarasından geldiğidir. Resmi işletmeler SMS gönderirken her zaman kısa kod kullanır. Bilinmeyen bir standart uzun numaradan, işletme olduğunu iddia eden bir SMS alırsanız, bu büyük ihtimalle bir dolandırıcılık veya oltalama girişimidir.

Bu bilgiler çelişkili içerikler de içeriyor. İlk mesaj, sızıntının San Francisco Körfez Bölgesi'nde gerçekleştiğini gösterirken, takip eden mesaj Amsterdam'da meydana geldiğini söylüyor.

SIM değişimi başarılı olursa son derece tehlikeli olabilir, çünkü saldırganlar çoğu şirketin şifre sıfırlamak veya hesaplara erişmek için kullandığı tek kullanımlık kodları alabilir. Ancak bu sefer gerçek bir SIM değişimi değil, hacker'lar sonraki daha karmaşık bir dolandırıcılık için zemin hazırlıyor.

Tek Seferlik Şifre ve Şifre Sıfırlama

Saldırı daha sonra yükseldi, sırayla bir ödeme platformundan geldiği iddia edilen tek kullanımlık doğrulama kodlarını aldım, bunlar SMS ve anlık iletişim yazılımları aracılığıyla gönderildi. Bu, bazı kişilerin finansal platformlardaki hesaplarıma giriş yapmaya çalıştığına inanmama neden oldu. Şüpheli operatör SMS'lerinden farklı olarak, bu doğrulama kodları gerçekten de görünüşte yasal kısa kodlardan geliyordu.

Balık Avı Telefonu

Mesajı aldıktan yaklaşık beş dakika sonra, Kaliforniya numaralı bir telefon görüşmesi aldım. Kendini "Mason" olarak tanıtan arayan, Amerikan aksanı ile, bir ticaret platformu araştırma ekibinden geldiğini iddia etti. Geçtiğimiz 30 dakika içinde platformun sohbet penceresi üzerinden 30'dan fazla şifre sıfırlama ve hesap ihlali girişimi olduğunu söyledi. "Mason"un tarifine göre, sözde saldırgan, şifre sıfırlamanın birinci aşama güvenlik doğrulamasını geçebilmiş, ancak ikinci aşamada başarısız olmuş.

Bana, karşı tarafın bana kimlik kartımın son dört hanesini, tam sürücü belgesi numarasını, ev adresini ve tam adımı verebileceğini, ancak tam kimlik numarasını veya ilişkili hesabın banka kartının son dört hanesini veremediğini söyledi. Mason, bu çelişkinin platform güvenlik ekibinin alarmını tetiklediğini ve bunun sonucunda benimle iletişime geçip durumu doğrulamaya çalıştıklarını açıkladı.

Normal borsa gibi işletmeler asla kullanıcıları aramayacaktır, sadece resmi web sitesi üzerinden hizmet talep ettiğinizde.

Güvenlik Kontrolü

"Kötü haber"i bildirdikten sonra, Mason hesabımı korumak için ek saldırı kanallarını engellemeyi önerdi. API bağlantıları ve ilişkili cüzdanlardan başladı, erişim izinlerini iptal ederek riski azaltacağını iddia etti. Tanımadığım bazıları da dahil olmak üzere birden fazla bağlantı nesnesi sıraladı; ancak belki de daha önce ayarlayıp unuttuğum şeyler olduğunu varsayıyorum.

Bu noktada, tetikte olma seviyem azalmış durumda, hatta platformun "aktif koruma" sağladığını bilmek beni rahatlatıyor.

Bu noktada Mason, herhangi bir kişisel bilgi, cüzdan adresi, çift faktörlü doğrulama kodu veya tek kullanımlık şifre talep etmemiştir; bunlar genellikle dolandırıcıların sıklıkla talep ettiği bilgilerdir. Tüm etkileşim süreci oldukça güvenli ve önleyicidir.

Gizli Baskı Yöntemleri

Sonrasında ilk baskı denemesi yapıldı, aciliyet ve savunmasızlık hissi yaratıldı. Sözde "güvenlik kontrolü" tamamlandıktan sonra, Mason, hesabımın yüksek risk olarak işaretlendiğini iddia ederek, platformun yüksek hesap korumasının sona erdiğini söyledi. Bu, platform cüzdanımdaki varlıkların artık sigorta kapsamına girmediği anlamına geliyor; eğer saldırganlar fonları başarıyla çalarsa, herhangi bir tazminat almayacağım.

Artık geriye dönüp baktığımda, bu açıklamaların bariz bir zayıflık olması gerektiğini düşünüyorum. Banka mevduatlarının aksine, kripto varlıklar asla sigorta korumasına sahip değildir; borsa, müşterilerin dolarlarını sigortalı bir bankada tutabilir, ancak borsa kendisi sigortalı bir kuruluş değildir.

Mason ayrıca 24 saatlik geri sayımın başladığını ve süresi dolan hesapların kilitleneceğini uyardı. Kilidi açmak karmaşık ve uzun bir süreç gerektirecek. Daha da korkutucu olanı, bu süre zarfında saldırganların benim tam sosyal güvenlik numaramı ele geçirmesi durumunda, hesap dondurulmuş olsa bile fonları çalabileceklerini iddia etmesi.

Sonrasında gerçek platformun müşteri hizmetleri ekibiyle görüştüğümde, kilitli hesabın onların önerdiği bir güvenlik önlemi olduğunu öğrendim. Kilit açma süreci aslında basit ve güvenli: kimlik kartı fotoğrafı ve selfie sağlayarak, platform kimliği doğruladıktan sonra hızlı bir şekilde erişimi geri kazanabilirsiniz.

Sonrasında iki e-posta aldım. Birincisi, platform haber bülteni abonelik onay mektubu; bu, saldırganın resmi web formu aracılığıyla e-posta adresimi göndermesiyle tetiklenen normal bir e-posta. Bu, açıkça resmi e-postalarla benim yargımı karıştırma girişimiydi ve dolandırıcılığın güvenilirliğini artırmayı amaçlıyordu.

İkinci daha rahatsız edici e-posta, platformun resmi alan adı gibi görünen bir adresten geldi ve benim premium hesap korumamın iptal edildiğini belirtiyor. Resmi bir alan adından geliyormuş gibi görünen bu e-posta oldukça yanıltıcı - şüpheli bir alan adından gelse kolayca fark edilebilirdi, ancak resmi adres olarak görünmesi onu gerçekçi ve güvenilir kılıyor.

Önerilen Önlemler

Mason, varlıklarımı "Vault" adındaki çoklu imza cüzdanına aktarmayı önerdi, böylece güvenliği sağlayabilirim. Hatta bunun platformun yıllardır süregelen resmi hizmeti olduğunu kanıtlamak için resmi belgeleri aramamı istedi.

Bu kadar önemli bir değişiklik yapmadan önce yeterince araştırma yapmaya istekli olmadığımı belirttim. O da anlayış gösterdi ve dikkatlice araştırmamı teşvik etti, aynı zamanda SIM takası önlemek için öncelikle operatörle iletişime geçmemi destekledi. 30 dakika sonra geri döneceğini ve sonraki adımlara devam edeceğini söyledi. Telefonu kapattıktan hemen sonra bu görüşme ve randevuyu onaylayan bir SMS aldım.

Geri Arama ve "Vault"

Operatörün SIM transferi denemesi olmadığını doğruladıktan sonra, hemen tüm hesap şifrelerimi değiştirdim. Mason, söz verdiği gibi geri aradı ve bir sonraki adımı tartışmaya başladık.

Bu noktada, "Vault" hizmetinin gerçekten platform tarafından sunulan bir hizmet olduğunu doğruladım, bu, çoklu imza yetkilendirmesi ve 24 saatlik gecikmeli para çekme ile güvenliği artıran bir saklama çözümüdür, ancak gerçek bir kendi kendine saklama soğuk cüzdan değildir.

Mason daha sonra, ilk görüşmede tartışılan güvenlik ayarlarını kontrol edebileceğini iddia eden, görünen bir alan adı bağlantısı gönderdi. Kontrol tamamlandıktan sonra varlıklar Vault'a aktarılabilir, bu anda siber güvenlik uzmanlığım nihayet işe yaradı.

Sağladığı örnek numarasını girdikten sonra, açılan sayfada "API bağlantısı kaldırıldı" ve "Vault oluştur" butonları görünüyor. Hemen web sitesinin SSL sertifikasını kontrol ettim ve bu kaydın yalnızca bir aylık olan alan adının platformla hiçbir bağlantısı olmadığını keşfettim. SSL sertifikası genellikle yasal bir yanılsama yaratabilir, ancak resmi şirket sertifikalarında açık bir sahiplik bulunur; bu keşif beni hemen işlemeyi durdurmaya yönlendirdi.

Resmi platformlar, kesinlikle resmi olmayan alan adlarını kullanmayacaklarını açıkça belirtir. Üçüncü taraf hizmetleri kullanılsa bile, bu alt alan adı şeklinde olmalıdır. Hesapla ilgili herhangi bir işlem, resmi uygulama veya web sitesi üzerinden gerçekleştirilmelidir.

Mason'a endişelerimi ilettim ve sadece resmi APP üzerinden işlem yapmayı istediğimi vurguladım. O, APP üzerinden işlemin 48 saatlik bir gecikmeye yol açacağını ve hesabın 24 saat sonra kilitleneceğini savundu. Aceleci karar vermeyi bir kez daha reddettim, o da durumu "üçüncü seviye destek ekibine" yükselteceğini ve yüksek hesap korumamı geri getirmeye çalışacağını belirtti.

Telefonu kapattıktan sonra, diğer hesapların güvenliğini doğrulamaya devam ettim, rahatsızlık hissim giderek artıyordu.

"Üçüncü Seviye Destek Ekibi" aradı

Yaklaşık yarım saat sonra, Texas numarasından bir telefon geldi. Diğer bir Amerikan aksanlı kişi kendini üçüncü seviye araştırmacı olarak tanıttı ve hesap kurtarma başvurumla ilgilendiğini söyledi. 7 günlük bir inceleme süresi gerektiğini iddia etti, bu süre zarfında hesabın hala güvencede olmadığını belirtti. Ayrıca, farklı zincir üzerindeki varlıklar için birden fazla Vault açmamı "nazikçe" önerdi, profesyonel görünse de, somut varlıkları hiç belirtmeden sadece "Ethereum, Bitcoin vb." gibi belirsiz ifadelerle bahsetti.

Hukuk departmanına sohbet kayıtlarını göndermeyi talep edeceğini belirtti, ardından Vault'u tanıtmaya başladı. Alternatif olarak, SafePal adında bir üçüncü taraf cüzdanı önerdi, SafePal gerçekten güvenilir bir donanım cüzdanı olmasına rağmen, bu açıkça güven kazanmak için bir ön hazırlıktır.

Şüpheli bir alan adını tekrar sorguladığımda, karşı taraf hala şüpheleri gidermeye çalıştı. Bu noktada saldırgan muhtemelen başarılı olamayacağını anladı ve sonunda bu phishing saldırısından vazgeçti.

Gerçek Müşteri Hizmetleri ile İletişime Geçin

İkinci sahte müşteri hizmetleri temsilcisi ile görüşmeyi bitirdikten sonra, hemen resmi kanallar aracılığıyla başvuru yaptım. Gerçek müşteri hizmetleri temsilcisi, hesabımda anormal bir oturum açma veya şifre sıfırlama talebi olmadığını hızlıca onayladı.

Hesabı hemen kilitlemeyi ve saldırı detaylarını soruşturma ekibine sunmayı önerdi. Tüm dolandırıcılık alan adlarını, telefon numaralarını ve saldırı yollarını sağladım, özellikle resmi e-posta adresi gibi görünen gönderenin yetki sorununu sordum. Müşteri hizmetleri bunun çok ciddi olduğunu kabul etti ve güvenlik ekibinin kapsamlı bir soruşturma yapacağına söz verdi.

Borsa veya saklama hizmeti sağlayıcısının müşteri hizmetleri ile iletişime geçerken, mutlaka resmi kanalları kullanın. Resmi şirketler asla kullanıcılarla aktif olarak iletişime geçmez.

Deneyim Özeti

Kandırılmaktan şans eseri kurtulmuş olsam da, eski bir siber güvenlik çalışanı olarak bu deneyim beni derin bir huzursuzluk içinde bıraktı. Eğer profesyonel eğitimim olmasaydı, muhtemelen kandırılmıştım. Eğer bu sadece sıradan bir yabancı telefon görüşmesi olsaydı, kesinlikle doğrudan kapatırdım. Saldırganların özenle tasarlanmış ardışık eylemleri, aciliyet ve otorite hissi yarattığı için bu oltalama saldırısı bu kadar tehlikeli hale geldi.

Aşağıdaki tehlike sinyallerini ve koruma önerilerini özetledim, umarım mevcut ağ ortamında yatırımcıların fon güvenliğini sağlamalarına yardımcı olur.

Tehlike Sinyali

Yanlış alarmın işbirliği kaos ve acelecilik yaratması

Saldırganlar öncelikle bir dizi SIM kart değişimi ile alarm veriyor ve birden fazla hizmetten gelen tek kullanımlık doğrulama kodu taleplerini ( hem SMS hem de anlık iletişim yazılımları aracılığıyla gönderiyor ), birden fazla platformun aynı anda saldırıya uğradığı izlenimini kasıtlı olarak yaratıyorlar. Bu bilgilerin yalnızca telefon numaramı ve e-posta adresimi alarak tetiklenebileceği çok muhtemel, bu bilgiler kolayca elde edilebilir. Bu aşamada, saldırganların daha derin hesap verilerine henüz erişim sağlamadığını düşünüyorum.

Kısa kodlar ve normal telefon numaraları karıştırılıyor

Balık avı bilgileri, SMS kısa kodları ve normal telefon numaralarının kombinasyonu kullanılarak gönderilmektedir. İşletmeler genellikle resmi iletişim için kısa kodları kullanmasına rağmen, saldırganlar bu kısa kodları taklit edebilir veya yeniden kullanabilir. Ancak, resmi hizmetlerin asla güvenlik uyarılarını göndermek için normal telefon numaraları kullanmayacağını unutmamak önemlidir. Standart uzunluktaki numaralardan gelen mesajlar her zaman şüpheci bir şekilde ele alınmalıdır.

Resmi olmayan veya tanıdık olmayan alan adları üzerinden işlem yapma talebi

Saldırgan benden erişim istemekte.