‘Anladım!’: Siber suçlular, SIM değiştirme saldırıları ve banka hesaplarına baskın yapmak için tek kullanımlık şifreleri nasıl çalıyor?

Gelen telefon görüşmesi kurbanın telefonunda yanıp sönüyor. Bu yalnızca birkaç saniye sürebilir, ancak kurbanın siber suçlulara çevrimiçi hesaplarını ele geçirme veya kripto ve dijital cüzdanlarını boşaltma yeteneği veren kodları teslim etmesiyle sonuçlanabilir.

“Buradakiler PayPal güvenlik ekibi. Arayan kişinin robotik sesi, “Hesabınızda olağan dışı bir etkinlik tespit ettik ve sizi önlem olarak arıyoruz” diyor. “Lütfen mobil cihazınıza gönderdiğimiz altı haneli güvenlik kodunu girin.”

Arayanın kötü niyetinden habersiz olan kurban, kısa mesajla aldığı altı haneli kodu telefonunun tuş takımına girer.

“Onu yakaladım!” Saldırganın konsolunda bir mesaj okunur.

Bazı durumlarda saldırgan, kurbanın şifresini ele geçirmek amacıyla kimlik avı e-postası da gönderebilir. Ancak çoğu zaman, saldırganın kurbanın çevrimiçi hesabına girmek için ihtiyaç duyduğu tek şey, telefonlarındaki bu koddur. Kurban aramayı bitirdiğinde, saldırgan, sanki hak sahibiymiş gibi kurbanın hesabında oturum açmak için kodu zaten kullanmıştır.

TechCrunch’ın edindiği bilgiye göre, 2023’ün ortasından bu yana Estate adı verilen bir müdahale operasyonu, yüzlerce üyenin binlerce otomatik telefon görüşmesi yaparak kurbanları tek kullanımlık şifreleri girmeleri için kandırmasına olanak sağladı. Estate, saldırganların, kişinin telefonuna veya e-postasına gönderilen veya bir kimlik doğrulama uygulaması kullanılarak cihazından oluşturulan tek seferlik bir şifreye dayanan çok faktörlü kimlik doğrulama gibi güvenlik özelliklerini yenmesine yardımcı oluyor. Çalınan tek kullanımlık şifreler, saldırganların kurbanın banka hesaplarına, kredi kartlarına, kripto ve dijital cüzdanlarına ve çevrimiçi hizmetlerine erişmesine olanak tanıyabiliyor. Kurbanların çoğu ABD’deydi.

Ancak Estate’in kodundaki bir hata, sitenin şifrelenmemiş arka uç veritabanını açığa çıkardı. Estate’in veritabanı, sitenin kurucusu ve üyelerinin ayrıntılarını ve site başlatıldığından beri her saldırının, ne zaman ve hangi üye tarafından hedef alınan kurbanların telefon numaraları da dahil olmak üzere satır satır günlüklerini içeriyor.

Atropos.ai’de güvenlik araştırmacısı ve baş teknoloji sorumlusu olan Vangelis Stykas, Estate veritabanını analiz için TechCrunch’a sağladı.

Arka uç veritabanı, tek seferlik şifre ele geçirme işleminin nasıl çalıştığına dair nadir bir fikir sağlar. Estate gibi hizmetler, güvenlik uygulayıcılarının sosyal mühendislik saldırılarına karşı dayanıklılığı stres testi yapmasına olanak tanıyan görünüşte meşru bir hizmet sağlama kisvesi altında tekliflerinin reklamını yapıyor, ancak üyelerinin bu hizmetleri kötü niyetli siber saldırılar için kullanmasına izin verdikleri için yasal bir gri alanda kalıyorlar. Geçmişte yetkililer, suçlulara hizmet sunmaları nedeniyle siber saldırıları otomatikleştirmeye adanmış benzer sitelerin operatörlerine dava açmıştı.

Veritabanı, Estate’in geçen yıl piyasaya sürülmesinden bu yana Amazon, Bank of America, CapitalOne, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (TechCrunch’un sahibi) ve daha birçok platformda hesapları olan kurbanları hedef alan 93.000’den fazla saldırının kayıtlarını içeriyor diğerleri.

Saldırılardan bazıları, SIM değiştirme saldırıları gerçekleştirerek telefon numaralarını ele geçirme çabalarını da gösteriyor (bir kampanyanın başlığı “sim değiştiriliyor dostum” idi) ve dox kurbanlarını tehdit ediyor.

20’li yaşlarının başındaki Danimarkalı bir programcı olan Estate’in kurucusu, TechCrunch’a geçen hafta bir e-postada şunları söyledi: “Artık siteyi işletmiyorum.” Kurucu, Estate’in çevrimiçi operasyonlarını gizleme çabalarına rağmen, Estate’in Hollanda’daki bir veri merkezindeki gerçek dünyadaki konumunu açığa çıkaran sunucusunu yanlış yapılandırdı.

Estate, “ihtiyaçlarınızı mükemmel şekilde karşılayan özel OTP çözümleri yaratabildiğini” tanıtıyor ve “özel komut dosyası oluşturma seçeneğimizin kontrolü size verdiğini” açıklıyor. Site üyeleri, yukarı yönlü iletişim sağlayıcılarına erişim kazanmak için meşru kullanıcılar gibi davranarak küresel telefon ağından yararlanıyor. Sağlayıcılardan biri, genel müdürü David Casem’in TechCrunch’a şirketin Estate’in hesaplarını bloke ettiğini ve bir soruşturmanın sürdüğünü söylediği Telnyx’ti.

Estate, kötü niyetli siber saldırıları teşvik edebilecek veya teşvik edebilecek açık bir dili dışarıdan kullanmamaya dikkat etse de, veritabanı Estate’in neredeyse yalnızca suç amacıyla kullanıldığını gösteriyor.

Siber suç gruplarını soruşturmasıyla tanınan bir siber güvenlik firması olan Unit 221B’nin baş araştırma görevlisi Allison Nixon, “Bu tür hizmetler suç ekonomisinin omurgasını oluşturuyor” dedi. “Yavaş görevleri verimli hale getiriyorlar. Bu, genel olarak daha fazla kişinin dolandırıcılık ve tehdit aldığı anlamına gelir. Bu tür hizmetlerin var olmadığı günlerle karşılaştırıldığında, daha fazla yaşlı insan suç nedeniyle emekliliklerini kaybediyor.”

Estate, web sitesini arama motorlarından gizleyerek ve kulaktan kulağa yeni üyeler kazandırarak dikkat çekmemeye çalıştı. Web sitesine göre, yeni üyeler Estate’e yalnızca mevcut bir üyenin yönlendirme koduyla giriş yapabiliyor; bu da Estate’in güvendiği yukarı yönlü iletişim sağlayıcıları tarafından tespit edilmekten kaçınmak için kullanıcı sayısını düşük tutuyor.

Estate, kapıdan girdikten sonra üyelere, olası kurbanların önceden ihlal edilmiş hesap şifrelerini aramaları için araçlar sağlar ve tek kullanımlık kodları, hedeflerin hesaplarının ele geçirilmesinin önündeki tek engel olarak bırakır. Estate’in araçları aynı zamanda üyelerin, hedefleri kandırarak tek seferlik şifrelerini devretmeye yönelik talimatlar içeren özel hazırlanmış komut dosyalarını kullanmalarına da olanak tanıyor.

Bazı saldırı komut dosyaları, kurbanı ödeme kartının arkasındaki güvenlik kodunu teslim etmesi için kandırarak çalınan kredi kartı numaralarını doğrulamak için tasarlanmıştır.

Veritabanına göre, Estate’teki en büyük arama kampanyalarından biri, “Boomers”ın genç nesillere göre istenmeyen bir telefon görüşmesi yapma olasılığının daha yüksek olduğu varsayımıyla yaşlı mağdurları hedef alıyordu. Yaklaşık bin telefon görüşmesinin gerçekleştiği kampanya, siber suçluyu her saldırı girişiminden haberdar eden bir senaryoya dayanıyordu.

“İhtiyar… cevap verdi!” Kurban çağrıyı aldığında konsolda yanıp sönüyor ve saldırı başarılı olduğunda “Yaşam desteğinin fişi çekildi” mesajı gösteriliyordu.

Veritabanı, Estate’in kurucusunun, müşterilerinin büyük ölçüde suç aktörleri olduğunun farkında olduğunu ve Estate’in uzun süredir üyelerine mahremiyet sözü verdiğini gösteriyor.

Estate’in web sitesinde “Herhangi bir veriyi günlüğe kaydetmiyoruz ve hizmetlerimizi kullanmak için herhangi bir kişisel bilgiye ihtiyacımız yok” yazıyor; bu, yukarı akışlı telekomünikasyon sağlayıcılarının ve teknoloji şirketlerinin genellikle müşterilerin ağlarına girmesine izin vermeden önce ihtiyaç duyduğu kimlik kontrollerine karşı çıkıyor.

Ancak bu kesinlikle doğru değil. Estate, üyelerinin gerçekleştirdiği her saldırıyı, sitenin 2023 ortasındaki lansmanına kadar uzanan ayrıntılı ayrıntılarla kaydetti. Ve sitenin kurucusu, herhangi bir zamanda Estate’in sunucusunda olup bitenlere ilişkin gerçek zamanlı bir pencere sağlayan sunucu günlüklerine erişimini korudu; buna üyeleri tarafından yapılan her çağrı ve bir üyenin Estate’in web sitesine herhangi bir sayfa yüklemesi de dahil.

Veritabanı, Estate’in potansiyel üyelerin e-posta adreslerini de takip ettiğini gösteriyor. Bu kullanıcılardan biri Estate’e katılmak istediğini çünkü yakın zamanda kredi kartlarını kastederek “ccs satın almaya” başladıklarını ve Estate’in bilinmeyen bir satıcıdan bot satın almaktan daha güvenilir olduğuna inandığını söyledi. Kayıtlar, kullanıcının daha sonra Site üyesi olmasının onaylandığını gösteriyor.

Açığa çıkan veritabanı, bazı üyelerin, yazdıkları komut dosyalarında ve gerçekleştirdikleri saldırılarda e-posta adresleri ve çevrimiçi tanıtıcılar dahil olmak üzere kendi tanımlanabilir bilgilerinin parçalarını bırakarak Estate’in anonimlik vaadine güvendiğini gösteriyor.

Estate’in veri tabanı aynı zamanda üyelerinin saldırı komut dosyalarını da içeriyor; bu komut dosyaları, saldırganların teknoloji devleri ve bankaların müşteri kimliklerini doğrulamak için tek kullanımlık şifreler gibi güvenlik özelliklerini uygulama biçimindeki zayıflıklardan nasıl yararlandığını ortaya koyuyor. TechCrunch, siber suçluların saldırı gerçekleştirmesine yardımcı olabileceği için komut dosyalarını ayrıntılı olarak açıklamıyor.

Daha önce 2021’de tek seferlik bir şifre operasyonu hakkında rapor veren kıdemli güvenlik muhabiri Brian Krebs, bu tür suç operasyonlarının neden “istenmeyen bir telefon görüşmesine yanıt olarak hiçbir zaman bilgi vermemeniz gerektiğini” açıkça ortaya koyduğunu söyledi.

“Kimin aradığını iddia ettiği önemli değil: Eğer bağlantıyı siz başlatmadıysanız telefonu kapatın. Eğer bağlantıyı siz başlatmadıysanız telefonu kapatın,” diye yazdı Krebs. Bu tavsiye bugün de geçerliliğini koruyor.

Ancak tek kullanımlık şifreler kullanan hizmetler, kullanıcılara sağlamayan hizmetlerden daha iyi güvenlik sağlamaya devam etse de siber suçluların bu savunmaları atlatabilme yeteneği, teknoloji şirketlerinin, bankaların, kripto cüzdanlarının ve borsalarının ve telekom şirketlerinin yapacak daha fazla işi olduğunu gösteriyor. Yapmak.

Unit 221B’den Nixon, şirketlerin ağlarını kötüye kullanmak isteyen kötü aktörlerle “sonsuz bir savaş” içinde olduklarını ve yetkililerin bu hizmetleri çökertme çabalarını hızlandırmaları gerektiğini söyledi.

Nixon, “Eksik olan şey, kendilerini baş belası haline getiren suç aktörlerini tutuklamak için kolluk kuvvetlerine ihtiyacımız olması” dedi. “Gençler kasıtlı olarak bundan bir kariyer çıkarıyorlar çünkü kendilerini ‘sadece bir platform’ olduklarına ve projelerinin kolaylaştırdığı ‘suçtan sorumlu olmadıklarına’ ikna ediyorlar.”

“Dolandırıcılık ekonomisinde kolay para kazanmayı umuyorlar. Çevrimiçi para kazanmanın etik olmayan yollarını teşvik eden etkileyiciler var. Emniyet güçlerinin bunu durdurması gerekiyor.”