Selamlar sayın Türk Hack Team üyeleri ve saygıdeğer yöneticileri:
Dikkatli olmazsanız birisi kolayca PayPal hesabınızın kontrolünü ele geçirebiliyor ve paranızı çalabiliyor. Basit ve etkili bir saldırıdan nasıl korunacağınızı buradan öğrenebilirsiniz.
İyi Okumalar Dilerim.
Hikaye
Banka soygun filmlerine olan 'sevgim' 1990'larda başladığı için şimdiye kadar bankaya girebilme düşüncesiyle büyülendim ve bence sonunda bunu yapmanın bir yolunu keşfettim. Tipik bankacılık uygulamalarının güvenliği beni son derece etkiledi ve güvenlik şapkası açık olduğu için bankaların müşterilerinin parasını korumak için tasarlanan, genellikle sağlam yerleşik önlemleri atlamanın bir yolunu henüz düşünmedim. Bu, tamamen olması gereken bir durumdur. Ancak bankalar o kadar güvenlikli ise, genellikle kişilerin hesaplarına tam erişim hakkına sahip olan en popüler üçüncü taraflardan biri olan PayPal'a saldırmanın bir yolu olup olmadığını merak ediyorum.
Son 18 ay içinde hesaplarda doğru güvenlik ayarı olmadan bir WhatsApp veya Snapchat hesabını ele geçirmenin ne kadar kolay olduğunu başarılı bir şekilde göstermiştim. Bu da bana, aynı taktikleri kullanarak bir finansal hesabın kontrolünü ele alıp almayacağımı merak ettirdi. "Yalnızca 'shoulder surfing' sanatıyla PayPal hesabınızın gerçekten tehlikeye girebileceği ve binlerce dolar kaybedebileceğiniz anlaşılıyor."
Sosyal mühendislik saldırıları giderek yaygınlaşıyor ve suç çeteleri arasında popülerlik artıyor. Öte yandan, test koşulları altında biriyle doğru şekilde denemeler yapmak zordur, çünkü “kurbanlar” önerilen saldırı vektörünün farkındadır ve bu da denemeyi anında vitrini kanıtlamadan pencereden dışarı atar. Ancak, birisinin PayPal hesabının sahipliğini alıp yasal bir denemede kanıtlamanın bir yolunu buldum; daha da önemlisi, bu saldırıyı hesabınızda nasıl önleyeceğinizi de öğreneceksiniz.
Bu en son konsept kanıtını göstermek için sadece birini hedeflemedim. Özellikle para söz konusu olduğunda ne olduğunu tespit etme ihtimali çok yüksek olan birisinde hipotezini tam olarak test etmek istedim. Bu nedenle, 20 yıldan uzun süredir güvenlik sektöründe çalışan bir arkadaşımı (Dave'i) hedeflemeyi tercih ettim. Aslında, Dave bilgisayar güvenliği söz konusu olduğunda bir guru ve çok az dolandırıcılık onun gözünden neler olup bittiğini fark etmeden geçiyor. Mükemmel.
Denemeye Başlayın
Kısa bir süre önce Dave ve ve birkaç arkadaşla buluşmak için bir toplantı ayarladım ve son 18 ayda sadece birkaç kez daha görmüştüm. Dave'a biraz saldırmada önemli bir rol oynamayı kabul etmesini istedim. Siber güvenlik farkındalığı adına ve dolandırıcılık önleme özelliğini geliştirirken öğle yemeği satın aldığım sürece hesabında bir şey denememe izin vermeyi kabul etti. Ancak, kimin banka hesabını kullanacağını belirtmedi!
Dave restorandayken telefonunu masaya koyup masada birkaç kişiyle sohbet ediyordu. Dizüstü bilgisayarımı yanıma getirdim ve bu arada PayPal web sitesini açtım ve doğrudan bilgisayar korsanının favori bölümüne gittim: Paralamı unuttum sayfası.
Dave'in kişisel e-posta adresini biliyorum ve PayPal için kullandığını tahmin ediyorum. Gerçek bir saldırıda, bilgisayar korsanının hedefin e-posta adresini öğrenmesi gerekir ancak çoğu kişi bu günlerde birkaç yerden e-posta adresini bulabilir. Google, LinkedIn, hatta Instagram, PayPal kullanıcılarında bu saldırıyı başlatmak için gereken tek şey olan e-posta adresinizi gösterebilir.
Daha sonra PayPal çeşitli yollarla "hızlı güvenlik kontrolü" göndermeyi istedim. Araştırmamda bu bir metin, e-posta, telefon görüşmesi, kimlik doğrulayıcı uygulaması, hatta bir WhatsApp aracılığıyla olabilir! Hatta bazı kişiler, güvenlik sorularını sorarak güvenliği kontrol etme seçeneğine sahip olabilir. Bu, hesap kadar eski olduğundan şüphe duymaz. Ve benim de yaptığım gibi, bunlar da öğrenmesi son derece kolay olan yanıtlar içerebilir. Bunları hala bir seçenek olarak görmemiştim ve hiçbir ayarda bazı güvenlik denetimi türlerini ortadan kaldırabileceğim bir yer bulamadım. Dave'e geri döndüğümüzde, sunduğu tek güvenlik kontrolü, şu anda ilgilendiği bir metin aracılığıyla geldi.
Dave hala toplantı odasındaki iş arkadaşlarıyla konuşurken, hemen telefonuna altı haneli bir kod gönderen “Next” (İleri) düğmesini tıkladım.
Dave'in telefonuna yaslandım ve onu fark etmeden, uyandırmak için ekrana dokundum. Telefonunun kilit ekranında mesaj önizlemelerini devre dışı bırakmadığı için kodu kolayca görüntüleyip web sitesindeki doğrulama kodu alanına yazdım. İhtiyacım olan tek şey buydu ve şu anda hesabındaydım! PayPal'ın web sitesi daha sonra hesabı için yeni bir parola seçmemi istedi ve bunu yeni oluşturduğum bir parola ile değiştirdim.
Dave'in PayPal panosuna ve hesabıyla ilişkili tüm kartlara bakıyordum. Gerçekten bir bankaya ayrıldığımı hissettim! Tüm seçeneklere ve bağlantılı banka kartlarına bakıyordum. Bir banka veya kredi kartı ile kolayca bağlantı kurmuş ve hatta ev adresi gibi kişisel bilgilerine bakmış olabilirim. Hesabı, adresi veya adı için e-posta adresini değiştirebilirdim ancak bu saldırıyı gerçekten sınamak için "para gönder" düğmesini tıkladım. £10,000 kadar para gönderebilmiş olsam da (çok sinirlendim ve hatta geçerli olmak için yazdım), PayPal hesabıma yalnızca £10 göndermeyi seçtim. Buna izin verdiğini ve taşınmış herhangi bir para için kendisine geri ödeme yapacağına söz verdiğimi unutmayın!
"Şimdi para gönder" düğmesini tıklattığım anda Dave'in telefonu, paranın hesabından yeni taşındığını doğrulayan bir e-posta aldı ve Apple Watch'unda okuduğunda bu e-posta parkurunda durdu." Ama ben evde ve kuruydum. Parayı taşıdım ve ona öğle yemeği satın alıp alamayacağımı sordum. Yüzü, etkilenmediği ifadesini gösterdi.
Bu nedenle, özetlemek gerekirse, dünyanın 300 milyon PayPal hesabına sadece birinin telefonunda bir kod görerek 10,000 £ gönderebilirdim. Bu benim için mantıklı değil ve insanların bu basit saldırının farkında olması gerekiyor. Barın bu şekilde bir hesaptan ödün vermek için atlaması gerekiyor, özellikle de güvenliği tipik bir çevrimiçi bankanın güvenliğiyle karşılaştırdığınızda çok düşük bir değere ayarlanmış gibi görünüyor, ancak bunun da önemli bir zararla çalışabileceği kanıtlanıyor.
Dave'in telefonundaki bildirim önizlemelerini kapatmış olması gerektiğini düşünmeye meyilli olabilirsiniz. Ancak, “Snaphack” saldırısında da gösterdiğim gibi, kurbanlar sadece telefonlarını kullandıklarında (örneğin kişilere mesaj gönderirken) bu tür mesajları okumak yine de mümkün. genellikle modus'ün çalışması hakkında bilgi sahibi değillerdir ve bu bildirimleri/uyarıları göz ardı ederler. Android telefonda PayPal deneyini denedim, metin mesajı önizlemesinin varsayılan olarak etkin olduğunu ve mesajın onay kodunu daha da hızlı görebilmem için seçmiş olduğu vurgulanmış bir yöntemini buldum.
Evet sayın Türk Hack Team takipçileri bir konumuzun daha sonuna geldik umarım öğretici bilgiler sunabilmişimdir.
İyi Forumlar Dilerim.
Son düzenleme:
