Arkadaşımın PayPal hesabını nasıl ele geçirdim #2

oBugraReis · 3 Mar 2022

Selamlar sayın Türk Hack Team üyeleri ve saygıdeğer yöneticileri:
Sizlere daha önce açtığım "Arkadaşımın PayPal hesabını nasıl ele geçirdim #1" konusunun 2. sini açıyorum.
İyi Okumalar Dilerim.

FaceID yardımcı olur mu?

Bulgulardan birisi Dave'in hesabını ele geçirmem için son işimdi. Geçmişte Dave'in yüz maskesi takmış olsa bile FaceID kullanarak iPhone'unu açtığını gördüm. Bu, Nisan 2021'de iOS 14.5 ile FaceID'yi atlatmak için piyasaya sunulan bir Apple Watch özelliğiydi ve o an hızlı bir şekilde gidip geldim. Bunu Dave'in telefonunda test ettim ve şüpheye göre kendi yüzümü kullanarak kolay çalıştı ve bir yüz maskesi tarafından engellendi. Apple Watch'undan iPhone'unun kilidini açtığımı belirten bir bildirim almış olsa da metin önizlemesini açmak için gereken tek şey bu olurdu. Bu, bir onay kodunu okumak ve saldırıyı başlatmak için yeterli zaman olacaktır.

Telefon kaybı

Bu, telefonların çalındığını düşünmeme sebep oldu. Telefonlarda güçlü şifreleme olduğundan, Apple veya Google sıfırlama şifresini almak için sosyal mühendislik grevi yapmadan telefonların daha önce kara pazarda çok fazla ve nispeten değersiz olduğunu düşünmüştüm. Ancak, saldırganlar e-posta adresinizi trende çaldıktan sonra tanırsa, artık herkesin telefonunun risk altında olduğunu düşünüyorum. Basit bir omuz sörfü veya hafif bir internet araştırması bu bilgileri oldukça hızlı bir şekilde elde edebilir ve keşfettiğim şeyle birleştiğinde, ortaya çıkabilecek ciddi bir hasar var.

Güvenlik soruları

PayPal hala güvenlik soruları sunuyor ve bulduklarıma göre bunları kaldıramıyorum, yalnızca yanıtları değiştiriyorum. PayPal'ın güvenlik ayarları sayfasında “Koruma için lütfen 2 güvenlik sorusu seçin. Bu şekilde, herhangi bir şüphe durumunda gerçekten sizin olduğunuzu doğrulayabiliriz.” Ancak bu tür güvenlik sorularını atlamak sosyal mühendislik dünyasında ve çoğumuzun sosyal medyada sahip olduğu veri miktarında genellikle son derece kolaydır, bu nedenle bir finans uygulamasına giriş yapmak için hazır olması çok zor görünüyor.

Peki neden bu kadar kolay?

Bankalar sürekli olarak korsanların (Hackerların) sistemlerinden faydalanmasını ve genellikle bilgimiz olmadan güncelleme yaparak hesaplarımızı güvende tutmalarını zorlaştırıyor. Ancak kredi kartlarımıza ve banka hesaplarımıza sürekli bağlı olan Uber veya eBay gibi uygulamalara atanan bir ödeme yöntemi olarak PayPal kullanırsak bu zincirdeki en zayıf bağlantı değil mi?

PayPal'a suçlamak istemeden bu hikayeden hemen uygulayabileceğiniz birçok önleme tekniği olduğunu düşünüyorum. Bu PayPal'ın hatası değildir ancak tehdit aktörlerinin kötüye kullanmaya çalışacağı ve her zaman tetikte olmamız gereken başka bir geçici çözüm olduğunu kanıtlar.

Önleme yöntemleri

SMS tabanlı çok faktörlü kimlik doğrulamaya güvenmeyin; mümkünse bunun yerine bir kimlik doğrulayıcı uygulaması veya güvenlik anahtarı kullanın.

Bir onay kodunu asla göz ardı etmeyin. Bunu beklemediğinizde bir tane alırsanız, muhtemelen araştırılması gereken bir şey vardır.

Telefonunuzu asla gözetimsiz bırakmayın.

Tüm SMS metin mesajlarının ve diğer uygulama bildirimlerinin önizlemelerini gizleyin.

Telefonunuzu kaybederseniz veya çalırsanız SIM'i kilitlemek için hemen sağlayıcınızı arayın. Ardından telefonu bulup Kayıp moduna geçirmek için Apple'ın "Cihazımı Bul" veya Google'ın "Cihazımı Bul" özelliğini kullanın.

PayPal için ayrı bir e-posta adresi kullanın; diğerleri tahmin edemeyecektir.

Sorudan ilgisi olmayan rastgele parolalara verilen PayPal güvenlik yanıtlarını kapatın veya değiştirin ve bunları parola yöneticinizde saklayın.

Yüz maskesi takarken FaceID'nin Apple Watch ile çalışmasını sağlayan seçeneği kaldırın.

Elbette PayPal'dan bir yanıt istedim, bu yüzden temsilcilerinin söyledikleriyle ilgili olarak sizi bırakmama izin verin: “Sizinle paylaştığınız belgeyi inceledim. Ancak, kullanıcılarımızı PayPal'dan aldıkları güvenlik kodunu kimseyle paylaşmamaları konusunda uyardığımızı lütfen unutmayın.”

Evet sayın Türk Hack Team takipçileri bir konumuzun daha sonuna geldik umarım öğretici bilgiler sunabilmişimdir.
İyi Forumlar Dilerim.

Translate:
oBugraReis and 'Ursula

CiHaN-i TuRaN · 3 Mar 2022

Ellerinize Sağlık

oBugraReis · 3 Mar 2022

CiHaN-i TuRaN' Alıntı:
Ellerinize Sağlık

Teşekkürler.

RasperPascal · 3 Mar 2022

oBugraReis' Alıntı:
Selamlar sayın Türk Hack Team üyeleri ve saygıdeğer yöneticileri:
Sizlere daha önce açtığım "Arkadaşımın PayPal hesabını nasıl ele geçirdim #1" konusunun 2. sini açıyorum.
İyi Okumalar Dilerim.

FaceID yardımcı olur mu?

Bulgulardan birisi Dave'in hesabını ele geçirmem için son işimdi. Geçmişte Dave'in yüz maskesi takmış olsa bile FaceID kullanarak iPhone'unu açtığını gördüm. Bu, Nisan 2021'de iOS 14.5 ile FaceID'yi atlatmak için piyasaya sunulan bir Apple Watch özelliğiydi ve o an hızlı bir şekilde gidip geldim. Bunu Dave'in telefonunda test ettim ve şüpheye göre kendi yüzümü kullanarak kolay çalıştı ve bir yüz maskesi tarafından engellendi. Apple Watch'undan iPhone'unun kilidini açtığımı belirten bir bildirim almış olsa da metin önizlemesini açmak için gereken tek şey bu olurdu. Bu, bir onay kodunu okumak ve saldırıyı başlatmak için yeterli zaman olacaktır.

Telefon kaybı

Bu, telefonların çalındığını düşünmeme sebep oldu. Telefonlarda güçlü şifreleme olduğundan, Apple veya Google sıfırlama şifresini almak için sosyal mühendislik grevi yapmadan telefonların daha önce kara pazarda çok fazla ve nispeten değersiz olduğunu düşünmüştüm. Ancak, saldırganlar e-posta adresinizi trende çaldıktan sonra tanırsa, artık herkesin telefonunun risk altında olduğunu düşünüyorum. Basit bir omuz sörfü veya hafif bir internet araştırması bu bilgileri oldukça hızlı bir şekilde elde edebilir ve keşfettiğim şeyle birleştiğinde, ortaya çıkabilecek ciddi bir hasar var.

Güvenlik soruları

PayPal hala güvenlik soruları sunuyor ve bulduklarıma göre bunları kaldıramıyorum, yalnızca yanıtları değiştiriyorum. PayPal'ın güvenlik ayarları sayfasında “Koruma için lütfen 2 güvenlik sorusu seçin. Bu şekilde, herhangi bir şüphe durumunda gerçekten sizin olduğunuzu doğrulayabiliriz.” Ancak bu tür güvenlik sorularını atlamak sosyal mühendislik dünyasında ve çoğumuzun sosyal medyada sahip olduğu veri miktarında genellikle son derece kolaydır, bu nedenle bir finans uygulamasına giriş yapmak için hazır olması çok zor görünüyor.

Peki neden bu kadar kolay?

Bankalar sürekli olarak korsanların (Hackerların) sistemlerinden faydalanmasını ve genellikle bilgimiz olmadan güncelleme yaparak hesaplarımızı güvende tutmalarını zorlaştırıyor. Ancak kredi kartlarımıza ve banka hesaplarımıza sürekli bağlı olan Uber veya eBay gibi uygulamalara atanan bir ödeme yöntemi olarak PayPal kullanırsak bu zincirdeki en zayıf bağlantı değil mi?

PayPal'a suçlamak istemeden bu hikayeden hemen uygulayabileceğiniz birçok önleme tekniği olduğunu düşünüyorum. Bu PayPal'ın hatası değildir ancak tehdit aktörlerinin kötüye kullanmaya çalışacağı ve her zaman tetikte olmamız gereken başka bir geçici çözüm olduğunu kanıtlar.

Önleme yöntemleri

SMS tabanlı çok faktörlü kimlik doğrulamaya güvenmeyin; mümkünse bunun yerine bir kimlik doğrulayıcı uygulaması veya güvenlik anahtarı kullanın.

Bir onay kodunu asla göz ardı etmeyin. Bunu beklemediğinizde bir tane alırsanız, muhtemelen araştırılması gereken bir şey vardır.

Telefonunuzu asla gözetimsiz bırakmayın.

Tüm SMS metin mesajlarının ve diğer uygulama bildirimlerinin önizlemelerini gizleyin.

Telefonunuzu kaybederseniz veya çalırsanız SIM'i kilitlemek için hemen sağlayıcınızı arayın. Ardından telefonu bulup Kayıp moduna geçirmek için Apple'ın "Cihazımı Bul" veya Google'ın "Cihazımı Bul" özelliğini kullanın.

PayPal için ayrı bir e-posta adresi kullanın; diğerleri tahmin edemeyecektir.

Sorudan ilgisi olmayan rastgele parolalara verilen PayPal güvenlik yanıtlarını kapatın veya değiştirin ve bunları parola yöneticinizde saklayın.

Yüz maskesi takarken FaceID'nin Apple Watch ile çalışmasını sağlayan seçeneği kaldırın.

Elbette PayPal'dan bir yanıt istedim, bu yüzden temsilcilerinin söyledikleriyle ilgili olarak sizi bırakmama izin verin: “Sizinle paylaştığınız belgeyi inceledim. Ancak, kullanıcılarımızı PayPal'dan aldıkları güvenlik kodunu kimseyle paylaşmamaları konusunda uyardığımızı lütfen unutmayın.”

Evet sayın Türk Hack Team takipçileri bir konumuzun daha sonuna geldik umarım öğretici bilgiler sunabilmişimdir.
İyi Forumlar Dilerim.

Translate:
oBugraReis and 'Ursula

Ellerine sağlık dostum

'Börteçine · 3 Mar 2022

eline saglık

oBugraReis · 3 Mar 2022

RasperPascal' Alıntı:
Ellerine sağlık dostum

'Börteçine' Alıntı:
eline saglık

İlginiz İçin Teşekkürler.

MuhammedTr768 · 3 Mar 2022

oBugraReis' Alıntı:
Selamlar sayın Türk Hack Team üyeleri ve saygıdeğer yöneticileri:
Sizlere daha önce açtığım "Arkadaşımın PayPal hesabını nasıl ele geçirdim #1" konusunun 2. sini açıyorum.
İyi Okumalar Dilerim.

FaceID yardımcı olur mu?

Bulgulardan birisi Dave'in hesabını ele geçirmem için son işimdi. Geçmişte Dave'in yüz maskesi takmış olsa bile FaceID kullanarak iPhone'unu açtığını gördüm. Bu, Nisan 2021'de iOS 14.5 ile FaceID'yi atlatmak için piyasaya sunulan bir Apple Watch özelliğiydi ve o an hızlı bir şekilde gidip geldim. Bunu Dave'in telefonunda test ettim ve şüpheye göre kendi yüzümü kullanarak kolay çalıştı ve bir yüz maskesi tarafından engellendi. Apple Watch'undan iPhone'unun kilidini açtığımı belirten bir bildirim almış olsa da metin önizlemesini açmak için gereken tek şey bu olurdu. Bu, bir onay kodunu okumak ve saldırıyı başlatmak için yeterli zaman olacaktır.

Telefon kaybı

Bu, telefonların çalındığını düşünmeme sebep oldu. Telefonlarda güçlü şifreleme olduğundan, Apple veya Google sıfırlama şifresini almak için sosyal mühendislik grevi yapmadan telefonların daha önce kara pazarda çok fazla ve nispeten değersiz olduğunu düşünmüştüm. Ancak, saldırganlar e-posta adresinizi trende çaldıktan sonra tanırsa, artık herkesin telefonunun risk altında olduğunu düşünüyorum. Basit bir omuz sörfü veya hafif bir internet araştırması bu bilgileri oldukça hızlı bir şekilde elde edebilir ve keşfettiğim şeyle birleştiğinde, ortaya çıkabilecek ciddi bir hasar var.

Güvenlik soruları

PayPal hala güvenlik soruları sunuyor ve bulduklarıma göre bunları kaldıramıyorum, yalnızca yanıtları değiştiriyorum. PayPal'ın güvenlik ayarları sayfasında “Koruma için lütfen 2 güvenlik sorusu seçin. Bu şekilde, herhangi bir şüphe durumunda gerçekten sizin olduğunuzu doğrulayabiliriz.” Ancak bu tür güvenlik sorularını atlamak sosyal mühendislik dünyasında ve çoğumuzun sosyal medyada sahip olduğu veri miktarında genellikle son derece kolaydır, bu nedenle bir finans uygulamasına giriş yapmak için hazır olması çok zor görünüyor.

Peki neden bu kadar kolay?

Bankalar sürekli olarak korsanların (Hackerların) sistemlerinden faydalanmasını ve genellikle bilgimiz olmadan güncelleme yaparak hesaplarımızı güvende tutmalarını zorlaştırıyor. Ancak kredi kartlarımıza ve banka hesaplarımıza sürekli bağlı olan Uber veya eBay gibi uygulamalara atanan bir ödeme yöntemi olarak PayPal kullanırsak bu zincirdeki en zayıf bağlantı değil mi?

PayPal'a suçlamak istemeden bu hikayeden hemen uygulayabileceğiniz birçok önleme tekniği olduğunu düşünüyorum. Bu PayPal'ın hatası değildir ancak tehdit aktörlerinin kötüye kullanmaya çalışacağı ve her zaman tetikte olmamız gereken başka bir geçici çözüm olduğunu kanıtlar.

Önleme yöntemleri

SMS tabanlı çok faktörlü kimlik doğrulamaya güvenmeyin; mümkünse bunun yerine bir kimlik doğrulayıcı uygulaması veya güvenlik anahtarı kullanın.

Bir onay kodunu asla göz ardı etmeyin. Bunu beklemediğinizde bir tane alırsanız, muhtemelen araştırılması gereken bir şey vardır.

Telefonunuzu asla gözetimsiz bırakmayın.

Tüm SMS metin mesajlarının ve diğer uygulama bildirimlerinin önizlemelerini gizleyin.

Telefonunuzu kaybederseniz veya çalırsanız SIM'i kilitlemek için hemen sağlayıcınızı arayın. Ardından telefonu bulup Kayıp moduna geçirmek için Apple'ın "Cihazımı Bul" veya Google'ın "Cihazımı Bul" özelliğini kullanın.

PayPal için ayrı bir e-posta adresi kullanın; diğerleri tahmin edemeyecektir.

Sorudan ilgisi olmayan rastgele parolalara verilen PayPal güvenlik yanıtlarını kapatın veya değiştirin ve bunları parola yöneticinizde saklayın.

Yüz maskesi takarken FaceID'nin Apple Watch ile çalışmasını sağlayan seçeneği kaldırın.

Elbette PayPal'dan bir yanıt istedim, bu yüzden temsilcilerinin söyledikleriyle ilgili olarak sizi bırakmama izin verin: “Sizinle paylaştığınız belgeyi inceledim. Ancak, kullanıcılarımızı PayPal'dan aldıkları güvenlik kodunu kimseyle paylaşmamaları konusunda uyardığımızı lütfen unutmayın.”

Evet sayın Türk Hack Team takipçileri bir konumuzun daha sonuna geldik umarım öğretici bilgiler sunabilmişimdir.
İyi Forumlar Dilerim.

Translate:
oBugraReis and 'Ursula

Elinize sağlık hocam faydalı bir konu

oBugraReis · 5 Mar 2022

MuhammedTr768' Alıntı:
Elinize sağlık hocam faydalı bir konu

Teşekkürler.

BySciaa · 5 Mar 2022

elinize sağlık

Arkadaşımın PayPal hesabını nasıl ele geçirdim #2

oBugraReis

Moderatör

CiHaN-i TuRaN

Kıdemli Üye

oBugraReis

Moderatör

RasperPascal

Katılımcı Üye

'Börteçine

Yaşayan Forum Efsanesi

oBugraReis

Moderatör

MuhammedTr768

Kıdemli Üye

oBugraReis

Moderatör

BySciaa

Katılımcı Üye

Sosyal medya sayfalarımız