devamı
#hack hırsızlık ve öğrenilen ek Opsec derslerine ilişkin güncelleme:
Artık #2FA baypas saldırı vektörünün orta saldırıdaki bir adam olduğunu da doğruladım. Indeed iş arama platformundan, 14 gün içinde hesabımın silinmesi yönünde bir talep aldıklarını bildiren bir e-posta aldım. O sırada yataktaydım ve bunu telefonumdan mobil Gmail uygulaması aracılığıyla yapıyordum.
Indeed'i uzun süredir kullanmamıştım ve umurumda da değil ama açıkçası böyle bir talepte bulunmadığım için bunun alışılmadık bir durum olduğunu düşündüm. Güvenlik önlemi nedeniyle böyle bir talepte kimin bulunduğunu öğrenmek ve Indeed'in erişim kayıtlarının olup olmadığını kontrol etmek istediğimden telefonuma dokundum.
Indeed'i uzun süredir kullanmadığım için şifremi hatırlamıyordum ve doğal olarak Google ile Oturum Aç'ı seçtim. Beni Indeed'e götürdü ve bir istek günlüğü bulamadım. Eski giriş bilgilerimin zaten darkweb'de olduğunu bildiğim için birisinin Indeed'ime girmiş olması gerektiğini düşündüm ve 2FA'yı etkinleştirmeye devam ettim.
Dürüst olmak gerekirse, silinmiş olsa bile Indeed'i pek umursamadım ve bunun, eski bir veritabanı sızıntısından elde edilen eski bir giriş bilgileri ile uğraşan küçük bir hobi korsanı olduğunu düşündüm.
Indeed e-postasının bir #spoofed kimlik avı saldırısı olduğu ortaya çıktı. Gmail uygulamasında tıkladığım Indeed bağlantısı, komut dosyasıyla yazılmış bir Güney Kore web bağlantısıydı ve bu bağlantı beni sahte bir Indeed sitesine yönlendirdi; bu site, Google ile Oturum Açma işlemimi yakaladı ve ardından beni gerçek Indeed sitesine yönlendirdi. Oturum çerezini ele geçirerek 2FA'yı atlamalarını sağladılar, ardından Google hesabıma erişerek tarayıcı senkronizasyonunu kötüye kullandılar.
Öğrenilen diğer genel Opsec dersleri:
1. Mobil Gmail uygulaması, gönderenin gerçek e-posta adresini veya bağlantı URL'lerini varsayılan olarak göstermez; bu, büyük bir opsec kusurudur. Mobil e-posta istemcinizdeki mobil bağlantılara dokunmaktan kaçının.
2. Google ile Oturum Açmayı veya diğer #oAuth özelliklerini kullanmaktan kaçının. 2FA'yı atlamak için kimlik avı saldırılarının kolaylığı nedeniyle kolaylık buna değmez. Kimlik avı bağlantısına tıklamak olmasa bile, sizin hatanız olmaksızın normal bir web sitesinin güvenliği ihlal edilebilir. 2FA güvenliğinin beklentileri gardımı düşürdü.