devamı
#hack hırsızlık ve öğrenilen ek Opsec derslerine ilişkin güncelleme:
Artık #2FA baypas saldırı vektörünün orta saldırıdaki bir adam olduğunu da doğruladım. Indeed iş arama platformundan, 14 gün içinde hesabımın silinmesi yönünde bir talep aldıklarını bildiren bir e-posta aldım. O sırada yataktaydım ve bunu telefonumdan mobil Gmail uygulaması aracılığıyla yapıyordum.
Indeed'i uzun süredir kullanmamıştım ve umurumda da değil ama açıkçası böyle bir talepte bulunmadığım için bunun alışılmadık bir durum olduğunu düşündüm. Güvenlik önlemi nedeniyle böyle bir talepte kimin bulunduğunu öğrenmek ve Indeed'in erişim kayıtlarının olup olmadığını kontrol etmek istediğimden telefonuma dokundum.
Indeed'i uzun süredir kullanmadığım için şifremi hatırlamıyordum ve doğal olarak Google ile Oturum Aç'ı seçtim. Beni Indeed'e götürdü ve bir istek günlüğü bulamadım. Eski giriş bilgilerimin zaten darkweb'de olduğunu bildiğim için birisinin Indeed'ime girmiş olması gerektiğini düşündüm ve 2FA'yı etkinleştirmeye devam ettim.
Dürüst olmak gerekirse, silinmiş olsa bile Indeed'i pek umursamadım ve bunun, eski bir veritabanı sızıntısından elde edilen eski bir giriş bilgileri ile uğraşan küçük bir hobi korsanı olduğunu düşündüm.
Indeed e-postasının bir #spoofed kimlik avı saldırısı olduğu ortaya çıktı. Gmail uygulamasında tıkladığım Indeed bağlantısı, komut dosyasıyla yazılmış bir Güney Kore web bağlantısıydı ve bu bağlantı beni sahte bir Indeed sitesine yönlendirdi; bu site, Google ile Oturum Açma işlemimi yakaladı ve ardından beni gerçek Indeed sitesine yönlendirdi. Oturum çerezini ele geçirerek 2FA'yı atlamalarını sağladılar, ardından Google hesabıma erişerek tarayıcı senkronizasyonunu kötüye kullandılar.
Öğrenilen diğer genel Opsec dersleri:
1. Mobil Gmail uygulaması, gönderenin gerçek e-posta adresini veya bağlantı URL'lerini varsayılan olarak göstermez; bu, büyük bir opsec kusurudur. Mobil e-posta istemcinizdeki mobil bağlantılara dokunmaktan kaçının.
2. Google ile Oturum Açmayı veya diğer #oAuth özelliklerini kullanmaktan kaçının. 2FA'yı atlamak için kimlik avı saldırılarının kolaylığı nedeniyle kolaylık buna değmez. Kimlik avı bağlantısına tıklamak olmasa bile, sizin hatanız olmaksızın normal bir web sitesinin güvenliği ihlal edilebilir. 2FA güvenliğinin beklentileri gardımı düşürdü.
LIVE9. Güvenliğinizi düzenli olarak gözden geçirmeyi ve standart bir çalışma prosedürü oluşturmayı alışkanlık haline getirin. Saldırganlar çok uzun bir süre bekledikten sonra hareketsiz kalabilir ve saldırmak için doğru anı bekleyebilirler.
FWIW Bir donanım cüzdanım var, bu tehlikeye atılmadı. Evet, elbette mümkün olduğunda donanım cüzdanlarını kullanmalısınız. Ayrıca bunun vergiden kaçmak olduğunu iddia edenler şunu bilsinler ki, hırsızlık veya hacklemelerden kaynaklanan vergiler 2017 yılından itibaren artık kesilemiyor.
Son rakam yaklaşık 677 bin dolar. Ne yazık ki kullanıcı Tornado'ya başladı. Saldırganla ilgili bazı ek ipuçlarım var ancak kullanıcı kimliğini belirlemeye devam etmek adına bunu şimdilik gizli tutacağım. Ayrıca o zamandan beri bir polis raporu hazırladım ve CEX'lere, saldırganın gönderdiği fonların bir kısmını onlara bildirdim.
Uzak bir ihtimal ama hiçbir soru sorulmadan ve daha fazla soruşturma yapılmadan fonların iadesi karşılığında 150 bin dolarlık bir ödül teklif etmeye hazırım. Ayrıca ödüle dayalı bir adli tıp hizmetini de düşünürdüm (ön ödemeli hizmetler, zahmet etmeyin). Pahalı bir ders ama hâlâ buradayım. Acı verici bir gerileme ama gösterinin devam etmesi gerekiyor.
Yukarıdaki soruşturma şu gönderiyle başlatıldı:
(@sell9000
46 saat önce birden fazla cüzdan uygulamasından 500 bin dolar çektiğimi az önce fark ettim
Chrome tarayıcımda görünen iki şüpheli uzantıyla uzantı saldırısına uğradığımı düşünüyorum
kendimi iyi hissetmiyorum ailem
hala araştırıyorum)
