Kripto Para Dolandırıcıları

If you are looking for an English version of this article, please visit here.

Yıllar içinde dolandırıcılar tarafından kimi zaman direkt (LinkedIn Dolandırıcıları, Sponsorlu Dolandırıcılık) kimi zaman dolaylı yoldan hedef alındıkça (Profilime Kim Baktı ?), bunları blog yazısına döküp etrafımdakileri bu konuda uyarmayı kendime görev edindim. Öyle ki bazı zamanlarda eşten, dosttan, yakın çevremden de dolandırıcılık girişimleri ile ilgili mesajlar alıp, bunları da (Instagram Dolandırıcıları) fırsat buldukça yazıya dökmeye çalıştım. Bu defa da yine kaleme aldığım yeni bir dolandırıcılık girişimi ile karşınızdayım.

2022 yılının Haziran ayında Twitter hesabımdan da duyurduğum üzere bu girişim, Anna isimli korumalı Twitter hesabından 14 Haziran 2022 tarihinde gelen bir mesaj ile başladı. Bu mesajda Anna, uzun zamandan beri beni görmediğinden bahsederek sohbete başladı. Adımı (Mark), nerede yaşadığımı (Türkiye’de yaşayan bir Belçikalı) ve çalıştığımı (Bir FinTek firmasında Finansal İşler Müdürü (CFO)) öğrendikten sonra konu nerelere nasıl yatırım yaptığımdan, Bitcoin kripto parasının o zamanlardaki değer kaybına geldi.

Sohbete bir süre ara verip bir yandan Anna’nın profilindeki fotoğrafının sahte olduğunu düşünerek fotoğrafın gerçekte kime ait olduğunu bulmaya karar verdim. Bunun için Yandex arama motorunun Görsel Arama özelliğini kullanarak profil fotoğrafının Çinli Shasha Zhao isimli bir kişiye ait olduğunu tespit ettim. Shasha’nın profilinde paylaştığı fotoğraflara göz attığımda ise Anna’nın profil fotoğrafında yer alan fotoğrafı bulmam çok zor olmadı.

Sohbetimizin başlarında Singapur‘da yaşadığını ve konfeksiyon şirketi sahibi olduğunu söyleyen Anna, sohbete WhatsApp üzerinden devam etmek istediğini belirttikten sonra cep telefonu numarası olarak ABD’den bir numarayı (+19295654212) benimle paylaştı. E hani Singapur’da yaşıyordun diye üzerine gittikten sonra manevra yaparak iş nedeniyle ABD’de yaşadığını belirtti. Ardından ilgimi çekmek için ise 300.000$ ile kripto para yatırımından yaklaşık 715.000$ kazandığını paylaştı. Ben de kendisinin beni hızlıca avlayarak taktiklerini ortaya dökmesi için 500.000$ ile yatırım yapmayı düşündüğümü paylaştım.

Kendisiyle onun çok iyi bir yatırımcı olduğunu ve onunla yatırım yapmak istediğimi paylaştıktan sonra kısa vadeli yatırım için MonexCrypto isimli platforma girmem gerektiğini söyledi. Bunun için de https://app[.]monexcrypto[.]net adresini ziyaret edip mobil uygulamayı indirip kayıt olmam gerektiğini paylaştı.

Uygulamayı indirmek için web sayfasına gidip kaynak koduna baktığımda uygulamanın hem Android (update.apk) hem de iOS sürümü olduğunu öğrendim. Android uygulamasını VirusTotal‘a ve Pithus isimli mobil tehdit istihbaratı platformuna yükleyip oldukça şüpheli görünen çıktılarına kabaca göz attıktan sonra zararlı yazılımlara çok daha az rastlanan iOS işletim sistemi için geliştirilmiş olan sürümünü detaylı olarak incelemeye karar verdim.

3. parti uygulamaların iOS işletim sistemi üzerinde çalışmasına imkan tanıyan mobileprovision dosyasının GitHub üzerinde saklandığını gördükten sonra Apple’ın Geliştirici Programı’na kayıtlı, imza yetkisi olan yazılımcı/firma (QuanLi Network Technology Co., Ltd. (SRD7J8LLBV)) ile ilgili bilgileri görüntüledim.

Sıra Apple aygıtlarına ayarları ve yetkilendirme bilgilerini yükleyen verilerden oluşan app.mobileconfig XML dosyasını incelemeye geldi. Dosyayı Xcode içinde yer alan Simulator uygulaması üzerinde çalıştırdığımda bunun https://www.monexcrypto.net web sayfasını açmaya yarayan bir Web Klip (WebClip) olduğunu ve Gang Dai isimli bir geliştiri tarafından imzalanmış olduğunu öğrendim.

Web klipleri: Web kupürü, aygıtın Ana Ekran’ında bir web sitesine veya URL’ye bağlantı sağlayan bir simgedir. Web klipleri isteğe bağlı olarak tam ekran web uygulamalarını başlatabilir ve HTML5 yerel saklama alanını kullanarak çevrimdışı çalışabilir. Konfigürasyon profilleri özel bir başlık ve simge kullanan ve isteğe bağlı olarak silinemez yapılabilen web klipleri içerebilir. Web klipleri, öğrencileri eğitim amacıyla belirli web sitelerine yönlendirebilir. Bir aygıttaki web kupürlerini ayarlama hakkında daha fazla bilgi için Apple Geliştirici belgelerindeki WebClip profil sayfasına bakın.

Web sitesine kayıt olmaya çalıştığımda kayıt formundaki bir alana Kuruluş Kodu girmem bekleniyordu. Dolandırıcılar tarafından forma böyle bir kod koyulmasının amacı muhtemelen siber güvenlik araştırmacılarının ve/veya siber güvenlik üreticilerinin bu sayfayı tespit edip, bilgi toplamalarını engellemekti ve bu zamana kadar da bunu başarmışlardı. Zaman kazanmak için ara ara Anna’ya uygulama kurulumunda hata aldığımı söylediğimde sağolsun ekran görüntüleri ile bana yardımcı olmak için elinden geleni yapıyordu. :) Ben de bunun üzerine kuruluş kodunu öğrenmek için Anna’dan yardım istemeye karar verdim. :)

Sıra Kuruluş Kodunu öğrenmeye geldiğinde heyecandan ilk önce Çince kelimeler yazan Anna (muhtemelen İngilizce’si pek iyi olmadığı için Çince-İngilizce çeviri programı kullanarak benimle iletişim kuruyordu) daha sonra forma girmem gereken kodu (768919) benimle paylaştı.

Başarıyla kayıt olup Web Klip ile web sitesini gezmeye başladığımda ilk olarak bir kripto para platformunda olan temel menülerin (anlık piyasa takibi, cüzdana para yatırma, çekme vb.) olduğunu gördüm.

Daha sonra dolandırıcıların kurbanlarını ağlarına düşürmek için en ideal yer olabileceğin düşündüğüm kripto para alma ve çekme sayfası olan Recharge sayfasını ziyaret ettim. Diğer borsalarda, platformlarda olduğu gibi ziyaret ettiğimde karşıma kripto para cüzdanlarıma ait adresler çıktı.

Tarih 28 Haziran 2022‘yi gösterdiğinde, kurbanını dolandırmaya çok yakın olduğunu anlayan Anna, cüzdanıma Binance isimli kripto para borsası üzerinden nasıl kripto para (USDT) göndereceğim konusunda beni yönlendirmeye başladı.

İçten içe acaba Anna gerçekte hangi ülkeden benimle bağlantı kuruyor sorusu kafamı meşgul etmeye başladıkça Anna’nın IP adresini öğrenmek için neler yapabileceğimi düşünmeye başladım. Twitter profilimde kocaman Cyber Security Researcher yazmasına rağmen benden hiç şüphelenmeyen ve ağına düşürmek için planını 15 gündür ilmek ilmek işletmeye devam eden Anna’nın Operasyon Güvenliği (OPSEC) ile ilgili pek bir kaygısı olmadığını tahmin ediyordum. Bu sebeple Anna ile web sitemde barındırdığım ekran görüntülerinin adreslerini Bitly URL kısaltma servisinden faydalanarak paylaşmaya ve IP adresini elde etmeye karar verdim.

Anna, paylaştığım 3 tane bit.ly adresine tıklamaktan zerre kadar imtina etmediği için SOCRadar IOC Radar üzerinden kısa sürede Hong Kong‘da yer alan 45.204.66.140 IP adresinden benimle iletişim kurduğunu öğrenmiş oldum.

MonexCrypto web sitesini gezmeye kaldığım yerden devam ettiğimde, Bitcoin ve Ethereum kripto para cüzdanlarıma ait kripto para adreslerinin gerçek kripto para borsalarında olduğu gibi sadece bana özel üretilip üretilmediğini kontrol etmeye karar verdim. Şayet bu cüzdan adresleri dolandırıcılara ait ise ve her platforma üye olan kişiye (kurban) cüzdan adresi olarak kendi adreslerini gösteriyorlar ise kolay yoldan kurbanlarına ait kripto paraları rahatlıkla çalabilirlerdi. Buna yönelik yaptığım araştırmalar sonucudan;

Feragatname: Herhangi bir hataya karşı Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency kitabında olduğu gibi uçtan uca kripto para transferlerini takip edebilecek bir IRS ajanı veya Blockchain uzmanı olmadığımı hatırlatmış olayım. :)

MonexCrypto web sitesine kayıt olduğum 26 Haziran 2022 tarihinden 29 Ocak 2023 tarihine kadar aşağı yukarı 5 defa MonexCrypto web sitesine girip cüzdan adreslerimi her kontrol ettiğimde değiştiklerini gördüm. Bu bilgilere göre cüzdan adresleri kişiye özel üretilmeyip dolandırıcıların kendi cüzdan adresleriydi ve belli aralıklarda bu adresleri değiştiriyorlardı. Not aldığım değişen cüzdan adreslerimi ve bu cüzdanlara yapılan para transferlerini kabaca alt alta koyup topladığımda, dolandırıcıların tahminimce yaklaşık 3 milyon dolar değerinde kripto para çaldıklarını anladım.

Tabii ben Anna’nın maskesini düşürmeye çalışırken 18 Temmuz 2022 tarihinde FBI, MonexCrypto gibi sahte kripto borsa/yatırım uygulamaları üzerinden yapılan dolandırıcılık girişimlerine karşı bir uyarı yayınladı. Bu uyarıya göre dünya genelinde 244 kişiden yaklaşık 42.7 milyon dolar değerinde kripto para çalınmıştı. 3 milyon dolarının nasıl çalındığını çoktan öğrenmiştim. :)

2021 yılında FBI’ın İnternet Suçları Şikayet Merkezi’ne bu dolandırıcılık yöntemiyle ilgili olarak 4.300‘den fazla başvuru yapılmış ve toplamda 429 milyon dolardan fazla kayıp yaşanmıştır. Kasım ayının sonunda ise ABD Adalet Bakanlığı, 2022 yılında dolandırıcılar tarafından kullanılan yedi alan adına el koyduğunu açıkladı. (Kaynak: Wired)

14 Haziran 2022 tarihinden 6 Temmuz 2022 tarihine kadar beni dolandırmak için tüm ikna yollarını tüketen Anna, 6 Temmuz tarihinde isyan bayrağını çekerek sitem dolu mesajlar göndermeye başladı. Ben de dişe diş kana kan diyerek 1 Ağustos 2022 tarihinde Anna’ya FBI’ın uyarısını ileterek kötü adam gülüşüyle sohbetimize son noktayı koymuş oldum. :)

Anlaşılan o ki Anna ilerleyen aylarda hız kesmeden gözüne kestirdiği yeni kurbanlarını ağına düşürmeye devam etmiş ve de başarılı olmuş ki SOCRadar Siber Tehdit İstihbaratı platformunda zararlı yazılım (Stealer) tarafından çalındığı tespit edilen bilgiye göre 5 Eylül 2022 tarihinde monexcrypto.net sitesine giriş yapan bazı kullanıcıların parolaları da çalınmıştı.

Ekim ayına geldiğimizde ise Monex Grubu, başta monexcrypto.net web sitesi olmak üzere iki web sitesinin daha grup logolarını izinsiz kullandığına dair bir uyarı yayınladı.

Sonuç itibariyle Anna ve klavye arkadaşlarının Pig Butchering Scam adı verilen, iyi kurguladıkları bu dolandırıcılık yöntemi ile nasıl milyonlarca dolar vurgun yaptıklarını, Apple App Store ve Google Play Store’dan indirdiğimiz uygulamalardan, sosyal medya üzerinden gelen mesajlara kadar neden çok dikkat etmemiz gerektiğini diğer yazılarımda da olduğu üzere detaylı bir şekilde öğrenmiş olduk.

Farkındalık yaratma adına bu yazıyı arkadaşlarınızla, dostlarınızla ve sevdiklerinizle paylaşmanızı önemle rica eder, bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

Show this post in PDF formatPrint this page