If you are looking for an English version of this article, please visit here.
Siber güvenlik dünyasında olan biteni Twitter’dan takip ettiği için bir gözü Twitter’da olan bir güvenlik araştırmacısı olarak, 2018 Ağustos ayı itibariyle Twitter’da karşıma banka müşterilerini hedef alan sponsorlu oltalama (phishing) reklamlarının çıkmaya başladığını farkettim. Başlarda bu tweetleri sadece Twitter’a bildirmekle yetinsem de, takipçilerimden gelen mesajların sayısının artması ve bu reklamların Ekim ayına kadar sürdüğünü görünce bu konuyla yakından ilgilenmeye karar verdim.
Oltalama tweetlerinden birinde yer alan bağlantı adresini takip ettiğimde dolandırıcıların, müşterinin internet bankacılığına giriş esnasında kullandığı kullanıcı adını, parolasını, sms ile gönderilen doğrulama kodunu ve ardından da para transferinde kullanılan sms doğrulama kodunu çaldıklarını gördüm.
Çoğunuz gibi benim de Twitter’da bu sponsorlu oltalama reklamlarını gördükçe aklıma aşağıdaki bazı sorular ve yanıtları takıldı.
Sorulara teker teker yanıt aramaya koyulduğumda, kendi kendime ilk soruya yanıt bulmam mümkün olamasa da, Twitter’ın bu oltalama reklamları karşısında bu kadar çaresiz (belki de vurdumduymaz) kalmasına oldukça şaşırdığımı söyleyebilirim. İkinci sorunun yanıtını bulmaya geldiğimde, oltalama için kullanılan hesapların eski tarihli olmasının muhtemel sebebi, Twitter’ın buradaki yardım sayfasında belirttiği üzere kullanıcı adının değiştirilmesine imkan tanımasıydı. Bu bilgiden yola çıkarak, oltalama tweetleri için kullanılan bu hesapların kuvvetle muhtemel hacklendiğini ve dolandırıcıların amaçları doğrultusunda kullanıldığını söyleyebiliriz. Sıra son soruya, oltalama tweetlerinin nasıl tespit edileceğine yanıt bulmaya geldiğinde, çoğu mesajda ortak olan kelimelerden (ŞANSLI KİŞİ, KATILIM YAPAN, YUKARIDAK) yola çıkarak Optik Karakter Tanıma (OCR) teknolojisi ile bu tweetleri tespit etme konusunda bir çalışma yapmaya karar verdim.
Çoğu banka müşterisinin karşılaştığı bu oltalama tweetlerini bankaların resmi Twitter hesapları ile paylaştığını gördükten sonra aracı hızlıca aklımda tasarlamaya başladım. Aracın temel olarak yapması gerekenler, Twitter’da banka isimlerini aramak, tweetlerde paylaşılan resimleri indirmek, OCR ile analiz etmek ve “ŞANSLI KİŞİ, KATILIM YAPAN, YUKARIDAK” kelimelerini tespit etmesi durumunda e-posta ile uyarmaktı. Uydurduğum, “Düşünmek, kodlamanın yarısıdır.” sözünden yola çıkarak Python ile bu aracı kodlamaya başladıktan kısa bir süre sonra Tweepy isimli Python kütüphanesinden faydalanarak geliştirdiğim Phishing Tweet Detector aracı ortaya çıktı.
Aracı çalıştırdıktan kısa bir süre sonra bir Twitter kullanıcısının banka ile paylaştığı oltalama tweeti bu araç tarafından tespit edilmiş ve kurumların, vatandaşların bu tür dolandırıcılarla mücadele edebilmesine yardımcı olabilme adına ortaya koyduğum bir fikrim daha başarıyla hayata geçmiş oldu. :)
Yazıma son noktayı koymadan önce dolandırıcılarla mücadele için oltalama mesajları ile karşılaşanların bunları en kısa sürede bankalarına, bulunduğu sosyal ağ platformuna bildirmelerinin (Tweet’i bildir gibi) çok ama çok önemli olduğunun altını çizmek isterim.
Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.
18 comments
Bu aracı güncelleme gerekli hocam. Link kısaltma servisleri kullanıyorlar. Twitlere herhangi birşey yazmıyorlar. Sadece fotoğraf oluyor genelde. USOM bu konuda çok hızlı çalışıyor. Mail attığım linki 12 dk içerisinde engellediler az önce. Ama onlara da bu konuda veri sağlanması gerekiyor. Şuan manuel de olsa bu içerikleri bulmak için bir yol keşfedemedim. Denk gelirsem bildiriyorum. Bildiğiniz bir yöntem varsa paylaşırsanız sevinirim
Araçlarımı yayınladıktan sonra güncellemeyi, geliştirmeyi okurlarıma ve meraklılarına bırakıyorum.
Teşekkür ederim rahatsız ettim hocam
Herhangi bir bilgi paylaşımı yapmadım hocam.linke tıkladım.bankanın internet şubesi ekranına yönlendirdi.müşteri numaram, şifrem ve telefona gelen şifreyi girdim.kampanyaya katılımınız alınmıştır falan gibi birşey yazdı ben hemen farkedip bankayı aradım onlarda gerekli işlemleri yaptılar.acaba bunlara bize açılan ekranın aynısımı açılıyor.yani yaptıkları işlemden daha fazla para vardı.göremiyorlar mı acaba?hesaptan çıkıp kişisel bilgilerime falan bakmış olabilirler mi 1 dk içinde?
Bu işi otomatik olarak bir program yardımıyla yapıyorlarsa her zaman bir ihtimal var. Bakıp, bakmadıklarını bankanız söyleyebilir.
hocam kusura bakmayın bir şey daha sorabilir miyim? bu yapılan işlem işlem aşağı yukarı 30 sn sürdü.bu arada bu kişiler benim kimlik bilgilerimi falan almış olabilirler mi acaba? Banka bununla ilgili yani şüpheli kimlik bildirimi gibi bir işlem yaptı ama işte insanın aklına bin türlü şey geliyor
Dolandırıcılara hangi bilgilerinizi verdiyseniz, internet şube hesabınıza girildiğinde hangi bilgileriniz görüntülenebiliyorsa aşağı yukarı onlarla sınırlıdır diyebiliriz.
Allah razı olsun hocam hesabıma girip 180 tl yükleme yaptılar. ama herşeyi ben kendi ellerimle yaptım.linke tıkladım beni bankanın internet şubesine yönlendirdi.müşteri numaramı girdim.şifreyi girdim.sonra cep telefonuma gelen şifreyi girdim.onu girdikten sonra farketttim ve hemen bankayı aradım hesapları bloke ettiler vs vs o arada 180 tl yükleme yapmışlar ama…yani herhangi bir uygulama kurmamı istemediler ama içim hiç rahat değil şimdi internet bankacılığım felanda bloke geri kullanmaya korkuyorum kişisel bilgilerim felanda çalınmış olabilir diye.banka onun içinde önlem aldı ama yinede içim rahat değil
hocam onu nereden bilebiliriz.banka herhangi bir sıkıntı yok diyor.işlem cep telefonundan yapıldı.cep telefonunu değişsek mi acaba her ihtimale karşı
Cep telefonuna bir uygulama kurmanız istenmediyse dolandırıcılık enasında gerek olmayabilir. İçim rahat etsin derseniz cihazı fabrika ayarlarına çevirmeniz yeterli olur.
hocam merhaba bunların ağına bir kez takılan kişi bankadan gerekli önlemleri aldırdıktan sonra eskisi gibi güvenli şekilde yine internet bankacılığı ve cep şubesi gibi kanalları sağlıklı bir şekilde kullanabilir mi acaba?
Cep telefonuna veya bilgisayara indirterek zararlı yazılımla yaptıkları bir dolandırıcılık girişimleri olmadıysa bankanın aldığı aksiyonlar yeterli olur diye düşünüyorum.
Hocam eline sağlık, çok güzel bir yazı olmuş. Yaptığınız kodlamayı da görünce açıkca çok sevindim. Bulunduğum kurumda bu konuda çok şikayet alıyordum. İlk işim sizin aracınızı kullanmak olacak. Saygılar…
;)
mert hocam çok önemli bir konuyu ele almışsınız oltalama saldırılarına twitterin önlem almaması düşündürücü.
Kesinlikle.
3.5
4.5