Arkadaşım sana son defa cevap yazıyorum ve ana başlığa "bu bir güvenlik destek hizmeti değildir" ibaresi koyacağım.
1 -) 1 Login ve 2 withdraw işlemi için 3 tane 2FA kodu gerekiyor. Burada kullanıcı bu kodu sadece 1 defa giriyor ve login+withdraw+withdraw süreleri arasında dakikadan fazla zaman var.
2 -) Konu benim bilgisayarımda olmadı, onu bile anlamamışsın, okuma konusunda cidden sıkıntıların var.
3 -) Binance web servis üzerinden istediğim kullanıcının 2FA bilgisini çekebiliyorum, bunu binance a bildirdim ve sorunun çözülmesini istiyorum, show yapmak için değil senin gibi arkadaşlarımıza iyiliğim dokunsun diye bu başlığı açma hatasını yaptım. Bu iyiliği sizin hak ettiğinizi düşündüm sadece. Normalde güvenlik analizleri çok yüksek paralara yapılır.
4 -) Kimse VIA coin olayında aşılan 2FA ları açıklamıyor, binance ilk açıklaması BOT yaptı, 2. açıklaması pishing ile oldu şeklinde. Asıl tutarsız şey arıyorsan, binance ın bakım var diye apar topar 3 gün tüm siteyi kapatmasının altındaki nedenleri araştır.
5 -) Malesef Türk insanı herşeyin uzmanı ve bilginidir, her gizemli durumu 5dk lık muhabbet arasında açıklayabilir ve çözüme kavuşturabilir. Bu kavramı çok iyi biliyorum, Hacker Türkten öğrensin.

Lütfen sen daha da yazma çok rica ediyorum senden.

Hala saçma mantıklar üzerinden yürüyorsun ama yine de cevap vermeye çalışayım.

1 - Tüm borsalarda toplu withdraw işlemleri için triggerlar bulunur ve hackerlar bunu yapamayacaklarını biliyor olmalı.
2 - Telefon da pishing yese yine Binance 2FA yı withdraw aşamasında geçecek bir bilgiye erişim imkanı yok. Telefonun içinde 2FA Recovery Phrase çıkmaz.

Sizi anlıyorum, bu foruma hele türkçe bölüme böyle bir iddia ile gelen birisini illa ki aşağılayacaktınız. Bu beklentiyle açtım başlığı zaten.
Sadece uyarımı yapayım, gerisi beni ilgilendirmez.

Sana birşey ispatlamama gerek yok. Sadece insanları uyarmak için bu başlığı açtım.
Okumadan saçma sorular sorup durma lütfen.

Hiç bir tutarsızlık yok, dikkatli okuyun, birisi Gmail 2FA, diğeri Binance 2FA. Bu konu yoğun dikkat gerektiriyor.

Binance 2FA yı pishing ile aşamazlar (withdraw aşamasında).
Gmail 2FA yı pishing ile aşabilirler.
İstediğiniz detaylar ana mesajda verdiğim linklerde mevcuttur.

Edit (14.03.2018) : Problem çözülmüştür.

Binance'de 2FA açığı var, paranızı çalarlar ve Binance sorumluluk almaz, ortada kalırsınız!

Önemli not : Bu bir güvenlik destek hizmeti başlığı değildir. Sadece bilgilendirme amaçlı açılmış ve sizin kendi fikirlerinizin önem arz etmediği, tecrübeyle sabit bir duruma ait mesaj içermektedir. Alacağınız aksiyon sadece sizi ilgilendirir.

2-3 Mart da yakın bir arkadaşımın bilgisayarına virüs yerleştirip 1.3 BTC / ~60.000 TL parasını çaldılar.
Kısaca hacker 2FA korumalı hesaba login olmuş ve tam 2 tane 2FA korumalı withdraw işlemi yapabilmiş. Bunu pishing ile yapmanın imkanı yoktur.
Güvenlik yazılımları uzmanı olduğum için arkadaşım bana geldi ve biz de ekip olarak olayı inceledik.
Bu incelemenin sonunda gördük ki Binance borsasındaki 2FA korumasını aşmanın bir yolu mevcut.

Bilgisayarda ve cep telefonunda Bitdefender antivirüs kurulu durumda idi. Gmail ve Binance 2FA korumaları açıktı.
Arkadaşımın bilgisayarına Trojan ve Keylogger yerleştirip e-mail dahil bütün şifrelerini almışlar, Gmail 2FA yı da pishing ile aşmışlar.
Fakat Binance 2FA korumasını aşmalarının normalde bir yolu yok.

Bunu detaylı incelediğimizde ki tam bir ispat çıkarmak 1 haftamızı aldı, gördük ki web sitesi, masaüstü uygulaması ve mobil uygulamaların ortak kullandığı web serviste güvenlik açığı var.
Bu durum geçen gün yaşanan VIA coin olayını da açıklar nitelikte. Orada da 2FA korumalı ve API key oluşturmamış hesaplar VIA coin pumpına dahil edilmişti.

Binance destek sayfasında 10 tane ticket açtık ve sorular yöneltip olayı anlattık, ispatlarıyla web servis açığını bildirdik. Resimler, kodlar, dosyalar, test ortamı dahil herşeyi kendilerine sunduk.
İlk mesajımıza dönüş oldu, sonrakilere asla dönüş yapmadılar. Zira kabul etseler paramızı geri ödemeliler.

Dönüş mesajı şöyle:

Kısacası, paranız çalınır ve ne kadar uzman olursanız olun Binance kıvırır ve siz ortada beş parasız kalırsınız.

Daha fazla detay için şu başlıklarda yazdıklarımı okuyabilirsiniz.
https://bitcointalk.org/index.php?topic=3070507.0
https://bitcointalk.org/index.php?topic=3082871.0

Söz konusu 2FA açığını internete versek binlerce kişinin canı yanacak, bunu da göze alamayız o yüzden kendi kaybımızla susup oturmaktan başka bir yol yok sanıyorum.

Not : Bana inanmayabilirsiniz, sorgulama hakkınıza saygı duyuyorum ve burada herkesin UZMAN olduğunun farkındayım, sadece sizi uyararak vicdani görevimi yerine getirmek istedim.

Hocam burada gözünüzden kaçar birşey var, adım adım gidelim.
Borsa şifrenizi, mailinizi hacklediler, herşeyi biliyorlar. Sadece 2FA yı bilmiyorlar diyelim.
1 - Kullanıcı borsaya girerken, keylogger sayesinde hacker da 2FA yı geçip borsaya login olabilir.
Sonrasında isterse al sat işlemleri yapar ama withdraw yada API key işlemi yapamaz.
2 - Hacker withdraw yapmak istiyor ama kullanıcı bu menüye gitmeyecektir, hacker ın 2FA yı geçme şansı yok. Orada bir 2FA sorulacak ve hacker da bu yok.
3 - Hacker API key oluşturmak istiyor ama kullanıcının bu kısımla işi yok, yine API key oluşturmak için 2FA sorulacak ve hacker da bu yok.
4 - Hacker mevcut API key in secret şifresini öğrenmek istiyor, göster butonuna tıkladığında yine 2FA sorulacak ve hacker da bu yok.

Yani hacker ancak ve ancak kullanıcı ile birlikte login olabilir, sonrasında 2FA açıksa API key yada Withdraw işlemi gerçekleştiremez.

Bu da gösteriyor ki Binance ın sisteminde açık var ve binlerce kişinin 2FA sı aşılmış. Bunu hiç bir pishing mantığı ile yapamazlar, zira bir pishing sitesi 2FA Phrase i bilmiyor ki, kullanıcıya 2FA sordursun. Phrase i de Binance da görüntüleyen kısım yok. Bir defa 2FA aktif edilirken görüntüleniyor, sonrasında bu yok.

Benim arkadaşımın parasını daha yeni çaldılar, hacker Binance a login olmuş ve 2 defa withdraw yapmış, tam 2 tane. Bunu yapması için 2 defa 2FA yı geçmiş olmalı. Bu ise 2FA Phrase i ele geçirmekle ancak mümkün olabilir. O halde yine görüyoruz ki Binance ın kendi sisteminde açık olmalı.

Şu an gördüğüm ise, bunu ispatlamama rağmen Binance herşeyi reddediyor, kancık gibi kıvırıyor. Arkadaşımızın parasının çalınmasında onların da suçu var ve bunu kabul etmiyorlar. Artık cevap bile vermiyorlar.
Kısacası bu borsalara üye olurken çok hoş güzel ama başınıza birşey geldiğinde yalnız kalıyorsunuz. Şu an Binance ın yaptığı sadece tribünlere oynamaktan ibaret. Kendi görüp yaşadığım olayda aslında nasıl kıvırdıklarını anladım. Binance defalarca hacklenmiş bir site, çoğunu da kabul etmediler kıvırdılar.
Binance a kızıp güvenlik açığını internete versem onlarca kişinin parası heba olacak, ona da gönlüm el vermez. Bugün kontrol ettim açık hala duruyor, çözecekler diye umut etmiştim ama duruyor!

API Keyleri de oluşturmak için 2FA gerekir, orjinal kullanıcı tarafından zaten oluşturulmuş olan API keyleri tekrar görmek için yine 2FA gerekir.
Zira API key oluşturmamış kişilerin de dahil edildiği biliniyor.
Arkadaşlar ben de pozitif bakmak istiyorum, mesela Binance ın buna hemen reaksiyon gösterip hackerların paralarını dondurması çok hoş ama buna da bir kanıt yok.
Ortada bir yazı dışında hiç bir kanıt yok, olan kullanıcılara oluyor, borsa bir açıklama yapıyor insanlar da inanıyor.
Yazıda anlatılanlar ile ilgili kanıt gösterdiler mi?
Yarın bir olay daha olursa yine pishing diyecekler. Pishing ile 2FA yı yada SMS i aşıyolar. Burada bir açık olduğu bariz belli gibi görünüyor, çünkü Google Authenticator ı başka telefona sonradan kuramazsınız.

Merhaba, hiç internette bunu aradınız mı? İnançtan öte birşey yapın ve bunu internette arayın, ne kadar çok 2FA mağduru olduğuna kendiniz şaşıracaksınız. Google 2FA Pishing ile geçiliyor hem de ruhunuz bile duymadan, browser bile doğru web adresini gösteriyor.

Merhaba, rahatlığınıza hayran kaldım. Belki sıra gelmedi belki de efora değecek kadar fund ınız yok. Size hemen uzaklaşmanızı ve verdiğim programlarla bilgisayarı elden geçirmenizi öneriyorum. Dosya isimleri birebir aynı olacak diye bir kaide yok, her kullanıcıya farklı dosyalar yüklüyor olabilirler.

Bu arada Binance dünkü saldırıyı pishing diye geçiştiriyor, o kadar 2FA nasıl aşılmış onunla ilgili tek bilgi vermemişler.

Binance ın konu ile ilgili açıklamasını ekliyorum. Kendi sitesinde News kısmında da görebilirsiniz.
Konuda da bahsedildiği gibi, konu BOT değil, pishing diye lanse ediliyor.
Mantıken bot olması imkansız gibi zaten.
Pishing ise eğer, o kadar 2FA yada SMS nasıl aşıldı? Mağdur kullanıcıların bir bölümünde 2FA veya SMS aktif edilmiş durumdaymış.
Sitelerinde umuma açık soru soracak yer yok, gönderdiğim ticketlara da cevap gelmiyor.
Kimseyi panik etmek istemem ama bu iş farklı görünüyor.

Sayın hocam, ben açığı bizzat buldum ve ayın 3 ünden beri Binance support ile yazışıyorum.
Verdiğim örneğin içinde küçük bir detay var. Bu detay, binance sisteminin arkasındaki web servise erişim ile alakalı. Binance desktop uygulaması 2FA yı ve diğer bilgileri bu servisten çekiyor, aynı şekilde Android IOS app ve web sitesinin kendisi de web servisten veri çekiyor. Bu servisten veri çekme konusunda bir güvenlik açığı var ve bugün onu bulacaklar.

Şu mesajı yazdıktan saatler sonra bu olayın olmasının ihtimali yüzde kaç?

Pishing konusu apayrı bir konu ve binance ın o konuda tabiki suçu yok.

Internette bot kullanmadığı halde parasının kullanıldığının ekran resimlerini paylaşanlar var.
Şurada da bahsedenler olmuş : https://bitcointalk.org/index.php?topic=3082371.60

Bot yaptıysa neden Bittrex, gdax değil yada başka büyük borsa değil. Onların kullanıcı sayısı daha çok değil mi? Neden sadece ve sadece Binance?
Geçenlerde bakım yapıyoruz deyip 3 gün kapatmışlardı, o zaman da örtbas ettiler diye düşünüyorum. Hacklendik diye kabul etmektense, yok öyle şey ama zararı kaşılayacağız demek daha mantıklı değil mi?

Ayın 3 ünde farkettim Binance da açık olduğunu ve detaylı bilgilendirme yaptım.
Malesef hiç takmadılar ve bizim sistem çok iyi dediler. Benim arkadaşımın hesabındaki para çalındı ve withdraw yapıldı, 2FA açık olmasına rağmen...
Hackerlar insaflıymış diyorum, çünkü bana göre ellerinde withdraw yapacak imkan da var, yada withdraw yapamadan yakalandılar.

Şuradan okuyabilirsiniz:
https://bitcointalk.org/index.php?topic=3070507.new#new

Merhabalar tekrar,

Binance da açık olduğunu söylemiştim, haberler gelmeye başlamış.
3 Gündür benim yazdıklarıma "olmaz öyle şey" gibi cevaplar veren binance şu an withdraw ları kapattı ve sisteminde hata arıyor!

https://www.reddit.com/r/BinanceExchange/comments/82ou1d/binance_sold_all_my_alt_coins_at_market_rate/
https://thenextweb.com/hardfork/2018/03/07/binance-accidentally-selling-users-cryptocurrency-bitcoin/



Binance CEO su açıklama yapmış
https://twitter.com/cz_binance/status/971454040704872448

------------

Merhaba, hack olayını yaşayan arkadaşımızın Gmail hesabı da 2FA ile korumalıydı, bilgisayarında antivirüs vardı vb vb... Yani siz kendinizi güvende zannetmeyin bence.

Merhabalar,

Öncelikle ilginiz için teşekkür ederim, inanın bu bilgiler için hiç bir beklentim yok.
Arkadaşımızın başına gelen beni derinden üzdü, nasıl bir insan böyle bir hırsızlık yapabilir aklım almıyor. Çaldığı paraları yemek nasip olmasın inşallah.

İki mesaja cevap vermek istiyorum;

Merhaba, malesef siz de konuyu anlamayanlar arasına giriyorsunuz. API Key lerin bir siteye verilmesinde büyük bir sakınca yok, withdraw izni verilmemiş şekilde API keyini verip al sat botunu denemek istemiş sadece. Burada bir problem yok. En fazla düşen bir coini satın alıp zarar ettirebilir o kadar.
Trojanı yemek için gayret göstermemiş, aksine öyle bir kumpas kurulmuş ki, en bilgili insan bile kolayca yakalanabilir. Sakın ha kendinizi çok bilgili sanmayın, benim başıma gelmez demeyin. Dünya şampiyonu yüzücülerin çoğu denizde boğularak ölmüşler, bunu unutmayın.

Merhaba, bu konuyu derinlemesine araştırdık, son 3 günüm bununla ilgili Binance borsasıyla yazışarak geçti. Malesef şimdilik sistemlerinde bir açık olduğunu kabullenecek birisi çıkmadı. Yakında detaylı bir ispat göndererek bir güncelleme ile problemi düzeltmelerini rica edeceğim. Tabii arkadaşımızın parasını geri vermeyecekleri kesin.
Google Authenticator uygulamasını kendisine nasıl kurduğunu buldum, altında ciddi bir iş yatıyor. Bu da gösteriyor ki, bu alemde güvenlik diye birşey yok!
Arkadaşımız bilgisayarında Binance desktop uygulamasını kullanıyor, siteye girmiyormuş. Tam olayın yaşandığı gün binance-trader.exe iki tane exception (hata vermiş). Bu hataları Start/Administrative Tools/Event Viewer altından bulduk ve detaylı inceledik. İşimiz bu olduğu için bunu farkedebildik, normal bir vatandaşın bunu bulabilmesi imkansız gibi birşey.
Binance kendi exe sini .Net dilinde yazmış, .Net ile yazılan (C# yada visual basic .Net) uygulamalar tam anlamıyla güvenli değiller, zira kod derlenirken direkt makine kodu olarak derlenmiyor, CLI adında bir ortak dile çevriliyor. Exe nin içinde ilk sektörde gerçek makine dili barındıran bir başlangıç kodu var, bu kod CLI dilini, bilgisayarda yüklü olan .Net framework kütüphanelerine yorumlattırıp (bir nevi derlettirip) bir exe gibi çalıştırıyor. Yalnız burada bir problem var, CLI dilini başka programlar C# yada VB.Net dillerine geri çevirebiliyorlar. Örneğin Reflector, ILSpy, JustDecompile gibi programlar .Net de yazdığınız exe yi alıp size .sln projesini tüm kodlarıyla beraber dönüştürebiliyor. Burada firmalar yazılımlarını güvenli kılmak için .Net Reactor gibi lisanslı programlar satın alıp, exe yi bu programla geri çevrilemez hale getirmeye çalışıyorlar. Bu programlar kodun içinde bazı dosyaları şifreliyor, sonra şifre çözme rutinleri ekleyip runtime da şifreyi çözüyor ve en önemlisi obfuscation dediğimiz, fonksiyon ve değişken isimlerini anlamsız karakterlerle değiştirme işlemini gerçekleştiriyor. Faydası ise örneğin Get_2FA_Phrase(String username) adlı bir fonksiyonun adını _llz(String x) haline getiriyor olması, yani kodu geri çevirip okuduğunuzda program napıyor anlamıyorsunuz ama Debug etmenize engel değil!
Tabii ki kodun içindeki programlama diline bağlı atomik kelimeler (for, while, if, break, return..) olduğu gibi kalıyor yada bunlar için de definition yaratıp bunları da değiştiriyor ama o definition da erişilebilir olduğu için bir text editörde replace all yapıp geri getirilebilir.
Şimdi bunları neden anlattığıma gelirsek; hacker binance-trader.exe yi decompile etmiş, debug etmişe ve 2FA program akışının hangi RAM adreslerini kullandığını tespit etmiş, RamMap benzeri programlarla RAM haritasını inceleyerek 2FA Recovery Phrase i nerede tuttuğunu öğrenmiş diye düşünüyorum. Çünkü Event Viewer da verdiği hatadaki adres bir RAM adresi ve aynı işlemleri biz tekrarladığımızda, web servisten veri çeken bir yere ulaşıyoruz. Bu da demek oluyor ki binance-trader.exe dosyası 2FA yı doğrulamak için Google Authenticator API sine 2FA Phrase i (yani kullanıcının kimlik numarasını) ve şu anda girdiği kodu göndermek zorunda ve bu 2FA Phrase bilgisini kendi web servisinden çekiyor. İşte hacker bu anda RAM de tutulan bu bilginin adresini bildiği için direkt okuyor ve kendine kurduğu Google Authenticator uygulamasına 2FA Phrase i yazarak artık binance ın 2FA adımını aşabiliyor, istediği kadar withdraw yapabiliyor. Zaten olayda 2 tane withdraw işlemi var. Yani 2FA yı kesin olarak geçmiş.

Ortada bir gerçek var ki, çalınan para, transfer edildiği cüzdanlarda hala duruyor ve kayıtları aşağıda;
btc.com/1Ej5hfcqJqt178wcLWBocPXec9ZoacktG8
btc.com/1DwYL4MRNEMFvx6dCQFzEgFaZ2457naEez

binance-trader.exe, web sitesinden çok daha güvenli ama onu bile kırmışlar. Web sitesi ise bir çok tuzak için müsait. Aslında Binance bu uygulamayı .Net yerine Qt de yazsaydı işler farklı olabilirdi.

Bir diğer senaryo, örneğin hesapta SMS de aktif olsaydı, yine parayı çalacaktı çünkü girişte SMS VEYA 2FA dan birisi seçiliyor, ikisi birlikte sorulmuyor. Bu da aslında hem SMS hem 2FA aktif edildiği zaman güvenliğinizi 2 kat tehlikeye atıyor, hacker telefonu ele geçiririrse YADA 2FA yı aşarsa giriş yapabiliyor, yani ihtimaller arttı!

Sonuç olarak adamlar güvenlik falan tanımıyor. Yaptıkları virüsleri antivirüs programları algılamıyor, firewall lar engellemiyor..

Bunu yapanın sadece bir tane site olduğunu sakın düşünmeyin, artık youtube da bir video izlerken bile altta çıkan reklamın içinde çalışan javascript kodu sizin bilgisayarınıza envai çeşit virüs yüklüyor olabilir.
Sizin paranız olduğunu öğrendiyse artık kaçacak yeriniz yok.

Eğer online bot yada benzer servislere API key verecekseniz, asıl kullandığınız borsanınkini vermeyin, mesela Binance kullanıyorsanız, Poloniex de bir hesap açın ve oraya minimal bir miktar aktarın, Poloniex API keyini verin ki birileri hesabınızdaki tüm parayı görmesin.
Tüm paranızı da tek borsada tutmamaya çalışın. Birini çalsalar diğeri kalır en azından.

İnternette binlerce haber var, o kadar çok BTC hırsızlığı yaşanıyor ki, günde binlerce kişinin parasını çalıyorlar. Hemde bu kişilerin bazıları ciddi bilgisayar programcıları falan ama yine de kurban oluyorlar.

Biraz olsun sizi tedirgin edebildiysem ne mutlu.
Ana başlıkta anlatılan kontrolleri yapmayı unutmayın, belki siz de biryerden virüs kapmış olabilirsiniz.

Önemli bir konu olduğu için, herkesin görmesi açısından bu başlığı açıyorum.

https://bitcointalk.org/index.php?topic=3070507

Merhabalar,

Dikkat : Zaten üye misiniz? - Hemen başka bir bilgisayar yada mobil cihazdan e-mail ve borsa şifrelerinizi değiştirin, bilgisayarın internetini kesin ve okumaya devam edin.

Önemli bir güvenlik konusu için bu başlığı açmak istedim.
Bu foruma üye olduktan sonra gördüm ki burada sınırlı internet bilgisi ile yatırım yapan arkadaşlarımız var.

Gerçek bir hack örneği üzerinden giderek, ne yapmamanız gerektiğini açıklamaya çalışacağım.
Eminim tecrübeli arkadaşların da bu konuda söyleyecek sözü vardır.

Konuya geçecek olursak;

Cryptohopper-com bir al-sat bot sitesi olarak lanse ediliyor ve yeni gelenler için 1 ay ücretsiz kullanım imkanı sunuyor.
Fakat bunun altında gerçekten iyi niyet yok, aksine tüm paranızı çalmak için bir düzen kurulmuş.
Sonuçta da eğer hacker seviyesinde birisi değilseniz, paranızı çaldırdıktan sonra dahi bu siteden şüphelenmezsiniz.

Adım 1:
Siteye meraklı bir şekilde üye olanlar al-sat için borsa API keylerini veriyor ve botun ayarlarıyla oynayıp sabaha 2x 10x yapacaklarını düşünmeye başlıyor.
Oysa bu sitenin amacı bot hizmeti sunmak değil, sizin bilgisayarınıza sızıp, borsa şifrelerinizi ele geçirip paranızı çalmak.

Adım 2:
Site normal bir bot sitesi gibi görünürken, arkada çalışan scriptler bilgisayarınıza 1 tane dosya yüklüyor. Bu dosya trojan diye tabir ettiğimiz, bilgisayarınıza uzaktan erişim imkanı sağlayan bir virüs.
Hiç bir antivirüs veya güvenlik yazılımı bunu algılamıyor, çünkü bilinen bir virüs yazılımı değil.
Yüklenen dosya Start/Başlat > Startup/Başlangıç kısmına konumlandırılıyor ki bilgisayar her başladığında o da çalışsın.

https://i.hizliresim.com/lONJ1Q.png
Dosya adı : winsvc.exe - Teamviewer iconu ile gelen bu dosya sanki windowsa ait bir dosya gibi isimlendirilmiş fakat öyle değil.
Bu dosyayı web sayfasındaki scriptler yükleyebiliyor fakat hemen çalıştıramıyorlar, o yüzden Startup/Başlangıç kısmına konumlandırılıyor ki, Windows bir dahaki açılmada bu dosyayıda sessizce çalıştırsın.

Adım 3:
Tabii ki bir daha windows açıldığında kurban hemen Cryptohopper sitesine girip botunun ne kadar kazandığını görmek ister.
Sitenin scriptleri winsvc.exe dosyasının yüklendiğini ve kurbanın bilgisayarında çalıştığını algılıyorlar (eğer exe kendisi bildirim yollamaya kalksa hemen antivirüs tarafından enselenirdi) ve sitenin adminine bir uyarı maili gönderiyorlar.

Adım 4:
Sitenin admini, IP numarasını bildiği bu bilgisayara winsvc.exe nin açtığı port üzerinden bağlanıp bir klasör yüklüyor.
Klasör adı : SWF Frame Renderer

https://i.hizliresim.com/RnpmOZ.png

Bu klasör Adobe klasörünün altına konumlandırılmış, sanki Adobe firmasının bir programı gibi görünüyor.
Tabiki bu programı da hemen çalıştırırsa antivirüs yakalar o yüzden Startup/Başlangıç içine bir kısayol oluşturuyor;

https://i.hizliresim.com/lONJ1Q.png
Kısayol adı : usvc32.lnk
Kısayol hedefi:
Yani sessizce swfrenderer.exe dosyasını çalıştır diyor.
swfrenderer - Birkaç amaca hizmet eden bir keylogger, şifre çalıcı. Klavyeden girilen her harfi inceliyor ve 2FA keyleri dahil hangi programa hangi veriler girildiyse hepsini logluyor ve yanındaki dosyalara yazıyor.

Adım 5:
Chrome browser ı altına bir dosya yerleştirip kurbanın giriş yaptığı sitelerin şifrelerini, önceden kayıtlı duran şifreleri çalmak ve bir sonraki pishing adımı için bilgisayarı hazırlamak için işlemler yapılıyor.

chrmstp.exe - Bu dosyanın modifiye edilmişini bilgisayardaki Chrome tarayıcısındakiyle değiştiriyorlar.
Dosya :
Bu dosya ile tüm web şifrelerini çalacakları gibi, aynı zamanda SMS ve 2FA korumalı olan Gmail, Hotmail, Yandex, Binance, Poloniex, Bitfinex, Bittrex, Gdax gibi sitelerdeki şifreleri de ele geçirecekler.

Bu adımlar tamamlandıktan sonra aksiyon başlıyor;

Adım 6:
Kurban bilgisayarı kullanırken ve özellikle Cryptohopper sitesinin sayfalarında gezinirken birden Chrome browser kapanıyor!
Tekrar açtığında ise bu Chrome o Chrome değil! Varsayılan beyaz görünümde ve tüm açık tabları ve şifreleri herşeyi unutmuş şekilde geliyor.
Tabiiki kurban hemen e-mail, borsa veya girdiği diğer sitelere giriş yapmaya başlıyor.
Verileri girdikçe keylogger tarafından bu bilgiler kopyalanıyor.
Yeni Chrome da başka bir özellik daha var; Örneğin mail adresine girmek için gmail.com yazıp enter a basıldığında adres çubuğunda gmail.com görünüyor ama arkada gmail görünümlü farklı bir sayfaya yönleniyor.
Kurban o sayfaya şifresini giriyor, sonra SMS geliyor, SMS kodunu giriyor ve bam, hacker ile birlikte gmail hesabına giriş yapmış olunuyor!
Sonra Binance yada diğer borsa sitesine giriş işlemi de yine aynı şekilde kopyalanıyor.

Adım 7:
Loglanan e-mail ve borsa şifreleri ile birlikte Google Authenticator bilgileri de hackerın eline geçiyor. Hacker kendine kurbanın Google Authenticator uygulamasını kuruyor.

Binance login:

https://i.hizliresim.com/oONGDR.png
Gmail login:

https://i.hizliresim.com/1JZ1z5.png

Adım 8 - SON:
Hacker, e-mail sitesinde borsadan gelecek maillerin inboxa düşmemesi için kural oluşturuyor. (eğer görülürse iptal edilir diye)

Borsadaki tüm coinleri satılıyor.

https://i.hizliresim.com/4aV7dp.png

BTC olarak withdraw sekmesinden başka bir hesaba transfer ediyor.

https://i.hizliresim.com/z0p88O.png

1.3BTC - 60 bin TL civarı para buhar oldu gitti.

-------------------------------------

Bu olayda da görüldüğü gibi, bedava bitcoin fare kapanında olur.

Pishing ile nasıl 2FA yı geçtikleri konusunda detaylı yazı : https://www.wandera.com/blog/bypassing-2fa/
Güvenlik için altın öğütler : https://steemit.com/binance/@czbinance/securing-your-trading-account

Nasıl temizlenir?
Nasıl temiz tutulur?
En kesin çözüm o bilgisayarı komple formatlamaktır. Eğer başınıza geldiyse zaten bunu yapmanız önerilir. Bazen bilgisayarı formatlamak o kadar kolay olmaz, zira başka yazılımlar lisanslar vardır...
Şimdi gelelim böyle bir virüs topluluğunu bilgisayardan nasıl silebileceğinize;
Aynı zamanda böyle birşey başınıza gelmeden de bunu yapmanız önem arz ediyor.
Öncelikle böyle bir şüpheniz varsa, elinize kağıt kalem alıp kafanızdan karmaşık bir şifre türetin (örnek : 2@!!xCj%!45pG+21_) ve kağıda yazın.
Başka bir cihazdan (o bilgisayardan değil), hesaplarınızın şifresini bu şifre ile değiştirin fakat şifrenin sonuna da o hesabınızın birkaç harfini yazın ki her şifre farklı olsun.

Aşağıdaki dosyaları kontrol edin, bilgisayarınızda varsa silin:
c:\users\<kullanıcı>\AppData\Roaming\Adobe\SWF Frame Renderer\swfrenderer.exe
c:\programdata\ntuser.pol
c:\users\<kullanıcı>\AppData\Roaming\2.exe
c:\program files\Common Files\Microsoft Shared\OFFICE16\LICLUA.EXE
c:\program files\Common Files\Microsoft Shared\OFFICE16\Office Setup Controller\pkeyconfig.companion.dll
c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
c:\program files (x86)\Google\Chrome\Application\58.0.3029.81\Installer\chrmstp.exe
Bu klasördeki dosyalardan şüpheli olanları yada tümünü silin:
c:\Users\<kullanıcı>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Virüs temizlemede faydalı yazılımlar :
Buradaki sıraya göre çalıştırıp tarama yapmanız önerilir.
Ve evet sadece birkaçı ile taramak yetmez.
RKill - https://www.bleepingcomputer.com/download/rkill/
TDSKiller - https://usa.kaspersky.com/downloads/tdsskiller
AVG Removal Tool - https://www.avg.com/en-gb/utilities
AdwCleaner - https://toolslib.net/downloads/finish/1/
FRST - https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
JRT - https://www.bleepingcomputer.com/download/junkware-removal-tool/
ComboFix - https://www.bleepingcomputer.com/download/combofix/
RogueKiller - https://www.bleepingcomputer.com/download/roguekiller/
Chrome Cleanup Tool Download - https://www.bleepingcomputer.com/download/chrome-cleanup-tool/
Malwarebytes Anti-Ransomware - https://www.bleepingcomputer.com/download/malwarebytes-anti-ransomware/
Malwarebytes Anti-Rootkit - https://www.bleepingcomputer.com/download/malwarebytes-anti-rootkit/
Malwarebytes Anti-Malware - https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
CCleaner - https://www.bleepingcomputer.com/download/ccleaner/
Microsoft Security Essentials - https://www.microsoft.com/en-us/download/details.aspx?id=5201

Antivirüs kullanın:
Tavsiye BitDefender Internet Security
30 Gün deneme sürümünü kurup bilgisayarınızı temizleyebilirsiniz.

Akıllı telefonunuza da antivirüs kurun:
Yine BitDefender kurup tarayabilirsiniz.

Kripto işleri için en güvenli ortam nasıl oluşturulur?
- Tüm hesaplarda 2FA, SMS ve diğer tüm özellikleri aktif edin
- Withdraw zorlaştırıcı önlemler alın
- Günde onlarca defa borsalara login olmayın
- Bilgisayarlarınızı kullanmadığınız zaman kapatın
- Paranızı birden fazla borsaya yayın
- Her borsa için ayrı bir mail adresi kullanın
- Her hesap için tamamen farklı bir şifre kullanın
- Şifre kaydetme seçeneğini kapatın
- Chrome kullanmayın, Firefox yada Opera kullanın
- Kripto işleri için ayrı bir browser kullanın
- Browserda hiç bir eklenti bulundurmayın
- Browserı bir tema ile kullanın, özelleştirin, rengiyle oynayın şekliyle oynayın, sonra farklı birşey gördüğünüzde kolayca farkedebilirsiniz.
- Borsaya yada e-maile girmeden önce bilgisayara bir virüs taraması yapın
- Bedava şeyler vadeden sitelere girmeyin
- Kimseye Bitcoininiz olduğunu söylemeyin
- Kripto işlemleriniz için şifreli bir VM (Virtual Machine) kullanın : Linux olması önerilir
- Windows bilgisayarınızda 2 kat daha dikkatli olun
- Bilgisayarınıza kurduğunuz yazılımlara dikkat edin
- Kripto işlemleri için kullandığınız yazılımları açık kaynak olanlardan seçin
- Belli sürelerle şifrelerinizi periyodik olarak değiştirin (Örneğin sonlarına birkaç karakter ekleyin)
- Şifre saklamak için kağıt kullanabilirsiniz, şifreleri bilgisayarda bir txt ye yazıp bırakmayın
- Eğer txt lerde şifre saklamak istiyorsanız, bu dosyaları WinZip ile şifreli olarak sıkıştırıp saklayın. Dosyayı da bir USB flash da tutmanız önerilir
- Girdiğiniz sitelerin adreslerine ve güvenlik sertifikalarına dikkat edin (adres çubuğundaki anahtar simgesi)
- Telefonunuzu jailbreak yada root yapmayın. Orjinal işletim sistemiyle temiz bir şekilde kullanın
- Virüs temizleme yazılımlarını periyodik olarak veya her şüphede tekrar çalıştırıp tarama yapın
- Sadece kripto para değil, bankadaki paranızın da aynı yöntemle çalınabileceğini sık sık hatırlayın

Önemli tavsiye : burada anlatılanları anlayacak kadar bilgisayar bilgisine sahip değilseniz, lütfen borsalardan uzak durun.

Konuyu açan arkadaş uzun süre mağarada yaşamış olmalı, zira bahsettiği kavramların sadece adını biliyor içini bilmiyor olduğundan böyle mantıksız bağlantılar kurmuş.

Dünyada onlarca büyük sektörü kökünden değiştirip binlerce kat maliyet tasarrufu sağlayan, devlet kurumlarını (evlendirme, tapu, kimlik, noter, oylama..) dahi gereksiz kılan, internetin yerine geçebilecek bir fikirden bahsediyoruz.

Süper güç amerika dahil tüm dünya ülkeleri blockchain projeleri üzerinde harıl harıl çalışırken; onlarca dev banka, kendi sistemlerini blockchain ağına entegre etmek için milyonlar harcarken, konu sahibi arkadaşın bahsettiklerini hiç düşünememiş olmalılar!
Şuradaki bankaların adını hiç duydu mu acaba..
https://ripple.com/solutions/

Bir de şöyle bir fikir var ki, etkilenmemek elde değil;
Artificial General Intelligence + Blockchain = Skynet

Şimdi, "koyun" kim?

Güldür Güldür show 170. bölümünde bitcoin konulu skeç yapmış.

https://www.youtube.com/watch?v=xcpGwouDBRI

Hindistandaki borsalar deposit işlemlerini askıya alsa ve yarın Hindistan saatiyle 11:00 de bir devlet yetkilisi, kripto paralara %28 vergi getirdiklerini açıklasa piyasa ne şekilde etkilenir?

İşin aslı böyle bir haber aldım, bunun üzerine coindelta adlı borsa da deposit işlemlerini bir sonraki açıklamaya kadar durdurduğunu açıkladı.
Zebpay adlı borsa da bunu yapmış olabilir.
Dikkat! Haber asılsız olabilir.

Böyle birşey olsa BTC fiyatı yarıya düşer mi?

Edit : Bugün dolaylı bir açıklama geldi fakat kimse %28 gibi bir rakamdan bahsetmedi. O yüzden şu an fud oluşturacak bir durum görünmüyor.

@bdivrik, komplo sever milletiz

@Cibis, sana acilen bu piyasadan ve böyle işlerden kendi iyiliğin için çıkmanı tavsiye ediyorum.

Arkadaşlar, aşağıda yazdığım subdomain ler de yine binance firmasına aittir ve her gün habersizce giriyorsunuz.
labs.binance.com
launchpad.binance.com
support.binance.com

Bunun dışında DDoS saldırısı normal birşeydir, kısaca bir yazılımı binlerce bilgisayara bulaştırırsam ve o yazılımı tek merkezden yöneterek herkesin bilgisayarlarından binance.com a sürekli giriş yaptırırsam, bunun adı DDoS saldırısı olur. Server o kadar çok kişiyi kaldıramaz ve erişimi kapatır.
Buna tüm siteler maruz kalıyor. Binance DDoS yedi diye sizin paranıza birşey olmaz. Siz diğer server adresini biliyorsanız ordan girersiniz zaten.

Tekrar söylüyorum cahilseniz çıkın paranıza yazık.