Borsalarda Sms doğrulamayı kullanmayın ! hackleniyor.

[teramit]

Bir korsan saldırı gerçekleşti ve borsalardan bazı kullanıcıların btcleri çalındı. Bütün mesajları okudum ve özet geçiyorum nasıl olduğu belli gibi:
1-TR deki borsalarda çalışanın biri üye kimlik bilgisi ve bakiye bilgisini dışarı sızdırıyor
2-Gsm bayilerinden birinin çalışanı bu bilgilerle yeni sim kartı imzasız onaylıyor.
3-Korsan şahıs bu bilgilerin yardımıyla muhtemel brute force ile hesabı kırıyor ve btcleri çekiyor.

Sizin başınıza gelmemiş olabilir ama muhtemelen sırada olabilirsiniz, kaç kişinin sim kartı kopyalandı belli değil , ne yazıkki BAnkaların sahip olduğu sim kart kod bilgisi btc borsalarında yok yani sim kartın değiştiğini anlayamıyorlar bu yüzden bu yazıyı okuyorsanız ne olduğunu anlamasanız bile sms doğrulamayı kullandığınız borsalardan bu özelliği kaldırmanız gerekiyor. Google 2fa ya geçebilirsiniz ama paribu da sms login dışına çıkılamıyor orda varlık bulundurmanız riskli.Diğer borsaları bilmiyorum ama an itibariyle TR de sms kopyalama yapılabiliyor. Hesabınızda yüksek miktarlı varlık varsa özellikle risk altındasınız. Risk sadece TR borsaları için geçerli ama 2fa kullanmıyor ve diğer hesaplarınızda da aynı şifre varsa yabancı borsa hesaplarınızda risk altında.(zaten yüksek miktarlı btcyi 2fa sız borsada tutuyorsanız risk sizin göbek adınız olmalı)

burada mesajı atan şahıs korsanın bu olduğunu iddia ediyor.
https://bitcointalk.org/index.php?topic=2684045.msg27478476#msg27478476

Gelişmeler editle ilk mesaja eklenecektir.
Self modere posttur. normalde sadece zevzeklik yapan mesajları silerim ama  bilgi kirliliği olmaması açısından bilgi içermeyen önlem tavsiye etmeyen ciddi sorular sormayan mesajları sileceğim ki okuyan fayda görsün, "vay bee" , "böyle olacağı belliydi" gibi mesajlar atmazsanız sevinirim.

[yussuf89]

Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.

2009 yılında 18 yaşından küçük olan (şu anda 26-27 yaşından küçük olan) kimse bu olaydan etkilenmediyse bununla alakası olabilir diye düşünüyorum.

[teramit]

Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.

bilgi veren kullanıcı haklıysa içeriden bilgi sızdırma doğru gibi ayrıca geçmiş yıllardaki sızıntı da bütün kimlik bilgileri sızmamıştı yani kimlik çıkartmaya yetmiyor onlar ama hat açmak için tam kimlik bilgisi lazım ayrıca sadece yüksek varlıklı hesaplar hacklenmiş herkes değil yani içeriden bilgi gelmeden bunu bilemezler.

[koinsever]

benim bu olaylarda anlamadığım takıldığım tartışmak istediğim bir husus var. şimdi ikiz sim kartımız olsa bile biri hattayken diğeri hatta olamıyor. yani aynı anda ikisine de sms gitsin işlemi yapılamıyor. e artık akıllı telefonlar herkesin elinde 7/24 açık. bu sim kart devreye nasıl giriyor. bu noktada teknik bir analiz bilgi gereliyor. konuyu acilen bimer'e iletmeliyiz. çok acil önlem alınmalı. konu BTC ile alakalı görünse de tehlike daha büyük. bugün e-devlete bile artık sms ile giriliyor. Allah sonumuzu hayır etsin.

[Atabey]

benim bu olaylarda anlamadığım takıldığım tartışmak istediğim bir husus var. şimdi ikiz sim kartımız olsa bile biri hattayken diğeri hatta olamıyor. yani aynı anda ikisine de sms gitsin işlemi yapılamıyor. e artık akıllı telefonlar herkesin elinde 7/24 açık. bu sim kart devreye nasıl giriyor. bu noktada teknik bir analiz bilgi gereliyor. konuyu acilen bimer'e iletmeliyiz. çok acil önlem alınmalı. konu BTC ile alakalı görünse de tehlike daha büyük. bugün e-devlete bile artık sms ile giriliyor. Allah sonumuzu hayır etsin.

Yeni aldığın sim kartını telefona taktiğindan itibaren diğer sim kartı kullanılamıyor.

[bobita]

Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.

2009 yılında 18 yaşından küçük olan (şu anda 26-27 yaşından küçük olan) kimse bu olaydan etkilenmediyse bununla alakası olabilir diye düşünüyorum.

O veriler hala ortalarda ve avukatlık büroları vb kullanıyor ama pek güncelliği kalmadı, yani şu anda mesela 2010 yılında işe yaradığı kadar işlevsel olacağını pek zannetmiyorum.

[MorpheWQ]

Hat değişikliği konusunda bankaların aldığı ve şu anda uygulamada olan bir önlem var. Sim kartın değiştiğini bir şekilde anlıyorlar. SMS'i 2fa olarak kullanan firmaların bu teknik detaya göz atması gerekiyor. Karşı taraf gerekli önlemlerini aldığı sürece sms'in en güvenilir yöntem olduğunu düşünüyorum.

~snip
şimdi ikiz sim kartımız olsa bile biri hattayken diğeri hatta olamıyor. yani aynı anda ikisine de sms gitsin işlemi yapılamıyor.

Bir süre kullanmıştım. Bir hat aktifken diğeri açıldığında son olarak networke bağlanan hat çalışmaya başlıyor bir süre sonra diğer hat işlevini yitiriyordu diye hatırlıyorum. Ama eş kart şift olarak satılıyor. Yani tek bir kart kullanan adam eş kart almak isterse eski kartı iptal oluyor, iki yeni kart veriyorlar. Bankalar bunu anlamıştı bende ve onay istemişlerdi. Ama eş kartlardan biri ile onayladığımda diğeri için tekrar onay istememişti.

[BLACKASUS]

Paribu 2fa kullanmıyor orada şöyle bir çözüm buldum borsadaki kimlik bilgileri sizinse borsaya kayıtlı telefon numaranız başka birine ait olsun güvendiğiniz birinin adına bir hat açıp sadece borsalarda kullanabilirsiniz

[Langirt]

Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.

2009 yılında 18 yaşından küçük olan (şu anda 26-27 yaşından küçük olan) kimse bu olaydan etkilenmediyse bununla alakası olabilir diye düşünüyorum.

alakasi yok, kullanici adi ve kimde yüklü bitcoin var, bu bilgilerde sizdirildi. yoksa kimlik bilgiler olsa da, nereden basliyacaklar, bilemezler.

[koinsever]

Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.

2009 yılında 18 yaşından küçük olan (şu anda 26-27 yaşından küçük olan) kimse bu olaydan etkilenmediyse bununla alakası olabilir diye düşünüyorum.

alakasi yok, kullanici adi ve kimde yüklü bitcoin var, bu bilgilerde sizdirildi. yoksa kimlik bilgiler olsa da, nereden basliyacaklar, bilemezler.

aynen bu da olabilir. sürekli fonalra transferler yapıp durduk. kendi aramızda alım satımlar yapıp durduk. kimin adresi kime ait biliniyor. çok paranoyak oldum. eskiden bankaların kasaları boşaltılırmıştı şimdi ise internet üzerinden boşaltım yapılıyor.

[balporsuk]

O konuyu bende okudum.Bahsettiğiniz konuda işin patlak verdiği nokta kimlik bilgileriyle 2. Sim çıkarılması sanırım. Yoksa sızdırılan bilgilere rağmen birşey yapılamazmış. Eğer bu simi çıkarmak bukadar kolay oluyorsa çok büyük bir güvenlik zaafiyeti var demektir. Bu konu sadece bitcoin değil, günlük hayatta her yerde kullandığımız sms doğrulamanın güvenli olup olmaması.  
2fa'da google authenticatormu yoksa sms  onaymı daha güvenli buda tartışılmalı. Bilgili arkadaşlar bilgilerini esirgememeliler.

Yeni sim kart çıkarma prosedürünü bilmediğim için aklıma farklı sorular geliyor.
Diyelim ki birisi benim kimlik bilgilerime, mail adresime hatta şifresine sahip,hatta  bunlarla yeni sim kart çıkartmak için gittiği telefon bayisi ile ortak çalışıyor. Ve imzamın görünüşünede sahipler.  Gsm operatoru firma tüm bu olumsuz koşullara karşı beni korumak için nasıl önlem alabilir yada alıyor?
Tamamen hayal ürünü  senaryolarım ve tamamen uydurduğum çözümlerim şöyle .  (Prosedürü bilenler aydınlatırsa sevinirim.)

1) "Hattımı  4G'ye geçirmek için yeni sim kart çıkarmak istiyorum" "kart eskidi"  gibi iddaa ile sim çıkarma girişimi.
Bu durumda 1. Simin kendinde olduğunu, çalışır durumda olduğunu fakat onu iptal edip 2.yi aktive etmek istediğini belirtiyor. Bu talebi bayii yada tim operatorun genel merkezine gönderdi diyelim. Genel merkez 2. Simi aktive etmeden  önce "ilk sim kartın sende olduğunu kanıtla" diyerek sms atması yada araması, Eğer  kanıtlayamazsada 2.yi aktive etmeyip 1. sime  ikaz mesajı atması hatta araması gerekmezmi. Hatta en yakın time gidin demesi falan gerekmezmi.

2) "Sim kartım bozuldu,  çalışmıyor, telefonuma uyumlu değil" gerekçesiyle çıkartma girişimi.
Yani "1. Sim bende ama kullanılmıyor diyor" Bu talep genel merkeze gittiğinde   genel merkez zaten  sinyal alınıp alınmadığını anlar.  Hatta sinyal alınan yerle başvuru yapılan bayii arasındaki mesafedende şüphelenir.  Bundan şu anda sinyal alınıyor deyip 1.sime sahip olduğunu kanıtlaması için onay mesaj yada arama yaparak kanıtlamasını ister. Kanıtlayamazsa 1. Sime yine ikaz mesajı  yada araması yapar. 2.yi aktive etmez.

3) "Sim kartım çalındı, telefonum çalındı" diyerek 2.simi çıkarma girişimi.
Yani 1.sime hırsızların sahip olduğunu iddaa ediyor ve kendisine 2. Simin çıkarılarak 1.simin iptal edilmesini istiyor. Bu durumda 1. Simin sms onayına güvenilemez.  Bu talep genel merkeze iletildiğinde, 2. Sim açılmaz, 1.ye smsle yada arayarak "Şu anda çalıntı sim kullandığınız ihbarı var. Sim kartınızı geçici olarak bloke ediyoruz. En yakın genel bayiye/time  giderek hattın sahibi olduğunuzu kanıtlamanız gerekiyor denilebilir. Hatta her arama yapma girişiminde bu uyarı gelerek kişinin belgeleriyle bayiye gitmesi sağlanabilir.
Muhtemelen açıklar burdan kaynaklanıyor.
A)Eğer 1.sime gerçekten hırsız sahipse  kanıtlayamaz. Sonsuza kadar gerçek sahip 2. Simi kullanamayacakmı.
B) operator Süre sınırı koysa. 10 gün içinde kanıtlayamazsan 1. Simi iptal etcem 2. Simi aktive etcem dese. Belki 1. Sime sahip olan  gerçek sahibi  şehre uzak, yaşlı, hasta vs durumda. Olay burda çok dallanıp budaklanıp pratik uygulamayla güvenlik arasında bir sıkıntı çıkarıyor gibi. Bunun çözümü nasıl sağlanıyor yada sağlanabilir.

4)" Telefonum kayboldu" diyerek sim kart çıkarma girişimi.
Operator once 1. Simin   Şu anda birisi tarafından kullanılıp kullanılmadığına bakar. Bazı özellikleri kısıtlar.  Kullanılıyorsa 3. Maddeki  gibi çalınmış olup olmamasını anlamaya çalışır

[heygidikaradeniz]

O konuyu bende okudum.Bahsettiğiniz konuda işin patlak verdiği nokta kimlik bilgileriyle 2. Sim çıkarılması sanırım. Yoksa sızdırılan bilgilere rağmen birşey yapılamazmış. Eğer bu simi çıkarmak bukadar kolay oluyorsa çok büyük bir güvenlik zaafiyeti var demektir. Bu konu sadece bitcoin değil, günlük hayatta her yerde kullandığımız sms doğrulamanın güvenli olup olmaması.  
2fa'da google authenticatormu yoksa sms  onaymı daha güvenli buda tartışılmalı. Bilgili arkadaşlar bilgilerini esirgememeliler.

Yeni sim kart çıkarma prosedürünü bilmediğim için aklıma farklı sorular geliyor.
Diyelim ki birisi benim kimlik bilgilerime, mail adresime hatta şifresine sahip,hatta  bunlarla yeni sim kart çıkartmak için gittiği telefon bayisi ile ortak çalışıyor.   Gsm operatoru firma tüm bu olumsuz koşullara karşı beni korumak için nasıl önlem alabilir yada alıyor?
Tamamen hayal ürünü  senaryolarım ve tamamen uydurduğum çözümlerim şöyle .  (Prosedürü bilenler aydınlatırsa sevinirim.)

1) "Hattımı  4G'ye geçirmek için yeni sim kart çıkarmak istiyorum" "kart eskidi"  gibi iddaa ile sim çıkarma girişimi.
Bu durumda 1. Simin kendinde olduğunu, çalışır durumda olduğunu fakat onu iptal edip 2.yi aktive etmek istediğini belirtiyor. Bu talebi bayii yada tim operatorun genel merkezine gönderdi diyelim. Genel merkez 2. Simi aktive etmeden  önce "ilk sim kartın sende olduğunu kanıtla" diyerek sms atması yada araması, Eğer  kanıtlayamazsada 2.yi aktive etmeyip 1. sime  ikaz mesajı atması hatta araması gerekmezmi. Hatta en yakın time gidin demesi falan gerekmezmi.

2) "Sim kartım bozuldu,  çalışmıyor, telefonuma uyumlu değil" gerekçesiyle çıkartma girişimi.
Yani "1. Sim bende ama kullanılmıyor diyor" Bu talep genel merkeze gittiğinde   genel merkez zaten  sinyal alınıp alınmadığını anlar.  Hatta sinyal alınan yerle başvuru yapılan bayii arasındaki mesafedende şüphelenir.  Bundan şu anda sinyal alınıyor deyip 1.sime sahip olduğunu kanıtlaması için onay mesaj yada arama yaparak kanıtlamasını ister. Kanıtlayamazsa 1. Sime yine ikaz mesajı  yada araması yapar. 2.yi aktive etmez.

3) "Sim kartım çalındı, telefonum çalındı" diyerek 2.simi çıkarma girişimi.
Yani 1.sime hırsızların sahip olduğunu iddaa ediyor ve kendisine 2. Simin çıkarılarak 1.simin iptal edilmesini istiyor. Bu durumda 1. Simin sms onayına güvenilemez.  Bu talep genel merkeze iletildiğinde, 2. Sim açılmaz, 1.ye smsle yada arayarak "Şu anda çalıntı sim kullandığınız ihbarı var. Sim kartınızı geçici olarak bloke ediyoruz. En yakın genel bayiye/time  giderek hattın sahibi olduğunuzu kanıtlamanız gerekiyor denilebilir. Hatta her arama yapma girişiminde bu uyarı gelerek kişinin belgeleriyle bayiye gitmesi sağlanabilir.
Muhtemelen açıklar burdan kaynaklanıyor.
A)Eğer 1.sime gerçekten hırsız sahipse  kanıtlayamaz. Sonsuza kadar gerçek sahip 2. Simi kullanamayacakmı.
B) operator Süre sınırı koysa. 10 gün içinde kanıtlayamazsan 1. Simi iptal etcem 2. Simi aktive etcem dese. Belki 1. Sime sahip olan  gerçek sahibi  şehre uzak, yaşlı, hasta vs durumda. Olay burda çok dallanıp budaklanıp pratik uygulamayla güvenlik arasında bir sıkıntı çıkarıyor gibi. Bunun çözümü nasıl sağlanıyor yada sağlanabilir.

4)" Telefonum kayboldu" diyerek sim kart çıkarma girişimi.
Operator once 1. Simin   Şu anda birisi tarafından kullanılıp kullanılmadığına bakar. Bazı özellikleri kısıtlar.  Kullanılıyorsa 3. Maddeki  gibi çalınmış olup olmamasını anlamaya çalışır

hattı ilk alırken tablete imza attırıyorlar, bu tip başvuruda imza kontrolü yapılıyor olması lazım.

[talhacetin10]

İşler bu denli buraya gelmişken birde bu konuyu gördükden sonra adeta şoka girdim.


https://prnt.sc/hwzn2y
https://prnt.sc/hwznmu
https://prnt.sc/hx5ret
https://prnt.sc/hx5rk5

@emregungor adlı arkadaşın hesap'ından fotoğraflar atmışsan sanırsam nasıl oluyorda bu kadar kolay girebiliyorlar sms'i geçtim Google 2-Step Verification'ı bile geçtiklerini söylüyorlar ve geçtiklerine dağir bilgiler paylaşmışlar.

Durum sadece türkiye için değil tüm dünya için tehlikeli ve sıkıntılı bir durum googleye bildirdim araştırma ekibine.

konu linki : hXXp://illegalplatform.com/showthread.php?t=6184

[balporsuk]

@heygidikaradeniz
Onu yazmayı unutmuşum. Bahsedilen konuda şöyle birşey vardı. Borsaya kimlik bilgisi verenler sanırım imzalı kağıtlada selfie gönderiyolarmış. Tabii bu durumda sadece imzamızın görünüşüne sahip olup atmları zordur.
Günlük hayattada kimlik bilgilerimizi ele geçirenler imzamızıda ele geçirebilir. Ancak bunu taklit etmeleri zordur. Peki taklit etmeyi denediklerinde genel merkez  ikinci simi aktive etmeden önce bunu denetliyormu.
İlk Mesajımdaki senaryoya  imzamın görüntüsüne sahip oldukları bilgisinide ekleyim.

[hozdemir]

Paribu 2fa kullanmıyor orada şöyle bir çözüm buldum borsadaki kimlik bilgileri sizinse borsaya kayıtlı telefon numaranız başka birine ait olsun güvendiğiniz birinin adına bir hat açıp sadece borsalarda kullanabilirsiniz

içerden bilgi sızdırıldığı için telefon numarasına kayıtlı numara üstünden gidiliyor zaten. Hattın başkasına ait olması birşeyi değiştirmez.
Google 2fA üzerinde açık olsa da paribunun sadece sms doğrulama bulundurması endişe verici.

[dumrul88]

namussuzluğa bak ya. sms onayına güvenirdim ben nasılsa benim hattıma geliyor diye onu da bişekilde geçiyorlarsa hiç bir güveni yok.

[BTCHakan]

10 saniyede bir kod değiştiren bir sistem varken neden gidip insanlar sms olayında ısrar eder anlamıyorum. Hatların sıkıntılı olduğunu, kopyalanabildiğini ve bazen smslerin gelmediğini bile bile insan bunu neden yapar ki?
Yeterli güvenlik önlemini almıyorsan kaybettiğinde üzülmeyeceksin kardeşim bu kadar basit!

Bence bruteforce ile şifre kırma olayı zor. Yüksek ihtimalle sosyal mühendislik kullanılıyordur.
Bruteforce yoluyla gelsin kırsın benim şifremi

[Dammitt]

Bu iş  beni Kıllandırıyor açıkcası ama brute Force yöntemi ile bu denli şifre kırma yapabilmeleri enteresan bir durum gerçekten.

[Jordan23]

Katılıyorum, borsalarda sms doğrumasını kullanmayın arkadaşlar bir şekilde sms doğrulamasını bypass edip kendileriyle ilgili işlem yaptırıyorlar.

Google Authenticor daha sağlam bir yapısı var kesinlikle daha kaliteli olduklarına eminim.

[Hasuta]

Borsalar güven sorunu varsa sms ile giriş özelliğini devre dışı bırakabilir. Kullanıcıların güvenliği için sorun yaşatan özelliklerin bulunmaması lazım