Merhabalar,
Dikkat : Zaten üye misiniz? - Hemen başka bir bilgisayar yada mobil cihazdan e-mail ve borsa şifrelerinizi değiştirin, bilgisayarın internetini kesin ve okumaya devam edin.Önemli bir güvenlik konusu için bu başlığı açmak istedim.
Bu foruma üye olduktan sonra gördüm ki burada sınırlı internet bilgisi ile yatırım yapan arkadaşlarımız var.
Gerçek bir
hack örneği üzerinden giderek, ne yapmamanız gerektiğini açıklamaya çalışacağım.
Eminim tecrübeli arkadaşların da bu konuda söyleyecek sözü vardır.
Konuya geçecek olursak;
Cryptohopper-com bir al-sat bot sitesi olarak lanse ediliyor ve yeni gelenler için 1 ay ücretsiz kullanım imkanı sunuyor.
Fakat bunun altında gerçekten iyi niyet yok, aksine
tüm paranızı çalmak için bir düzen kurulmuş.
Sonuçta da eğer hacker seviyesinde birisi değilseniz, paranızı çaldırdıktan sonra dahi bu siteden şüphelenmezsiniz.
Adım 1:
Siteye meraklı bir şekilde üye olanlar al-sat için borsa API keylerini veriyor ve botun ayarlarıyla oynayıp sabaha 2x 10x yapacaklarını düşünmeye başlıyor.
Oysa bu sitenin amacı bot hizmeti sunmak değil, sizin bilgisayarınıza sızıp, borsa şifrelerinizi ele geçirip paranızı çalmak.
Adım 2:
Site normal bir bot sitesi gibi görünürken, arkada çalışan scriptler bilgisayarınıza 1 tane dosya yüklüyor. Bu dosya trojan diye tabir ettiğimiz, bilgisayarınıza uzaktan erişim imkanı sağlayan bir virüs.
Hiç bir antivirüs veya güvenlik yazılımı bunu algılamıyor, çünkü bilinen bir virüs yazılımı değil.
Yüklenen dosya Start/Başlat > Startup/Başlangıç kısmına konumlandırılıyor ki bilgisayar her başladığında o da çalışsın.
https://i.hizliresim.com/lONJ1Q.pngDosya adı :
winsvc.exe - Teamviewer iconu ile gelen bu dosya sanki windowsa ait bir dosya gibi isimlendirilmiş fakat öyle değil.
Bu dosyayı web sayfasındaki scriptler yükleyebiliyor fakat hemen çalıştıramıyorlar, o yüzden Startup/Başlangıç kısmına konumlandırılıyor ki, Windows bir dahaki açılmada bu dosyayıda sessizce çalıştırsın.
Adım 3:
Tabii ki bir daha windows açıldığında kurban hemen Cryptohopper sitesine girip botunun ne kadar kazandığını görmek ister.
Sitenin scriptleri
winsvc.exe dosyasının yüklendiğini ve kurbanın bilgisayarında çalıştığını algılıyorlar (eğer exe kendisi bildirim yollamaya kalksa hemen antivirüs tarafından enselenirdi) ve sitenin adminine bir uyarı maili gönderiyorlar.
Adım 4:
Sitenin admini, IP numarasını bildiği bu bilgisayara
winsvc.exe nin açtığı port üzerinden bağlanıp bir klasör yüklüyor.
Klasör adı :
SWF Frame Renderer
https://i.hizliresim.com/RnpmOZ.pngBu klasör Adobe klasörünün altına konumlandırılmış, sanki Adobe firmasının bir programı gibi görünüyor.
Tabiki bu programı da hemen çalıştırırsa antivirüs yakalar o yüzden Startup/Başlangıç içine bir kısayol oluşturuyor;
https://i.hizliresim.com/lONJ1Q.pngKısayol adı :
usvc32.lnkKısayol hedefi:
C:\Windows\System32\cmd.exe /C start "%appdata%\Adobe\SWF Frame Renderer\" "%appdata%\Adobe\SWF Frame Renderer\swfrenderer.exe"
Yani sessizce swfrenderer.exe dosyasını çalıştır diyor.
swfrenderer - Birkaç amaca hizmet eden bir keylogger, şifre çalıcı. Klavyeden girilen her harfi inceliyor ve 2FA keyleri dahil hangi programa hangi veriler girildiyse hepsini logluyor ve yanındaki dosyalara yazıyor.
Adım 5:Chrome browser ı altına bir dosya yerleştirip kurbanın giriş yaptığı sitelerin şifrelerini, önceden kayıtlı duran şifreleri çalmak ve bir sonraki pishing adımı için bilgisayarı hazırlamak için işlemler yapılıyor.
chrmstp.exe - Bu dosyanın modifiye edilmişini bilgisayardaki Chrome tarayıcısındakiyle değiştiriyorlar.
Dosya :
c:\program files (x86)\Google\Chrome\Application\58.0.3029.81\Installer\chrmstp.exe
Bu dosya ile tüm web şifrelerini çalacakları gibi, aynı zamanda SMS ve 2FA korumalı olan Gmail, Hotmail, Yandex, Binance, Poloniex, Bitfinex, Bittrex, Gdax gibi sitelerdeki şifreleri de ele geçirecekler.
Bu adımlar tamamlandıktan sonra aksiyon başlıyor;
Adım 6:
Kurban bilgisayarı kullanırken ve özellikle Cryptohopper sitesinin sayfalarında gezinirken birden Chrome browser kapanıyor!
Tekrar açtığında ise bu Chrome o Chrome değil! Varsayılan beyaz görünümde ve tüm açık tabları ve şifreleri herşeyi unutmuş şekilde geliyor.
Tabiiki kurban hemen e-mail, borsa veya girdiği diğer sitelere giriş yapmaya başlıyor.
Verileri girdikçe keylogger tarafından bu bilgiler kopyalanıyor.
Yeni Chrome da başka bir özellik daha var; Örneğin mail adresine girmek için gmail.com yazıp enter a basıldığında adres çubuğunda gmail.com görünüyor ama arkada gmail görünümlü farklı bir sayfaya yönleniyor.
Kurban o sayfaya şifresini giriyor, sonra SMS geliyor, SMS kodunu giriyor ve bam, hacker ile birlikte gmail hesabına giriş yapmış olunuyor!
Sonra Binance yada diğer borsa sitesine giriş işlemi de yine aynı şekilde kopyalanıyor.
Adım 7:
Loglanan e-mail ve borsa şifreleri ile birlikte Google Authenticator bilgileri de hackerın eline geçiyor. Hacker kendine kurbanın Google Authenticator uygulamasını kuruyor.
Binance login:
https://i.hizliresim.com/oONGDR.pngGmail login:
https://i.hizliresim.com/1JZ1z5.pngAdım 8 - SON:Hacker, e-mail sitesinde borsadan gelecek maillerin inboxa düşmemesi için kural oluşturuyor. (eğer görülürse iptal edilir diye)
Borsadaki tüm coinleri satılıyor.
https://i.hizliresim.com/4aV7dp.pngBTC olarak withdraw sekmesinden başka bir hesaba transfer ediyor.
https://i.hizliresim.com/z0p88O.png1.3
BTC - 60 bin TL civarı para buhar oldu gitti.
-------------------------------------
Bu olayda da görüldüğü gibi, bedava bitcoin fare kapanında olur.
Pishing ile nasıl 2FA yı geçtikleri konusunda detaylı yazı :
https://www.wandera.com/blog/bypassing-2fa/Güvenlik için altın öğütler :
https://steemit.com/binance/@czbinance/securing-your-trading-accountNasıl temizlenir?Nasıl temiz tutulur?En kesin çözüm o bilgisayarı komple formatlamaktır. Eğer başınıza geldiyse zaten bunu yapmanız önerilir. Bazen bilgisayarı formatlamak o kadar kolay olmaz, zira başka yazılımlar lisanslar vardır...
Şimdi gelelim böyle bir virüs topluluğunu bilgisayardan nasıl silebileceğinize;
Aynı zamanda böyle birşey başınıza gelmeden de bunu yapmanız önem arz ediyor.
Öncelikle böyle bir şüpheniz varsa, elinize kağıt kalem alıp kafanızdan karmaşık bir şifre türetin (örnek : 2@!!xCj%!45pG+21_) ve kağıda yazın.
Başka bir cihazdan (o bilgisayardan değil), hesaplarınızın şifresini bu şifre ile değiştirin fakat şifrenin sonuna da o hesabınızın birkaç harfini yazın ki her şifre farklı olsun.
Aşağıdaki dosyaları kontrol edin, bilgisayarınızda varsa silin:c:\users\<kullanıcı>\AppData\Roaming\Adobe\SWF Frame Renderer\swfrenderer.exe
c:\programdata\ntuser.pol
c:\users\<kullanıcı>\AppData\Roaming\2.exe
c:\program files\Common Files\Microsoft Shared\OFFICE16\LICLUA.EXE
c:\program files\Common Files\Microsoft Shared\OFFICE16\Office Setup Controller\pkeyconfig.companion.dll
c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
c:\program files (x86)\Google\Chrome\Application\58.0.3029.81\Installer\chrmstp.exe
Bu klasördeki dosyalardan şüpheli olanları yada tümünü silin:
c:\Users\<kullanıcı>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Virüs temizlemede faydalı yazılımlar :
Buradaki sıraya göre çalıştırıp tarama yapmanız önerilir.
Ve evet sadece birkaçı ile taramak yetmez.
RKill -
https://www.bleepingcomputer.com/download/rkill/TDSKiller -
https://usa.kaspersky.com/downloads/tdsskillerAVG Removal Tool -
https://www.avg.com/en-gb/utilitiesAdwCleaner -
https://toolslib.net/downloads/finish/1/FRST -
https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/JRT -
https://www.bleepingcomputer.com/download/junkware-removal-tool/ComboFix -
https://www.bleepingcomputer.com/download/combofix/RogueKiller -
https://www.bleepingcomputer.com/download/roguekiller/Chrome Cleanup Tool Download -
https://www.bleepingcomputer.com/download/chrome-cleanup-tool/Malwarebytes Anti-Ransomware -
https://www.bleepingcomputer.com/download/malwarebytes-anti-ransomware/Malwarebytes Anti-Rootkit -
https://www.bleepingcomputer.com/download/malwarebytes-anti-rootkit/Malwarebytes Anti-Malware -
https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/CCleaner -
https://www.bleepingcomputer.com/download/ccleaner/Microsoft Security Essentials -
https://www.microsoft.com/en-us/download/details.aspx?id=5201Antivirüs kullanın:
Tavsiye BitDefender Internet Security
30 Gün deneme sürümünü kurup bilgisayarınızı temizleyebilirsiniz.
Akıllı telefonunuza da antivirüs kurun:
Yine BitDefender kurup tarayabilirsiniz.
Kripto işleri için en güvenli ortam nasıl oluşturulur?- Tüm hesaplarda 2FA, SMS ve diğer tüm özellikleri aktif edin
- Withdraw zorlaştırıcı önlemler alın
- Günde onlarca defa borsalara login olmayın
- Bilgisayarlarınızı kullanmadığınız zaman kapatın
- Paranızı birden fazla borsaya yayın
- Her borsa için ayrı bir mail adresi kullanın
- Her hesap için tamamen farklı bir şifre kullanın
- Şifre kaydetme seçeneğini kapatın
- Chrome kullanmayın, Firefox yada Opera kullanın
- Kripto işleri için ayrı bir browser kullanın
- Browserda hiç bir eklenti bulundurmayın
- Browserı bir tema ile kullanın, özelleştirin, rengiyle oynayın şekliyle oynayın, sonra farklı birşey gördüğünüzde kolayca farkedebilirsiniz.
- Borsaya yada e-maile girmeden önce bilgisayara bir virüs taraması yapın
- Bedava şeyler vadeden sitelere girmeyin
- Kimseye Bitcoininiz olduğunu söylemeyin
- Kripto işlemleriniz için şifreli bir VM (Virtual Machine) kullanın : Linux olması önerilir
- Windows bilgisayarınızda 2 kat daha dikkatli olun
- Bilgisayarınıza kurduğunuz yazılımlara dikkat edin
- Kripto işlemleri için kullandığınız yazılımları açık kaynak olanlardan seçin
- Belli sürelerle şifrelerinizi periyodik olarak değiştirin (Örneğin sonlarına birkaç karakter ekleyin)
- Şifre saklamak için kağıt kullanabilirsiniz, şifreleri bilgisayarda bir txt ye yazıp bırakmayın
- Eğer txt lerde şifre saklamak istiyorsanız, bu dosyaları WinZip ile şifreli olarak sıkıştırıp saklayın. Dosyayı da bir USB flash da tutmanız önerilir
- Girdiğiniz sitelerin adreslerine ve güvenlik sertifikalarına dikkat edin (adres çubuğundaki anahtar simgesi)
- Telefonunuzu jailbreak yada root yapmayın. Orjinal işletim sistemiyle temiz bir şekilde kullanın
- Virüs temizleme yazılımlarını periyodik olarak veya her şüphede tekrar çalıştırıp tarama yapın
- Sadece kripto para değil, bankadaki paranızın da aynı yöntemle çalınabileceğini sık sık hatırlayın
Önemli tavsiye : burada anlatılanları anlayacak kadar bilgisayar bilgisine sahip değilseniz, lütfen borsalardan uzak durun.
