Sosyal Mühendislik Saldırısı : Örnek Bir Olay (hack)

Sosyal Mühendislik Saldırısı : Örnek Bir Olay (hack)

23/06/2020 Kapalı Yazar: emrecaglaryildiz

Mat Honan’ın Hikayesi

Teknoloji dergisi Wired yazarı Mat Honan, geçtiğimiz hafta hayatının vurgununu yaşadı. Gmail hesabını, Twitter hesabını, iPhone’undaki tüm bilgileri, dizüstü bilgisayarındaki tüm program ve dokümanlar ile iPad’inde ne var ne yoksa hepsini yarım saat içinde kaybetti. Yitip gidenler arasında bir buçuk yaşındaki kızının bugüne kadar çekilmiş tüm fotoğrafları da vardı.

resim 4 - Sosyal Mühendislik Saldırısı : Örnek Bir Olay (hack)

Peki, nasıl oldu bu iş?

Bilgisayar korsanları hiçbir özel teknoloji veya virüs kullanmamıştı. Şifresi tahmin edilmemiş, bilgisayarı ve telefonu çalınmamıştı. O halde, Amerikalı yazarın dijital hayatı nasıl olup da formatlandı ?

Gelin, 3 Ağustos 2012 Cuma günü akşamüstü Mat Honan’ın başına gelenlere “Uçak Kazası Raporu” mantığıyla bir göz atalım:
Mat Honan, San Francisco’daki evinde küçük kızıyla oynamaktadır.
Saat 17:00 civarında yazarın iPhone’u kendi kendine kapanır.
Honan gidip telefonunu şarja takar, ancak iPhone fabrika ayarlarına dönmüş, içindeki her şey silinmiştir.
Yazılımsal bir sorun olduğunu düşünen Honan, yedekten geri yükleme yapmak için telefonuna iCloud bilgilerini girer.
iCloud şifresi yanlıştır. Honan yine de kötüye yormaz. Gidip telefonunu önceki gün yedek aldığı bilgisayarına bağlamayı düşünür.
Bilgisayarını açar.
Bilgisayar ekranındaki takvim yazılımı bir anlığına “Gmail şifreniz yanlış” mesajı verir ve hemen arkasından ekran tamamen gri renge boyanır.
Ekranda dört basamaklı PIN isteyen bir mesaj belirir.
Honan’ın böyle bir PIN’i yoktur.
Böylelikle, yazarın MacBook Air dizüstü bilgisayarı kullanım dışı kalmıştır.
İşte o an Mat Honan hack’in farkına varır. Neler döndüğünü tam anlayamasa da, evdeki internetin fişini çeker ve karısının telefonundan Apple müşteri hizmetlerini arar.
Az sonra, Honan’ın kaybının yukarıdakilerle sınırlı olmadığı anlaşılacaktır: Gmail hesabı ve ona bağlı tüm Google servisleri, Twitter hesabı, Apple iTunes ve Amazon hesapları korsanların eline geçmiştir. Tabii bu servislere kayıtlı tüm kredi kartları da…
Kısacası: Kâbus.

Şimdi biraz geriye gidelim ve tüm bu olup bitenleri hazırlık aşamasından itibaren korsanların gözünden izleyelim:
Korsanlar, Mat Honan’ın üç karakterden oluşan “şekilli” Twitter hesabını (twitter.com/mat) gözlerine kestirirler.

Evet, her şeyin sebebi aslında bu Twitter hesabıdır.
Bu Twitter hesabının profilindeki bağlantıyı kullanarak Honan’ın kişisel web sitesine ulaşırlar: honan.net

Bu siteden Honan’ın Gmail e-posta adresini öğrenmeleri zor olmaz: mhonan@gmail.com
Gmail sitesinde bu adresi girerek “şifremi unuttum” bağlantısına tıklayan korsanlar, unutması durumunda yazarın şifre sıfırlama linkinin gönderileceği kayıtlı alternatif e-posta adresini şu şekilde görürler: m••••n@me.com
Gösterilmeyen kısımda ne yazdığını tahmin etmek güç değildir.
“me.com” uzantısının Apple’ın ücretsiz e-posta servisi olduğunu bilen korsanlar için hedef şimdi bu adrestir.

Apple, şifresini unutmuş kullanıcılardan yeni şifre alabilmeleri için iki bilgiyi talep etmektedir:
1. Fatura adresleri
2. Kredi kartlarının son dört rakamı
Fatura adresi kolaydır: “Mat Honan” adına bir Google araması yaparlar.
Yazarın kişisel sitesinin alan adı kaydında bu bilgiye ulaşmaları pek zor olmaz.

Kredi kartının son dört rakamı içinse sektördeki büyük bir açıktan faydalanırlar:
Hemen herkesin Amazon.com’da bir hesabı olduğunu bilen korsanlar, Amazon müşteri hizmetlerini ararlar ve kendilerini Mat Honan olarak tanıtarak “hesaplarına yeni bir kredi kartı eklemek istediklerini” söylerler.
Bunu telefonda yapabilmek için Amazon üç bilgiyi istemektedir:
1. İsim
2. Sisteme kayıtlı e-posta adresi
3. Fatura adresi.

Her üç bilgi de zaten ellerinde olan korsanlar, sahte bir kredi kartı numarasını Honan’ın Amazon hesabına ekletirler ve telefonu kapatırlar.
Birkaç dakika sonra, Amazon müşteri hizmetlerini tekrar ararlar.

resim 5 - Sosyal Mühendislik Saldırısı : Örnek Bir Olay (hack)


Yine kendilerini Mat Honan olarak tanıtırlar, ancak bu kez Amazon’a tanımlı e-posta şifrelerini “unutmuşlardır“.
Amazon, kullanıcıların hesaplarına yeni bir e-posta adresi tanımlamak için üç güvenlik bilgisini istemektedir:
1. İsim
2. Fatura adresi
3. Kullanıcı hesabına kayıtlı bir kredi kartı numarası

İlk iki bilgi zaten ellerindedir. Az önce aynı hesaba tanımladıkları kredi kartı numarasını da vererek Honan’ın Amazon hesabına yeni bir e-posta adresi eklerler.

Sonra Amazon.com’a giderek “şifremi unuttum” bağlantısı yoluyla bu yeni e-posta adresine yeni bir şifre isterler.
Artık yazarın Amazon hesabı ellerindedir. Tabii bu hesaba kayıtlı kredi kartı da…

Amazon.com, güvenlik gerekçesiyle, kayıtlı kredi kartlarının ancak son dört rakamını ekranda göstermektedir: **** **** **** 1234
İşe bakın ki, yeni şifre tanımlamak için Apple’ın ihtiyaç duyduğu güvenlik doğrulama bilgisi tam da budur: Kredi kartının son dört hanesi.

3 Ağustos 2012 günü saat 16:33′te Apple müşteri hizmetlerini Honan gibi arayan korsanlar, yazarın fatura adresi ve Amazon’da ele geçirdikleri kredi kartının son dört rakamını kullanarak yeni bir şifre oluştururlar.

Yazarın Apple iTunes hesabı artık ellerindedir. Bu hesap, aralarında “me.com” uzantılı e-posta da bulunan tüm Apple servislerine erişmelerini sağlamaktadır.

16:50 Honan’ın Gmail şifresini de “me.com” uzantılı “alternatif” e-posta adresi sayesinde elde eden korsanlar için artık son bir adım kalmıştır: Twitter

17:02 Twitter’da Honan’ın hesabı için “şifremi unuttum” linkine tıklayan korsanlar, yeni şifrenin az önce ele geçirdikleri Gmail hesabınına gönderilmesiyle asıl amaçlarına ulaşırlar.
Ancak, bu arada başka zararlar vermekten de geri kalmazlar.

17:00 Apple’ın “Find my iPhone” servisini kullanan Honan’ın iPhone’u uzaktan formatlanır.

17:01 Aynı şekilde, yazarın iPad’i uzaktan formatlanır.

17:05 Yine aynı yolla, MacBook Air üzerindeki tüm data (Honan’ın kızının tüm fotoğraflarıyla birlikte) silinir.
Aynı sıralarda, Gmail şifresi değiştirilmekle kalınmaz, yazarın Google hesabı tümden silinir. Takvim, dokümanlar, mailler, her şey uçar.

17:10 Durumun farkına varan Mat Honan, Apple müşteri hizmetlerini arar.

17:12 Korsanlar, yazarın Twitter hesabından “başarılarını” dünyaya ilan ederler: “Clan Vv3 and Phobia hacked this twitter”
Bundan sonrası, Mat Honan için saatler süren telefon konuşmaları, moral çöküntüsü, pişmanlık ve uykusuz geçen geceler anlamına gelir.

Çalınan Twitter ve Gmail hesaplarına sektördeki bağlantıları sayesinde kavuşmayı başaran Honan, bilgisayarı konusunda bu kadar şanslı olmayabilir. Halen devam eden veri kurtarma operasyonu başarısız olursa, silinen belgelerini ve kızının fotoğraflarını geri getirmesi mümkün olmayacak.

Apple, bu olayın üzerine telefonda şifre sıfırlama işlemlerini durdurduğunu açıkladı.

Bitirirken, bu uzun yazı boyunca “korsanlar” diye bahsettiğimiz kişinin 19 yaşındaki bir genç ve ona yardım eden bir arkadaşı olduğunu da söylemeden geçmeyelim. Kimliği belirsiz genç korsan, şikayetta bulunmaması karşılığında yukarıda detaylarını verdiğimiz “hack” operasyonunu Honan’a adım adım anlatmıştır.