Kurbanların yavaşça ve ustaca kötü niyetli bir kripto yönetim uygulaması yüklemeye teşvik edildiği yeni ve çok akıllıca bir kripto dolandırıcılığını araştırmak için birkaç ay harcadık. Ancak, dolandırılanlar sadece sözde kurbanlardı, çünkü operatörler, bazı dijital Robin Hood’lar gibi… diğer hırsızları hedef alıyordu. Bizimle birlikte bu dolandırıcılığa derinlemesine bir göz atın ve kripto paranızı nasıl koruyacağınızı öğrenin.
İlk yem
Her şey, kripto para birimi hakkında oldukça önemsiz bir Telegram mesajı almamla başladı. Başkaları bunu görmezden gelebilirdi, ancak Kaspersky’de web içeriği analistleri ekibinin lideri olarak, kötü bir koku aldım ve araştırmaya karar verdim. Mesaj; tespit edilmekten kaçınmak için, iki kazançlı kripto projesinin, yüksek bir indirimle acele şekilde satışını gösteren bir ekran görüntüsü ve ilgili bağlantıların yer aldığı beş saniye uzunluğunda bir video klip olarak sunuldu. Muhtemelen alıcıya yanlış bir güvenlik hissi vermek için tasarlanmış olan ilk bağlantı, küçük de olsa gerçek bir ikinci kademe kripto borsasına yönlendiriyordu. Asıl yem diğer bağlantının arkasına saklanmıştı.
Kullanışlı bir sunucu arızası
Beklenenin aksine, diğer bağlantıyı takip etmek herhangi bir kötü niyetli içeriğe yönlendirmedi. İşler çok daha ilginç bir hâl almaya başlamıştı: Bir ana sayfa görmeyi umarak adresi girdiğinizde tarayıcı, içinde bazı cazip dosya adlarının bulunduğu bir kök dizin listesi gösteriyordu. Sunucu yanlış yapılandırılmış ya da ana sayfa yanlışlıkla silinmiş gibi görünüyordu ve şüphelenmeyen alan adı sahibinin tüm verileri açığa çıkmıştı. Listedeki herhangi bir dosyaya tıklayabilir ve içeriğini doğrudan tarayıcıda görüntüleyebilirdiniz, çünkü uygun bir şekilde, hepsinin TXT, PDF, PNG veya JPG gibi ortak, kullanımı kolay formatları vardı.
Bu da ziyaretçinin, bir kripto projesinin zengin ama ahmak sahibinin kişisel veri klasörüne girmiş gibi hissetmesine neden oluyordu. Metin dosyaları, tohum cümleleriyle birlikte cüzdan ayrıntılarını içeriyordu ve görüntüler, başarıyla gönderilen büyük miktarda kripto para biriminin, önemli cüzdan bakiyelerinin ve sahibinin lüks yaşam tarzının kanıtını gösteren ekran görüntüleriydi.
Ekran görüntülerinden birinin arka planında, Bitcoin ile nasıl yat ve Ferrari satın alınacağını açıklayan bir YouTube videosu vardı. Bu yatların PDF kataloğu da aynı dizinde kolayca bulunuyordu. Özetle, bu ciddi anlamda cazip bir yemdi.
Gerçek cüzdanlar ve nakit
DeBank’a göre bu dolandırıcılığın akıllıca yanı cüzdan bilgilerinin gerçek olması ve cüzdanlara erişilerek Exodus işlem geçmişinin ya da diğer cüzdanlardaki yaklaşık 150.000 ABD doları değerindeki varlıkların görüntülenebilmesi.
Yine de, fonlar stake edildiğinden – yani temelde hesaba bağlı olduğundan – hiçbir şey çekmeniz mümkün değildir. Bununla birlikte, bu durum ziyaretçinin çok daha az şüpheci olmasını sağlar: Her şey, spam veya kimlik avı değil, birinin dikkatsizce sızdırdığı gerçek veriler gibi görünür. Ayrıca, hiçbir yerde görülebilecek harici bağlantı veya kötü amaçlı dosya yoktur dolayısıyla şüphelenecek bir şey de yoktur!
Siteyi iki ay boyunca izledik ve hiçbir değişiklik görmedik. Dolandırıcılar, web sunucusu analizleri ile kullanıcıların davranışlarını izlerken, ilgilenen kullanıcılardan oluşan ciddi bir kitlenin oluşmasını bekliyor gibi görünüyordu. Ancak bu uzun ısınma döneminden sonra saldırının bir sonraki aşamasına geçtiler.
Yeni bir umut
İki aylık bu dramatik sessizlik nihayet bir güncelleme ile sona erdi: Başarılı bir Monero ödemesini gösterdiği iddia edilen yeni bir Telegram ekran görüntüsü. Ekran görüntüsüne daha yakından bakıldığında, bir işlem günlüğüne sahip bir “Electrum-XMR” cüzdan uygulaması ve bunu yayınladığımız sırada değeri yaklaşık bir milyon dolara denk gelen 6000 Monero token (XMR) içeren oldukça büyük bir bakiye fark edilecekti.
Şanslı bir tesadüf eseri, ekran görüntüsünün hemen yanında cüzdan için tohum cümlesini içeren yeni bir metin dosyası beliriverdi.
Bu noktada, yeterince dürüst olmayan herkes, dikkatsiz sahtekarın hesabına giriş yapmak ve kalan parayı almak için bir Electrum cüzdanı indirmek için acele etti. Kötü şans: Electrum yalnızca Bitcoin’i destekliyor ancak Monero’yu desteklemiyordu ve bir hesaba yeniden erişim sağlamak için özel bir anahtar (bir tohum cümlesi değil) gerekiyordu. Tohum cümlesinden anahtarı geri yüklemeye çalışırken, her meşru dönüştürücü tohum cümlesi biçiminin geçersiz olduğunu söyledi.
Yine de açgözlülük, kullanıcıların muhakemesini bulandırıyordu; ne de olsa söz konusu olan bir milyon dolardı ve başka biri çalmadan önce acele etmeleri gerekiyordu. Çabuk para kazanma meraklısı kişiler Google’da “Electrum XMR” ya da kısaca “Electrum Monero” araması yaptı. Hangisi olursa olsun, en üstteki sonuç görünüşte Monero’yu destekleyen bir Electrum çatalı hakkında bir web sitesiydi.
Tasarımı orijinal Electrum web sitesine benziyordu ve tipik açık kaynak modasında, her türlü açıklama, GitHub bağlantıları (orijinal Electrum deposu – Electrum-XMR değil), bunun Monero’yu desteklemek için bir çatal olduğunu açıkça belirten bir not ve macOS, Windows ve Linux yükleyicilerine doğrudan yönlendirmeler içeriyordu.
İşte bu noktada avcı farkında olmadan av olur. Electrum-XMR’nin indirilmesi ve kurulması, bilgisayara Kaspersky tarafından Backdoor.OLE2.RA-Based.a olarak tanımlanan ve saldırganlara, gizli uzaktan erişim sağlayan kötü amaçlı yazılım bulaştırır. Daha sonra yaptığı şey muhtemelen makinenin içeriğini taramak ve kripto cüzdan verilerini ve diğer değerli bilgileri çalmaktır.
Bizim güvenlik çözümümüz, Trojan yükleme girişimi bir yana, kötü niyetli web sitesini bile engellerdi, ancak başkalarının parasına el koymaya hevesli kripto avcıları kullanıcılarımız arasında pek yer almıyor.
Birdenbire, ikinci bir yineleme
Bir süre sonra, bu sosyal mühendislik başarısını araştırmayı bitirdiğimizde, hiç de sürpriz olmayan bir yem daha aldık. Bu sefer dolandırıcılar buharda yavaş pişirmeyi bırakıp kavurmaya geçmişti. Ekran görüntüsü, çok sayıda kişisel bilgi içeren açık bir metin dosyasının yanında büyük bir bakiyeye sahip sahte bir cüzdanı ve kötü amaçlı bir siteye özenle eklenmiş bir bağlantıyı gösteriyordu. Görünüşe göre bu aldatmaca işe yaramıştı ve benzer pek çok saldırıya maruz kalacaktık.
Saldırının tanınması
Yukarıda bahsettiğimiz dolandırıcılığın mağdurları, başkalarının parasını çalmaya çalışırken yemi nasıl yuttuklarını düşününce hiç de sempati uyandırmıyorlar. Ancak, dolandırıcılar yeni numaralar bulmaya devam ediyorlar ve bir dahaki sefere size para kazanmanın görünüşte etik bir yolunu sunabilirler. Örneğin, yanlışlıkla adres çubuğunda bağlantısı bulunan kazançlı bir airdrop’un reklamını yapan bir ekran görüntüsü alabilirsiniz…
Bu nedenle, tetikte olun ve her türlü bilgiye şüpheyle yaklaşın. Saldırının her aşaması kendine özgü bir şekilde şüphe çekiciydi. Web sitesi satış reklamı, belli ki anti-spam algoritmalarını aşmak için bir ekran görüntüsüyle birlikte, video klip şeklinde sunuluyordu. İçinde kripto cüzdan verilerinin bulunduğu şifrelenmemiş metin dosyalarından başka bir şey içermeyen bir web sitesi gerçek olamayacak kadar iyi görünüyordu. Kripto cüzdan çatalına ev sahipliği yaptığı iddia edilen alan adı, saldırıdan sadece iki ay önce kaydedilmişti. Ancak en önemlisi, dolandırıcılıkla dolu kripto dünyası, az bilinen cüzdan uygulamalarını kullanmayı kabul edilemez bir risk haline getiriyor. Bu nedenle, aşağıdaki adımları uygulayın:
- Yalnızca büyük, denenmiş ve güvenilir kripto cüzdan uygulamalarını ve borsa web sitelerini kullanın.
- Yalnızca resmi siteler üzerinden oturum açtığınızı ve uygulamaları doğru kaynaklardan indirdiğinizi dikkatli bir şekilde kontrol edin.
- Çevrimiçi dolandırıcıları tespit etmeye yönelik ipuçlarımıza göz atın.
- Kimlik avı sitelerine girmenizi veya kötü amaçlı yazılım çalıştırmanızı engelleyecek kapsamlı bilgisayar ve akıllı telefon koruması kullanın.
- Yeni tehditlerden anında haberdar olmak için blogumuza ve/veya Telegram kanalımıza abone olun