Topic: Borsalarda Sms doğrulamayı kullanmayın ! hackleniyor. (Read 553 times)
en güvenilir yöntem olarak sms doğrulamayı düşünüyordum.onu da hacklemenin yolunu buldularsa vay halimize.Allah iyi insanlara rast getirsin..
her zaman söylenir 2fa sistemi candır. yani en azından şimdilik öyle görünüyor. borsalar. e postalar, 2fa sistemini destekleyen ne varsa hepsine kuracaksın bu devirde
güvenlik açısından en iyisi 2fa. ayrıca bittrexin yöntemi de güzel. farklı bir ip'den giriş sağlanmak istenirse mail onayı da isteniyor.
bithesap.com da 2FA+SMS guvenlik sistemi var.Eger Sms ile guvenlik kaygilariniz var ise google 2fa authenticator u aktive edip daha guvenli bir sekilde kullanilabilinir.
Konuyu açan arkadaş olayı çok güzel özetlemiş zaten benzer yöntemlerle diğer dolandırıcılık işlerini yapıyorlar bir şekilde kurbanın banka bilgisi yada özel bilgilerini öğrendikten sonra tüm işlemleri kendisine yaptıttırarak dolandırıyorlar
Güvenlik açısından öncelik 2fa tabikide ama o yoksa benim için hala sms güvenli bir yöntem . Birçok insan paribudan terettut ediyor ama şu anda da SMS geçerli bir güvenlik yöntemi olarak düşünüyorum
Simkartı yeniletip ele geçirecek kadar ileri gittiler. Smsin devri bitti, Bu durumda en iyisi offline 2fa 
Güvenlik açısından öncelik 2fa tabikide ama o yoksa benim için hala sms güvenli bir yöntem . Birçok insan paribudan terettut ediyor ama şu anda da SMS geçerli bir güvenlik yöntemi olarak düşünüyorum
Borsalar güven sorunu varsa sms ile giriş özelliğini devre dışı bırakabilir. Kullanıcıların güvenliği için sorun yaşatan özelliklerin bulunmaması lazım
Güvenlik açığı varken insanlara bunu dayatmaları pek hoş değil. Paribu sanırım hala 2fa doğrulamasına geçmedi.
2Fa kimlik doğrulama seçeneği varsa genelde 2fa'i seçiyorum. Türk borsalarında paramı zaten çok fazla tutmuyorum bir tek çekeceğim zaman veya para yükleyeceğim zaman kullanıyorum. Piyasada yeni teknolojiden çok yeni dolandırıcılık yöntemleri yayılıyor.
Google Authenticator bu methodla çalinamaz yani hesaplarinizda onu aktif edebilirsiniz, Paribu'da simdilik google authenticator ozelligi yok
Google Authenticor hacklenebilirmi aynı metodla ?
ayrıca borsa şifresini brute force ile kırmaları bana mantıklı gelmedi. site mutlaka fazla sayıda denemede beklem süresi koymuştur.
bu hikaye biraz havada gibi.
ayrıca borsa şifresini brute force ile kırmaları bana mantıklı gelmedi. site mutlaka fazla sayıda denemede beklem süresi koymuştur.
bu hikaye biraz havada gibi.
Borsalar güven sorunu varsa sms ile giriş özelliğini devre dışı bırakabilir. Kullanıcıların güvenliği için sorun yaşatan özelliklerin bulunmaması lazım
Katılıyorum, borsalarda sms doğrumasını kullanmayın arkadaşlar bir şekilde sms doğrulamasını bypass edip kendileriyle ilgili işlem yaptırıyorlar.
Google Authenticor daha sağlam bir yapısı var kesinlikle daha kaliteli olduklarına eminim.
Google Authenticor daha sağlam bir yapısı var kesinlikle daha kaliteli olduklarına eminim.
Bu iş beni Kıllandırıyor açıkcası ama brute Force yöntemi ile bu denli şifre kırma yapabilmeleri enteresan bir durum gerçekten.
10 saniyede bir kod değiştiren bir sistem varken neden gidip insanlar sms olayında ısrar eder anlamıyorum. Hatların sıkıntılı olduğunu, kopyalanabildiğini ve bazen smslerin gelmediğini bile bile insan bunu neden yapar ki?
Yeterli güvenlik önlemini almıyorsan kaybettiğinde üzülmeyeceksin kardeşim bu kadar basit!
Bence bruteforce ile şifre kırma olayı zor. Yüksek ihtimalle sosyal mühendislik kullanılıyordur.
Bruteforce yoluyla gelsin kırsın benim şifremi
Yeterli güvenlik önlemini almıyorsan kaybettiğinde üzülmeyeceksin kardeşim bu kadar basit!
Bence bruteforce ile şifre kırma olayı zor. Yüksek ihtimalle sosyal mühendislik kullanılıyordur.
Bruteforce yoluyla gelsin kırsın benim şifremi
namussuzluğa bak ya. sms onayına güvenirdim ben nasılsa benim hattıma geliyor diye onu da bişekilde geçiyorlarsa hiç bir güveni yok.
Paribu 2fa kullanmıyor orada şöyle bir çözüm buldum borsadaki kimlik bilgileri sizinse borsaya kayıtlı telefon numaranız başka birine ait olsun güvendiğiniz birinin adına bir hat açıp sadece borsalarda kullanabilirsiniz
içerden bilgi sızdırıldığı için telefon numarasına kayıtlı numara üstünden gidiliyor zaten. Hattın başkasına ait olması birşeyi değiştirmez. Google 2fA üzerinde açık olsa da paribunun sadece sms doğrulama bulundurması endişe verici.
@heygidikaradeniz
Onu yazmayı unutmuşum. Bahsedilen konuda şöyle birşey vardı. Borsaya kimlik bilgisi verenler sanırım imzalı kağıtlada selfie gönderiyolarmış. Tabii bu durumda sadece imzamızın görünüşüne sahip olup atmları zordur.
Günlük hayattada kimlik bilgilerimizi ele geçirenler imzamızıda ele geçirebilir. Ancak bunu taklit etmeleri zordur. Peki taklit etmeyi denediklerinde genel merkez ikinci simi aktive etmeden önce bunu denetliyormu.
İlk Mesajımdaki senaryoya imzamın görüntüsüne sahip oldukları bilgisinide ekleyim.
Onu yazmayı unutmuşum. Bahsedilen konuda şöyle birşey vardı. Borsaya kimlik bilgisi verenler sanırım imzalı kağıtlada selfie gönderiyolarmış. Tabii bu durumda sadece imzamızın görünüşüne sahip olup atmları zordur.
Günlük hayattada kimlik bilgilerimizi ele geçirenler imzamızıda ele geçirebilir. Ancak bunu taklit etmeleri zordur. Peki taklit etmeyi denediklerinde genel merkez ikinci simi aktive etmeden önce bunu denetliyormu.
İlk Mesajımdaki senaryoya imzamın görüntüsüne sahip oldukları bilgisinide ekleyim.
İşler bu denli buraya gelmişken birde bu konuyu gördükden sonra adeta şoka girdim.
https://prnt.sc/hwzn2y
https://prnt.sc/hwznmu
https://prnt.sc/hx5ret
https://prnt.sc/hx5rk5
@emregungor adlı arkadaşın hesap'ından fotoğraflar atmışsan sanırsam nasıl oluyorda bu kadar kolay girebiliyorlar sms'i geçtim Google 2-Step Verification'ı bile geçtiklerini söylüyorlar ve geçtiklerine dağir bilgiler paylaşmışlar.
Durum sadece türkiye için değil tüm dünya için tehlikeli ve sıkıntılı bir durum googleye bildirdim araştırma ekibine.
konu linki : hXXp://illegalplatform.com/showthread.php?t=6184
https://prnt.sc/hwzn2y
https://prnt.sc/hwznmu
https://prnt.sc/hx5ret
https://prnt.sc/hx5rk5
@emregungor adlı arkadaşın hesap'ından fotoğraflar atmışsan sanırsam nasıl oluyorda bu kadar kolay girebiliyorlar sms'i geçtim Google 2-Step Verification'ı bile geçtiklerini söylüyorlar ve geçtiklerine dağir bilgiler paylaşmışlar.
Durum sadece türkiye için değil tüm dünya için tehlikeli ve sıkıntılı bir durum googleye bildirdim araştırma ekibine.
konu linki : hXXp://illegalplatform.com/showthread.php?t=6184
O konuyu bende okudum.Bahsettiğiniz konuda işin patlak verdiği nokta kimlik bilgileriyle 2. Sim çıkarılması sanırım. Yoksa sızdırılan bilgilere rağmen birşey yapılamazmış. Eğer bu simi çıkarmak bukadar kolay oluyorsa çok büyük bir güvenlik zaafiyeti var demektir. Bu konu sadece bitcoin değil, günlük hayatta her yerde kullandığımız sms doğrulamanın güvenli olup olmaması.
2fa'da google authenticatormu yoksa sms onaymı daha güvenli buda tartışılmalı. Bilgili arkadaşlar bilgilerini esirgememeliler.
Yeni sim kart çıkarma prosedürünü bilmediğim için aklıma farklı sorular geliyor.
Diyelim ki birisi benim kimlik bilgilerime, mail adresime hatta şifresine sahip,hatta bunlarla yeni sim kart çıkartmak için gittiği telefon bayisi ile ortak çalışıyor. Gsm operatoru firma tüm bu olumsuz koşullara karşı beni korumak için nasıl önlem alabilir yada alıyor?
Tamamen hayal ürünü senaryolarım ve tamamen uydurduğum çözümlerim şöyle . (Prosedürü bilenler aydınlatırsa sevinirim.)
1) "Hattımı 4G'ye geçirmek için yeni sim kart çıkarmak istiyorum" "kart eskidi" gibi iddaa ile sim çıkarma girişimi.
Bu durumda 1. Simin kendinde olduğunu, çalışır durumda olduğunu fakat onu iptal edip 2.yi aktive etmek istediğini belirtiyor. Bu talebi bayii yada tim operatorun genel merkezine gönderdi diyelim. Genel merkez 2. Simi aktive etmeden önce "ilk sim kartın sende olduğunu kanıtla" diyerek sms atması yada araması, Eğer kanıtlayamazsada 2.yi aktive etmeyip 1. sime ikaz mesajı atması hatta araması gerekmezmi. Hatta en yakın time gidin demesi falan gerekmezmi.
2) "Sim kartım bozuldu, çalışmıyor, telefonuma uyumlu değil" gerekçesiyle çıkartma girişimi.
Yani "1. Sim bende ama kullanılmıyor diyor" Bu talep genel merkeze gittiğinde genel merkez zaten sinyal alınıp alınmadığını anlar. Hatta sinyal alınan yerle başvuru yapılan bayii arasındaki mesafedende şüphelenir. Bundan şu anda sinyal alınıyor deyip 1.sime sahip olduğunu kanıtlaması için onay mesaj yada arama yaparak kanıtlamasını ister. Kanıtlayamazsa 1. Sime yine ikaz mesajı yada araması yapar. 2.yi aktive etmez.
3) "Sim kartım çalındı, telefonum çalındı" diyerek 2.simi çıkarma girişimi.
Yani 1.sime hırsızların sahip olduğunu iddaa ediyor ve kendisine 2. Simin çıkarılarak 1.simin iptal edilmesini istiyor. Bu durumda 1. Simin sms onayına güvenilemez. Bu talep genel merkeze iletildiğinde, 2. Sim açılmaz, 1.ye smsle yada arayarak "Şu anda çalıntı sim kullandığınız ihbarı var. Sim kartınızı geçici olarak bloke ediyoruz. En yakın genel bayiye/time giderek hattın sahibi olduğunuzu kanıtlamanız gerekiyor denilebilir. Hatta her arama yapma girişiminde bu uyarı gelerek kişinin belgeleriyle bayiye gitmesi sağlanabilir.
Muhtemelen açıklar burdan kaynaklanıyor.
A)Eğer 1.sime gerçekten hırsız sahipse kanıtlayamaz. Sonsuza kadar gerçek sahip 2. Simi kullanamayacakmı.
B) operator Süre sınırı koysa. 10 gün içinde kanıtlayamazsan 1. Simi iptal etcem 2. Simi aktive etcem dese. Belki 1. Sime sahip olan gerçek sahibi şehre uzak, yaşlı, hasta vs durumda. Olay burda çok dallanıp budaklanıp pratik uygulamayla güvenlik arasında bir sıkıntı çıkarıyor gibi. Bunun çözümü nasıl sağlanıyor yada sağlanabilir.
4)" Telefonum kayboldu" diyerek sim kart çıkarma girişimi.
Operator once 1. Simin Şu anda birisi tarafından kullanılıp kullanılmadığına bakar. Bazı özellikleri kısıtlar. Kullanılıyorsa 3. Maddeki gibi çalınmış olup olmamasını anlamaya çalışır
hattı ilk alırken tablete imza attırıyorlar, bu tip başvuruda imza kontrolü yapılıyor olması lazım. 2fa'da google authenticatormu yoksa sms onaymı daha güvenli buda tartışılmalı. Bilgili arkadaşlar bilgilerini esirgememeliler.
Yeni sim kart çıkarma prosedürünü bilmediğim için aklıma farklı sorular geliyor.
Diyelim ki birisi benim kimlik bilgilerime, mail adresime hatta şifresine sahip,hatta bunlarla yeni sim kart çıkartmak için gittiği telefon bayisi ile ortak çalışıyor. Gsm operatoru firma tüm bu olumsuz koşullara karşı beni korumak için nasıl önlem alabilir yada alıyor?
Tamamen hayal ürünü senaryolarım ve tamamen uydurduğum çözümlerim şöyle . (Prosedürü bilenler aydınlatırsa sevinirim.)
1) "Hattımı 4G'ye geçirmek için yeni sim kart çıkarmak istiyorum" "kart eskidi" gibi iddaa ile sim çıkarma girişimi.
Bu durumda 1. Simin kendinde olduğunu, çalışır durumda olduğunu fakat onu iptal edip 2.yi aktive etmek istediğini belirtiyor. Bu talebi bayii yada tim operatorun genel merkezine gönderdi diyelim. Genel merkez 2. Simi aktive etmeden önce "ilk sim kartın sende olduğunu kanıtla" diyerek sms atması yada araması, Eğer kanıtlayamazsada 2.yi aktive etmeyip 1. sime ikaz mesajı atması hatta araması gerekmezmi. Hatta en yakın time gidin demesi falan gerekmezmi.
2) "Sim kartım bozuldu, çalışmıyor, telefonuma uyumlu değil" gerekçesiyle çıkartma girişimi.
Yani "1. Sim bende ama kullanılmıyor diyor" Bu talep genel merkeze gittiğinde genel merkez zaten sinyal alınıp alınmadığını anlar. Hatta sinyal alınan yerle başvuru yapılan bayii arasındaki mesafedende şüphelenir. Bundan şu anda sinyal alınıyor deyip 1.sime sahip olduğunu kanıtlaması için onay mesaj yada arama yaparak kanıtlamasını ister. Kanıtlayamazsa 1. Sime yine ikaz mesajı yada araması yapar. 2.yi aktive etmez.
3) "Sim kartım çalındı, telefonum çalındı" diyerek 2.simi çıkarma girişimi.
Yani 1.sime hırsızların sahip olduğunu iddaa ediyor ve kendisine 2. Simin çıkarılarak 1.simin iptal edilmesini istiyor. Bu durumda 1. Simin sms onayına güvenilemez. Bu talep genel merkeze iletildiğinde, 2. Sim açılmaz, 1.ye smsle yada arayarak "Şu anda çalıntı sim kullandığınız ihbarı var. Sim kartınızı geçici olarak bloke ediyoruz. En yakın genel bayiye/time giderek hattın sahibi olduğunuzu kanıtlamanız gerekiyor denilebilir. Hatta her arama yapma girişiminde bu uyarı gelerek kişinin belgeleriyle bayiye gitmesi sağlanabilir.
Muhtemelen açıklar burdan kaynaklanıyor.
A)Eğer 1.sime gerçekten hırsız sahipse kanıtlayamaz. Sonsuza kadar gerçek sahip 2. Simi kullanamayacakmı.
B) operator Süre sınırı koysa. 10 gün içinde kanıtlayamazsan 1. Simi iptal etcem 2. Simi aktive etcem dese. Belki 1. Sime sahip olan gerçek sahibi şehre uzak, yaşlı, hasta vs durumda. Olay burda çok dallanıp budaklanıp pratik uygulamayla güvenlik arasında bir sıkıntı çıkarıyor gibi. Bunun çözümü nasıl sağlanıyor yada sağlanabilir.
4)" Telefonum kayboldu" diyerek sim kart çıkarma girişimi.
Operator once 1. Simin Şu anda birisi tarafından kullanılıp kullanılmadığına bakar. Bazı özellikleri kısıtlar. Kullanılıyorsa 3. Maddeki gibi çalınmış olup olmamasını anlamaya çalışır
Jump to: