Pages:
Author

Topic: Borsalarda Sms doğrulamayı kullanmayın ! hackleniyor. (Read 574 times)

newbie
Activity: 224
Merit: 0
en güvenilir yöntem olarak sms doğrulamayı düşünüyordum.onu da hacklemenin yolunu buldularsa vay halimize.Allah iyi insanlara rast getirsin..
full member
Activity: 420
Merit: 100
her zaman söylenir 2fa sistemi candır. yani en azından şimdilik öyle görünüyor. borsalar. e postalar, 2fa sistemini destekleyen ne varsa hepsine kuracaksın bu devirde
jr. member
Activity: 294
Merit: 5
güvenlik açısından en iyisi 2fa. ayrıca bittrexin yöntemi de güzel. farklı bir ip'den giriş sağlanmak istenirse mail onayı da isteniyor.
newbie
Activity: 6
Merit: 0
bithesap.com da 2FA+SMS guvenlik sistemi var.Eger Sms ile guvenlik kaygilariniz var ise google 2fa authenticator u aktive edip daha guvenli bir sekilde kullanilabilinir.
member
Activity: 224
Merit: 12
Konuyu açan arkadaş olayı çok güzel özetlemiş zaten benzer yöntemlerle diğer dolandırıcılık işlerini yapıyorlar bir şekilde kurbanın banka bilgisi yada özel bilgilerini öğrendikten sonra tüm işlemleri kendisine yaptıttırarak dolandırıyorlar
member
Activity: 109
Merit: 10
Decentralized Transportation Economy
Güvenlik açısından öncelik 2fa tabikide ama o yoksa benim için hala sms güvenli bir yöntem . Birçok insan paribudan terettut ediyor ama şu anda da SMS geçerli bir güvenlik yöntemi olarak düşünüyorum
Simkartı yeniletip ele geçirecek kadar ileri gittiler. Smsin devri bitti,  Bu durumda en iyisi offline 2fa Smiley
jr. member
Activity: 238
Merit: 3
Güvenlik açısından öncelik 2fa tabikide ama o yoksa benim için hala sms güvenli bir yöntem . Birçok insan paribudan terettut ediyor ama şu anda da SMS geçerli bir güvenlik yöntemi olarak düşünüyorum
member
Activity: 224
Merit: 12
Borsalar güven sorunu varsa sms ile giriş özelliğini devre dışı bırakabilir. Kullanıcıların güvenliği için sorun yaşatan özelliklerin bulunmaması lazım

Güvenlik açığı varken insanlara bunu dayatmaları pek hoş değil. Paribu sanırım hala 2fa doğrulamasına geçmedi.
sr. member
Activity: 854
Merit: 267
2Fa kimlik doğrulama seçeneği varsa genelde 2fa'i seçiyorum. Türk borsalarında paramı zaten çok fazla tutmuyorum bir tek çekeceğim zaman veya para yükleyeceğim zaman kullanıyorum. Piyasada yeni teknolojiden çok yeni dolandırıcılık yöntemleri yayılıyor.
sr. member
Activity: 434
Merit: 253
Google Authenticator bu methodla çalinamaz yani hesaplarinizda onu aktif edebilirsiniz, Paribu'da simdilik google authenticator ozelligi yok
jr. member
Activity: 210
Merit: 6
Google Authenticor  hacklenebilirmi aynı metodla ?
ayrıca borsa şifresini brute force ile kırmaları bana mantıklı gelmedi. site mutlaka fazla sayıda denemede beklem süresi koymuştur.
bu hikaye biraz havada gibi.
newbie
Activity: 14
Merit: 0
Borsalar güven sorunu varsa sms ile giriş özelliğini devre dışı bırakabilir. Kullanıcıların güvenliği için sorun yaşatan özelliklerin bulunmaması lazım
sr. member
Activity: 382
Merit: 311
Katılıyorum, borsalarda sms doğrumasını kullanmayın arkadaşlar bir şekilde sms doğrulamasını bypass edip kendileriyle ilgili işlem yaptırıyorlar.

Google Authenticor daha sağlam bir yapısı var kesinlikle daha kaliteli olduklarına eminim.
hero member
Activity: 882
Merit: 507
Bu iş  beni Kıllandırıyor açıkcası ama brute Force yöntemi ile bu denli şifre kırma yapabilmeleri enteresan bir durum gerçekten.
sr. member
Activity: 420
Merit: 260
10 saniyede bir kod değiştiren bir sistem varken neden gidip insanlar sms olayında ısrar eder anlamıyorum. Hatların sıkıntılı olduğunu, kopyalanabildiğini ve bazen smslerin gelmediğini bile bile insan bunu neden yapar ki?
Yeterli güvenlik önlemini almıyorsan kaybettiğinde üzülmeyeceksin kardeşim bu kadar basit!

Bence bruteforce ile şifre kırma olayı zor. Yüksek ihtimalle sosyal mühendislik kullanılıyordur.
Bruteforce yoluyla gelsin kırsın benim şifremi Smiley
member
Activity: 322
Merit: 15
namussuzluğa bak ya. sms onayına güvenirdim ben nasılsa benim hattıma geliyor diye onu da bişekilde geçiyorlarsa hiç bir güveni yok.
newbie
Activity: 33
Merit: 0
Paribu 2fa kullanmıyor orada şöyle bir çözüm buldum borsadaki kimlik bilgileri sizinse borsaya kayıtlı telefon numaranız başka birine ait olsun güvendiğiniz birinin adına bir hat açıp sadece borsalarda kullanabilirsiniz
içerden bilgi sızdırıldığı için telefon numarasına kayıtlı numara üstünden gidiliyor zaten. Hattın başkasına ait olması birşeyi değiştirmez.
Google 2fA üzerinde açık olsa da paribunun sadece sms doğrulama bulundurması endişe verici.
newbie
Activity: 11
Merit: 0
@heygidikaradeniz
Onu yazmayı unutmuşum. Bahsedilen konuda şöyle birşey vardı. Borsaya kimlik bilgisi verenler sanırım imzalı kağıtlada selfie gönderiyolarmış. Tabii bu durumda sadece imzamızın görünüşüne sahip olup atmları zordur.
Günlük hayattada kimlik bilgilerimizi ele geçirenler imzamızıda ele geçirebilir. Ancak bunu taklit etmeleri zordur. Peki taklit etmeyi denediklerinde genel merkez  ikinci simi aktive etmeden önce bunu denetliyormu.
İlk Mesajımdaki senaryoya  imzamın görüntüsüne sahip oldukları bilgisinide ekleyim.
newbie
Activity: 2
Merit: 0
İşler bu denli buraya gelmişken birde bu konuyu gördükden sonra adeta şoka girdim.


https://prnt.sc/hwzn2y
https://prnt.sc/hwznmu
https://prnt.sc/hx5ret
https://prnt.sc/hx5rk5

@emregungor adlı arkadaşın hesap'ından fotoğraflar atmışsan sanırsam nasıl oluyorda bu kadar kolay girebiliyorlar sms'i geçtim Google 2-Step Verification'ı bile geçtiklerini söylüyorlar ve geçtiklerine dağir bilgiler paylaşmışlar.

Durum sadece türkiye için değil tüm dünya için tehlikeli ve sıkıntılı bir durum googleye bildirdim araştırma ekibine.

konu linki : hXXp://illegalplatform.com/showthread.php?t=6184
jr. member
Activity: 135
Merit: 2
O konuyu bende okudum.Bahsettiğiniz konuda işin patlak verdiği nokta kimlik bilgileriyle 2. Sim çıkarılması sanırım. Yoksa sızdırılan bilgilere rağmen birşey yapılamazmış. Eğer bu simi çıkarmak bukadar kolay oluyorsa çok büyük bir güvenlik zaafiyeti var demektir. Bu konu sadece bitcoin değil, günlük hayatta her yerde kullandığımız sms doğrulamanın güvenli olup olmaması.  
2fa'da google authenticatormu yoksa sms  onaymı daha güvenli buda tartışılmalı. Bilgili arkadaşlar bilgilerini esirgememeliler.

Yeni sim kart çıkarma prosedürünü bilmediğim için aklıma farklı sorular geliyor.
Diyelim ki birisi benim kimlik bilgilerime, mail adresime hatta şifresine sahip,hatta  bunlarla yeni sim kart çıkartmak için gittiği telefon bayisi ile ortak çalışıyor.   Gsm operatoru firma tüm bu olumsuz koşullara karşı beni korumak için nasıl önlem alabilir yada alıyor?
Tamamen hayal ürünü  senaryolarım ve tamamen uydurduğum çözümlerim şöyle .  (Prosedürü bilenler aydınlatırsa sevinirim.)

1) "Hattımı  4G'ye geçirmek için yeni sim kart çıkarmak istiyorum" "kart eskidi"  gibi iddaa ile sim çıkarma girişimi.
Bu durumda 1. Simin kendinde olduğunu, çalışır durumda olduğunu fakat onu iptal edip 2.yi aktive etmek istediğini belirtiyor. Bu talebi bayii yada tim operatorun genel merkezine gönderdi diyelim. Genel merkez 2. Simi aktive etmeden  önce "ilk sim kartın sende olduğunu kanıtla" diyerek sms atması yada araması, Eğer  kanıtlayamazsada 2.yi aktive etmeyip 1. sime  ikaz mesajı atması hatta araması gerekmezmi. Hatta en yakın time gidin demesi falan gerekmezmi.

2) "Sim kartım bozuldu,  çalışmıyor, telefonuma uyumlu değil" gerekçesiyle çıkartma girişimi.
Yani "1. Sim bende ama kullanılmıyor diyor" Bu talep genel merkeze gittiğinde   genel merkez zaten  sinyal alınıp alınmadığını anlar.  Hatta sinyal alınan yerle başvuru yapılan bayii arasındaki mesafedende şüphelenir.  Bundan şu anda sinyal alınıyor deyip 1.sime sahip olduğunu kanıtlaması için onay mesaj yada arama yaparak kanıtlamasını ister. Kanıtlayamazsa 1. Sime yine ikaz mesajı  yada araması yapar. 2.yi aktive etmez.

3) "Sim kartım çalındı, telefonum çalındı" diyerek 2.simi çıkarma girişimi.
Yani 1.sime hırsızların sahip olduğunu iddaa ediyor ve kendisine 2. Simin çıkarılarak 1.simin iptal edilmesini istiyor. Bu durumda 1. Simin sms onayına güvenilemez.  Bu talep genel merkeze iletildiğinde, 2. Sim açılmaz, 1.ye smsle yada arayarak "Şu anda çalıntı sim kullandığınız ihbarı var. Sim kartınızı geçici olarak bloke ediyoruz. En yakın genel bayiye/time  giderek hattın sahibi olduğunuzu kanıtlamanız gerekiyor denilebilir. Hatta her arama yapma girişiminde bu uyarı gelerek kişinin belgeleriyle bayiye gitmesi sağlanabilir.
Muhtemelen açıklar burdan kaynaklanıyor.
A)Eğer 1.sime gerçekten hırsız sahipse  kanıtlayamaz. Sonsuza kadar gerçek sahip 2. Simi kullanamayacakmı.
B) operator Süre sınırı koysa. 10 gün içinde kanıtlayamazsan 1. Simi iptal etcem 2. Simi aktive etcem dese. Belki 1. Sime sahip olan  gerçek sahibi  şehre uzak, yaşlı, hasta vs durumda. Olay burda çok dallanıp budaklanıp pratik uygulamayla güvenlik arasında bir sıkıntı çıkarıyor gibi. Bunun çözümü nasıl sağlanıyor yada sağlanabilir.

4)" Telefonum kayboldu" diyerek sim kart çıkarma girişimi.
Operator once 1. Simin   Şu anda birisi tarafından kullanılıp kullanılmadığına bakar. Bazı özellikleri kısıtlar.  Kullanılıyorsa 3. Maddeki  gibi çalınmış olup olmamasını anlamaya çalışır


hattı ilk alırken tablete imza attırıyorlar, bu tip başvuruda imza kontrolü yapılıyor olması lazım.
Pages:
Jump to: