Pages:
Author

Topic: Borsalarda Sms doğrulamayı kullanmayın ! hackleniyor. - page 2. (Read 574 times)

newbie
Activity: 11
Merit: 0
O konuyu bende okudum.Bahsettiğiniz konuda işin patlak verdiği nokta kimlik bilgileriyle 2. Sim çıkarılması sanırım. Yoksa sızdırılan bilgilere rağmen birşey yapılamazmış. Eğer bu simi çıkarmak bukadar kolay oluyorsa çok büyük bir güvenlik zaafiyeti var demektir. Bu konu sadece bitcoin değil, günlük hayatta her yerde kullandığımız sms doğrulamanın güvenli olup olmaması.  
2fa'da google authenticatormu yoksa sms  onaymı daha güvenli buda tartışılmalı. Bilgili arkadaşlar bilgilerini esirgememeliler.

Yeni sim kart çıkarma prosedürünü bilmediğim için aklıma farklı sorular geliyor.
Diyelim ki birisi benim kimlik bilgilerime, mail adresime hatta şifresine sahip,hatta  bunlarla yeni sim kart çıkartmak için gittiği telefon bayisi ile ortak çalışıyor. Ve imzamın görünüşünede sahipler.  Gsm operatoru firma tüm bu olumsuz koşullara karşı beni korumak için nasıl önlem alabilir yada alıyor?
Tamamen hayal ürünü  senaryolarım ve tamamen uydurduğum çözümlerim şöyle .  (Prosedürü bilenler aydınlatırsa sevinirim.)

1) "Hattımı  4G'ye geçirmek için yeni sim kart çıkarmak istiyorum" "kart eskidi"  gibi iddaa ile sim çıkarma girişimi.
Bu durumda 1. Simin kendinde olduğunu, çalışır durumda olduğunu fakat onu iptal edip 2.yi aktive etmek istediğini belirtiyor. Bu talebi bayii yada tim operatorun genel merkezine gönderdi diyelim. Genel merkez 2. Simi aktive etmeden  önce "ilk sim kartın sende olduğunu kanıtla" diyerek sms atması yada araması, Eğer  kanıtlayamazsada 2.yi aktive etmeyip 1. sime  ikaz mesajı atması hatta araması gerekmezmi. Hatta en yakın time gidin demesi falan gerekmezmi.

2) "Sim kartım bozuldu,  çalışmıyor, telefonuma uyumlu değil" gerekçesiyle çıkartma girişimi.
Yani "1. Sim bende ama kullanılmıyor diyor" Bu talep genel merkeze gittiğinde   genel merkez zaten  sinyal alınıp alınmadığını anlar.  Hatta sinyal alınan yerle başvuru yapılan bayii arasındaki mesafedende şüphelenir.  Bundan şu anda sinyal alınıyor deyip 1.sime sahip olduğunu kanıtlaması için onay mesaj yada arama yaparak kanıtlamasını ister. Kanıtlayamazsa 1. Sime yine ikaz mesajı  yada araması yapar. 2.yi aktive etmez.

3) "Sim kartım çalındı, telefonum çalındı" diyerek 2.simi çıkarma girişimi.
Yani 1.sime hırsızların sahip olduğunu iddaa ediyor ve kendisine 2. Simin çıkarılarak 1.simin iptal edilmesini istiyor. Bu durumda 1. Simin sms onayına güvenilemez.  Bu talep genel merkeze iletildiğinde, 2. Sim açılmaz, 1.ye smsle yada arayarak "Şu anda çalıntı sim kullandığınız ihbarı var. Sim kartınızı geçici olarak bloke ediyoruz. En yakın genel bayiye/time  giderek hattın sahibi olduğunuzu kanıtlamanız gerekiyor denilebilir. Hatta her arama yapma girişiminde bu uyarı gelerek kişinin belgeleriyle bayiye gitmesi sağlanabilir.
Muhtemelen açıklar burdan kaynaklanıyor.
A)Eğer 1.sime gerçekten hırsız sahipse  kanıtlayamaz. Sonsuza kadar gerçek sahip 2. Simi kullanamayacakmı.
B) operator Süre sınırı koysa. 10 gün içinde kanıtlayamazsan 1. Simi iptal etcem 2. Simi aktive etcem dese. Belki 1. Sime sahip olan  gerçek sahibi  şehre uzak, yaşlı, hasta vs durumda. Olay burda çok dallanıp budaklanıp pratik uygulamayla güvenlik arasında bir sıkıntı çıkarıyor gibi. Bunun çözümü nasıl sağlanıyor yada sağlanabilir.

4)" Telefonum kayboldu" diyerek sim kart çıkarma girişimi.
Operator once 1. Simin   Şu anda birisi tarafından kullanılıp kullanılmadığına bakar. Bazı özellikleri kısıtlar.  Kullanılıyorsa 3. Maddeki  gibi çalınmış olup olmamasını anlamaya çalışır

hero member
Activity: 882
Merit: 524
For Rent
Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.

2009 yılında 18 yaşından küçük olan (şu anda 26-27 yaşından küçük olan) kimse bu olaydan etkilenmediyse bununla alakası olabilir diye düşünüyorum.

alakasi yok, kullanici adi ve kimde yüklü bitcoin var, bu bilgilerde sizdirildi. yoksa kimlik bilgiler olsa da, nereden basliyacaklar, bilemezler.
aynen bu da olabilir. sürekli fonalra transferler yapıp durduk. kendi aramızda alım satımlar yapıp durduk. kimin adresi kime ait biliniyor. çok paranoyak oldum. eskiden bankaların kasaları boşaltılırmıştı şimdi ise internet üzerinden boşaltım yapılıyor.
newbie
Activity: 14
Merit: 0
Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.

2009 yılında 18 yaşından küçük olan (şu anda 26-27 yaşından küçük olan) kimse bu olaydan etkilenmediyse bununla alakası olabilir diye düşünüyorum.

alakasi yok, kullanici adi ve kimde yüklü bitcoin var, bu bilgilerde sizdirildi. yoksa kimlik bilgiler olsa da, nereden basliyacaklar, bilemezler.
sr. member
Activity: 505
Merit: 252
Paribu 2fa kullanmıyor orada şöyle bir çözüm buldum borsadaki kimlik bilgileri sizinse borsaya kayıtlı telefon numaranız başka birine ait olsun güvendiğiniz birinin adına bir hat açıp sadece borsalarda kullanabilirsiniz
legendary
Activity: 1288
Merit: 1110
Hat değişikliği konusunda bankaların aldığı ve şu anda uygulamada olan bir önlem var. Sim kartın değiştiğini bir şekilde anlıyorlar. SMS'i 2fa olarak kullanan firmaların bu teknik detaya göz atması gerekiyor. Karşı taraf gerekli önlemlerini aldığı sürece sms'in en güvenilir yöntem olduğunu düşünüyorum.

~snip
şimdi ikiz sim kartımız olsa bile biri hattayken diğeri hatta olamıyor. yani aynı anda ikisine de sms gitsin işlemi yapılamıyor.

Bir süre kullanmıştım. Bir hat aktifken diğeri açıldığında son olarak networke bağlanan hat çalışmaya başlıyor bir süre sonra diğer hat işlevini yitiriyordu diye hatırlıyorum. Ama eş kart şift olarak satılıyor. Yani tek bir kart kullanan adam eş kart almak isterse eski kartı iptal oluyor, iki yeni kart veriyorlar. Bankalar bunu anlamıştı bende ve onay istemişlerdi. Ama eş kartlardan biri ile onayladığımda diğeri için tekrar onay istememişti.
legendary
Activity: 2632
Merit: 1333
Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.

2009 yılında 18 yaşından küçük olan (şu anda 26-27 yaşından küçük olan) kimse bu olaydan etkilenmediyse bununla alakası olabilir diye düşünüyorum.
O veriler hala ortalarda ve avukatlık büroları vb kullanıyor ama pek güncelliği kalmadı, yani şu anda mesela 2010 yılında işe yaradığı kadar işlevsel olacağını pek zannetmiyorum.
full member
Activity: 224
Merit: 119
#Root
benim bu olaylarda anlamadığım takıldığım tartışmak istediğim bir husus var. şimdi ikiz sim kartımız olsa bile biri hattayken diğeri hatta olamıyor. yani aynı anda ikisine de sms gitsin işlemi yapılamıyor. e artık akıllı telefonlar herkesin elinde 7/24 açık. bu sim kart devreye nasıl giriyor. bu noktada teknik bir analiz bilgi gereliyor. konuyu acilen bimer'e iletmeliyiz. çok acil önlem alınmalı. konu BTC ile alakalı görünse de tehlike daha büyük. bugün e-devlete bile artık sms ile giriliyor. Allah sonumuzu hayır etsin.

Yeni aldığın sim kartını telefona taktiğindan itibaren diğer sim kartı kullanılamıyor.
hero member
Activity: 882
Merit: 524
For Rent
benim bu olaylarda anlamadığım takıldığım tartışmak istediğim bir husus var. şimdi ikiz sim kartımız olsa bile biri hattayken diğeri hatta olamıyor. yani aynı anda ikisine de sms gitsin işlemi yapılamıyor. e artık akıllı telefonlar herkesin elinde 7/24 açık. bu sim kart devreye nasıl giriyor. bu noktada teknik bir analiz bilgi gereliyor. konuyu acilen bimer'e iletmeliyiz. çok acil önlem alınmalı. konu BTC ile alakalı görünse de tehlike daha büyük. bugün e-devlete bile artık sms ile giriliyor. Allah sonumuzu hayır etsin.
legendary
Activity: 1877
Merit: 1396
The Last Cryptocoin Burner
Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.
bilgi veren kullanıcı haklıysa içeriden bilgi sızdırma doğru gibi ayrıca geçmiş yıllardaki sızıntı da bütün kimlik bilgileri sızmamıştı yani kimlik çıkartmaya yetmiyor onlar ama hat açmak için tam kimlik bilgisi lazım ayrıca sadece yüksek varlıklı hesaplar hacklenmiş herkes değil yani içeriden bilgi gelmeden bunu bilemezler.
legendary
Activity: 1792
Merit: 1030
Hat çıkarmak için neler gerekiyor bilmiyorum, ancak şöyle bir şeyi hatırlatmak istiyorum ki 2009 seçimlerinde oy veren herkesin kimlik bilgileri sızdırılmıştı. İsim soyad, TC kimlik numarası, doğum tarihi, adres gibi bilgiler bu sızdırılan veri tabanının içinde yer alıyordu.
Yani içeriden yapılan bir işlem olmayabilir, belki de bu sızdırılan bilgiler kullanılarak işlem yapılmıştır.

2009 yılında 18 yaşından küçük olan (şu anda 26-27 yaşından küçük olan) kimse bu olaydan etkilenmediyse bununla alakası olabilir diye düşünüyorum.
legendary
Activity: 1877
Merit: 1396
The Last Cryptocoin Burner
Bir korsan saldırı gerçekleşti ve borsalardan bazı kullanıcıların btcleri çalındı. Bütün mesajları okudum ve özet geçiyorum nasıl olduğu belli gibi:
1-TR deki borsalarda çalışanın biri üye kimlik bilgisi ve bakiye bilgisini dışarı sızdırıyor
2-Gsm bayilerinden birinin çalışanı bu bilgilerle yeni sim kartı imzasız onaylıyor.
3-Korsan şahıs bu bilgilerin yardımıyla muhtemel brute force ile hesabı kırıyor ve btcleri çekiyor.

Sizin başınıza gelmemiş olabilir ama muhtemelen sırada olabilirsiniz, kaç kişinin sim kartı kopyalandı belli değil , ne yazıkki BAnkaların sahip olduğu sim kart kod bilgisi btc borsalarında yok yani sim kartın değiştiğini anlayamıyorlar bu yüzden bu yazıyı okuyorsanız ne olduğunu anlamasanız bile sms doğrulamayı kullandığınız borsalardan bu özelliği kaldırmanız gerekiyor. Google 2fa ya geçebilirsiniz ama paribu da sms login dışına çıkılamıyor orda varlık bulundurmanız riskli.Diğer borsaları bilmiyorum ama an itibariyle TR de sms kopyalama yapılabiliyor. Hesabınızda yüksek miktarlı varlık varsa özellikle risk altındasınız. Risk sadece TR borsaları için geçerli ama 2fa kullanmıyor ve diğer hesaplarınızda da aynı şifre varsa yabancı borsa hesaplarınızda risk altında.(zaten yüksek miktarlı btcyi 2fa sız borsada tutuyorsanız risk sizin göbek adınız olmalı)

burada mesajı atan şahıs korsanın bu olduğunu iddia ediyor.
https://bitcointalksearch.org/topic/dkkat-bugun-turk-borsalarndaki-hesaplarnza-girilme-giriimi-yaadnz-m-2684045

Gelişmeler editle ilk mesaja eklenecektir.
Self modere posttur. normalde sadece zevzeklik yapan mesajları silerim ama  bilgi kirliliği olmaması açısından bilgi içermeyen önlem tavsiye etmeyen ciddi sorular sormayan mesajları sileceğim ki okuyan fayda görsün, "vay bee" , "böyle olacağı belliydi" gibi mesajlar atmazsanız sevinirim.
Pages:
Jump to: