1990'larda banka soygunu filmlerine olan aşkım başladığından beri, bir bankaya zorla girebilme fikri beni büyüledi ve sanırım sonunda bunu yapmanın bir yolunu bulmuş olabilirim - yani, bir nevi. Tipik bankacılık uygulamalarının güvenliği beni son derece etkiliyor ve güvenlik şapkamı takmışken, bankaların müşterilerinin parasını korumak için tasarlanmış, genellikle sağlam yerleşik önlemleri atlatmanın bir yolunu henüz düşünmedim ki bu da tamamen olması gerektiği gibi. olmak. Ancak, eğer bankalar bu kadar güvenliyse, insanların fonlarına zaten tam erişime sahip olan en popüler üçüncü taraflardan biri olan PayPal'a saldırmanın bir yolu olup olmadığını merak ettim.

Olayları bir perspektife oturtmak gerekirse, son 18 ay boyunca bir şeyi kaçırmanın ne kadar kolay olduğunu başarılı bir şekilde gösterdim. WhatsApp or Snapchat Hesaplarda doğru güvenlik ayarı olmayan hesap. Bu durum beni, benzer taktikler kullanarak bir finansal hesabın kontrolünü ele geçirmeye çalışmam gerekip gerekmediğini merak etmeye yöneltti. Basit bir "omuz sörfü" sanatıyla PayPal hesabınızın gerçekten tehlikeye girebileceği ve binlerce dolar kaybedebileceğiniz ortaya çıktı.

Sosyal mühendislik saldırıları giderek yaygınlaşıyor ve suç çeteleri arasında popülerliği artıyor. Öte yandan, "kurbanlar" önerilen saldırı vektörünün farkında oldukları için test koşulları altında biri üzerinde düzgün bir şekilde deney yapmak zordur ve bu, uygulanabilirliğini kanıtlamaksızın denemeyi anında pencereden dışarı atar. Ancak birinin PayPal hesabının sahipliğini almanın ve bunu meşru ve yasal bir deneyle kanıtlamanın bir yolunu buldum; Daha da önemlisi, hesabınıza yapılacak bu saldırıdan nasıl kaçınacağınızı da öğreneceksiniz.

Kavramın bu son kanıtını göstermek için, herhangi birini hedef almayı seçmedim; hipotezimi, özellikle işin içine para girdiğinde, neler olup bittiğini fark etme olasılığı yüksek olan biri üzerinde tam olarak test etmek istedim. Bu yüzden 20 yılı aşkın bir süredir güvenlik sektöründe olan bir arkadaşımı (ona Dave diyelim) hedef almayı seçtim. Aslında Dave bilgisayar güvenliği konusunda bir gurudur ve çok az kişi bu konuda uzmandır. dolandırıcılık gözlerinden kaçıyor ne olduğunun farkına varmadan. Mükemmel.

Deney başlasın

Geçenlerde Dave ve son 18 ayda yalnızca birkaç kez gördüğüm birkaç arkadaşımla daha buluşmayı ayarladım. Dave'e küçük bir hackte önemli bir rol oynamayı kabul edip etmeyeceğini sordum. Siber güvenlik farkındalığı ve dolandırıcılığın önlenmesi adına, öğle yemeği satın aldığım sürece hesabında herhangi bir şeyi denememe izin vermeyi kabul etti; ancak kimin banka hesabını kullanacağını belirtmedi!

Bir restorandayken Dave telefonunu masanın üzerine koydu ve masanın etrafında birkaçımızla sohbet ediyordu. Dizüstü bilgisayarımı yanımda getirdim ve bu arada PayPal web sitesini açtım ve doğrudan bilgisayar korsanlarının en sevdiği bölüm olan unutulan şifre sayfasına gittim.

Dave'in kişisel e-posta adresini biliyorum ve bu adresi PayPal için de kullandığını tahmin ediyorum. Gerçek bir saldırıda bilgisayar korsanının hedefin e-posta adresini bilmesi gerekir ancak günümüzde birçok kişinin e-posta adresi birkaç aramayla bulunabilmektedir. Google, LinkedIn ve hatta Instagram, herhangi bir PayPal kullanıcısına yönelik bu saldırıyı başlatmak için gereken tek şey olan e-posta adresinizi gösterebilir.

PayPal daha sonra çeşitli yollarla "hızlı bir güvenlik kontrolü" göndermeyi talep eder. Araştırmama göre bu bir metin, bir e-posta, bir telefon görüşmesi, bir kimlik doğrulayıcı uygulama ve hatta bir WhatsApp aracılığıyla olabilir! Hatta bazı kişilerin, şüphesiz hesapları kadar eski olan güvenlik soruları aracılığıyla güvenliği kontrol etme seçeneği bile vardır. Ve eğer benimki gibi bunlar bulunması son derece kolay cevaplar içeriyorsa. Bunların hala bir seçenek olarak sunulduğuna dair hiçbir fikrim yoktu ve hiçbir ortamda bazı güvenlik kontrolü türlerini nerede ortadan kaldıracağımı bulamadım. Dave'e döndüğümüzde teklif ettiği tek güvenlik kontrolü bir mesaj yoluyladı ki bu da şimdilik ilgimizi çekiyor.

Dave hâlâ toplantı odasında meslektaşlarıyla konuşurken, "İleri"ye tıkladım ve bu, hemen telefonuna altı haneli bir kod gönderdi.

Dave'in telefonuna doğru eğildim ve o fark etmeden uyandırmak için ekrana dokundum. Telefonunun kilit ekranında mesaj önizlemelerini devre dışı bırakmadığı için kodu kolayca görüntüleyip web sitesindeki doğrulama kodu alanına yazdım. İhtiyacım olan tek şey buydu ve artık onun hesabındaydım! PayPal'ın web sitesi daha sonra hesabı için yeni bir şifre seçmemi istedi ve ben de onu şifre oluşturucumun yeni oluşturduğu şifreyle değiştirdim.

İşte oradaydım, Dave'in PayPal kontrol paneline ve hesabıyla ilişkili tüm kartlara bakıyordum. Gerçekten kendimi bir bankaya girmiş gibi hissettim! Tüm seçeneklere ve bağlantılı banka kartlarına bakıyordum. Kolayca bir banka veya kredi kartını bağlayabilirdim, hatta ev adresi gibi kişisel ayrıntılarına bile bakabilirdim. Hesabının e-posta adresini, adresini veya adını değiştirebilirdim ama bu saldırıyı gerçekten test etmek için "para gönder"e tıkladım. Her ne kadar 10,000 £'a kadar gönderebilecek olsam da (cezbettim ve hatta bunu etkili olsun diye yazdım), kendi PayPal hesabıma yalnızca 10 £ göndermeyi seçtim; bunun için onun yetki verdiğini ve ben de ona parasını geri ödeyeceğime söz verdiğimi unutmayın. bu taşındı!

"Şimdi para gönder"e tıkladığım anda Dave'in telefonuna, paranın hesabından yeni aktarıldığını doğrulayan bir e-posta geldi ve Dave bunu Apple Watch'unda okuduğunda olduğu yerde durdu. Ama evdeydim ve kurudum. Parayı taşımıştım ve ona öğle yemeği ısmarlayıp ısmarlayamayacağımı sordum. Yüzü etkilenmediğini gösteriyordu.

Özetlemek gerekirse, bu noktada, birinin telefonundaki kodu görerek dünyadaki 10,000 milyon PayPal hesabından herhangi birine 300 £ gönderebilirdim. Bu bana mantıklı gelmiyor ve insanların bu basit saldırının farkında olması gerekiyor. Bir hesabın bu şekilde tehlikeye atılması için atlanması gereken çıta çok düşük görünüyor, özellikle de güvenliği tipik bir çevrimiçi bankanınkiyle karşılaştırdığınızda, ancak bunun potansiyel olarak önemli miktarda hasarla çalıştığı gösterilmiştir.

Dave'in telefonundaki bildirim önizlemelerini kapatması gerektiğini düşünebilirsiniz. Ancak “Snaphack” saldırımda da gösterdiğim gibi, kurbanlar yalnızca telefonlarını kullanırken, örneğin insanlarla mesajlaşırken bu tür mesajları okumak hâlâ mümkün. Genellikle işleyiş tarzından habersizdirler ve bu bildirimleri/uyarıları görmezden gelirler. PayPal deneyini bir Android telefonda denediğimde, kısa mesaj önizlemesinin varsayılan olarak etkin olduğunu ve mesajın vurgulanmış bir alanının, mesajı daha hızlı görüntülemem için onay kodunu seçtiğini gördüm.

FaceID yardımcı olur muydu?

Dave'in hesabını hacklememdeki bir başka bulgu da bardağı taşıran son damla oldu. Geçmişte Dave'in yüz maskesi takarken bile FaceID kullanarak iPhone'unu açtığını görmüştüm. Bu, FaceID'yi atlamak için Nisan 2021'de iOS 14.5 ile tanıtılan bir Apple Watch özelliğiydi ve hemen etrafta dolaşmak için bir yol buldum o zaman. Bunu Dave'in telefonunda denedim ve şüphelendiğim gibi, kendi yüzümü kullanarak ve bir yüz maskesiyle gizlenerek kolaylıkla çalıştı. Her ne kadar Apple Watch'unda iPhone'unun kilidini açtığımı bildiren bir bildirim alsa da, bir metin önizlemesinin kilidini açmak için gereken tek şey bu olurdu. Bu kesinlikle bir onay kodunu okumak ve saldırıyı başlatmak için yeterli olacaktır.

Telefon kaybı

Bu durum bana telefonların çalındığını düşündürdü. Telefonlar güçlü şifrelemeyle dolu olduğundan, daha önce telefonların karaborsada pek bir değerinin olmadığını ve Apple veya Google'ın şifre sıfırlamasını almak için bir sosyal mühendislik saldırısı olmadan nispeten değersiz olduğunu varsayıyordum. Ancak, örneğin trende çalan saldırganların e-posta adresinizi bilmesi durumunda herhangi birinin telefonunun risk altında olacağını düşünüyorum. Basit bir omuz sörfü veya hafif bir internet araştırması, bu bilgiyi oldukça hızlı bir şekilde elde edebilir ve keşfettiklerimle birleştiğinde, ciddi miktarda hasar ortaya çıkabilir.

Güvenlik SORULARI

PayPal hala güvenlik soruları sunuyor ve bulduğum kadarıyla bunları kaldıramadım, yalnızca yanıtları değiştirdim. PayPal'ın güvenlik ayarları sayfası “Güvenliğiniz için lütfen 2 güvenlik sorusu seçin. Bu şekilde, herhangi bir şüphe varsa, onun gerçekten sen olduğunu doğrulayabiliriz." Ancak sosyal mühendislik dünyasında ve çoğumuz hakkında sosyal medyada mevcut olan veri miktarında bu tür güvenlik sorularını atlamak genellikle son derece kolaydır, bu nedenle bir finans uygulamasına giriş kazanmak için bu tür bilgilerin mevcut olması çılgınca görünüyor.

Peki neden bu kadar kolay?

Bankalar, bilgisayar korsanlarının sistemlerinden yararlanmalarını ve çoğu zaman bilgimiz olmadan güncelleme yapmalarını sürekli olarak zorlaştırarak hesaplarımızı güvende tutuyor. Ancak PayPal'ı, sürekli olarak kredi kartlarımıza ve banka hesaplarımıza bağlı olan Uber veya eBay gibi uygulamalara tahsis edilen bir ödeme şekli olarak kullanırsak, bu zincirin en zayıf halkası değil mi?

Suçu PayPal'a atmak istemeden bu hikayeden hemen uygulayabileceğiniz birçok önleme tekniğinin olduğunu düşünüyorum. Bu kesinlikle PayPal'ın hatası değil, ancak tehdit aktörlerinin kötüye kullanmaya çalışabileceği ve bu konuda her zaman tetikte olmamız gereken başka bir geçici çözümün olduğunu kanıtlıyor.

Önleme yöntemleri

• güvenme SMS tabanlı çok faktörlü kimlik doğrulama; mümkünse bunun yerine bir kimlik doğrulama uygulaması veya güvenlik anahtarı kullanın
• Onay kodunu asla göz ardı etmeyin. Beklemediğiniz bir zamanda bir e-posta alırsanız muhtemelen araştırılması gereken bir şeyler vardır
• Telefonunuzu asla gözetimsiz bırakmayın
• Tüm SMS metin mesajlarının ve diğer uygulama bildirimlerinin önizlemelerini gizleyin
• Eğer sen telefonunu kaybetmek veya çalıntıysa, SIM'i kilitlemek için derhal telefon sağlayıcınızla iletişime geçin. Ardından telefonun yerini bulmak ve onu kayıp moduna geçirmek için Apple'ın 'Bul' veya Google'ın 'Cihazımı Bul' özelliğini kullanın.
• PayPal için başkalarının tahmin edemeyeceği ayrı bir e-posta adresi kullanın
• Soruyla ilgisi olmayan rastgele şifrelere verilen PayPal güvenlik yanıtlarını kapatın veya değiştirin ve bunları şifre yöneticinizde saklayın
• FaceID'nin yüz maskesi takarken Apple Watch ile çalışmasına izin veren seçeneği kaldırın

Elbette PayPal'dan bir yanıt istedim, o yüzden sizi temsilcilerinin söyleyecekleriyle baş başa bırakıyorum: “Paylaştığınız belgeyi tarafınızdan inceledim. Ancak kullanıcılarımıza PayPal'dan aldıkları güvenlik kodunu kimseyle paylaşmamaları konusunda eğitim verdiğimizi lütfen unutmayın." 

• Akıllı para. Avrupa'nın En İyi Bitcoin ve Kripto Borsası.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. SERBEST ERİŞİM.
• KriptoHawk. Altcoin Radarı. Ücretsiz deneme.
• Kaynak: https://www.welivesecurity.com/2022/01/24/how-i-hacked-my-friends-paypal-account/