#Bitcoin #hack #HaftalıkGündemeMalzeme

Türk coin borsalarının hacklenmesi haberi; http://www.webtekno.com/son-dakika-paribu-koinim-btcturk-gibi-turk-kripto-borsalarinin-hacklendigi-iddasi-h38880.html

Türk borsalarının hack' lenmesi haberlerine dair fikirlerim;

Hack' lenen borsalar değil, bir kısım kullanıcılardır. Mağdurların can havli ile olayın daha fazla ses getirmesi için konuyu "borsalardan kimlik bilgilerim alınmış" noktasına taşıdıklarını düşünüyorum.

Mağdurlar şunu iddia ediyor;

1- Borsadan birisi kimlik bilgilerimi dolandırıcılara verdi ve onlarda kimliğimin aynısını ürettiler.
2- Bu dolandırıcılar Gsm bayilerine gidip sahte kimlikle sim kartımı iptal ettirip yenisini çıkarttılar.
3- Sim kartım ellerine geçen dolandırıcılar Sms ile borsalara girip paramı çaldılar. Hatta mail adresimi de ele geçirip yurt dışı borsalara bile giriş yapmışlar.
4- Bu konu sonradan çok dillendirilmese de konunun en başında hack' lendiğini söyleyen adamın iddiası "aynı yolla banka hesaplarıma bile ulaşmışlar" diyor.

Sonra şu tip gelişmeler yaşanıyor;

1- Hack' lenen kullanıcılardan ikisi birbirini tanıyor. (Aynı platformda avlanmış olabilirler)
2- Hack' lenen kullanıcılardan bir kaçının ikiz sim kartının aynı bayiden çıkarıldığı ortaya çıkıyor. -Turkcell bayi (bu durum bayinin bilerek veya bilmeyerek suça ortak olduğunu gösteriyor).
3- Hack'lenen kullanıcılardan birisi kurumsal hat kullanıyor ve bunun çıkarılması için sadece kimlik fotokopisi yetmiyor. İmza sirküsü, vergi levhası vs. vs. - Vodafone kullanıyor. (Bu durum borsadan kimlik bilgisinin çalınması iddiasını zayıflatıyor ama birden fazla gsm bayisinin ortak girişimi olabileceği şüphesini doğuruyor. Gsm bayisi baş şüpheli. Zaten bir başkasının kimliğiyle gittin diye neden o kişinin hattını iptal etsinler? Neden imzayı kontrol etmesinler? Bunları görmezden gelecek, niyeti bozmuş bir gsm bayisi zaten kimlik de istemez? < burası önemli.)
3- Sim kart değişikliklerinde bankaların bunu tespit ettiği ve değişmiş sim karta sms gönderilmediği ortaya çıkıyor. Bizzat bankacı yakınım ve sim kartını değiştirmiş yakın arkadaşım da bunu doğruluyor. (Bu durumda kişinin sahte nüfus cüzdanıyla bankaya bizzat gidip hesaplarına erişmesi gerekiyor. Kişinin imzasını da taklit edebilmesi önemli. Paribu hesap doğrulama esnasında yüksek çözünürlükte önlü arkalı kimlik fotoğrafı isterken imza istemiyor. Koinim'de ise düşük kalitede kimlik ön fotoğrafı ve imza isteniyor. Yani Paribu'dan kimlik fotoğrafları, Koinim' den imza alınmadığı sürece kişinin bankayı kandırması pek mümkün görünmüyor. Borsaların bilgi sızdırdığı olasılığı oldukça zayıflıyor. Zaten konunun başında banka hesaplarıma bile erişmişler diyen kişi ilerde bu konulara hiç değinmiyor)

En önemli soru şu;

Bir gsm bayisi niyeti bozsa sizin tüm bilgilerinizi görebilir mi ve ikiz sim kartı çıkarttırabilir mi?
Çünkü gsm bayilerine kimlik fotokopisini, imzamızı ve mail adresimizi veriyoruz.

Bunun cevabı evet ise;

1- Zaten hiçbir şeye gerek kalmadan herhangi bir gsm bayisi telefon numaramıza ait bir sim kart ile, kendisinde kayıtlı olan mail adresini kırabilir.
2- Sim kartınız ve mail adresiniz ile türk borsalarına girebilir. Mail adresinizle sms doğrulama gerektirmeyen yurt dışı borsalarını da kırabilir.

Bu durumda akla şu soru geliyor;

Gsm bayisi müşterisinin bitcoin'le uğraştığını nereden bilecek? Dört aylık bitcoin alım satım tecrübelerimde şunlara tanıklık ettim;

1- İnvesting gibi coin tartışma platformlarına üye olurken mail ve telefon numaranızı yazmanız gerekiyor. Diyelim ki bu forumların çalışanları temiz. Şunu söylemeliyim ki bacak boyu benim boyum kadar olan mini etekli pavyon karısı görünümünde tipler profillerine economist yazıp, yatırımcılarla kaynaşıp buralarda balina avına çıkıyorlar. Bir süre sonra ortadan kayboluyorlar. Alenen telefon numarası ya da mail adresi isteyen kadınlara denk geldim. Bu tip yemlemeler ile mail adresiniz ya da telefon numaranız öğrenilirse, gsm bayisi numaranızdan ya da mail adresinizden yola çıkarak sizi hack'ler.
2- Sahibinden.com gibi yerlerde kişisel numarası ile rig satışı yapanlar da üstteki gibi hedef alınabilirler.
3- Bitcointalk gibi yerlerde alım/satım bahanesi ile telefon ya da mail bilgileriniz istenilebilir. Bu bilgileriniz gsm bayileri ile paylaşılır ve hack' lenirsiniz.
4- Burada bile bilgileriniz istenilebilir...

Sonuç;

Bence borsalar değil kullanıcılar hack' lenmiştir. Hatta hack' lenmemiş sahtekarlık yolu ile dolandırmışlardır. Bir veya birden fazla gsm bayisi elinde bitcoin olduğunu tespit ettikleri insanların telefon numaralarına ait simleri yeniden çıkarttırarak sırası ile sim kartlarını ve maillerini ele geçirmişlerdir. Ardından borsa bakiyelerini...

Bu noktada olaya türk borsalarının hack' lenmesi dersek bu sahtekar hırsızları sanki son derece teknik meselelerle ilgilenebilen ve hack yapabilme niteliği olan becerikli insanlar yerine koymuş oluruz. Yanlış teşhisle borsaların güvenliğini tartışırken, daha önemli olan kişisel verilerimizin bulunduğu binlerce gsm bayilerinin güvenilirliğini tartışmaktan uzaklaşırız. Bunlar hacker değil, gsm bayisi görünümünde dolandırıcıdır.

Hızla alınması gereken önlemler;

1- Borsalara kayıt olduğunuz telefon numaranızı değiştirin ve yeni numara başkasının üzerine olsun,
2- Başkasının üzerine aldığınız bu telefon numarasına kayıt esnasında başka hiçbir yerde kullanmayacağınız bir mail adresi yazın.
3- Her borsa için ayrı mail adresi açın ve bu mail adreslerini google'ın 2 aşamalı güvenlik hizmetine bağlayın. (Bkz: Google Authenticator)
4- Önemli üyelikleriniz için mümkünse sms doğrulamasını iptal ederek 2 aşamalı güvenlikle korunan mail adreslerinizle giriş yapın. (Bu olayla birlikte anlaşıldı ki Btctürk' e Google Authenticator' ü atlatıp sadece sms ile giriş yapılabiliyormuş!)
5- Özellikle Bitcoinle ilgili platformlarda gerçek adınızı, mailinizi ve telefon numaranızı asla paylaşmayın. Bitcoin ile alakalı olmasa bile zaten neden paylaşasınız ki?
6- Kimse ile dosya alışverişi yapmayın, her linke tıklamayın, her maili açmayın, her siteye üye olmayın, facebook dahil bilgilerinizi hiçbir platformda yabancılara görünmeyecek şekilde organize edin.
7- Çok paranız ya da çok coininiz varsa bu bilgileri kendinize saklayın. Siz kendinizi bir şekilde korusanız da çoluğunuzu çocuğunuzu kaçırırlar, zaman kötü.

Paribu, Koinim, Btctürk Hacklendi İddiası!

Türkiye'deki kripto para borsaları Paribu, Koinim ve Btctürk'ün hacklendiği ile ilgili iddialar dolaşıyor. Peki bu ne kadar doğru?
BeğenFavori PaylaşYorum yap
  • Murat S @atehaa

    Bir güvenlik açığı olduğu birşeylerin ters gittiği açık ama dediğiniz gibi ses getirmek için böyle bir yola başvurduklarını düşünüyorum. Keza borsada açık olsa çok ama çok fazla kişi etkilenir ayrıca 3 borsa aynı altyapıyı kullanmıyor aynı açık aynı anda olmaz

  • Erturk @erturk

    @kurtcuk Sim kartlarda bir kod varmış. Numaranız değişmese bile sim kart farklı ise banka sistemleri anlık olarak değişikliği algılayıp sms göndermiyormuş..

  • XlasisMatthew @xlasismatthew

    Belkide Mr. Robot'ta bitcoin muhabbeti gecerken turk bayragi girmemiz buna dalalet idi.

  • Erturk @erturk

    @kurtcuk Muhtemelen öyledir. Çünkü bu güvenlik açığı bankalar için çok problemli bir konu haline gelebilirdi. Bu konuda hassasiyet vardır.

  • 3dfx @3dfx

    1-2 hafta önce etherdeltada hacklendi. DNS sunucusunu hackleyip, araya phishing sitesi koymuslar. Baya coin carptilar tabii. Ki bu siteyi genelde bu isin kurtlari kullanir.

    Paribu vs kullanan tiplere bakiyorum Telegramda, cok rahat keklenebilecek tipler var. Biraz gazla soyar sogana cevirirsin.

    Sim olayi ise gectigimiz günlerde düsünmeye basladigim bisey. Telefon cok degerli hale geldi. Her ne kadar pahali olsada, degerinin cok daha fazlasi yatirimlara erisebilmek icin telefona ihtiyac duyuyorsun. Hemde sürekli yaninda tasidigin bir aletin kaybolma riskini aklima getirdigimde tüylerim diken diken oluyor. Sonucta kimse tüm paralarini sakladigi kasanin anahtarinida üstünde tasimiyor.

    Bundan sonraki yatirimim kesinlikle ledger s nano olacak. Büyük bitcoin borsalarindan birinin 1 yilda bir battigini yada soyuldugunu düsündükce en mantiklisi coinleri ledgera atip keyfine bakmak.

    • Erturk @erturk

      Ledger' lere pek güvenmeyin derim. İçinde yazılımla gelen usb bellekten başka bir şey değiller. Sorun usb bellek olması da değil, yazılımla gelmesi. Reklam ürünü..

    • 3dfx @3dfx

      @erturk güzel tarafi ledger bozulsada coinlere erisebiliyorsun. yoksa böyle ürünlerin ne kadar cabuk bozuldugunu biliyoruz, bence böyle daha iyi.

    • Erturk @erturk

      @3dfx Harici bir diske core çekirdeğini indirmekten daha güvenilir değil. Diskiniz de bozulursa coinlerinize yine ulaşabilirsiniz. Daha da hesaplı olur.

      Benim anlatmak istediğim şey, Ledger üretici firmasına nasıl güveniyorsunuz? İçinde yazılımla gelen bir bellek sonuçta. Bir gün bitcoin' lerinize el koyarlarsa şaşırmayın.

    • 3dfx @3dfx

      @erturk tabiiki degil. Ama her aldigim coin icin core indir, walletleri kayitli tut. Karisik