Loading...

Twitter Çuvalladı!

Ulaş Fırat Özdemir – [email protected]

Konu sosyal medya güvenliğine geldiğinde, siz okuyucularımıza her fırsatta çift katmanlı doğrulamanın ve parola uygulamalarının gerekliliğinden bahsetmekteyiz. Ne yazık ki az sonra size aktaracağım haber, iki yöntemin de yetersiz kalabileceğinin en belirgin örneği.

 

Twitter’da, Elon MUSK, Bill GATES gibi isimleri ve Apple, Uber, Binance gibi şirketleri de kapsayan bir çok ünlü hesap ele geçirildi. Evet yanlış duymadınız, bug bounty programına sahip, belki de sizi de kapsayan güvenlik camiasının sıkça kullandığı ve paylaşımlarda bulunduğu “mavi kuş”, Twitter’dan bahsetmekteyim. Ele geçirilen hesaplardan yardım kampanyaları şemsiyesi altında tweet’ler atıldı. Bu tweetlerin içerikleri yapılan her yardım için, yardım kadarınca katkı sağlanacağını bildirmekteydi. Bir kısmı ise yardımı destekleyici bir web sitesine yönlendirmekteydi. Bu sitenin (cryptoforhealth.com) adından da anlaşılabileceği gibi bağışlanan Bitcoinlerin sağlık sektöründe kullanılacağı düşüncesi yaratılmaktaydı.

Yardımları bir bitcoin (BTC) adresi üzerinden kabul eden saldırganlar 12 BTC (~750 bin TRY) ye yakın bir bedel toplamayı başardılar ve anlık olarak hesaplarında 0.012 BTC (~780 TRY) bulunmakta. Yani anlaşılacağı üzere saldırganlar parayı hesaplar arasında aktarmaya ve ekonomiye katmaya başlamış bile. Saldırının ardından Twitter yetkilileri bazı hesaplara sınırlama getirdi ve atılan tweet’leri silerek oluşabilecek daha büyük bir hasarın önüne geçti. Twitter’ın aldığı bir diğer önlem ise mavi tıklı  (onaylanmış) hesapları geçici olarak kısıtlamak oldu. Olayın araştırması esnasında onaylanmış hesapların bir kısmı tarafından tweet atılamadı ya da giriş sağlanılamadı. Saldırganların yönlendirdiği web sitesi (cryptoforhealth.com) an itibariyle kapatılmış ve atılan tweet’ler Twitter tarafından kaldırılmış olsa da hesap para kazanmaya devam etmekte.

 

Twitter çalışanlarına karşı uygulanan sosyal mühendislik kullanılarak gerçekleştirilen saldırı neticesinde yöneticilerin kullandığı bir yazılım ele geçirildi ve ekran görüntüleri internete sızdırıldı. Bu sızdırmanın arkasından atılan tweetler neticesinde saldırının sosyal mühendislik nedeniyle gerçekleştiği düşünülmekteydi. Twitter’ın yaptığı açıklamalar sonucunda bu ihtimal doğrulandı. Bu araçta bulunan özellikler sayesinde kullanıcıya erişmek, DM yani özel mesajlarını okumak ve hesabı engellemek mümkün. Sosyal mühendislik kurbanı olan çalışanın üst düzey bir yönetici mi, bilmiyoruz ama eğer yöneticilerin, verilerimize bu denli erişimi olması akıllara anonimliğin ve gizliliğin önemini getirmiyor değil! Motherboard.com’a konuşan bir kaynak, “Twitter çalışanını kullandık ve o bize istediğimiz her şeyi sundu” dedi. Bir başka kaynak ise Twitter çalışanına rüşvet verdiklerini belirtti. Bir başka kaynak olan badcrypto podcast sunucusu Travis Wright ise saldırganların kullandığını düşündüğü bobochan isimli bir grubun ekran kaydını paylaştı.

 

 

 

 

Web sitesi anlık olarak erişime kapalı olsa dahi web archive projesi üzerinden bir kopyasına ulaşmanız mümkün. Bu kopyada açıkça görüleceği üzere bitcoin piyasalarının ortak anlaşması sonucu COVID-19 nedeniyle insanlara katkıda bulunulmak istendiği anlatılmakta. Bu birleşim sonucunda 5000 BTC nin kullanıcılara hediye olarak dağıtılacağı ve verilen hesaba aktarılan her BTC karşılığında iki katı olarak geri iade edileceğinden bahsedilmekte ve anlık olarak hesabın haraketleri görüntülenmektedir. Bu haraketler incelendiğinde gönderilen her Bitcoin üste yuvarlanıyor ve iki katı anlık olarak geri gönderiliyordu. Bu adresleri ya da gönderim hashlerini (TxHash) incelediğimizde çoğu adresin ve aktarımın gerçek olmadığını görebilirsiniz. Hatta Web Archive’de de bulabileceğiniz kopyayı biraz daha detaylı inceleyecek olur iseniz kaynaklarda bulunan genDiv() fonksiyonuna erişebilirsiniz. Bu fonksiyon rasgele hesap numaraları ve hash değerleri üreterek bu değerleri görüntülemekte ve anlık hesap haraketleri benzeri bir tablo çizerek kullanıcıları kandırmaya çalışmaktadır.

 

 

Web sitesinin kayıtları incelendiğinde ise kayıtların “[email protected]” hesabı ve Anthony Elias” adı altında kaydedildiği açıkça görülüyor. Saldırganlara ait “Cryptoforhealth” adlı bir instagram hesabı da bulunmakta. Bu hesabın biyografisinde “O bizdik 🙂” ifadesi yer almakta. Buna ek olarak paylaşılan hikayelerde bunun bir sadaka saldırısı olduğunu belirten saldırganlar paranın doğru yeri bulacağından bahsetmişler. Saldırıdan 12 saat sonra paylaşılan bir diğer hikayede ise gelecek haftanın akıl uçuklatacağından ve haberdar olmak için takipte kalınması gerektiğinden bahsedilmiş. Paylaşımlarda ise tek bir twitter fotoğrafının yanına teşekkürler #twitter yazısı not düşülmüş.

 

 

Tartışmalara neden olan bir diğer konu ise saldırganların neden Tweet atarken Amerikan başkanı Trump yerine Obama’nın hesabını tercih etmiş olmaları. (?) Sözleriyle piyasaları yönlendirebilen bu denli yüksek bir hesaba erişim sağlayamamış olmaları, sadece “aşırı” yüksek profilli hesapların sahip olabileceği ek korumalar içerisine dahil olabiliceğini aklımıza getirdi. Google benzer bir servisi 6 Ağustos 2019 tarihinde devreye almıştı (https://landing.google.com/advancedprotection/).

Bu saldırı akıllara 2019 yılında gerçekleşen ve 900 den fazla hesabın ele geçirildiği büyük Twitter saldırısını getiriyor. Alman politikacıların da etkilendiği saldırıda kullanılan yöntem ise sim değiştirme saldırısı. Bu saldırıda kullanıcı hakkında bilgi edinmek için internetten bilgiyi satın almak, kullanıcıya sosyal mühendislik yapmak, oltalama saldırıları gibi yöntemler kullanan saldırganlar, kullanıcı hakkında elde ettikleri kişisel bilgileri SIM sağlayıcısına / operatöre ileterek ya da operatördeki çalışan yetkilere rüşvet vererek, sim kartının kendi ellerinde bulunan bir karta aktarımını sağlamaktadır. Sim kartlarının bozulması ya da kaybolması gibi durumları bahane ederek sim kartının kontrolünü sağlayan saldırganlar, 2 adımlı doğrulamayı atlatmayı başarmaktadır.

Genel olarak sizin için araştırıp, bir özet olarak paylaşabileceğim tüm bilgiler bunlar.

 

Saldırıdan etkilenen hesap listesi ise şöyle:

• Elon Musk (@elonmusk) [Tesla, SpaceX ve Boring Company şirketlerinin CEO’su, girişimci]
• Bill Gates (@BillGates) [Microsoft şirketinin kurucu ortağı, girişimci]
• Joe Biden (@JoeBiden) [Amerika başkan adayı, politikacı]
• Barack Obama (@BarackObama) [Eski Amerika başkanı, politikacı]
• Apple (@Apple) [Yazılım ve Donanım devi]
• Jeff Bezos (@JeffBezos) [Amazon şirketinin sahibi, girişimci]
• Kanye West (@kanyewest) [Müzisyen ve girişimci]
• Charlie Lee (@SatoshiLite] [Litecoin yaratıcısı]
• Justin Sun (@justinsuntron) [TRON un kurucusu, Bittorrent CEO su]
• CZ Binance (@cz_binance) [Binance CEO su Changpeng Zhao]
• AngeloBTC (@AngeloBTC) [Kripto para yatırımcısı]
• Tyler Winklevoss (@tylerwinklevoss)[Kripto para yatırımcısı]
• King Cobie (@CryptoCobain) [Eski kripto para yatırımcısı]
• Warren Buffett (@WarrenBuffett) [Yatırımcı ve Zengin iş adamı]
• Binyamin Netanyahu (@netanyahu) [İsrail başbakanı]
• Kim Kardashian (@KimKardashian) [Magazin yıldızı]
• XXXTentacion (@xxxtentacion) [Müzisyen]
• Mike Bloomberg (@MikeBloomberg) [Bloomberg kanalının sahibi, girişimci, politikacı]
• Wiz Khalifa (@wizkhalifa) [Müzisyen]
• Floyd Mayweather (@FloydMayweather) [Boxör]
• Uber (@Uber) [Sürüş paylaşım uygulaması]
• Cash App (@CashApp) [Mobil ödeme uygulaması]
• Tron Foundation (@Tronfoundation) [Blockchain tabanlı işletim sistemi, TRX kripto para birimi]
• Kucoin (@kucoincom) [Kripto para borsası]
• Ripple (@Ripple) [Kripto para birimi]
• Coinbase (@coinbase) [Kripto para birimi]
• Gemini (@Gemini) [Kripto para borsası]
• Bitfinex (@bitfinex) [Kripto para borsası]
• Binance (@binance) [Kripto para borsası]

Yakında bu konuyu farklı yaklaşımlarla da ele alıyor olacağız, bizi takipte kalınız.

Güvenli günler!