1 puan yazan GN⁺ 2024-04-16 | 1 yorum | WhatsApp'ta paylaş
  • ABD genelindeki T-Mobile çalışanları, müşteri hatlarını saldırganların elindeki SIM’lere taşıma karşılığında yasa dışı SIM swapping teklifleri içeren SMS’ler aldı
  • Teklif mesajları işlem başına 300 dolar ve Telegram üzerinden iletişim öneriyor; engellemeyi zorlaştırmak için farklı alan kodlarından gönderici numaraları kullanılıyor
  • Mesajlarda çalışan numaralarının “T-Mo employee directory”den alındığı ifadesi yer alıyor; yalnızca mevcut çalışanlar değil, birkaç ay önce ayrılmış eski çalışanlar da hedef alınıyor
  • T-Mobile, sistem ihlali olmadığını söylese de yasa dışı eyleme teşvik eden mesajları araştırıyor; benzer vakalar diğer kablosuz operatörlerde de bildirildi
  • Müşterilerin hesap ele geçirme riskini azaltmak için SMS tabanlı iki aşamalı doğrulamaya bağımlılığı azaltması, doğrulama uygulamaları kullanması ve SIM protection özelliğini açması gerekiyor

Çalışanlara doğrudan gelen SIM swapping teklifleri

  • SIM swapping, saldırganın kurbanın telefon hattını kendi elindeki SIM’e taşıyarak kurbana gönderilen iki aşamalı doğrulama kodlarını ele geçirmesi ve çevrimiçi hesaplara erişmesi yöntemidir
  • Kurbanlar banka hesaplarından veya kripto para cüzdanlarından para kaybedebilir
  • Çeşitli Reddit gönderileri ve ayrı ihbarlara göre, ABD genelindeki T-Mobile çalışanları SIM swapping karşılığında nakit teklif eden SMS’ler aldı
  • Teklif mesajları SIM swapping başına 300 dolar öneriyor ve Telegram üzerinden iletişime geçilmesini istiyor
  • Gönderici numarası farklı alan kodlarına sahip çeşitli numaralar arasında değiştiği için, yalnızca numara engelleyerek önlemek zorlaşıyor

Çalışan iletişim bilgilerinin kaynağı ve ihlal olup olmadığı

  • Mesajlarda çalışan telefon numaralarının “T-Mo employee directory”den alındığı ifadesi bulunuyor
    • Bu doğruysa, iletişim bilgilerinin yer aldığı T-Mobile çalışan dizinine bir şekilde erişilmiş olma ihtimali var
    • Birkaç ay önce ayrılan eski çalışanlar da hedef alındığı için, saldırganın verilere şu anda gerçek zamanlı erişiyor olma ihtimali düşük görülüyor
  • Çalışan numaralarının nereden geldiği kesinleşmiş değil
    • Çevrimiçi yorumlara göre bazı üçüncü taraf çalışanların etkilendiği anlaşılıyor
    • Mevcut T-Mobile corporate çalışanlarının da mesaj aldığı ayrıca doğrulandı
    • Bunun, Eylül 2023’te Connectivity Source ile ilgili sızdırılan verilerle aynı kaynaktan geldiğini kesin olarak söylemek zor
    • Ancak bu ihtimal dışlanamıyor
  • T-Mobile PR, “sistem ihlali olmadığını” belirtti
    • Yasa dışı eyleme teşvik etmek için gönderilen mesajlar araştırılmaya devam ediyor
    • Diğer kablosuz operatörler de benzer mesajlar bildirdi

Müşterilerin azaltabileceği riskler

  • Suçluların SIM swapping’i hâlâ para kazandıran bir saldırı yöntemi olarak görmesi müşteriler için endişe kaynağı olmaya devam ediyor
  • Bazı çalışanlar hızlı nakit teklifini kabul ederse, müşteri hesapları ve fonları doğrudan risk altına girebilir
  • Müşterilerin alabileceği önlemler:
    • Çevrimiçi servislerde iki aşamalı doğrulamayı SMS tabanlı bırakmamak
    • Google Authenticator veya Authy gibi doğrulama uygulamaları kullanmak
    • Banka veya kripto para cüzdanı hizmeti iki aşamalı doğrulama için yalnızca SMS sunuyorsa başka bir hizmete geçmeyi değerlendirmek
    • T-Mobile hesabında SIM protection özelliğini etkinleştirmek

1 yorum

 
GN⁺ 2024-04-16
Hacker News görüşleri
  • T-Mobile, çalışanlara ödül miktarını 600 dolara çıkarmış gibi görünen şirket içi bir SMS gönderip buna yanıt veren çalışanları işten çıkaramaz mı?
    Ya da çalışan hatları için indirim şartlarını değiştirip, şirket kullanıcılarına yönelik güvenlik tehditlerini tespit etmek amacıyla SMS içeriğini veya meta verileri izleyebilecek hale getirebilir gibi görünüyor

    • T-Mobile birçok şey yapabilir ama önce neden umursaması gerektiğini netleştirmek gerekir
      SIM swap karşılığı ödeme teklif ediyormuş gibi davranmanın yasal olup olmadığını bilmiyorum ama bu ikincil mesele; asıl sorun, T-Mobile'ın geçmişte bu tür şeyleri gerçekten umursadığına dair pek kanıt görmemiş olmamız
    • Yapabilecekleri çok şey var: 1) SIM değişikliği için iki çalışanla birlikte bir çağrı merkezi görevlisini zorunlu kılmak, 2) değiştirilecek numarayı arayıp telefonu açan kişiye numara transferinden haberdar olup olmadığını sormak, 3) değişiklikten önce 24 saatlik bekleme süresi koyup o numaranın kullanıcısına ulaşmaya çalışmak, 4) bir iş arkadaşının rüşvet aldığını kanıtlayan kişiye 10 bin doların üzerinde büyük bir ihbar ödülü vermek
    • Böyle tekliflere yanıt vermenin işten çıkarılma sebebi olabileceğine dair yalnızca bir duyuru göndermek bile bir ölçüde işe yarayabilir
    • En başta insanları ayartmayacak kadar iyi maaş vermek de bir yöntem
  • İçeriden birinin dahil olduğu SIM swap saldırısı yeni bir şey değil. Yakın bir arkadaşımın T-Mobile hattı da Mart 2020'de bu şekilde ele geçirilmişti
    Bu haberde asıl önemli nokta, veri sızıntısıyla SIM swap'in birleşmiş olması. Suçlular, son T-Mobile sızıntısında yer alan çalışan telefon numaralarını kullanarak aynı anda çok sayıda çalışana SMS gönderip işlem başına 300 dolar teklif ediyor
    Eskiden ya kişisel bağlantılarla içeriden birini bulmaları ya da doğrudan işe girip içeriden olmaları gerekiyordu; ama sızdırılmış veri sayesinde artık bunu otomatikleştirip ölçeklendirebiliyorlar

    • Buradaki zayıf noktayı kullanmanın yolu, sahte honeypot teklifleri yaymak olabilir. Bu planın zayıf tarafı, güven eksikliği ve anonimliğin her iki taraf için de işlemesi
      Yani “eski yöntem”, sadece içeriden birini devşirmeyi değil, aynı zamanda içeriden kişinin müşteriye güvenebilmesini sağlamayı da içeriyordu
    • Kripto para tarafında bunun en azından 2018'in başlarından beri sürdüğünü biliyorum
    • İnsanların neden 300 dolar için işlerini riske attığını merak ediyorum
    • Benim başıma ise 2000'lerin sonlarında, muhtemelen 2008 civarında gelmişti
  • Buradaki çözüm ne olabilir? Fiziksel mağaza çalışanlarının müşterinin telefon numarasını yeni bir SIM'e taşımasını engellemek gerçekçi mi? Müşteri telefonunun kaybolduğunu ya da çalındığını söylerse ne yapılacak?
    İdeal olarak müşterinin gerçekten orada bulunduğuna ve kimliğinin doğrulandığına dair bir kontrol olmalı; ama ABD'de herkesin kullandığı evrensel bir kimlik sistemi yok, bu yüzden bunun nasıl yapılacağını bilmiyorum. Ayrıca insanların kimlik göstermeden de telefon numarası alabilmesi gerektiğini düşünüyorum; o durumda doğrulama baştan tıkanıyor
    Sorun şu ki cep telefonu fiilen dijital hayatımızın güven kökü haline geldi. Passkey'lerin işletim sistemine yerleşmesi iyi, çünkü bu baskıyı operatörlerden alıyor; ama temel sorun ortada duruyor. Güveni ilk kez tesis etmek zor bir iş

    • Çözüm, dijital yaşama erişimi operatörlere emanet etmemek
      “Müşteri gerçekten orada ve kimliği doğrulandı” derken orası tam olarak neresi? Benim MVNO'mun şubesi yok. Şubesi olsa bile neden oraya gitmek zorunda olayım? Banka şubelerine de mümkünse gitmiyorum
    • ABD'de de birçok amaçla kimlik doğrulamada devlet tarafından verilmiş fotoğraflı kimlik istemek hiç de nadir bir politika değil. Bildiğim kadarıyla tüm eyaletlerde yaygın olarak verilebilen bir kimlik türü var. Genelde ücretsiz değil ama herkes alabiliyor
    • Kolay çözüm, parola kurtarmada SMS kullanmamak
      SMS, iki adımlı doğrulama için belki kabul edilebilir ama her zaman ikinci unsur olmalı. “Parolamı unuttum” → SMS kodu → yeni parola, aslında tek faktörlü kimlik doğrulamadır. SMS'i tek unsur olarak kullanmak gerçekten kötü
    • SIM değişikliği ya da başka işlemlerden önce hesapta bir PIN zorunlu kılmak, giriş engeli olarak oldukça işe yarayabilir
      Böylece yozlaşmış bir çalışanın SIM değişikliğini yapabilmesi için elinde olmayan ek bilgiye de ihtiyacı olur
    • Basit bir zaman gecikmesi bile vakaların %99'unu çözebilir
      SIM'in ancak mobil ağdan 48 saat boyunca kopuk kaldıktan sonra değiştirilebilmesini sağlarsınız; kopuk değilse mevcut SIM'e çağrı veya SMS gönderip değişikliği gerçekten isteyip istemediğini doğrularsınız
  • Kripto para sektöründe çalışıyorum ve SIM swap'i sürekli görüyorum. Genelde ünlü kişilerin Twitter hesaplarını ele geçirmek için kullanılıyor, ardından phishing linkleri paylaşılıp takipçilerin coin'leri çalınıyor. Bu alanda T-Mobile adı açık ara en çok geçiyor ve kurbanların çoğunun T-Mobile kullanmış olması bunun uzun zamandır sürdüğünü gösteriyor
    Twitter güvenliğindeki bir diğer büyük sorun da, SMS dışı iki adımlı doğrulama kullansanız bile hesabın ele geçirilebilmesi. Hesapta telefon numarası varsa kurtarma yöntemi olarak kullanılıyor ve iki adımlı doğrulamayı tamamen baypas ediyor. Bu güvenlik açığı yıllardır var ama hâlâ düzeltilmedi

    • Şu anda iki adımlı doğrulamayı destekleyen neredeyse tüm servislerde bu kurtarma zafiyeti var
      Telefon numarası vermemeye izin veren ya da en azından onu kurtarma yöntemi olarak kullanmayan siteler son derece az
      Basit bir zaman kilidi bile çok yardımcı olurdu. Örneğin SMS tek kullanımlık parola tabanlı “2” adımlı doğrulama kurtarması ancak 24 saat sonra mümkün olur; aynı anda “siz olmayabilecek biri hesabı kurtarmaya çalışıyor” şeklinde toplu uyarılar gönderilir ve gerçek hesap sahibine bunu durdurmanın bir yolu sunulur
    • Birçok site, SMS tabanlı iki adımlı doğrulamayı fiilen tek faktörlü kimlik doğrulamaya indirgeyen bir kusura sahip. Gerekli olan tek şey telefon numarası
      Bunun SMS dışı iki adımlı doğrulama kullanılırken de mümkün olması daha da kötü; alternatif iki adımlı doğrulama kullanmanın amacını %100 boşa çıkarıyor
  • SMS tek kullanımlık şifrelerin bu kadar sık kullanılıyor olmasına inanmak zor. Bu herkesçe bilinen bir gerçek ve sadece mevcut saldırı yolunu daha kötü bir saldırı yoluyla değiştiriyor
    Parolayı kırmak ya da şifrelenmiş bir veritabanına sızmak, SIM swap’i başarıyla gerçekleştirmekten 10 kat daha zor

    • İyi bir parolayı kırmak zordur ama epey kişi iyi parola kullanmıyor ya da herhangi bir phishing web formuna düşünmeden giriyor
      Süre sınırlı 2 aşamalı kodlar SIM swap veya hedefli phishing ile aşılabilir, ama geniş çaplı spam tabanlı phishing kampanyalarına göre daha nadirdir
      Bu, SMS 2 aşamalı doğrulamayı sevdiğim anlamına gelmiyor; gerçekten nefret ediyorum
    • Bankam kısa süre önce 2 aşamalı doğrulama seçeneklerinden SMS’i kaldırdı ve TOTP zorunlu kılan bir özellik ekledi
      Şimdi bir de WebAuthn ekleseler harika olur. Yine de tarayıcıya entegre parola yöneticisiyle birlikte kullanılan TOTP, phishing’e karşı epey güvenli; çünkü otomatik doldurma çıkmazsa şüphelenebilirsiniz
    • Kolay, müşteri için ücretsiz ve iPhone’daki “code autofill” gibi özellikler sayesinde kullanıcı deneyimi de en basit olanı
      SIM swap çok az sayıda insanın başına geldiği için, ilgili tarafların gözünde bunun için çaba harcamaya değmiyor. Ben de sevmiyorum ama gerçek böyle
    • Ama bir kez başarılı olursa aynı anda birçok hesap ele geçirilir
      Günümüzde yalnızca kullanıcı adı ve parola temelli her şeyin passkey ile değiştirilmesi gerekiyor. Passkey’lerin çözemediği sorunlar ise 2 aşamalı doğrulama ve hesap kurtarma
    • Teknik olarak bu bir “değiştirme” değil. SMS tek kullanımlık şifrelerden önce sadece parola vardı
      Parola + SMS tek kullanımlık şifre, SMS yöntemi ne kadar kötü olursa olsun, tek başına paroladan yine de daha iyidir
  • FCC, SIM swap’i önlemeye yönelik yeni kuralları yürürlüğe koyuyor gibi görünüyor ve bunların 8 Temmuz 2024 itibarıyla geçerli olduğu söyleniyor. Ancak sadece basın bültenine bakınca, telekom çalışanının kötü niyetli aktör olduğu durumlarda müşteriyi koruyup koruyamayacağı net değil
    https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
    https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf

  • Şaka değil, değişiklik sırasında DNA örneği isteyen bir mobil operatör için bence piyasada yer olurdu
    DNA; kan, tükürük, rastgele seçilen tırnak gibi çeşitli kaynaklardan aynı anda alınabilir ve sağlayıcının DNA dizisini kendisini saklamaması için hash uygulanabilir. DNA’nın kendisi UUID gibi bir şey değil, dolayısıyla biraz yenilik gerekir ama mümkün olduğunu düşünüyorum. VIP’ler bu hizmete para verir ve hack zararlarına karşı sınırlı sigorta da sunulabilir
    Ek olarak, “Forensic Files”ın bir bölümünde cinsel saldırı suçlamasına ilişkin DNA testinden kaçmak için başka birinin kan örneğini kendi vücuduna enjekte eden bir şüpheli vardı. Yani DNA yönteminin de saldırıya açık olduğunu kabul ediyorum. Bu yüzden birden çok rastgele örnek gerekli

    • Sam Altman’ın Worldcoin’indeki gibi iris taraması da mümkün olabilir
  • Çok faktörlü kimlik doğrulama için gerçekten daha iyi standartlara ihtiyacımız var. Muhtemelen çok faktörlü kimlik doğrulamanın yasal bir tanımı yapılmalı ve SMS, e-postayla aynı seviyede bir 2 aşamalı doğrulama olarak sınıflandırılmalı
    Gerçek çok faktörlü kimlik doğrulamanın Yubikey ya da başka donanım sertifikası tabanlı cihazlarla sınırlı olması gerektiğini düşünüyorum. Ayrıca, yöntem başına yalnızca tek token destekleniyorsa bunun çok faktörlü kimlik doğrulama diye pazarlanmasına da izin verilmemeli

  • Bu sadece SIM ya da T-Mobile’a özgü bir sorun değil
    Müşteri hizmetleri temsilcilerinin çoğu çok düşük ücret alıyor ve özellikle başka ülkelerde, Batı standartlarına göre az bir para karşılığında belli işlemleri yapacak birini bulmak zor değil. Müşteri hizmetleri temsilcileri çoğu zaman güçlü yetkilere ve hassas bilgilere erişime sahip oluyor, erişim kontrolleri de gevşek oluyor
    SMS ve çok faktörlü kimlik doğrulama sorununu çözseniz bile saldırganlar bir sonraki en zayıf noktaya yönelecektir

    • ABD’li müşterilere hizmet veren tüm müşteri servislerinin ABD, Birleşik Krallık, İrlanda, Kanada, Avustralya, Yeni Zelanda içinde bulunmasını zorunlu kılan bir yasa önerimin bir nedeni daha bu
    • Yine de ideal olarak, sıradaki zayıf noktanın düşük ücretli ve ekonomik olarak kırılgan çalışanlar yerine çok daha güvenli olması gerekir
      Bildiğim kadarıyla SMS 2 aşamalı doğrulama, tüm yöntemler içinde en kolay aşılanı. En azından e-postada önce parola gerekir ve bazı durumlarda ayrıca ayrı bir 2 aşamalı doğrulamayı da geçmek gerekir
  • Basit görünen bir fikir ortaya atayım: hesaba bağlı hattın, mevcut SIM baz istasyonu ağı açısından offline durumdayken ancak yeni bir SIM’e taşınabilmesini sağlayan isteğe bağlı bir seçenek olması
    Müşteri hizmetlerinin bu kısıtı aşamaması da sağlanabilir
    Biri telefonunuzu çalarsa etkinleştirme kilidini atlatmak için muhtemelen mümkün olan en kısa sürede uçak moduna alacaktır. Denize düşürdüyseniz ya da uçurumdan aşağı yuvarlandıysa uzun süre çalışmama ihtimali yüksek. Kaybettiniz ama hâlâ açık ve bulamıyorsanız bundan endişe ediyorsanız bu seçeneği açmazsınız

    • SIM karta “taşımak istiyor musunuz?” diye bir mesaj gönderilebilir
      Yanıt gelmezse 48 saat sonra taşınır, “evet” denirse hemen taşınır. “hayır” denirse taşımayı talep eden kişinin birkaç soruyu yanıtlaması gerekir
    • Mevcut hat üzerinden bir onay isteği gönderip bekleme süresi de konabilir. Kullanıcının bekleme süresini önceden kendisinin seçebilmesi, birinin kullanıcının uçakta olduğunu bilip hattı ele geçirmesini önleyebilir
      Örneğin telefonu kaybettiyseniz ve yol kenarında bir yerde olabileceği için yanıt veremiyorsanız, onay isteğine yanıt gelmezse hat yaklaşık 8 saat sonra taşınır
    • İsteğe bağlı SIM koruma özelliği zaten var. SIM kart kilitlenirse, kilit açılana kadar hat taşınamaz