USPS SMS dolandırıcılarını tersine hacklemek

 (blog.smithsecurity.biz)
4 puan yazan GN⁺ 2024-08-10 | 3 yorum | WhatsApp'ta paylaş
  • Rastgele bir numaradan bir dolandırıcılık SMS’i alındı: "USPS paketi ulaştı ancak adres hatası nedeniyle teslim edilemiyor. Adresi doğrulamak için aşağıdaki bağlantıya tıklayın.."
  • Bunun bir dolandırıcılık olduğu hemen anlaşıldı, ancak başkaları kanabilir. Yazarın eşi de birkaç ay önce buna kanmış
  • Bu durum çevrimiçi bir kanalda paylaşılınca, birisi (S1n olarak anılıyor) dolandırıcılardan intikam almaya karar verdi

İlk inceleme

  • nmap taramasıyla onların kullandığı daha fazla alan adı ve konum belirlendi
  • Burp Suite kullanılarak trafik yakalandı ve site incelendi
  • Mesajda yer alan site, gerçek USPS sitesinin bir kopyası gibi görünüyor
  • Aynı IP tespit edilerek bunun dolandırıcılara ait olduğu doğrulandı

WebSocket iletişimi

  • WebSocket iletişimi üzerinden dosya adı gönderiliyor ve içerik geri alınıyor
  • Bu durum bir yerel dosya ekleme (LFI) zafiyetine yol açtı
  • LFI ile ortam hakkında daha fazla bilgi elde edildi

PHP dosyalarının analizi

  • Dolandırıcılık sitesindeki tüm PHP dosyaları ele geçirildi
  • Dosyalar yoğun biçimde obfuscate edilmiş ve Çince karakterler içeriyor
  • Telegram kanalı üzerinden iletişim kuruyor ve verileri MySQL sunucusunda saklıyor

Ek bilgi toplama

  • nginx erişim logları üzerinden yapılandırılmış IP belirlendi
  • Sertifika bilgileri ve IP temel alınarak dolandırıcıların Çinli olduğu tahmin edildi

SQL injection

  • POST parametresine tek tırnak eklenerek hata tetiklendi
  • SQLMap kullanılarak dolandırıcıların veritabanına erişildi
  • Veritabanı içinde gezinilerek dolandırıcılara dair bilgiler doğrulandı

Veritabanı incelemesi

  • admin tablosunda dolandırıcıların yönetici bilgileri görüldü
  • config tablosunda site yapılandırma bilgileri görüldü
  • userinfo tablosunda mağdurların ayrıntılı bilgileri görüldü; 3818 kişi kayıtlı
  • records tablosunda site ziyaretçilerine ilişkin izleme bilgileri görüldü

Sonuç

  • S1n bu kanıtların tümüyle ne yapacağını söylemedi, ancak muhtemelen topladığı delilleri internet suç merkeziyle paylaşarak sitenin kapatılmasını ve sorumluların adalet önüne çıkarılmasını sağlayacak

İlgili okumalar

3 yorum

 
xguru 2024-08-11

Bizde de böyle garip URL'ler gönderen çok spam mesaj var; aynısını uygularsak işe yarar mı acaba?
 
tempus 2024-08-12

Yurtiçi hukuk açısından, yurtdışındaki sunuculara yönelik saldırılar da hukuki sorun teşkil edebilir.
En azından kamusal alanda bunun ancak son derece sınırlı biçimde izinli olduğunu biliyorum.
 
GN⁺ 2024-08-10
Hacker News görüşü

  • NanoBaiter: YouTube'da dolandırıcıları tuzağa düşürüp sistemlerini hackleyerek operasyonlarını aksatıyor

    • Dolandırıcıları tespit edip polise bildiriyor ve mağdurlara para iadesi sağlamaya çalışıyor
    • Stripe hesabı üzerinden mağdurlara iade yapıyor ve CCTV ile polisin baskın anını kaydediyor

  • Şifrelenmiş parolanın salt değeri: wangduoyu666!.+- kullanılıyor

    • wangduoyu666, wangduoyu8, wdy666666 gibi benzer kullanıcı adları bulunuyor
    • Google aramasıyla GitHub, LinkedIn gibi hesapların bulunma ihtimali var
    • Telegram'da sahte isim kullanıyor ve Çinli bir şarkıcının adını taklit ediyor
    • Yedek Telegram hesabında da benzer bir isim kullanıyor
    • YouTube kanalında Çin güvenlik duvarını aşma yöntemlerini anlatan çok sayıda video yüklenmiş

  • Teknoloji etiği eğitimi: Çin'de bir bilgisayar bilimi öğrencisi öğrendiği becerilerle ek gelir elde ediyor

    • Teknoloji etiği eğitiminin gerekliliğini vurguluyor
    • Güçlü teknikler öğretilirken etik konusunda eğitimin yetersiz kaldığına dikkat çekiyor

  • Smishing Triad ağı: Günde 100 bine kadar dolandırıcılık mesajını dünya geneline gönderiyor

    • iMessage dolandırıcılığı e2ee kullanıyor, ancak SMS dolandırıcılığı tespit edilmelidir
    • Siber suçlarla etkili şekilde ilgilenebilecek kolluk kuvvetlerine ihtiyaç olduğundan bahsediliyor
    • ABD'nin NSA'in Blue Team tarzı bir versiyonuna ihtiyaç duyduğu savunuluyor

  • Siber suçluları hacklemek: Siber suçluları hacklemenin yasal olarak cezalandırılıp cezalandırılmayacağı soruluyor

    • Çalınan eşyayı geri almak için hırsızın evine girmeye benzer bir durum anlatılıyor

  • Hackerları ve dolandırıcıları görmezden gelme yöntemi: En iyisinin hackerları ve dolandırıcıları görmezden gelmek olduğu öğreniliyor

    • Güçlü şekilde karşılık verebilirler ve gerçekten tehlikeli olabilirler
    • Bir arkadaşın bir spam göndericisini hackledikten sonra sunucusunun saldırıya uğradığı bir örnekten söz ediliyor

  • Yeni telefon/mesajlaşma altyapısı ihtiyacı: Numara spoofing'ini önleyecek ve dolandırıcılık girişimlerini filtreleyecek bir altyapıya ihtiyaç olduğu vurgulanıyor

  • CFAA istisna maddesi: Bu tür durumlar için CFAA'da bir istisna maddesine ihtiyaç olduğu savunuluyor