Google’ı taklit eden arama ve e-posta ile, doğrulama kodu senkronizasyonu üzerinden 130 bin dolarlık phishing vakası

 (bewildered.substack.com)
1 puan yazan GN⁺ 2025-09-18 | 1 yorum | WhatsApp'ta paylaş
  • Bir kullanıcı, Google destek ekibini taklit eden bir telefon araması ve legal@google.com gibi görünen bir e-posta nedeniyle phishing saldırısına uğradığı deneyimi paylaştı
  • Google Authenticator’ın bulut senkronizasyonu özelliği nedeniyle saldırgan 2FA kodlarını da ele geçirerek Coinbase hesabını hackledi ve kripto varlıkları çaldı
  • Yaklaşık 40 dakika içinde 80 bin dolar değerinde kripto para (bugünkü değeriyle yaklaşık 130 bin dolar) çalındı
  • Zararı büyüten başlıca etkenler olarak Gmail’deki güvenlik zafiyeti ve Authenticator’ın varsayılan senkronizasyon ayarı gösterildi
  • Temel güvenlik kurallarına uyulması, örneğin parolaların düzenli değiştirilmesi ve doğrulama kodlarının asla paylaşılmaması, ayrıca bulut senkronizasyonunun dikkatle yapılandırılması tavsiye edildi

Tek bir telefonla başlayan dolandırıcılık olayı

  • 19 Haziran’da 'Pacifica, CA' alan kodu (650) üzerinden bir arama alındı
  • Arayan kişi Google destek ekibinden olduğunu iddia ederek, hesap devrine yönelik bildirilen bir talebe değindi; hatta buna ölüm belgesi ve kimlik eklendiğini söyledi
  • Gerçeğe çok benzeyen legal@google.com adresinden (gönderen adı Norman Zhu) gelen e-posta gönderildi ve resmî e-posta izlenimi verilerek güven kazanmaya çalışıldı
  • iOS Gmail uygulamasında @google.com gönderen olarak görünmesi, kurumsal marka unsurları ve vaka numarası gibi detaylarla son derece inandırıcı biçimde gizlendi
  • Ölüm durumunu doğrulama bahanesiyle geçici doğrulama kodunun kontrol edilmesi istendi ve anlık panikle kod paylaşıldı

Saldırganın Coinbase hesabına erişimi

  • Görüşmenin sonunda, Google Advanced Security kaydı gibi yönlendirmelerle mağdurun içi rahatlatıldı
  • Mağdur güvenliği güçlendirdiğini düşündü, ancak saldırgan o sırada zaten Gmail, Drive, Photos ve senkronize edilmiş Authenticator kodlarına erişim izni elde etmişti
  • Belirleyici nokta, Google Authenticator’ın bulut senkronizasyonu üzerinden 2FA kodlarının da ele geçirilmiş olmasıydı
  • Kısa süre sonra saldırgan Coinbase hesabına giriş yaptı ve kripto varlıkları çalmaya başladı

Kripto para hırsızlığı ve zararın ayrıntıları

  • Yaklaşık 40 dakika boyunca saldırgan, birden fazla işlemle ETH ve diğer token’ları farklı adreslere aktararak tamamını çaldı
  • O günkü kurla yaklaşık 80 bin dolar, bugünkü değerle yaklaşık 130 bin dolarlık kayıp yaşandı
  • İki saat sonra Coinbase bakiyesi kontrol edildiğinde hesabın neredeyse sıfırlanmış olduğu görüldü
  • Google hesabında yeni cihaz oturum geçmişi ve kurtarma telefon numarasının değiştirilmesi gibi ek izler de tespit edildi

Güvenlik uzmanı olan biri bile neden kandırılabildi

  • Kişi, BT sektöründe çalıştığını ve kendisi de kimlik doğrulama deneyimi tasarlayan biri olduğunu belirtti
  • Güvenlik farkındalığı yüksek olmasına rağmen, sahte e-posta ve yaratılan aciliyet duygusu nedeniyle phishing’e karşı koyamadığını anlattı

Google’ın 2 kritik güvenlik hatası

  1. ‘@google.com’ sahte gönderen e-postalarını filtreleyememesi
    • E-postadaki From alanının spoof edilebilmesi nedeniyle ileti resmî e-posta gibi göründü; iOS Gmail uygulamasında tam başlık bilgisi görülemediği için anında doğrulama da zordu
  2. Google Authenticator’da bulut senkronizasyonunun varsayılan olarak etkin olması
    • Senkronize 2FA kodları saldırganın eline geçti ve gerçek iki aşamalı doğrulamanın etkinliği fiilen ortadan kalktı
    • E-posta, 2FA, belgeler, fotoğraflar ve diğer dijital varlıkların tek seferde açığa çıkmasına yol açtı
  • Not: Gmail ve Google Authenticator’ı birlikte kullanan kullanıcılar için 2FA’nın özünde güvenli olmayabileceğine dair uyarı yapıldı

Güvenlik kuralları ve öneriler

  • Parolanızı bugün değiştirin ve düzenli olarak yenileyin (1,6 milyardan fazla parolanın sızdığı olaylar sürüyor)

  • Doğrulama kodlarını asla paylaşmayın (saldırganlar ‘aciliyet’ ve ‘kaygı’ üzerinden psikolojik manipülasyon yapıyor)

  • Google Authenticator bulut senkronizasyonunu dikkatle kullanın

    • Kurtarma kolaylığını artırsa da yönetimsel riskleri de beraberinde getirir

  • Şüpheli aramalara karşı her zaman temkinli olun

    • Kaygı duyarsanız görüşmeyi hemen sonlandırıp resmî kanal üzerinden yeniden bağlantı kurmanız önerilir

  • Bu olayın farkındalık yaratması ve benzer mağduriyetlerin önlenmesine katkı sağlaması umuluyor

Ek açıklamalar ve olayın bağlamı

  • Saldırganın, yakın zamanda ortaya çıkan 1,6 milyarlık parola sızıntısı listelerinden parolayı zaten elde etmiş olabileceği düşünülüyor
  • Mağdur aynı parolayı başka yerlerde kullanmadığını ve gizli tuttuğunu, ancak uzun süredir değiştirmediğini söyledi
  • Saldırganın kurtarma kodunu alarak 2FA doğrulamasını aştığı tahmin ediliyor

Phishing e-postasıyla ilgili

  • legal@google.com adına çok sayıda e-posta alındı, ancak saldırgan tüm e-posta izlerini, çöp kutusunu ve kurtarma kayıtlarını tamamen sildi
  • Yine de bazı e-postalar phishing@google.com adresine yönlendirildiği için, hesap erişimi geri alınırken dönen iletiler sayesinde orijinal içerik korunabildi
  • phishing@google.com e-posta adresi gerçekte mevcut olmayabilir veya dışarıdan erişilemiyor olabilir
  • Orijinal e-postanın konusu ‘Google Recent Case Status’tu; resmî format ve adlandırma, iç inceleme bildirimi ve geçici parola saklama gibi açıklamalardan oluşuyordu
  • Destek ekibinden ‘Norman Zhu’ adı kullanılmış, vaka numarası ve departman bilgileri de eklenmişti

Genel özet

  • Bu, son derece sofistike bir kimliğe bürünme saldırısı ile platformun yapısal kusurlarının birleşmesi sonucu yaşanan büyük çaplı hesap ele geçirme ve kripto para kaybı vakasıdır
  • İki aşamalı doğrulamanın bile mutlak güvenli bölge olmadığını hatırlatan bir örnek oldu
  • Geleneksel güvenlik bilgilerine ek olarak platform düzeyinde politika gözden geçirmesi ve hizmet bazında farklılaştırılmış güvenlik ayarları gerekliliğini öne çıkarıyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-09-18
Hacker News görüşleri

  • Geçen cuma ben de benzer bir telefon aldım, kulağa meşru geliyordu; benim kullandığım pratik yöntem, kayıt/talep numarasıyla resmi geri arama numarasını isteyip gerçekten şirketin numarası mı diye doğrulamak. Gerçekse konuşmaya devam edebilirsin, değilse için rahat olur. Arayan kişi “resmi olduğunu kanıtlayan bir e-posta gönderebilirim” dedi ama geri arama numarası vermediği için bunun dolandırıcılık olduğunu hemen anladım. E-posta adresleri ya da telefon numaraları kolayca spoof edilebilir; arayan numara normal görünse bile asla güvenmemek, her zaman resmi numarayı kendin arayıp doğrulamak gerekir.

    • Ben telefon numarasını bile doğrudan kabul etmiyorum; her zaman karşı taraftan şirket adını ve şubesini sorup numarayı bizzat şirketin resmi sitesinden buluyorum (ör. https://amazon.com). Biraz uğraştırıyor ama çok daha güçlü bir güvenlik sağlıyor.

    • Resmi numarayı aratıp doğrularken de dikkatli olmak lazım; sahte numaralar, gerçek gibi görünen sitelerde arama sonuçlarına karışabiliyor. Gerçekten silahsız bir savaş alanı gibi.

    • “Numara resmi görünse bile caller ID bir şey ifade etmez” denildiği gibi, ben de yıllar önce bankam arayıp kimliğimi doğrulamak için kişisel bilgi istediğinde bunu söylemiştim.

    • “Resmi telefon numarası” iyi bir fikir ama saldırgan SS7’ye erişebiliyorsa bu yöntem işe yaramaz.

  • Tekrar tekrar hatırlanması gereken noktalar:

    • Büyük şirketlerin müşteri destek ekipleri doğrudan sizi aramaz.

    • Biri telefonla ya da e-postayla kod isterse, SMS ile gelen doğrulama kodunu asla vermeyin; genelde mesajın içinde de bunu söyler.

    • Önemli kişisel bilgileri tek bir parola ile korumayın; Google hesabına bağlı Google Authenticator’ı parola yönetimi için kullanmayın, 1Password gibi üçüncü taraf bir çözüm tercih edin.

    • Bankacılık/yatırım için kullandığınız e-posta ile herkesçe bilinen e-postayı mutlaka ayırın; Chrome profillerini de e-postaya göre ayırın ve eklentiler arasında yalnızca parola yöneticisini bırakın.

    • Ama birkaç hafta önce aramada çıkmayan bir numaradan banka destek ekibi olduklarını söyleyerek arandım. SMS ile gelen doğrulama kodunu okumamı istediler; reddedince online bankacılık kilitlendi ve daha sonra postayla, “destek görevlisiyle iletişim kurulmadığı için hesabın otomatik yükseltmesi yapılamadı” diyen sert ifadeli gerçek bir mektup geldi. Sonunda uygulamada yeni hesap oluşturup onları aradım ve SMS kodunu yine onlara okudum(!); bu gerçekten yeni hesap doğrulamasının tek adımıydı. Dünyanın en büyük 100 bankasından biri böyle çalışıyor. Şirketler resmen insanları dolandırılmaya alıştırıyor gibi. Alman kökenli bir bankaydı ama Chase’in de telefonda OTP kodu isteme alışkanlığı aynı.

    • Google Nest Thermostat için enerji tasarrufu ayarını kapatmam gerektiğinde müşteri desteği benden doğrulama kodu istemişti (bu ayar, elektrik şirketinin tasarruf amacıyla sıcaklığı kontrol etmesine yarıyor). Ben de “mesajda bunu kimseye vermeyin yazıyor” diye reddedince destek ekibi başka bir yöntem gösterdi. Talebin kendisi çok tuhaftı.

    • Chase Bank yakın zamana kadar da dolandırıcılık uyarıları için aradığında böyle kodlar istiyordu. Gerçekten sinir bozucu.

    • Ben telefonumu normalde “rahatsız etmeyin” modunda tutuyorum. Yalnızca en yakın ailemden 5 kişinin telefonu çalıyor. Bilinmeyen numaraları asla açmıyorum; gerçekten acilse sesli mesaj bırakıyorlar. Telefonu açınca insan anlık olarak soğukkanlı düşünemiyor gibi geliyor. Yolda yön sorup saati çalma numarasına benziyor. Asıl amacım güvenlik değildi ama bankacılık ipuçları ve hacker’lara maruz kalmamak açısından faydalı oldu.

    • Ne yazık ki bazı çağrı merkezleri gerçekten kimlik doğrulama için sizi arayıp SMS/e-posta ile bir kod gönderiyor ve bunu tekrar size okutuyor.

  • Bu saldırı basit bir sosyal mühendislik vakası gibi görünüyor; e-posta spoofing yokmuş gibi duruyor. Büyük ihtimalle e-posta gerçekten Google tarafından resmi olarak gönderildi. Tahminim, saldırgan resmi Google hesap kurtarma sürecini başlattı ve bu süreçte Google kod içeren bir e-posta gönderdi. Kurban bu kodu telefonda okuyunca saldırgan Google hesabına (ve Gmail, Google Drive’a yedeklenmiş doğrulama uygulamasına) tamamen erişmiş gibi görünüyor. E-postanın ham başlıklarını bir görmek isterdim.

    • legal@google.com adresinden geldiği söylenen e-posta gerçek gibi durmuyor. İlk paragrafta ve ikinci paragrafın ilk cümlesinde dilbilgisi hataları var. Hukuk ekibinden gelen bir e-postada böyle temel yazım ve noktalama hataları olması mümkün değil. Gerçekten resmi bir e-postaysa kesinlikle redaksiyondan geçmiş olurdu; yani sahte.

    • E-posta saldırgan tarafından gönderildiyse kurbanın neden ayrıca kodu söylemesi gerektiğini anlamıyorum.

    • “Coinbase parola sıfırlama” meselesi de var; Gmail’i banka, kripto, domain gibi kritik hizmetlerle bağlı kullanmak gerçekten tehlikeli. Ben de Google parolamı biliyorum ama ikinci faktör yüzünden erişemediğim bir durum yaşamıştım.

  • Bilinmeyen numaralara her zaman şüpheyle yaklaşmak, bir şey garipse telefonu kapatıp şirkete kendiniz ulaşıp konuşmayı yeniden başlatmak gerektiği tavsiyesine katılıyorum. Düşününce, telefon beklemediğim zamanlarda zaten neredeyse hiç açmıyorum ve bu sayede pek çok dolandırıcılıktan kurtulduğumu düşünüyorum. Google’ın Authenticator kodlarını bulutla senkronize etmesi ve saldırganın sonuçta Gmail, Drive, Photos ve doğrulama uygulamasına birden erişebilmesi hayal kırıklığı yaratıyor.

    • Normalde bilinmeyen numaraları açmam ama birkaç gün önce kendini “Amazon çalışanı” diye tanıtan biri arayıp hesabımdan pahalı bir iPhone siparişi verildiğini söyledi. Kimliğini doğrulamak için “yakın zamanda ne sipariş ettim” diye sordum; sürekli geveleyip durdu. 20 dakika konuştuk, sonunda karşı taraf küfredip kapattı. Aynı anda arka planda başkalarına da benzer dolandırıcılık çağrıları yapıldığını düşündüren yoğun bir gürültü vardı. Neden bu kadar uzun konuştum, ben de bilmiyorum.

    • Bu dolandırıcılıklarda en net kırmızı bayrak, “destek ekibinin önce sizi araması”. Gerçekten acil bir konuda gerçek desteğe ulaşmak isteyince ise zaten bağlanamıyorsunuz.

    • Benim son dönemdeki kuralım, bilinmeyen tüm numaraları sesli mesaja yönlendirmek. Önemliyse mesaj ve numara bıraksınlar; gerçekten gerekirse ben geri ararım. Sadece sağlık kurumları veya kargo gibi açmam gereken durumlar istisna. Bu şekilde elemiş oluyorum.

    • Ben 1-2 saniye kuralını kullanıyorum. Telefonu açıp “alo” dedikten sonra 1-2 saniye içinde cevap gelmezse kapatıyorum. Dolandırıcılar çağrı kuyruğundan bağlandığı için ufak bir gecikme oluyor, ayrıca senaryoya da adapte olmaları gerekiyor. Normal konuşmadan farklı olarak bir hazırlık süresi var. Hemen tepki veremeyen aramaların spam olma ihtimali yüksek.

    • Sadece kendi telefonumda değil, anne babamın telefonunda da bilinmeyen numaraları tamamen engelleyecek şekilde ayarladım. Sürekli e-posta dolandırıcılıklarına inanmamaları gerektiğini anlatıyorum ama buna rağmen annem her yıl bir iki kez, “gerçek sandığı bir dolandırıcılık e-postası” yüzünden panikle bana ulaşıyor.

  • Telefonları açmamak benim temel prensibim. Gerçekten de “rahatsız etmeyin” açık ve sadece favorilerimdeki numaralar çalabiliyor. Gerçekten acil olan biri (ister meşru olsun ister dolandırıcı) sesli mesaj bırakır. Bir şirket olduğunu iddia ediyorsa da doğrulamayı ben yaparım. Bu tür olaylar, benim talep etmediğim bir çağrı ne kadar inandırıcı görünürse görünsün, konuşmayı hiç başlatmamak gerektiğini gösteriyor. Ayrıca Google hesabında asla hassas bilgi tutmuyorum. Teknoloji sektöründe deneyimi olan herkes bunun ne kadar riskli olduğunu bilir.

    • Spam arama riskini tabii ki biliyorum; bunu ayrıca anlatmaya gerek yok. Ama “banka güvenlik ekibi” gibi bir yerden gerçekten dolandırıcılık uyarısı gelebileceği ihtimalini fazla kolay dışlıyor gibiyiz. Ben bankanın numarasını tanımamış da olabilirim ve bunun ne kadar doğru yaklaşım olduğundan emin değilim.

    • Devletten ya da bankadan gerçekten önemli bir konuda aranmışlığım var (ör. vergi beyanında hata gibi). Bu yüzden asla açmamanın tek doğru yanıt olduğunu düşünmüyorum. Bu arada Avrupa’da sesli mesaj kullanımı pek yaygın değil; daha çok Amerika’ya özgü bir alışkanlık gibi.

  • E-posta adresi spoofing’i olmasa bile kripto varlık çalmak fazlasıyla mümkün. Suçlular silahla tehdit edip seed phrase isteyebilir; bunun gerçekten epey örneği var. O yüzden geleneksel bankalar kriptodan çok daha güvenli. Bunu paylaşan yazar iyi yapmış ama umarım asıl ders, kriptonun güvenli bir değer saklama aracı olmadığı olur.

    • Yine de eve silahla gelmektense telefonla arayıp denemek çok daha ölçeklenebilir bir yöntem.

    • Ama yine de Hacker News ruhuna uygun olarak, silahla tehdit baştan ana mesele değil deniyor.

    • Kripto güvenliğinde multisig yararlı olabilir. Örneğin 2-of-2 modelinde banka gibi güvenilir bir kurumla imza yetkisini paylaşmak çoğu zaman normal bankadan daha güvenli olabilir. 3-of-5 gibi çok anahtarlı yapılar kullanılırsa, donanım anahtarına yanlış PIN girildiğinde anahtarın silinmesi gibi zorla yaptırılan tehdit senaryolarına karşı da önlem alınabilir.

    • Çözüm multisig cüzdanlar. Ayrıca birden fazla kişinin onayıyla para çıkabilmesi harcamalar üzerinde de fren etkisi yaratıyor; tabii çok sayıda ilgili kişi olduğunda ayrı bir risk de doğabilir. Offline cold wallet kullanılırsa, hack’lenmesi saatler sürebileceğinden zaman kazanmak da mümkün olabilir.

    • https://xkcd.com/538/ karikatürü de ilgili.

  • En kritik soru şu: saldırgan neden banka/emeklilik/kredi kartı hesaplarına da girmedi? Gerçekçi olmak gerekirse bankalar müşteri hesaplarının ele geçirilmesi konusunda çok daha hassas davranıyor.

    • “Bankalar hassas davranıyor” demenin asıl anlamı, örneğin makul önlemleri aldıysanız hesabınız boşaltıldığında zararınızı karşılayabilecek olmaları. Bu yüzden bankalar büyük meblağlı dolandırıcılıklara daha çok odaklanıyor. Bu arada daha 10 ay önce Coinbase + Google Authenticator kombinasyonunun en iyi güvenlik olduğu söylenen bir Reddit başlığı vardı: Coinbase hack olayı Reddit başlığı

    • Öte yandan bu yüzden bankaların ve benzerlerinin, ciddi kilitleme mekanizmaları olan akıllı telefon uygulamaları dışında bankacılık yaptırmaması da sorunlu. Müşteriye hiç güvenmeme hali ile tüm sorumluluğu müşteriye yükleme arasında neredeyse orta yol yok.

    • Banka ya da yatırım hesaplarından para transferi zaman aldığı için, arada dolandırıcılığı fark edip bildirirseniz hesap dondurulabilir ve anlık zararı önlemek daha kolay olur.

    • Gerçi bankaların buna o kadar da önem vermediğini düşünenler de var.

  • Olayın akışı muğlak olduğu için anlamak zor. Sadece 2FA koduyla her şeyin ele geçirildiği bir senaryoysa bu gerçekten çok ciddi. Belki de mesele sızmış bir parola, parola tekrar kullanımı ya da zaten açığa çıkmış bir Google hesabıdır. Eğer yalnızca 2FA koduyla Google hesabı → doğrulama uygulaması → parola yöneticisi zinciri kırıldıysa, başka hizmetlerdeki ikinci faktörler de peş peşe çökebilir. Bu süreçte parola tekrar kullanımı olup olmadığı en çok merak ettiğim konu. Not: Google’da çalışıyorum ama güvenlik ekibinde değilim.

    • Bence saldırgan zaten parolamı biliyordu ve telefonda okuduğum son kurtarma koduna ihtiyaç duyuyordu. Parolayı paylaşmadım ve tekrar da kullanmadım ama uzun süredir değiştirmemiştim.

    • Parola elinizdeyse, e-postayı ve 2FA kodlarını kontrol ederek parola sıfırlama üzerinden tüm hesapları ele geçirmek mümkün.

  • Yazıda teknik detaylar yetersiz. 2025 yılında bile Google’ın “benzer görünen” @google.com e-postalarını doğru düzgün engelleyememesi endişe verici. Sebep Unicode spoofing mi, DKIM gibi doğrulamalar mı yoktu, yoksa hesabın kendisi mi ele geçirilmişti, belli değil. Genel olarak anlatı pek tutarlı görünmüyor.

    • Unicode alan adı fikri baştan beri düzgün çalışan bir şey değilmiş gibi geliyor. Pratikte bunu en çok dolandırıcılar ve suçlular kullanıyor. “Teşekkürler ICANN” diye alay ediliyor.

    • İlgili yazıda e-postanın nasıl google domaininden gelmiş gibi göründüğünün anlatılmaması garip. Kişi kendisinin güvenlik sektöründe olduğunu söylüyor ama ayrıntı vermemesi de tuhaf.

  • “Coinbase hesabında yüz binlerce dolar tutmayın” tavsiyesinin hiç geçmemiş olması da eleştiriliyor.

    • Ben kriptoyu Coinbase ile bozuk bir sabit disk arasında bölmüştüm; şu an sabit diski kurtaramıyorum.

    • Hatta hiç kriptoya yatırım yapmamak daha iyi olabilir; spekülasyon ve kara para aklama dışında somut değerini görmek zor, riskleri ise büyük.