Kurt Fena Yakalandı

 (fly.io)
1 puan yazan GN⁺ 2025-10-10 | 1 yorum | WhatsApp'ta paylaş
  • Fly.io’nun Twitter hesabı bir phishing saldırısıyla ele geçirildi
  • CEO Kurt Mackey, gelişmiş bir phishing e-postası üzerinden hesap bilgilerinin nasıl sızdığını anlattı
  • Twitter hesabı şirket içinde önemi düşük bir varlık olarak görüldüğü için güvenlik önceliği dışında kaldı
  • Phishing’i önlemek için phishing’e dirençli kimlik doğrulamanın (MFA, Passkeys, FIDO2 vb.) önemi vurgulandı
  • Bu olay vesilesiyle Twitter hesabında MFA güvenliğinin güçlendirilmesi ve güvenlik farkındalığının yeniden tanımlanması gerektiği belirtildi

Fly.io Twitter phishing olayının özeti

  • Fly.io’nun Twitter hesabı bir phishing saldırısına uğrayarak ele geçirildi
  • CEO Kurt Mackey, özenle hazırlanmış bir phishing e-postası aldı ve hesap bilgilerini girerek saldırıya maruz kaldı
  • Saldırının başarılı olmasının temel nedeni, ilgili Twitter hesabının nesnel olarak düşük önemde algılanması ve yönetim ekibinin genç internet kültürüne aşina olmamasından kaynaklanan psikolojik zafiyetti

Phishing saldırısının ayrıntılı seyri

  • Fly.io uzun zamandır Twitter kanalının yönetimini kısmen dış sözleşmeli kişilere bırakıyordu ve yaratıcı meme’ler gibi yeni nesil içeriklere yeterince aşina değildi
  • Bu saldırıda kullanılan phishing e-postası, gerçek bir x.com (Twitter) uyarı bildirimi gibi görünecek şekilde tasarlanmıştı ve yöneticilerin kaygısını tetikleyen psikolojik noktaları hedef aldı
  • Kurt, 1Password’den hesap bilgilerini çıkarıp saldırganların hazırladığı phishing sitesinde oturum açtı
  • Saldırıdan hemen sonra Twitter hesabının e-posta adresinin saldırganın sahip olduğu bir adresle değiştirildiği gibi izler fark edildi ve şirket içinde tüm erişim yetkileri gözden geçirilip engellendi

Phishing savunma stratejisi ve kurum içi güvenlik durumu

  • Genel olarak phishing’e karşı savunmada yalnızca “çalışan eğitimi” yeterli değil; herkesin yanlışlıkla tıklayabileceğini kabul etmek gerekiyor
  • Temel çözüm, phishing’e dirençli kimlik doğrulama (U2F, FIDO2, Passkeys vb.) ile karşılıklı doğrulama yapısının uygulanmasıdır
  • Fly.io’nun iç altyapısı Google IdP üzerinden SSO ve güvenli MFA ile korunuyor; bu nedenle yalnızca Twitter ve legacy alanlar görece daha zayıf kaldı
  • Bu olay, paylaşılan sosyal medya hesapları gibi çekirdek dışı alanlarda da aynı seviyede kimlik doğrulama güvenliği uygulanması gerektiğini gösterdi

Olay müdahalesi ve kurtarma süreci

  • Saldırgan tüm oturumları hemen sonlandırıp 2FA sıfırlamayı denedi; bu yüzden Fly.io tarafı parolayı hızla değiştirse de hesabın tamamen geri alınması zaman aldı
  • X.com’un manuel desteği ile yaklaşık 15 saat içinde hesap yetkisi tamamen geri kazanıldı
  • Genel olarak kullanıcı veya müşteri verisi sızmadı; ancak kısa vadeli marka imajı zararı ve mühendislerin müdahale yükü oluştu
  • Saldırgan Fly.io’nun Twitter geçmişinin bir kısmını sildi, ancak somut zarar büyük olmadı

Sonuç ve çıkarılan dersler

  • Bu olayın temel dersi şu: “CEO bile e-postaya kolayca güvenebilir ve phishing herkesin başına gelebilir
  • Bundan sonra tüm önemli hesaplarda Passkeys tabanlı MFA zorunlu olacak ve olay SOC2 gibi güvenlik uyumluluğu örneklerinde kullanılacak
  • Kurum içi güvenlik kararlarında “phishing’e dirençli kimlik doğrulama ve SSO IdP uygulaması” olmayan herhangi bir varlık mutlaka risk unsuru olarak görülmeli
  • Bu olayın benzer kurumlar için uyarıcı bir örnek olması umuluyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-10
Hacker News görüşü

  • Önceki şirketimde her yıl pentest güvenlik denetimi alındığında, denetim şirketi her zaman phishing ya da sosyal mühendislik saldırıları da deneyelim diye önerirdi, ama bunun her zaman başarılı olduğunu söyleyip tavsiye etmezdi.
    Akılda kalan bir örnek olarak, pentest yapan şirketin otoparkına bilerek USB bırakılırsa birinin mutlaka onu alıp ofis bilgisayarına takmayı denediği ve sonunda sistemin ele geçirildiği söylenmişti.
    Aslında phishing de çok farklı değil.
    Passkeys kurmak için iyi bir zaman; Passkeys rehberine bakın.

    • Bizim şirkette de iç ekipler için düzenli olarak phishing tatbikatları yapılıyor ve tıklamayanların oranı %90 civarında. (Tam rakamdan emin değilim.)
      Yine de %10’un 1500 kişi ettiğini fark edince insan yeniden irkiliyor.
      Son zamanlarda phishing e-postalarının gönderici alan adını iç alan adı yapmaya başladılar; böyle olunca normalde çıkan “bu dış e-posta” uyarı bandı görünmüyor ve ben de buna kandım.

    • Birinin yerden bulduğu USB’yi takıp hacklendiğinden bahsedildi ya, bununla ilgili sevdiğim bir alıntı var.
      2012’de İran’ın nükleer tesislerine yapılan saldırıda (Stuxnet) yer almış anonim bir yetkilinin sözüydü:
      "Elindeki USB hakkında hiç düşünmeyen bir aptal her zaman vardır."

    • Geçen yıl şirket e-postama bir phishing maili gelmişti ve oldukça ikna ediciydi.
      Bunun phishing olduğunu anlamıştım ama gerçekten çok meşgul olsaydım kanabilirdim.
      Böyle özenli phishing sitelerini görünce özellikle sandbox ortamında açıp formlara sadece sahte bilgiler girerek saldırganın zamanını boşa harcatmayı seviyorum.
      Ama meğer bunu bizim şirketin tuttuğu pentest firması göndermiş; URL’de hesabımla ilişkilendirilmiş bir kod varmış ve hiçbir bilgi girmemiş olmama rağmen phishing’e düştüğüm raporlanmış.
      Başarı ölçütü buysa, pentestlerin çok da anlamlı olmadığını düşünüyorum.

    • USB sürücülerden ya da benzer kaynaklardan bir çalıştırılabilir dosyayı düşünmeden açıp hackleniyorsanız, passkeys de işe yaramaz.
      Sosyal mühendislikle rastgele bir çalıştırılabilir dosya kurduruluyorsa durum yine aynı.

    • Stuxnet’in de tam olarak böyle USB sürücülerle yayıldığı söyleniyor ama açıkçası bugün hâlâ bunun bu kadar iyi çalışıp çalışmadığını bilmiyorum.

  • Bir zamanlar neredeyse phishing kurbanı oluyordum.
    Biraz değiştirilmiş alan adını fark etmeyip içeri girmiştim ama donanım cüzdanı kullandığım için kurtuldum.
    Bundan, herkesin yoğunken, yorgunken ya da bir anlık dalgınlıkla phishing’e düşebileceğini anladım.
    Thomas’ın dediği gibi, mümkün olan her yerde passkeys kullanmak önemli.

    • Apple ekosistemine aşinaysanız, iOS uygulamalarında PassKey uygulamayı anlatan kendi hazırladığım bir eğitim dizisi var.

    • Karşı görüş olarak, passkeys’nin hâlâ kafa karıştırıcı ve kısıtlayıcı olduğunu, bu yüzden iyi bir parola yöneticisi ve güçlü parolalara kıyasla pek avantaj sunmadığını düşünüyorum.

    • "Hiç kimse phishing’e karşı %100 güvende değil" sözüne yürekten katılıyorum.
      Birkaç yıl önce güvenlik sorumlusunu bile test sırasında phishing’e düşürmüştük.
      Gerçekten herkes risk altında.

  • Fly.io dolandırıcılık phishing’iyle ilgili başlıkta, eğer saldırı gerçekten büyük zarar vermiş olsaydı bunun bu kadar hafife alınmayacağını düşünüyorum.
    Yine de birileri bağlantı üzerinden gerçekten kripto para kaybettiyse, Fly.io tarafının sorumluluğunun tartışma konusu olabileceği endişesi kalıyor.

  • Phishing eğitiminin çok etkili olmadığını gösteren araştırmalar var.
    "Understanding the Efficacy of Phishing Training in Practice" bakılabilir.

    • "Parolanızı girilmemesi gereken sitelere girmeyin, sadece girilmesi gereken yerlere girin" türü tavsiyeler sonuçta totoloji.
      Biraz, 2FA SMS’lerinde "Bu kodu kimseyle paylaşmayın!" deyip sonra kullanıcıdan o kodu giriş sırasında doğrudan siteye yazmasını istemeye benziyor.
      Bu tür uyarı mesajları bana hep sinir bozucu gelmiştir.

    • Ben ağır şekilde regüle edilen bir sektörde çalışıyorum; birkaç yıl önce bir çalışan phishing’e düşünce düzenleyici kurum bizden 5 yıllık phishing testi ve eğitim kayıtlarını istedi.
      Bizim gibiler için bu tür eğitimler gerekli bir kötülük.

    • Aynı makalenin bağlantısı zaten asıl yazıda da geçiyor.

    • "Zoomer çocuğum, bizim gibi yetişkinlerin böyle konularda güvenilmez derecede demode olduğunu söylüyor" sözüne katılıyorum.
      Yine de buna mizahla yaklaşabilmek güzel.

  • "X’te paylaşılan içerik ihlal içeriyor" temalı phishing e-postaları o kadar yaygın ki neredeyse her hafta 10’dan fazla alıyorum.
    Bu yüzden posta filtrelerini defalarca değiştirmek zorunda kaldım; sadece X harfini yakalamak kolay değil ve dolandırıcılar metni sürekli değiştiriyor.
    Sonunda kullandığım e-posta güvenlik hizmetini değiştirdim; birçok sağlayıcı denedim ama tüm X phishing maillerini engelleyen tek çözüm Check Point oldu. (Reklam değil, sadece bilgi olarak söylüyorum.)
    Güvenlik şirketleri açısından bakınca da, aslında phishing işaretleri gayet açıkken bunları kaçırmaları utanç verici.

  • Ben de birkaç ay önce aynı türde bir phishing saldırısına maruz kaldım.
    UI mühendisliği gerçekten etkileyiciydi.
    Phishing ekran görüntüsü paylaşımı

    • Chromium’un tarayıcıya yerel AI özellikleri ekleme üzerinde çalıştığı söyleniyor; bir gün bunun güvenlik kontrollerinde de kullanılabileceğini düşünüyorum.
      Örneğin dışarı açılan yeni sekme bağlantılarında AI, "bu sayfa tanınmış bir siteye benziyor ama URL farklı" diye uyarı verebilir.
      Sadece en popüler 1000 site için bile yapılsa, birçok phishing vakasını önleyebilir.

    • imagecontent-x.com gibi URL’ler herkes için alarm işareti olmalı.

    • Bu durumda tarayıcı giriş bilgilerini otomatik doldurmadı mı diye merak ediyorum.
      Meşru trafikte de bunun sık yaşanıp yaşanmadığını ve adres çubuğunun yanındaki kilit simgesinin düzgün görünüp görünmediğini merak ediyorum.

  • Saldırganın sahte açılış sayfasını ve phishing e-postasını ne kadar inandırıcı hazırladığına bakınca etkileyici buluyorum.
    Normalde kripto tarafına çok hâkim değilim; bu yüzden saldırganların "başarı olasılığı düşük ve zarar da yok" sonucuna nasıl vardığını merak ediyorum.
    Sahte açılış sayfasında kullanılan cüzdan izlenerek gerçekten kayıp yaşanıp yaşanmadığı doğrulanabilir mi, bilmek isterdim.

  • Düzgün çalışan bir parola yöneticisinin ne kadar önemli olduğunu bana yeniden hatırlatan bir olay oldu.
    Web sitesi işletiyorsanız parola yöneticilerini bozmamaya dikkat etmelisiniz.
    Bir sitede parola otomatik doldurma çalışmıyorsa bu benim için anında çok güçlü bir uyarı işareti olur.
    Kod tabanlı 2FA’nın phishing önlemede hiç faydası olmadığını düşünüyorum.
    Ben giriş yapabiliyorsam saldırgan da 2FA kodunu alabilir; hangi yöntem olursa olsun fark etmez.

    • haveibeenpwned.com’un yaratıcısının da phishing deneyimi var; parola yöneticisi kullanmasına rağmen kandırılmış.

    • Teknik olarak yetkin insanların da parola yöneticisi kullanırken phishing’e düştüğü örnekleri bununla nasıl bağdaştırdığınızı merak ediyorum.

    • Otomatik doldurmayı kapatmak gerekir.
      Yeni saldırılarda tapjacking gibi teknikler de kullanılıyor, bu yüzden riskli.

  • Bu yazının neden üst sıralara çıktığını merak ediyordum, sonra yazarın adını (Kurt) görünce anladım.
    Çıkarılacak ders şu: "Kurt bile kandırıldıysa herkes kandırılabilir."
    Bu sefer zarar çok sınırlıydı ama herkesin kör noktaları var ve özellikle ihmal edilen köşelerde bu tür zafiyetler gizleniyor.
    Saldırgan sadece sıradan bir dolandırıcı değil de gerçekten kötü niyetli biri olsaydı, şirketin resmî hesabından başlayıp sosyal mühendisliği daha da ileri taşıyabilirdi.

    • Sanırım Kurt adlı kişiden bahsediliyor.

  • Yazının kendisi de çok iyi ama phishing tekniği gerçekten çok sofistike görünüyor.

    • Bunun son dönemde yaygınlaşan bir phishing dolandırıcılığı olduğunu ve sadece bizim başımıza gelmediğini duydum.
      Ama bunlar yaşanmadan önce bundan haberim yoktu.

    • Kendini tiye alan mizah hoşuma gitti.
      Benim de geçmişte bir iki kez neredeyse kandırıldığım oldu.
      Genelde ancak tıkladıktan hemen sonra "eyvah" deyip hesabı anında kilitleyerek zararı önleyebilmiştim.
      İlgili anekdot görseli