e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here.

Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz.

Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85 Milyon Vatandaşın Kimlik Bilgileri Çalındı!” vb. haberlerin (#1, #2) çıkış noktasına baktığınızda çoğunlukla dolandırıcıların, siber suç örgütlerinin yer aldığı ve hizmetlerini/servislerini pazarlamaya çalıştıkları Telegram, ICQ, Discord, forumlar gibi mecralarda paylaştıkları ilanların buna sebep olduğunu görebilirsiniz.

Bu ilanları incelediğinizde ise siber suç örgütlerinin “Sorgu Paneli/Checker” adı altında dolandırıcılara kimi zaman ücreti mukabilinde kimi zaman ücretsiz olarak vatandaşların verilerine kurdukları web siteleri, Telegram kanalları ve Discord odaları üzerinden erişim hizmeti/servisi sağladıklarını görebilirsiniz.

Checkers
Checkers
Checkers
Checkers
Checkers
Checkers
Checkers

Bunları gördükten sonra “Peki ama nasıl?” sorusunun endişeyle aklınızı kurcaladığını tahmin edebiliyorum. Bu soruya yanıt bulmak için siber suçluların, dolandırıcıların, tehdit aktörlerinin her adımını yakından takip eden ve bunlara yönelik olarak müşterilerini uyaran SOCRadar Siber Tehdit İstihbaratı firmasında çalışan bir profesyonel olarak elimdeki imkanlardan sonuna kadar faydalanmaya karar verdim.

Bunun için ilk olarak SOCRadar’ın XTI platformu tarafından izlenen Telegram kanallarında kısa süreli bir gezintiye çıktım.

Sorgu panellerine yönelik arama yaptığımda bazı Telegram kanallarında bu panellere ait dosyaların bazı kişiler tarafından paylaşıldığını gördüm.

Checkers
Checkers
Checkers

Son 1.5 yılda dolandırıcılar arası artan rekabetin kimilerinin piyasadan çekilmesine kimilerinin ise hacklenmesine yol açtığını öğrendim.

Checkers
Checkers

Sorgu panellerinin nasıl çalıştığını öğrenmek için paylaşılan dosyaları (kaynak kodları) yakından incelemeye başladım. Bazı kaynak kodlarında dolandırıcıların, tanıdıkları, akrabaları olduklarını tahmin ettiğim TCKN bilgilerine yönelik kontrol koyduklarını gördüm. Örneğin herhangi bir kişi bu TCKN bilgisini panel üzerinde sorgulattığında işlem gerçekleşmiyordu.

Checkers
Checkers
Checkers

Bazı kaynak kodlarında ise bu kaynak kodlarını indirip daha sonra kullanacak dolandırıcıların web sitelerine sızmak için arka kapı (web shell) yerleştirildiğini tespit ettim.

Checkers
Checkers

Kaynak kodlarında yer alan tehdit aktörlerinin imzalarını (rumuz/nickname) SOCRadar XTI platformunda arattığımda hangi Telegram kanallarında barındıklarını ve onlarla ilgili olan mesajları okuma şansı elde ettim. (siber güvenlik uzmanları, emniyet yetkilileri için müthiş bir imkan!)

Checkers
Checkers
Checkers
Checkers
Checkers
Checkers

Sıra bu sorgu panelleri üzerinden vatandaşlara ait bilgilere nasıl erişildiğini öğrenmeye geldiğinde, 3 farklı panele ait kaynak kodları üzerinde yapmış olduğum araştırmalarda iki farklı yöntem ile karşılaştım.

Birinci yöntemde panel üzerinden yapılan sorgular aynı veya farklı dolandırıcılara ait başka sistemlere yani Web APIlere, Web APIlerden de kuvvetle muhtemel çalıntı hesap bilgileri (çerez/cookie) ile erişim yetkisi olan web sitelerine (devlet, üniversite vb.) iletiliyordu. Gelen yanıtlar da yine aynı yol üzerinden sorguyu yapan kullanıcılara/kişilere geri iletiliyordu. İletişimi kısaca akışa dökmem gerekirse;

Kullanıcı <-> Sorgu Paneli (Dolandırıcıya ait) <-> API (Dolandırıcıya ait) <-> Web Sitesi (yetkili, çalıntı bir hesabın çerezi ile erişim)

Checkers
Checkers
Checkers
Checkers

API Nedir?
API’ler, iki yazılım bileşeninin belirli tanımlar ve protokoller aracılığıyla birbiriyle iletişim kurmasına olanak tanıyan mekanizmalardır. Örneğin, meteoroloji müdürlüğünün yazılım sistemi, günlük hava durumu verilerini içerir. Telefonunuzdaki hava durumu uygulaması, API’ler aracılığıyla bu sistemle “konuşur” ve telefonunuzda size günlük hava durumu güncellemelerini gösterir. (Referans: Amazon)

İkinci yöntemde ise bu defa panel üzerinden yapılan sorgularda arada Web API olmadan yine kuvvetle muhtemel çalıntı hesap bilgileri (çerez/cookie) ile erişim yetkisi olan web sitelerine (devlet, üniversite vb.) iletiliyordu. Gelen yanıtlar da yine bir önceki yöntemde olduğu gibi aynı yol üzerinden sorguyu yapan kullanıcılara/kişilere geri iletiliyordu. Bunun da iletişimine akışa dökmem gerekirse;

Kullanıcı <-> Sorgu Paneli (Dolandırıcıya ait) <-> Web Sitesi (yetkili, çalıntı bir hesabın çerezi ile erişim)

Checkers
Checkers
Checkers
Checkers
Checkers
Checkers
Checkers
Checkers

Kuvvetle muhtemel çalıntı hesaplarla yapılıyor dememin başlıca sebebi SOCRadar’ın siber tehdit istihbaratı platformunda kötüye kullanılan bu web sitelerini arattığımda, erişim bilgilerini içeren kayıtların (stealer logs: kullanıcı adı, parola, çerez vb.) yeraltı dünyasında satıldığını görmem ile oldu. Muhtemelen bazı tehdit aktörleri bu sitelere, sistemlere erişim yetkisi olan kullanıcıların sistemlerini hackleyip, elde ettikleri bu bilgileri (stealer logs) başka tehdit aktörlerine, dolandırıcılara satıyorlar. Yazının sonundaki videoda geçen ifadelerin de bunu destekler nitelikte olduğunu söyleyebiliriz.

Checkers
Checkers
Checkers
Checkers

Ayrıca yaptığım araştırmalarda Web APIlerinin de sorgu panelleri gibi yeraltı dünyasında (underground) ayrı bir piyasasının olduğunu öğrendim.

Checkers
Checkers
Checkers
Checkers
Checkers
Checkers
Checkers

Kaynak kodlarını incelemeye devam edip TCKN bilgisi ile hangi bilgilerin bu paneller üzerinden elde edilebileceğine dair kodlara göz attığımda kabaca aşağıdaki bir tablo ortaya çıktı.

Checkers
Checkers

Kaynak kodlarını incelemeye devam ettiğimde, önceki konudan bağımsız olarak yine son günlerde haberlere ve tartışmalara konu olan yaklaşık 131 adet kişi ve kimlik fotoğrafları ile de karşılaştım. Bunları geçmiş haberlerde yer alan görüntülerle kıyasladığımda bunların binlerce kişinin dolandırıldığı kripto para borsası Thodex ile ilişkisi olduğunu, 2021 yılından beri dolandırıcıların elinde bulunduğu ve 50 TL‘ye satıldığını öğrendim.

Checkers


Checkers
Checkers
Checkers
Checkers

Konuyu toparlayacak olursak, e-Devlet hacklenmemiş olsa da biz sade vatandaşlar için maalesef ortaya endişe verici bir sonuç çıkıyor. Bu düzeyde, organize dolandırıcılıklara karşı verilerimizin, bilgilerimizin güvenliğini bireysel olarak sağlamamız veya elde edildiğini düşündüğümüz verileri değiştirmemiz, güncellememiz (TCKN, Anne Adı, Baba Adı, Kızlık Soyadı vb.) pek mümkün değil bu nedenle;

  • Bu şekilde çalınan, kötüye kullanılan hesapları, web sitelerini/APIlerini/servislerini siber tehdit istihbaratından, platformlarından, hizmetlerinden faydalanarak tespit etmek ve müdahale etmek için yetkililere büyük bir görev düşüyor.

  • Her ne kadar emniyet güçlerinin dolandırıcılara, tehdit aktörlerine karşı operasyonları aşağıdaki gibi hız kesmeden devam etse de, kötüye kullanılma riski olan bu tür web sitelerinde/APIlerde/servislerde yazılım ve ağ seviyesinde güvenlik kontrollerinin uygulanması (Mümkün olan yerlerde Captcha kontrolü, bir sayfaya/servise maks x saniyede y web isteği yapılabilmesi, çoklu istek yapılması durumunda hesabın askıya alınması ve incelenmesi, ağ bağlantısının kesilmesi, ilave doğrulama adımlarına tabi tutulması gibi gibi), sistemlerin sıkılaştırılması da (hardening) büyük önem arz ediyor.

  • Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.



    image_pdfShow this post in PDF formatimage_printPrint this page
    10 comments
    1. Tebrik ve teşekkür ederim, kaleme aldığınız bu konuyu aydınlatıcı ve açıklayıcı bir şekilde sunduğunuz için.

    2. Mert hocam emeğinize sağlık.
      Bir şeyi merak ettim. Yazınızı hazırlarken başlarına gelen bu üzücü durumdan dolayı kendilerine bilgilendirme yaptınız mı? Yani daha önceki yazılarınızdan bilgilendirme yapsanız bile suçlanabilme olasılığını da bilerek soruyorum ama yine de insan görünce dayanamıyor.
      Çok teşekkür eder iyi bayramlar dilerim.

      1. Açıkçası araştırmayı yapmam ile yazımı yayımlamam arasında çok kısa bir süre geçtiği için bu yazıyı genel kitleyi, sade vatandaşı uyarmak ve bilgilendirmek maksadıyla hazırladım. Diğer yandan yazının sonundaki video, emniyet güçlerinin dolandırıcıları ve yöntemlerini yakından takip ettiğine işaret ettiği için kendilerini de ayrıca bilgilendirmeye ihtiyaç duymadım. Ayrıca sosyal medya hesaplarımın devlet yetkilileri tarafından da takip edildiğini bildiğim için, onlar tarafından bilinmeyen bir noktaya temas etmiş olsaydım benimle iletişime geçerlerdi, ben de seve seve elimdekileri kendileriyle paylaşırdım. Ben de bayramınızı gönülden kutluyorum.

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    You May Also Like
    Read More

    LinkedIn Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
    Read More
    Read More

    WhatsApp Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
    Read More
    Read More

    Profilime Kim Baktı?

    If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
    Read More
    Read More

    Tuzak Sistem ile Hacker Avı

    If you are looking for an English version of this article, please visit here. Etrafımdaki tanıdığım, tanımadığım çok sayıda kişiden son yıllarda şu soruyu duymaya başladım, “Verilerimi şifrelediler, para istiyorlar, ne yapabilirim ? Kimden yardım alabilirim ?”. Bunu, yıllarca yapılan uyarıları dikkate almayıp, emniyet kemeri takmadan yola çıkıp, hızla duvara…
    Read More