Kripto Para Dolandırıcıları

If you are looking for an English version of this article, please visit here.

Yıllar içinde dolandırıcılar tarafından kimi zaman direkt (LinkedIn Dolandırıcıları, Sponsorlu Dolandırıcılık) kimi zaman dolaylı yoldan hedef alındıkça (Profilime Kim Baktı ?), bunları blog yazısına döküp etrafımdakileri bu konuda uyarmayı kendime görev edindim. Öyle ki bazı zamanlarda eşten, dosttan, yakın çevremden de dolandırıcılık girişimleri ile ilgili mesajlar alıp, bunları da (Instagram Dolandırıcıları) fırsat buldukça yazıya dökmeye çalıştım. Bu defa da yine kaleme aldığım yeni bir dolandırıcılık girişimi ile karşınızdayım.

2022 yılının Haziran ayında Twitter hesabımdan da duyurduğum üzere bu girişim, Anna isimli korumalı Twitter hesabından 14 Haziran 2022 tarihinde gelen bir mesaj ile başladı. Bu mesajda Anna, uzun zamandan beri beni görmediğinden bahsederek sohbete başladı. Adımı (Mark), nerede yaşadığımı (Türkiye’de yaşayan bir Belçikalı) ve çalıştığımı (Bir FinTek firmasında Finansal İşler Müdürü (CFO)) öğrendikten sonra konu nerelere nasıl yatırım yaptığımdan, Bitcoin kripto parasının o zamanlardaki değer kaybına geldi.

Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers

Sohbete bir süre ara verip bir yandan Anna’nın profilindeki fotoğrafının sahte olduğunu düşünerek fotoğrafın gerçekte kime ait olduğunu bulmaya karar verdim. Bunun için Yandex arama motorunun Görsel Arama özelliğini kullanarak profil fotoğrafının Çinli Shasha Zhao isimli bir kişiye ait olduğunu tespit ettim. Shasha’nın profilinde paylaştığı fotoğraflara göz attığımda ise Anna’nın profil fotoğrafında yer alan fotoğrafı bulmam çok zor olmadı.

Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers

Sohbetimizin başlarında Singapur‘da yaşadığını ve konfeksiyon şirketi sahibi olduğunu söyleyen Anna, sohbete WhatsApp üzerinden devam etmek istediğini belirttikten sonra cep telefonu numarası olarak ABD’den bir numarayı (+19295654212) benimle paylaştı. E hani Singapur’da yaşıyordun diye üzerine gittikten sonra manevra yaparak iş nedeniyle ABD’de yaşadığını belirtti. Ardından ilgimi çekmek için ise 300.000$ ile kripto para yatırımından yaklaşık 715.000$ kazandığını paylaştı. Ben de kendisinin beni hızlıca avlayarak taktiklerini ortaya dökmesi için 500.000$ ile yatırım yapmayı düşündüğümü paylaştım.

Cryptocurrency Scammers

Kendisiyle onun çok iyi bir yatırımcı olduğunu ve onunla yatırım yapmak istediğimi paylaştıktan sonra kısa vadeli yatırım için MonexCrypto isimli platforma girmem gerektiğini söyledi. Bunun için de https://app[.]monexcrypto[.]net adresini ziyaret edip mobil uygulamayı indirip kayıt olmam gerektiğini paylaştı.

Cryptocurrency Scammers

Uygulamayı indirmek için web sayfasına gidip kaynak koduna baktığımda uygulamanın hem Android (update.apk) hem de iOS sürümü olduğunu öğrendim. Android uygulamasını VirusTotal‘a ve Pithus isimli mobil tehdit istihbaratı platformuna yükleyip oldukça şüpheli görünen çıktılarına kabaca göz attıktan sonra zararlı yazılımlara çok daha az rastlanan iOS işletim sistemi için geliştirilmiş olan sürümünü detaylı olarak incelemeye karar verdim.

Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers

3. parti uygulamaların iOS işletim sistemi üzerinde çalışmasına imkan tanıyan mobileprovision dosyasının GitHub üzerinde saklandığını gördükten sonra Apple’ın Geliştirici Programı’na kayıtlı, imza yetkisi olan yazılımcı/firma (QuanLi Network Technology Co., Ltd. (SRD7J8LLBV)) ile ilgili bilgileri görüntüledim.

Cryptocurrency Scammers
Cryptocurrency Scammers

Sıra Apple aygıtlarına ayarları ve yetkilendirme bilgilerini yükleyen verilerden oluşan app.mobileconfig XML dosyasını incelemeye geldi. Dosyayı Xcode içinde yer alan Simulator uygulaması üzerinde çalıştırdığımda bunun https://www.monexcrypto.net web sayfasını açmaya yarayan bir Web Klip (WebClip) olduğunu ve Gang Dai isimli bir geliştiri tarafından imzalanmış olduğunu öğrendim.

Web klipleri: Web kupürü, aygıtın Ana Ekran’ında bir web sitesine veya URL’ye bağlantı sağlayan bir simgedir. Web klipleri isteğe bağlı olarak tam ekran web uygulamalarını başlatabilir ve HTML5 yerel saklama alanını kullanarak çevrimdışı çalışabilir. Konfigürasyon profilleri özel bir başlık ve simge kullanan ve isteğe bağlı olarak silinemez yapılabilen web klipleri içerebilir. Web klipleri, öğrencileri eğitim amacıyla belirli web sitelerine yönlendirebilir. Bir aygıttaki web kupürlerini ayarlama hakkında daha fazla bilgi için Apple Geliştirici belgelerindeki WebClip profil sayfasına bakın.

Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers

Web sitesine kayıt olmaya çalıştığımda kayıt formundaki bir alana Kuruluş Kodu girmem bekleniyordu. Dolandırıcılar tarafından forma böyle bir kod koyulmasının amacı muhtemelen siber güvenlik araştırmacılarının ve/veya siber güvenlik üreticilerinin bu sayfayı tespit edip, bilgi toplamalarını engellemekti ve bu zamana kadar da bunu başarmışlardı. Zaman kazanmak için ara ara Anna’ya uygulama kurulumunda hata aldığımı söylediğimde sağolsun ekran görüntüleri ile bana yardımcı olmak için elinden geleni yapıyordu. :) Ben de bunun üzerine kuruluş kodunu öğrenmek için Anna’dan yardım istemeye karar verdim. :)

Cryptocurrency Scammers

Sıra Kuruluş Kodunu öğrenmeye geldiğinde heyecandan ilk önce Çince kelimeler yazan Anna (muhtemelen İngilizce’si pek iyi olmadığı için Çince-İngilizce çeviri programı kullanarak benimle iletişim kuruyordu) daha sonra forma girmem gereken kodu (768919) benimle paylaştı.

Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers

Başarıyla kayıt olup Web Klip ile web sitesini gezmeye başladığımda ilk olarak bir kripto para platformunda olan temel menülerin (anlık piyasa takibi, cüzdana para yatırma, çekme vb.) olduğunu gördüm.

Cryptocurrency Scammers

Daha sonra dolandırıcıların kurbanlarını ağlarına düşürmek için en ideal yer olabileceğin düşündüğüm kripto para alma ve çekme sayfası olan Recharge sayfasını ziyaret ettim. Diğer borsalarda, platformlarda olduğu gibi ziyaret ettiğimde karşıma kripto para cüzdanlarıma ait adresler çıktı.

Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers

Tarih 28 Haziran 2022‘yi gösterdiğinde, kurbanını dolandırmaya çok yakın olduğunu anlayan Anna, cüzdanıma Binance isimli kripto para borsası üzerinden nasıl kripto para (USDT) göndereceğim konusunda beni yönlendirmeye başladı.

Cryptocurrency Scammers
Cryptocurrency Scammers

İçten içe acaba Anna gerçekte hangi ülkeden benimle bağlantı kuruyor sorusu kafamı meşgul etmeye başladıkça Anna’nın IP adresini öğrenmek için neler yapabileceğimi düşünmeye başladım. Twitter profilimde kocaman Cyber Security Researcher yazmasına rağmen benden hiç şüphelenmeyen ve ağına düşürmek için planını 15 gündür ilmek ilmek işletmeye devam eden Anna’nın Operasyon Güvenliği (OPSEC) ile ilgili pek bir kaygısı olmadığını tahmin ediyordum. Bu sebeple Anna ile web sitemde barındırdığım ekran görüntülerinin adreslerini Bitly URL kısaltma servisinden faydalanarak paylaşmaya ve IP adresini elde etmeye karar verdim.

Anna, paylaştığım 3 tane bit.ly adresine tıklamaktan zerre kadar imtina etmediği için SOCRadar IOC Radar üzerinden kısa sürede Hong Kong‘da yer alan 45.204.66.140 IP adresinden benimle iletişim kurduğunu öğrenmiş oldum.

Cryptocurrency Scammers
Cryptocurrency Scammers
Cryptocurrency Scammers

MonexCrypto web sitesini gezmeye kaldığım yerden devam ettiğimde, Bitcoin ve Ethereum kripto para cüzdanlarıma ait kripto para adreslerinin gerçek kripto para borsalarında olduğu gibi sadece bana özel üretilip üretilmediğini kontrol etmeye karar verdim. Şayet bu cüzdan adresleri dolandırıcılara ait ise ve her platforma üye olan kişiye (kurban) cüzdan adresi olarak kendi adreslerini gösteriyorlar ise kolay yoldan kurbanlarına ait kripto paraları rahatlıkla çalabilirlerdi. Buna yönelik yaptığım araştırmalar sonucudan;

  • 28 Haziran 2022 tarihinde Bitcoin cüzdan adresimi (3QX2Csna3FEbXD9PxhgEXL36qAfYXWSwQU) Blockchain.com web sitesi üzerinde sorguladığımda, bu cüzdanın 6 Haziran 2022 tarihinde oluşturulduğu ve 29 Eylül 2022 tarihine dek bu cüzdana 55,618.73$ değerinde Bitcoin aktarıldığı ve daha sonrasında çekildiği görülüyordu.
  • Aynı tarihte Ethereum cüzdan adresimi (0xF88997e493C08874d9e0D485463386ABf0EBe6bf) aynı yerde sorguladığımda bu cüzdanın da 26 Haziran 2022 tarihinde oluşturulduğu ve 23 Kasım 2022 tarihine dek bu cüzdana ~839.000$ değerinde Ethereum ve USDT aktarıldığı görülüyordu.
  • Yine aynı tarihte bu defa USDC cüzdan adresimi (0xcfddf006ec9f4af5bf34a6f71af41655fb7d4167) sorguladığımda bu cüzdanın 17 Haziran 2022 tarihinde oluşturulduğu ve 16 Ağustos 2022 tarihine dek bu cüzdana da ~46.000$ değerinde Ethereum ve USDT aktarıldığı görülüyordu.
  • Cryptocurrency Scammers
    Cryptocurrency Scammers
    Cryptocurrency Scammers

    Feragatname: Herhangi bir hataya karşı Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency kitabında olduğu gibi uçtan uca kripto para transferlerini takip edebilecek bir IRS ajanı veya Blockchain uzmanı olmadığımı hatırlatmış olayım. :)

    MonexCrypto web sitesine kayıt olduğum 26 Haziran 2022 tarihinden 29 Ocak 2023 tarihine kadar aşağı yukarı 5 defa MonexCrypto web sitesine girip cüzdan adreslerimi her kontrol ettiğimde değiştiklerini gördüm. Bu bilgilere göre cüzdan adresleri kişiye özel üretilmeyip dolandırıcıların kendi cüzdan adresleriydi ve belli aralıklarda bu adresleri değiştiriyorlardı. Not aldığım değişen cüzdan adreslerimi ve bu cüzdanlara yapılan para transferlerini kabaca alt alta koyup topladığımda, dolandırıcıların tahminimce yaklaşık 3 milyon dolar değerinde kripto para çaldıklarını anladım.

    Cryptocurrency Scammers

    Tabii ben Anna’nın maskesini düşürmeye çalışırken 18 Temmuz 2022 tarihinde FBI, MonexCrypto gibi sahte kripto borsa/yatırım uygulamaları üzerinden yapılan dolandırıcılık girişimlerine karşı bir uyarı yayınladı. Bu uyarıya göre dünya genelinde 244 kişiden yaklaşık 42.7 milyon dolar değerinde kripto para çalınmıştı. 3 milyon dolarının nasıl çalındığını çoktan öğrenmiştim. :)

    2021 yılında FBI’ın İnternet Suçları Şikayet Merkezi’ne bu dolandırıcılık yöntemiyle ilgili olarak 4.300‘den fazla başvuru yapılmış ve toplamda 429 milyon dolardan fazla kayıp yaşanmıştır. Kasım ayının sonunda ise ABD Adalet Bakanlığı, 2022 yılında dolandırıcılar tarafından kullanılan yedi alan adına el koyduğunu açıkladı. (Kaynak: Wired)

    14 Haziran 2022 tarihinden 6 Temmuz 2022 tarihine kadar beni dolandırmak için tüm ikna yollarını tüketen Anna, 6 Temmuz tarihinde isyan bayrağını çekerek sitem dolu mesajlar göndermeye başladı. Ben de dişe diş kana kan diyerek 1 Ağustos 2022 tarihinde Anna’ya FBI’ın uyarısını ileterek kötü adam gülüşüyle sohbetimize son noktayı koymuş oldum. :)

    Cryptocurrency Scammers
    Cryptocurrency Scammers
    Cryptocurrency Scammers

    Anlaşılan o ki Anna ilerleyen aylarda hız kesmeden gözüne kestirdiği yeni kurbanlarını ağına düşürmeye devam etmiş ve de başarılı olmuş ki SOCRadar Siber Tehdit İstihbaratı platformunda zararlı yazılım (Stealer) tarafından çalındığı tespit edilen bilgiye göre 5 Eylül 2022 tarihinde monexcrypto.net sitesine giriş yapan bazı kullanıcıların parolaları da çalınmıştı.

    Cryptocurrency Scammers

    Ekim ayına geldiğimizde ise Monex Grubu, başta monexcrypto.net web sitesi olmak üzere iki web sitesinin daha grup logolarını izinsiz kullandığına dair bir uyarı yayınladı.

    Cryptocurrency Scammers

    Sonuç itibariyle Anna ve klavye arkadaşlarının Pig Butchering Scam adı verilen, iyi kurguladıkları bu dolandırıcılık yöntemi ile nasıl milyonlarca dolar vurgun yaptıklarını, Apple App Store ve Google Play Store’dan indirdiğimiz uygulamalardan, sosyal medya üzerinden gelen mesajlara kadar neden çok dikkat etmemiz gerektiğini diğer yazılarımda da olduğu üzere detaylı bir şekilde öğrenmiş olduk.

    Farkındalık yaratma adına bu yazıyı arkadaşlarınızla, dostlarınızla ve sevdiklerinizle paylaşmanızı önemle rica eder, bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

    image_pdfShow this post in PDF formatimage_printPrint this page
    4 comments
    1. HOCAM ÇOK FAYDALI VE GÜZEL BİR YAZI OLMUŞ EMEĞİNİZE SAĞLIK. FAKAT KÖTÜ OLAN KISIM ŞU Kİ HEPİMİZ SİZİN KADAR BİLGİLİ VE ARAŞTIRMACI DEĞİLİZ.ŞUAN USDC İNVESTMENT LİMİTED İSİMLİ BİR ŞİRKET VAR. AYNI BU ASYALI BİR KADIN BENİMLE İLETİŞİME GEÇTİ BİLMEDİĞİM BİR BORSAYA KAYIT OLDUM VE 6000 DOLARIMI ALIP BENİ ENGELLEDİLER. ŞUAN BU ŞİRKETİN DOLANDIRMIŞ OLDUĞU EN AZ 15 KİŞİ İLE TANIŞTIM FAKAT BİRŞEY YAPAMIYORUZ. SİZİN BU GİBİ DURUMLARDA PARANIN NASIL GERİ ALINABİLECEĞİ İLE İLGİLİ BİR FİKRİNİZ YADA ÖNERİNİZ VARMIDIR. TEŞEKKÜR EDERİM.

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    You May Also Like
    Read More

    e-Devlet Hacklendi mi?

    If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
    Read More
    Read More

    LinkedIn Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
    Read More
    Read More

    WhatsApp Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
    Read More
    Read More

    Profilime Kim Baktı?

    If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
    Read More