Sponsorlu Dolandırıcılık

If you are looking for an English version of this article, please visit here.

Siber güvenlik dünyasında olan biteni Twitter’dan takip ettiği için bir gözü Twitter’da olan bir güvenlik araştırmacısı olarak, 2018 Ağustos ayı itibariyle Twitter’da karşıma banka müşterilerini hedef alan sponsorlu oltalama (phishing) reklamlarının çıkmaya başladığını farkettim. Başlarda bu tweetleri sadece Twitter’a bildirmekle yetinsem de, takipçilerimden gelen mesajların sayısının artması ve bu reklamların Ekim ayına kadar sürdüğünü görünce bu konuyla yakından ilgilenmeye karar verdim.

Malicious Advertisement
Malicious Advertisement
Malicious Advertisement
Malicious Advertisement
Malicious Advertisement
Malicious Advertisement
Malicious Advertisement

Oltalama tweetlerinden birinde yer alan bağlantı adresini takip ettiğimde dolandırıcıların, müşterinin internet bankacılığına giriş esnasında kullandığı kullanıcı adını, parolasını, sms ile gönderilen doğrulama kodunu ve ardından da para transferinde kullanılan sms doğrulama kodunu çaldıklarını gördüm.

Malicious Advertisement
Malicious Advertisement
Malicious Advertisement
Malicious Advertisement

Çoğunuz gibi benim de Twitter’da bu sponsorlu oltalama reklamlarını gördükçe aklıma aşağıdaki bazı sorular ve yanıtları takıldı.

  • Twitter, aylardır birbirine fazlasıyla benzeyen, şikayet bildirimlerine konu olan bu oltalama reklamlarını engellemeye yönelik nasıl birşey yapamaz ?
  • Oltalama tweetleri için kullanılan hesapların bazıları nasıl olur da yıllar önce oluşturulmuş olabilir ?
  • Birbirine benzeyen bu oltalama tweetleri nasıl tespit edilebilir ?


  • Sorulara teker teker yanıt aramaya koyulduğumda, kendi kendime ilk soruya yanıt bulmam mümkün olamasa da, Twitter’ın bu oltalama reklamları karşısında bu kadar çaresiz (belki de vurdumduymaz) kalmasına oldukça şaşırdığımı söyleyebilirim. İkinci sorunun yanıtını bulmaya geldiğimde, oltalama için kullanılan hesapların eski tarihli olmasının muhtemel sebebi, Twitter’ın buradaki yardım sayfasında belirttiği üzere kullanıcı adının değiştirilmesine imkan tanımasıydı. Bu bilgiden yola çıkarak, oltalama tweetleri için kullanılan bu hesapların kuvvetle muhtemel hacklendiğini ve dolandırıcıların amaçları doğrultusunda kullanıldığını söyleyebiliriz. Sıra son soruya, oltalama tweetlerinin nasıl tespit edileceğine yanıt bulmaya geldiğinde, çoğu mesajda ortak olan kelimelerden (ŞANSLI KİŞİ, KATILIM YAPAN, YUKARIDAK) yola çıkarak Optik Karakter Tanıma (OCR) teknolojisi ile bu tweetleri tespit etme konusunda bir çalışma yapmaya karar verdim.

    Malicious Advertisement

    Çoğu banka müşterisinin karşılaştığı bu oltalama tweetlerini bankaların resmi Twitter hesapları ile paylaştığını gördükten sonra aracı hızlıca aklımda tasarlamaya başladım. Aracın temel olarak yapması gerekenler, Twitter’da banka isimlerini aramak, tweetlerde paylaşılan resimleri indirmek, OCR ile analiz etmek ve “ŞANSLI KİŞİ, KATILIM YAPAN, YUKARIDAK” kelimelerini tespit etmesi durumunda e-posta ile uyarmaktı. Uydurduğum, “Düşünmek, kodlamanın yarısıdır.” sözünden yola çıkarak Python ile bu aracı kodlamaya başladıktan kısa bir süre sonra Tweepy isimli Python kütüphanesinden faydalanarak geliştirdiğim Phishing Tweet Detector aracı ortaya çıktı.

    Aracı çalıştırdıktan kısa bir süre sonra bir Twitter kullanıcısının banka ile paylaştığı oltalama tweeti bu araç tarafından tespit edilmiş ve kurumların, vatandaşların bu tür dolandırıcılarla mücadele edebilmesine yardımcı olabilme adına ortaya koyduğum bir fikrim daha başarıyla hayata geçmiş oldu. :)

    Malicious Advertisement
    Malicious Advertisement
    Malicious Advertisement
    Malicious Advertisement

    Yazıma son noktayı koymadan önce dolandırıcılarla mücadele için oltalama mesajları ile karşılaşanların bunları en kısa sürede bankalarına, bulunduğu sosyal ağ platformuna bildirmelerinin (Tweet’i bildir gibi) çok ama çok önemli olduğunun altını çizmek isterim.

    Malicious Advertisement
    Malicious Advertisement

    Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

    image_pdfShow this post in PDF formatimage_printPrint this page
    18 comments
    1. mert hocam çok önemli bir konuyu ele almışsınız oltalama saldırılarına twitterin önlem almaması düşündürücü.

    2. Hocam eline sağlık, çok güzel bir yazı olmuş. Yaptığınız kodlamayı da görünce açıkca çok sevindim. Bulunduğum kurumda bu konuda çok şikayet alıyordum. İlk işim sizin aracınızı kullanmak olacak. Saygılar…

    3. hocam merhaba bunların ağına bir kez takılan kişi bankadan gerekli önlemleri aldırdıktan sonra eskisi gibi güvenli şekilde yine internet bankacılığı ve cep şubesi gibi kanalları sağlıklı bir şekilde kullanabilir mi acaba?

      1. Cep telefonuna veya bilgisayara indirterek zararlı yazılımla yaptıkları bir dolandırıcılık girişimleri olmadıysa bankanın aldığı aksiyonlar yeterli olur diye düşünüyorum.

    4. hocam onu nereden bilebiliriz.banka herhangi bir sıkıntı yok diyor.işlem cep telefonundan yapıldı.cep telefonunu değişsek mi acaba her ihtimale karşı

      1. Cep telefonuna bir uygulama kurmanız istenmediyse dolandırıcılık enasında gerek olmayabilir. İçim rahat etsin derseniz cihazı fabrika ayarlarına çevirmeniz yeterli olur.

    5. Allah razı olsun hocam hesabıma girip 180 tl yükleme yaptılar. ama herşeyi ben kendi ellerimle yaptım.linke tıkladım beni bankanın internet şubesine yönlendirdi.müşteri numaramı girdim.şifreyi girdim.sonra cep telefonuma gelen şifreyi girdim.onu girdikten sonra farketttim ve hemen bankayı aradım hesapları bloke ettiler vs vs o arada 180 tl yükleme yapmışlar ama…yani herhangi bir uygulama kurmamı istemediler ama içim hiç rahat değil şimdi internet bankacılığım felanda bloke geri kullanmaya korkuyorum kişisel bilgilerim felanda çalınmış olabilir diye.banka onun içinde önlem aldı ama yinede içim rahat değil

    6. hocam kusura bakmayın bir şey daha sorabilir miyim? bu yapılan işlem işlem aşağı yukarı 30 sn sürdü.bu arada bu kişiler benim kimlik bilgilerimi falan almış olabilirler mi acaba? Banka bununla ilgili yani şüpheli kimlik bildirimi gibi bir işlem yaptı ama işte insanın aklına bin türlü şey geliyor

      1. Dolandırıcılara hangi bilgilerinizi verdiyseniz, internet şube hesabınıza girildiğinde hangi bilgileriniz görüntülenebiliyorsa aşağı yukarı onlarla sınırlıdır diyebiliriz.

    7. Herhangi bir bilgi paylaşımı yapmadım hocam.linke tıkladım.bankanın internet şubesi ekranına yönlendirdi.müşteri numaram, şifrem ve telefona gelen şifreyi girdim.kampanyaya katılımınız alınmıştır falan gibi birşey yazdı ben hemen farkedip bankayı aradım onlarda gerekli işlemleri yaptılar.acaba bunlara bize açılan ekranın aynısımı açılıyor.yani yaptıkları işlemden daha fazla para vardı.göremiyorlar mı acaba?hesaptan çıkıp kişisel bilgilerime falan bakmış olabilirler mi 1 dk içinde?

    8. Bu aracı güncelleme gerekli hocam. Link kısaltma servisleri kullanıyorlar. Twitlere herhangi birşey yazmıyorlar. Sadece fotoğraf oluyor genelde. USOM bu konuda çok hızlı çalışıyor. Mail attığım linki 12 dk içerisinde engellediler az önce. Ama onlara da bu konuda veri sağlanması gerekiyor. Şuan manuel de olsa bu içerikleri bulmak için bir yol keşfedemedim. Denk gelirsem bildiriyorum. Bildiğiniz bir yöntem varsa paylaşırsanız sevinirim

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    You May Also Like
    Read More

    e-Devlet Hacklendi mi?

    If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
    Read More
    Read More

    WhatsApp Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
    Read More
    Read More

    LinkedIn Dolandırıcıları

    If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
    Read More
    Read More

    Bad Bad USB

    If you are looking for an English version of this article, please visit here. Her yıl, Ağustos ayında, ABD’nin Las Vegas kentinde düzenlenen geleneksel Black Hat Bilgi Güvenliği Konferansı‘nın sonuncusunda, Karsten NOHL ve Jakob LELL adındaki iki araştırmacı, BadUSB adında dikkat çekici bir sunuma imza attı. Bu sunumda kısaca, USB’de…
    Read More