Son zamanlarda kripto para topluluğunda siber güvenlik felaketleri sıkça duyuluyor. Saldırganlar, Calendly üzerinden toplantı planlayarak, masum görünen "Zoom bağlantıları" gönderiyor ve kurbanları sahte bir Truva atı yüklemeye ikna ediyor, hatta toplantı sırasında bilgisayarlara uzaktan erişim sağlıyor. Bir gecede, cüzdanlar ve Telegram hesapları tamamen ele geçirildi.
Bu makale, bu tür saldırıların çalışma zincirini ve savunma noktalarını kapsamlı bir şekilde analiz edecek ve topluluğun paylaşımı, iç eğitim veya kendini kontrol amacıyla kullanabilmesi için tam referans materyalleri ekleyecektir.
Saldırganın çift hedefi
Dijital varlık hırsızlığı
Lumma Stealer, RedLine veya IcedID gibi kötü amaçlı yazılımları kullanarak, tarayıcı veya masaüstü cüzdanındaki özel anahtarları ve Seed Phrase'i doğrudan çalarak TON, BTC gibi kripto paraları hızla dışarı aktarın.
Referans:
Microsoft resmi blogu
Flare Tehdit İstihbaratı
Kimlik belgesi hırsızı
Telegram, Google'un Oturum Çerezi'ni çalarak mağdur gibi davranmak, daha fazla mağdur oluşturmak için devam etmek ve kartopu etkisi yaratmak.
Referans:
d01a analiz raporu
Saldırı Zinciri Dört Aşama
① Güveni yaymak
Yatırımcı, medya veya Podcast gibi davranarak, Calendly üzerinden resmi toplantı davetleri gönderin. Örneğin, "ELUSIVE COMET" vakasında, saldırganlar Bloomberg Crypto sayfasını taklit ederek dolandırıcılık yaptı.
Referans:
Trail of Bits Blog
② Trojan yerleştirmek
Sahte Zoom web siteleri (non .zoom.us) kötü amaçlı versiyon olan ZoomInstaller.exe indirmeye yönlendiriyor. 2023–2025 yılları arasında birçok olay bu yöntemle IcedID veya Lumma dağıttı.
Referans:
Bitdefender
③ İktidar Alma Konferansı
Bilgisayar korsanı, Zoom toplantısında takma adını "Zoom" olarak değiştirdi, kurbandan "paylaşım görüntülerini test etmesini" istedi ve aynı anda bir uzaktan kumanda talebi gönderdi. Kurban "İzin Ver"i tıkladığında, tam ölçekli bir istila olur.
Referans:
Yardımcı Net Güvenlik
Karanlık Okuma
④ Yayılma ve Nakit Çekme
Kötü niyetli yazılım, özel anahtarları yükler, hemen para çeker veya birkaç gün bekleyip Telegram kimliğini kullanarak başkalarını oltalar. RedLine, özellikle Telegram'ın tdata dizini için tasarlanmıştır.
Referans:
d01a analiz raporu
Olay sonrası acil yardım üç adım
Hızlı İzolasyon Cihazı
Ağ kablosunu çıkarın, Wi-Fi'yi kapatın, temiz bir USB ile başlatma taraması yapın; RedLine/Lumma tespit edilirse, tüm diski formatlayıp yeniden yüklemenizi öneririz.
Tüm Oturumları Kaldır
Kripto paraları yeni bir donanım cüzdanına aktarın; Telegram'dan tüm cihazlardan çıkış yapın ve iki adımlı doğrulamayı etkinleştirin; E-posta ve borsa şifresini tamamen değiştirin.
Blockchain ve borsa senkronizasyonunu izleme
Şüpheli bir adresin dondurulması için borsa ile derhal iletişime geçin.
Uzun Vadeli Savunma Altı Demir Kuralı
Bağımsız konferans cihazları: Tanıdık olmayan toplantılar için yalnızca özel anahtarı olmayan yedek dizüstü bilgisayar veya telefon kullanın.
Resmi kaynaklardan indirin: Zoom, AnyDesk gibi yazılımlar yalnızca üretici web sitelerinden alınmalıdır; macOS'ta "indirdikten sonra otomatik aç" seçeneği kapatılması önerilir.
Web sitesini dikkatlice kontrol edin: Toplantı bağlantısı .zoom.us olmalıdır; Zoom Vanity URL'si de bu kurala uymalıdır (resmi kılavuz)
Üç yasak prensibi: Hile yazılımı kullanmamak, uzak bağlantı vermemek, Seed/özel anahtar göstermemek.
Soğuk ve sıcak cüzdan ayrımı: Ana varlıklar soğuk cüzdanda PIN + Şifre ile saklanır; sıcak cüzdanda yalnızca küçük miktarlar tutulur.
Tüm hesap için 2FA açın: Telegram, E-posta, GitHub, borsa için çift faktörlü kimlik doğrulama etkinleştirildi.
Sonuç: Sahte toplantıların gerçek tehlikesi
Modern hackerler sıfır gün açıklarına bağlı kalmıyor, aksine olağanüstü bir yetenek sergiliyorlar. "Normal görünümlü" Zoom toplantıları tasarlıyorlar ve hatanızı bekliyorlar.
Alışkanlık haline getirdiğin sürece: cihazları izole etmek, resmi kaynaklar kullanmak, çok katmanlı doğrulama yapmak, bu yöntemler artık işlevsel olmayacak. Her bir blok zinciri kullanıcısının sosyal mühendislik tuzaklarından uzak durmasını, hazinelerini ve kimliklerini korumasını dilerim.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Sahte Toplantılar, Gerçek Krizler: Zoom ve Calendly Phishing Saldırıların İşleyiş Zinciri ve Savunma Noktalarının Analizi
Yazar: Dr. Harika Doge
Son zamanlarda kripto para topluluğunda siber güvenlik felaketleri sıkça duyuluyor. Saldırganlar, Calendly üzerinden toplantı planlayarak, masum görünen "Zoom bağlantıları" gönderiyor ve kurbanları sahte bir Truva atı yüklemeye ikna ediyor, hatta toplantı sırasında bilgisayarlara uzaktan erişim sağlıyor. Bir gecede, cüzdanlar ve Telegram hesapları tamamen ele geçirildi.
Bu makale, bu tür saldırıların çalışma zincirini ve savunma noktalarını kapsamlı bir şekilde analiz edecek ve topluluğun paylaşımı, iç eğitim veya kendini kontrol amacıyla kullanabilmesi için tam referans materyalleri ekleyecektir.
Saldırganın çift hedefi
Dijital varlık hırsızlığı
Lumma Stealer, RedLine veya IcedID gibi kötü amaçlı yazılımları kullanarak, tarayıcı veya masaüstü cüzdanındaki özel anahtarları ve Seed Phrase'i doğrudan çalarak TON, BTC gibi kripto paraları hızla dışarı aktarın.
Referans:
Microsoft resmi blogu
Flare Tehdit İstihbaratı
Kimlik belgesi hırsızı
Telegram, Google'un Oturum Çerezi'ni çalarak mağdur gibi davranmak, daha fazla mağdur oluşturmak için devam etmek ve kartopu etkisi yaratmak.
Referans:
d01a analiz raporu
Saldırı Zinciri Dört Aşama
① Güveni yaymak
Yatırımcı, medya veya Podcast gibi davranarak, Calendly üzerinden resmi toplantı davetleri gönderin. Örneğin, "ELUSIVE COMET" vakasında, saldırganlar Bloomberg Crypto sayfasını taklit ederek dolandırıcılık yaptı.
Referans:
Trail of Bits Blog
② Trojan yerleştirmek
Sahte Zoom web siteleri (non .zoom.us) kötü amaçlı versiyon olan ZoomInstaller.exe indirmeye yönlendiriyor. 2023–2025 yılları arasında birçok olay bu yöntemle IcedID veya Lumma dağıttı.
Referans:
Bitdefender
③ İktidar Alma Konferansı
Bilgisayar korsanı, Zoom toplantısında takma adını "Zoom" olarak değiştirdi, kurbandan "paylaşım görüntülerini test etmesini" istedi ve aynı anda bir uzaktan kumanda talebi gönderdi. Kurban "İzin Ver"i tıkladığında, tam ölçekli bir istila olur.
Referans:
Yardımcı Net Güvenlik
Karanlık Okuma
④ Yayılma ve Nakit Çekme
Kötü niyetli yazılım, özel anahtarları yükler, hemen para çeker veya birkaç gün bekleyip Telegram kimliğini kullanarak başkalarını oltalar. RedLine, özellikle Telegram'ın tdata dizini için tasarlanmıştır.
Referans:
d01a analiz raporu
Olay sonrası acil yardım üç adım
Hızlı İzolasyon Cihazı
Ağ kablosunu çıkarın, Wi-Fi'yi kapatın, temiz bir USB ile başlatma taraması yapın; RedLine/Lumma tespit edilirse, tüm diski formatlayıp yeniden yüklemenizi öneririz.
Tüm Oturumları Kaldır
Kripto paraları yeni bir donanım cüzdanına aktarın; Telegram'dan tüm cihazlardan çıkış yapın ve iki adımlı doğrulamayı etkinleştirin; E-posta ve borsa şifresini tamamen değiştirin.
Blockchain ve borsa senkronizasyonunu izleme
Şüpheli bir adresin dondurulması için borsa ile derhal iletişime geçin.
Uzun Vadeli Savunma Altı Demir Kuralı
Bağımsız konferans cihazları: Tanıdık olmayan toplantılar için yalnızca özel anahtarı olmayan yedek dizüstü bilgisayar veya telefon kullanın.
Resmi kaynaklardan indirin: Zoom, AnyDesk gibi yazılımlar yalnızca üretici web sitelerinden alınmalıdır; macOS'ta "indirdikten sonra otomatik aç" seçeneği kapatılması önerilir.
Web sitesini dikkatlice kontrol edin: Toplantı bağlantısı .zoom.us olmalıdır; Zoom Vanity URL'si de bu kurala uymalıdır (resmi kılavuz)
Üç yasak prensibi: Hile yazılımı kullanmamak, uzak bağlantı vermemek, Seed/özel anahtar göstermemek.
Soğuk ve sıcak cüzdan ayrımı: Ana varlıklar soğuk cüzdanda PIN + Şifre ile saklanır; sıcak cüzdanda yalnızca küçük miktarlar tutulur.
Tüm hesap için 2FA açın: Telegram, E-posta, GitHub, borsa için çift faktörlü kimlik doğrulama etkinleştirildi.
Sonuç: Sahte toplantıların gerçek tehlikesi
Modern hackerler sıfır gün açıklarına bağlı kalmıyor, aksine olağanüstü bir yetenek sergiliyorlar. "Normal görünümlü" Zoom toplantıları tasarlıyorlar ve hatanızı bekliyorlar.
Alışkanlık haline getirdiğin sürece: cihazları izole etmek, resmi kaynaklar kullanmak, çok katmanlı doğrulama yapmak, bu yöntemler artık işlevsel olmayacak. Her bir blok zinciri kullanıcısının sosyal mühendislik tuzaklarından uzak durmasını, hazinelerini ve kimliklerini korumasını dilerim.