SIM kart takas saldırısı nedir? Şifrelenmiş bir Twitter hesabı neden çalınsın?

Orijinal: Cointelegraph

Derleme: Wu blockchain dedi

21 Temmuz'da Uniswap'in kurucusu Hayden Adams'ın Twitter hesabı hacklendi ve kimlik avı bağlantısı içeren bir tweet yayınlandı. Saldırının bir tür SIM kart hırsızlığı olabileceği, yani saldırganın kurbanın telefon numarasını ele geçirerek banka hesaplarına, kredi kartlarına veya hesaplarına erişmesine olanak sağladığı aktarılıyor.

23 Temmuz'da Coinlist'in hesabı da saldırıya uğradı ve bir kimlik avı bağlantısı yayınlandı. LayerZero'nun Twitter hesabı 5 Temmuz'da çalındı, DEX ticaret toplama platformu Slingshot'ın resmi Twitter hesabı Haziran'da çalındı ve BitBoy kurucusu Ben Armstrong'un Twitter hesabı çalındı vb. Neden çok sayıda şifrelenmiş hesap çalınıyor? Kullanıcılar bunu nasıl önlemelidir?

Cointelegraph'ın makalesinin tam çevirisi ve orijinal metnin bağlantısı aşağıdadır:

SIM değiştirme saldırıları genellikle düşük teknolojili beceriler olarak görüldüğünden, kullanıcıların kimliklerinin güvenliği konusunda dikkatli olmaları gerekir. Siber güvenlik altyapısındaki gelişmelere rağmen çevrimiçi kimlikler, kullanıcıların telefon numaralarının hacklenmesiyle ilişkili riskler de dahil olmak üzere hâlâ birçok riskle karşı karşıyadır.

Temmuz ayı başlarında LayerZero CEO'su Bryan Pellegrino, bilgisayar korsanlarının Twitter hesabını kısa süreliğine ele geçirdiği en son SIM değiştirme saldırısının kurbanlarından biri oldu. Pellegrino, Twitter hesabını geri aldıktan kısa bir süre sonra şunları yazdı: "Sanırım birisi kimliğimi çöpten çıkardı ve ben Çarpışma Değişimi kimliğinden uzaktayken bir şekilde ajansı SIM kart olarak kullanması için kandırdı." Pellegrino, Cointelegraph'a şunları söyledi: "Bu sadece bir olaydı." 'Bryan Pellegrino - konuşmacı' için normal bir kağıt konferans rozeti."

Pellegrino ile yaşanan bu karşılaşma, kullanıcıların SIM kart takas saldırısı gerçekleştirmenin başka birinin kimlik bilgilerini almak kadar kolay olduğunu düşünmelerine neden olabilir. Cointelegraph, durumun böyle olup olmadığını öğrenmek için bazı kripto para birimi güvenlik firmalarıyla iletişime geçti.

SIM değiştirme saldırısı nedir

SIM takas saldırısı, bir saldırganın kurbanın telefon numarasını ele geçirerek ona banka, kredi kartı veya kripto para birimi hesaplarına erişim sağladığı bir kimlik hırsızlığı biçimidir.

2021'de FBI, 68 milyon doların üzerinde zarara yol açan 1.600'den fazla SIM takas şikayeti aldı. CertiK'in güvenlik operasyonları başkanı Hugh Brooks, Cointelegraph'a yaptığı açıklamada, bu durumun, önceki üç yılda alınan şikayetlerle karşılaştırıldığında şikayetlerde %400'lük bir artışı temsil ettiğini ve SIM değiştirme saldırılarının "kesinlikle arttığını" gösterdiğini söyledi. Brooks, "SMS tabanlı iki adımlı doğrulamaya güvenmekten uzaklaşmazsak ve telekom sağlayıcıları güvenlik standartlarını iyileştirmezlerse, saldırı sayısının artmaya devam ettiğini görmemiz muhtemeldir" dedi.

SlowMist Security'nin bilgi güvenliği sorumlusu 23pds'e göre, SIM değiştirme saldırıları şu anda pek yaygın değil, ancak yakın gelecekte önemli bir büyüme potansiyeli var. "Web3'ün popülaritesi arttıkça, sektöre daha fazla insan çekildiğinde, nispeten düşük teknik gereksinimleri nedeniyle SIM değiştirme saldırılarının potansiyeli de artacaktır" dedi.

23pds, son birkaç yılda kripto para birimlerini içeren bazı SIM takas saldırılarından bahsetti. Ekim 2021'de Coinbase, bilgisayar korsanlarının iki adımlı doğrulama (2FA) güvenlik açığı nedeniyle en az 6.000 müşteriden kripto para birimleri çaldığını resmi olarak açıkladı. Daha önce İngiliz hacker Joseph O'Connor, 2019 yılında birden fazla SIM kart değiştirme saldırısı yoluyla yaklaşık 800.000 dolarlık kripto para birimi çalmakla suçlanmıştı.

SIM değiştirme saldırısı gerçekleştirmek ne kadar zor

CertiK yöneticilerine göre, SIM değiştirme saldırıları genellikle kamuya açık bilgiler veya sosyal mühendislik teknikleri yoluyla elde edilen bilgiler kullanılarak gerçekleştirilebiliyor. CertiK'ten Brooks, "Genel olarak, SIM değişimi, saldırganlar için akıllı sözleşme istismarları veya takas hack'leri gibi teknik açıdan daha zorlu saldırılara göre daha düşük bir giriş engeli olarak görülebilir" dedi.

SlowMist'in 23pds'i, SIM değiştirmenin gelişmiş teknik beceriler gerektirmediği konusunda hemfikir. Ayrıca bu tür SIM değişiminin Web2 dünyasında "yaygın" olduğunu, dolayısıyla Web3 ortamında bunun "şaşırtıcı olmadığını" da belirtti. "Söz konusu operatörleri veya müşteri hizmetleri personelini kandırmak için sosyal mühendislik teknikleriyle uygulanması genellikle daha kolaydır" dedi.

SIM Değiştirme Saldırıları Nasıl Önlenir

SIM değiştirme saldırıları genellikle bilgisayar korsanının çok fazla teknik beceri gerektirmediğinden, kullanıcıların bu tür saldırıları önlemek için kimliklerinin güvenliği konusunda dikkatli olmaları gerekir.

SIM değiştirme saldırılarına karşı temel koruma, SIM tabanlı ikinci faktörlü kimlik doğrulama yöntemlerinin kullanımını sınırlamaktır. Hacken'den Budorin, SMS gibi yöntemlere güvenmek yerine Google Authenticator veya Authy gibi bir uygulamayı kullanmanın daha iyi olduğuna dikkat çekiyor.

SlowMist'in 23pds'sinde ayrıca çok faktörlü kimlik doğrulama ve ek şifreler gibi gelişmiş hesap doğrulama gibi daha fazla stratejiden bahsediliyor. Ayrıca kullanıcılara SIM kart veya cep telefonu hesabı için güçlü bir şifre veya PIN kodu belirlemelerini de şiddetle tavsiye ediyor.

SIM değişimini önlemenin bir başka yolu da isim, adres, telefon numarası ve doğum tarihi gibi kişisel verilerin korunmasıdır. SlowMist'ten 23pds ayrıca herhangi bir olağandışı etkinlik açısından çevrimiçi hesapların incelenmesini öneriyor.

CertiK'ten Brooks, platformların güvenli ikincil doğrulama uygulamalarını teşvik etme sorumluluğunu da alması gerektiğini vurguladı. Örneğin şirketler, hesap bilgilerinde değişiklik yapılmasına izin vermeden önce ek doğrulama gerektirebilir ve kullanıcıları SIM değiştirmenin riskleri konusunda eğitebilir.

View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Reward
  • Comment
  • Share
Comment
0/400
No comments
Trade Crypto Anywhere Anytime
qrCode
Scan to download Gate app
Community
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)