Cüzdan sağlayıcısı MyCrypto’nun güvenlik direktörü Harry Denley, Google Play’de yayınlanan ve birçok defa indirilen sahte bir kripto para cüzdan uygulaması hakkında yazdı.
Hacker’ların kripto para kullanıcılarından nasıl para çaldıklarını detaylarıyla anlatan Denley, aynı zamanda bir kullanıcıya ait parayı nasıl kurtardığından da bahsetti.
Söz konusu uygulama, popüler kripto para cüzdanı Trust Wallet’ın sahte versiyonuydu ve arkasındakiler de Türk’tü!
Bir kullanıcı, Twitter’a Trust Wallet’ının hack’lendiğini yazmıştı. 28 Haziran’da bu kullanıcı, 10 bin dolarlık parasının çalındığını belirterek yardım istedi. Tweet’i yanıtlayan ve çalınan parayı daha öncesinden tespit etmiş olan Denley, kendisine DM göndermesini istedi ve parasının yaklaşık 5 bin dolarlık kısmını kurtardığını iletti. Peki bu nasıl oldu?
My @TrustWalletApp just got hacked.. they got it all $10,000? I think I’m done
— HARV 外人 (@punk_cipher) June 27, 2020
Sahte uygulama, resmi Google Play mağazasında yer alıyordu. 5 üzerinden 3.5 puanla iyi bir derecesi, çok sayıda yorumu ve indirmesi vardı. Tüm bunlar değerlendirildiğinde gerçeğe çok benziyordu.
Uygulama indirildiğinde trustapp.ltd şeklindeki bir domain’e yönlendirme yapılıyordu. Trust Wallet’ın sitesine benzetilen bu alanda kullanıcının 12 kelimelik kurtarma kelimelerini girmesi isteniyordu. Kelimeler girilip “Restore Wallet” butonuna tıklandığında veriler, “process_login.php” adındaki bir sunucu taraflı koda gönderiliyor, kullanıcı ise bir hata mesajı görüyordu.
Bilgisayar korsanları, girilen kurtarma kelimelerini Telegram bot API’si aracılığıyla Telegram’da bulunan özel bir chat’e aktarıyordu. Alan adını incelerken bir açık fark eden Denley, bu açıktan yararlanarak kısa sürede çok sayıda istek gönderip hacker’ların botlarında Telegram HTTP 429 hatası oluşmasını sağladığını belirtti. Bu sayede onların Telegram Bot API anahtarlarını ele geçiren güvenlik uzmanı, böylece hem mağdurlardan çalınan kripto paralara ve Telegram’daki özel yazışmalara ulaşma şansı elde etti.
Türkçe mesajlar
Kimlik avı dolandırıcılığının arkasındaki kişinin “George” nick’ini kullandığı belirlendi. Ayrıca Telegram kullanıcı ID’sine de ulaşıldı. İlginç olan sohbette Türkçe konuşuluyordu ve bu kullanıcının bazı mesajları şu şekildeydi:
“Cüzdanın birinden 4 bin dolar vurdum harcamalar için. Onu buna çektim.”
“900 dolar ETH var Trust’tan.”
“Trust’tan geldi 5 bin dolar + olarak token’lar var.”
“Vurduk ama adam son anda ayıktı. ETH’leri çekemedik.”
Bir süre sonra Denley’i fark eden hacker’lar, Telegram botunu sildiler. Güvenlik uzmanı, büyük olasılıkla başka bir Telegram botu oluşturduklarını düşünüyor.
Daha Fazlasını Okuyun
