Hayatımız giderek dijitalleşiyor ve bu dijitalleşme, beraberinde bazı yeniliklere de kapı aralıyor. Örneğin son birkaç yıldır popüler hale gelen kripto paralar, önemli bir yatırım aracı haline geldi. Bitcoin’in bir zamanlar 20.000 dolar seviyelerine kadar yükselişi, bir yandan daha çok yatırımcının diğer yandan da bilgisayar korsanlarının iştahını kabarttı.
Bugüne kadar sizlerle, onlarca kripto para dolandırıcılığını paylaştık. Hatta bunlardan sonuncusu da Twitter‘da yaşanan olaydı. Şimdiyse yeni bir kripto para hırsızlığı ortaya çıktı. Buraya kadar her şey olağan gibi görülse de bu seferki kripto para hırsızlığının altından Türk bilgisayar korsanları çıktı. MyCrypto isimli kripto para cüzdan sağlayıcı şirketin Güvenlik Direktörü Harry Denley, yaşanan olayları gün yüzüne çıkaran isim oldu.
Harry Denley, kaleme aldığı bir blog gönderisinde Türk bilgisayar korsanlarının nasıl kripto para çaldıklarını detaylarıyla anlattı. Bilgisayar korsanlarının Google Play Store‘a sahte bir kripto para cüzdan uygulaması yüklediklerini açıklayan Denley, bilgisayar korsanlarının bu sahte uygulama aracılığıyla hırsızlık yaptığını açıkladı. Peki bu kripto para sahte cüzdan uygulaması neydi?
Pek çok kripto para yatırımcısının tercih ettiği popüler bir cüzdan uygulaması var. “Trust Wallet” olarak isimlendirilen bu uygulamayı kopyalayan bilgisayar korsanları, orijinaliyle neredeyse aynı olan sahte bir uygulama geliştirdiler. Kullanıcıları bu sayede tuzaklarına düşüren bilgisayar korsanları, sahte cüzdana yatırılan kripto paraları kendi hesaplarına aktarıyorlardı. Denley, sürecin nasıl işlediğini tüm detayları ile anlattı.
Denley, her şeyin Twitter‘da yapılan bir paylaşımla başladığını ifade ediyor. Bir kullanıcının 28 Haziran’da yaptığı paylaşımı gösteren Denley, kullanıcıyla iletişime geçtikten sonra kendisine yardımcı olduğunu ifade ediyor. O paylaşımdaysa Trust Wallet’ın hacklendiği ve 10 bin dolarlık yatırımın çalındığı ifade ediliyordu. Denley, yaptığı çalışmalarla 5.000 dolarlık kripto para yatırımını kurtarmayı başarmış.
Bilgisayar korsanlarının Google Play’deki uygulamasına erişen Denley, uygulama indirildikten sonra “trustapp.ltd” olarak belirlenmiş bir alan adına yönlendirme yapıldığını görmüş. Bu yönlendirme sonucunda da kullanıcılardan 12 kelimelik bir kurtarma kodu oluşturması istendiğini ifade eden Denley, “Restore Wallet” butonuna tıklandıktan sonra kurtarma kodlarının “process_login.php” isimli bir sunucuya gönderildiğini, bu sırada da kullanıcılara hata mesajları gösterildiğini keşfetmiş.
Bilgisayar korsanları, kullanıcıları bu şekilde ağlarına düşürürken Telegram aracılığıyla da iletişim halindelermiş. Hatta kullanıcılardan alınan kurtarma kodları da bir Telegram botu API’si aracılığıyla bir Telegram grubuna aktarılıyormuş. İşte bu noktada bir açığı fark eden Denley, çok sayıda istek göndererek bilgisayar korsanlarının “Telegram HTTP 429” hatası ile karşılaşmalarını sağlamış. Bu hatayı kullanan Denley hem Telegram’daki sohbet detaylarına hem de çalınan kripto paralara erişmeyi başarmış.
Buraya kadar bu bilgisayar korsanlarının Türk olduklarına dair hiçbir detayın bulunmadığını düşünebilirsiniz. Zaten bilgisayar korsanlarının Türk oldukları da Denley’in Telegram sohbetlerine erişmesi ile gün yüzüne çıkıyor. Öyle ki kripto para hırsızlığı yapan bilgisayar korsanları, oluşturdukları kanalda Türkçe konuşuyorlar. Denley, grup içerisinde yer alan bazı mesajları da ifşa etti. Bilgisayar korsanları, işte şu cümleleri kurmuşlar;
“Cüzdanın birinden 4 bin dolar vurdum harcamalar için. Onu buna çektim.”
“900 dolar ETH var Trust’tan.”
“Trust’tan geldi 5 bin dolar artı olarak tokenler var.”
“Vurduk ama adam son anda ayıktı. ETH’leri çekemedik.”
Bilgisayar korsanları, ilk etapta herhangi bir şey anlamamışlar ancak daha sonradan Denley’in de aralarında olduğunu fark etmişler. Bunun üzerine harekete geçen bilgisayarları, Telegram botunu kaldırarak Denley’den kurtulmuşlar. Denley, bilgisayar korsanlarının yeni bir Telegram botu oluşturarak hırsızlık yapmaya devam ettiklerini düşünüyor.