A Love Story : Darknet and Credit Cards

Ilk olarak basında ve forumlarda gündeminde olan “ … Binlerce CC Bilgileri Çalındı..” başlıklı makaleler için önceki yıllarda bolca araştırmasını yaptığım, şuan gündemde olan bu konulara 2012'den bu yana edindiğim bilgilerimle kendi kalemimden ışık tutmak istiyorum.

Türkiye’de birçok Kredi Kartı bilgilerinin çalındığına yönelik haberler son zamanlarda yayınlanmaya başlandı. Özellikle bu durumun bu kadar dikkat çekmesinin nedeni kolay ulaşım kaynaklarından “ Joker Stash” e düşmüş olmasıdır. Bu konuyu birlikte inceleyecek olursak;

Dark Market’lerde özellikle Hansa ve Alphabay’ın kapatılmalarının öncesinde CC başlıkları ile birçok Global Kart satımları gerçekleşmekteydi. Ve satılan kart bilgilerinde genelde Yurtdışındaki Online alışverişlerde aktif olan; Adres ve Kredi Kartı belirli eşleşmeleri sonucu satın almanın gerçekleştiği alanlarda, Kredi Kartı bilgileri yanında birde Kişinin Vatandaşlık No’su ve Açık Adres bilgileri ile beraber satılıyordu.

Üstelik satıcılar kendinden o kadar emindi ki Escrow yani sattığı ürünün garantisini sağlamayı ve olası sorunda para iadesini dahi garanti ediyor; ancak herhangi bir Scam aktivitesi sezerse Sizlerle bir daha alışveriş yapmayacağını da dile getiriyorlardı.

RIP AlphaBay…

Özel Invite Alan Dark Marketlerden Agartha gibi platformlarda hergün binlerce kullanıcının CC(Credit Card) bilgileri satılmaktaydı.

Fakat burda temel sorun Türkiye’de neredeyse bankaların %80’e yakını 3D Secure kullanmakta ve bir o kadarının da 3D Secure kullanmayan Sitelerde yapılan işlemlere onay vermemesidir. Sadece özel MasterPass gibi Programlar aracılığıyla 3D Secure dışında alışveriş yapılmaktadır.

O nedenle hedef ve asıl konu aslında Kullanıcının, daha ödeme sürecinde veya kart bilgilerinizin tanımlı olduğu hesaba erişim anında Sizleri tanımlayacak olan Request belirteçleri; Cookie, Session, Token gibi ayrıcalık akseden ve kullanıcıları birbirinden ayıran mekanizmalarını ele geçirerek Sizleri mağdur etmesi ile en büyük sorun oluşmaktadır.

Bu bilgiler Neler?

2012 Yılından beri DarkNet’de yaptığım araştırmalarda birçok “ Dark and White Side “ olarak kendilerini niteleyen kişiler ile ilgili konuları konuşma imkanı buldum. Yaptığım araştırmalarda da birçok bilgi topladım. Şuan gündemde olan Satılan bilgileri birçok kişi merak edecektir ve ilgili platformlara erişim sağlayacaktır. Buda aslında birçok Güvenlik Problemini de beraberinde getirecek ve kısır bir döngü oluşturacaktır.

Ilgili araştırmayı yaptığım yıl bilgilerin illegal olarak paylaşıldığı belgede yer alan Şahsın Ülkesinin Resmi Kuruluşlarını, ilgili Şahsı ve Şahsın Bankasını bana ulaştığı an bilgilendirmesini sağlamış ve gerçekleştirdiğim ilgili adımların tamamen araştırma kapsamında olduğunu ve oluşturduğum test account bilgileriyle birlikte dokümanlar teslimini sağladım.

Satıcı ile temasa geçip satın alım yapıldığında Satıcı Size bir “Bitcoin to Cash” aklama kılavuzu ve Bilgileri içeren dosyanın yer aldığı linkin gönderimi sağlıyor.

Işlem aşamalarının örnek teşkil etmemesi açısından elde edilen dosyalara geçmek istiyorum.

Içerisinden çıkan ve arşivimde kalan bazı dosyalar;

Teknik Boyut ve Incelemesi

Saldırganlar Kredi kartı bilgilerinizi çalarken birçok metot kullanır. Ancak ele aldığımızda Kurum ve Kullanıcı kaynaklı olarak baz alırsak Kurumdan kaynaklanan nedenlerde en temel metot olan JavaScript’in aktif kullanıldığı Web Uygulamalarında XSS gibi Kimlik ve Oturum Mekanizmalarının istismarı ile yapılan sömürü aşamalarında gerçekleştirilir. Saldırı yüzeyi ne kadar geniş ve kapsamlı ise o kadar çok Saldırı Noktaları artacaktır. Bunun için en temel önlem Web Uygulama Penetrasyon Testleri sık sık kontrollerinin yapılması, Uygulamaların Update, Upgrade, EndofLife ve Release aşamlarının takip edilerek engellenmesidir.