Bir phishing e-postası bazen sadece bir e-posta değildir. Bazen, arkasında küçücük görünen ama aslında katman katman örülmüş bir dolandırıcılık ağı vardır. Paolo Costanzo’nun anlattığı hikâye de tam böyle bir şey: Paskalya günü gelen sıradan bir mesajın peşine düşüyor, sonra işin ucu Telegram’daki Rusça rehberlere, kripto cüzdan boşaltan panellere (eh, fena değil). “geri alacağız” vaadiyle ikinci kez avlanan mağdurlara kadar gidiyor.
Bi saniye — Açık konuşayım, bu tür dosyalarla uğraşırken insanın aklına ilk gelen şey teknik detay olmuyor. İlk gelen şey şu oluyor: “Bu düzenek kaç kişiyi daha vurdu?” Çünkü mesele yalnızca kötü niyetli birkaç script değil; planlı, tekrar eden ve bayağı profesyonel çalışan bir yapı var ortada (buna dikkat edin). Hani amatörce atılmış oltalardan söz etmiyoruz. Bu işte endüstri gibi çalışan bir suç ekosistemi var.
Ben de geçen yıl, 2024’ün Kasım ayında İstanbul’da küçük bir güvenlik topluluğu buluşmasında benzer bir oltalama kampanyasını inceleme fırsatı bulmuştum. O zaman fark etmiştim ki saldırganlar artık sadece link saklamıyor; psikolojiyi paketleyip servis ediyorlar. İşin aslı şu ki kullanıcıyı kandırmak için teknoloji kadar zamanlama da kullanılıyor. Bayram, tatil, fatura dönemi… yani kafanın başka yerde olduğu anlar.
Hmm, bunu nasıl anlatsamdı…
Asıl Karanlık Nokta: İkinci Kez Soyulan İnsanlar
Hikâyenin en can sıkıcı kısmı teknik olarak en süslü bölüm değil, duygusal olarak en kirli bölümü. Suçlular burada özellikle zaten parasını kaybetmiş insanları hedef alıyor. Önce yatırım dolandırıcılığıyla ya da sahte kripto fırsatlarıyla kurbanın cebini boşaltıyorlar… sonra da “paranı geri getireceğiz” diye yeniden sahneye çıkıyorlar (ciddiyim)
Bu yöntem bana 2023 yazında Londra merkezli küçük bir fintech firmasına yaptığım danışmanlığı hatırlattı. Orada da müşteri destek hattına düşen şikâyetlerin büyük kısmı ilk dolandırıcılıktan değil, ikinci turdan geliyordu. İnsanlar utandıkları için ilk kaybı saklıyor… sonra kurtarma vaadi görünce refleksle atlıyor. Maalesef çok tanıdık bir tablo (ki bu çoğu kişinin gözünden kaçıyor)
Ve işler burada ilginçleşiyor. Tamir Edilmesi En Zor Dizüstüler: Apple Neden Dipte? yazımızda bu konuya da değinmiştik. Netflix’in Türkiye’deki Yeni Oyuncu Çağrısı: Şans, Set ve Basketbol yazımızda bu konuya da değinmiştik.
Buradaki manipülasyonun gücü tam da bu noktada yatıyor: umut satıyorlar. Para iadesi umudu, mahkeme korkusu, hesap dondurma tehdidi (ciddiyim). hepsi aynı sepette. Ve evet, çikolata yumurtası hâlâ ambalajındaysa sebebi biraz da bu; herkes paketin üstüne bakarken içindeki zehri kaçırabiliyor. Bu konuyla ilgili Honda’nın Çin Şoku: Bir CEO’nun İtirafı Ne Anlama Geliyor? yazımıza da göz atmanızı tavsiye ederim. Türkiye’nin BYD Dosyası: Ceza, Fabrika ve Piyasa Gerilimi yazımızda da bu konuya değinmiştik. Discord Botu ile Rakip Paylaşımlarını Anında Yakala yazımızda da bu konuya değinmiştik.
Tegmen Gibi Değil, Fabrika Gibi Çalışan Bir Dolandırıcılık
Araya gireyim: Dosyada anlatılan yapıyı ilginç yapan şeylerden biri ölçeği. Tek tek hazırlanmış rastgele oltalar yok; neredeyse ürünleşmiş bir sistem var karşımızda. NcAffiliateDrainer adı verilen setler, yaklaşık 319 KB civarında JavaScript parçaları. Cüzdan izinlerini zorlayan akışlarla çalışıyorlar.
Doğrusu, Bunu günlük hayattan şöyle düşünün: Kapınızın önünde biri anahtar kopyalamaya çalışmıyor; apartmanın tamamına yedek anahtar dağıtan sahte bir yönetim ofisi kurulmuş gibi davranıyorlar. Landing page şablonları hazır, yardım masası hazır (evet (inanması güç) ama scammers için helpdesk bile var), iletişim dili hazır — valla güzel iş çıkarmışlar —. yani çorap söküğü gibi ilerleyen bir sistem.
Daha önce Ekim 2024’te Ankara’da yerel bir siber güvenlik etkinliğinde buna benzer kitleri incelemiştim ve beni en çok şaşırtan şey hız olmuştu. Bir şablon değişiyor… beş dakika sonra başka forumda yeni sürüm dönüyordu. Burada manuel suçtan ziyade yarı otomatik operasyon mantığı baskın.
| Bileşen | Ne işe yarıyor? | Neden önemli? |
|---|---|---|
| NcAffiliateDrainer | Cüzdan boşaltma akışını yönetiyor | Saldırıyı seri üretime çeviriyor |
| JS yükü | Kullanıcı etkileşimini ve imzayı tetikliyor | Cüzdan onayı almayı kolaylaştırıyor |
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
