iPhone’unuz Çalınıyor. Asıl Hack Sonra Başlıyor

Her yıl milyonlarca telefon çalınıyor. Binlerce iPhone Çin’e gönderilip parçalarına ayrılırken, suçlular kilidi açılmış ve silinmiş bir cihazı satarak daha fazla para kazanabiliyor. Şimdi araştırmacılar, çalıntı iPhone’lara erişim sağlamaya yardımcı olan siber suç servislerinden oluşan yeraltı ağının bir bölümünü çözdü.

Siber güvenlik şirketi Infoblox araştırmacılarının bulgularına göre, web genelinde ve Telegram’da, çalıntı iPhone pazarını besleyen ‘canlı’ bir yazılım satıcıları ekosistemi bulunuyor. Bu satıcılar, telefonlara erişim sağlamaya yardımcı olmak için ‘kilit açma’ araçları ve kimlik avı mesajları üretmeye yarayan teknolojiler sunuyor. Şirket, çoğu iPhone’lara odaklanan ‘onlarca’ grubun kilit açma araçları sattığını takip ettiğini ve bu faaliyetle bağlantılı 10 binden fazla kimlik avı sitesini tespit ettiğini söylüyor. Araştırmacılara göre bu alan adlarına gelen trafik geçen yıl yüzde 350 arttı.

Infoblox’ta kıdemli tehdit araştırmacısı olarak çalışan Maël Le Touz, “Amaçları yüzde yüz yeniden satış,” diyor. Le Touz’ya göre dünyanın dört bir yanından insanlar, kullanım başına ödeme yapılan bu yazılımlara erişim satın alıyor gibi görünüyor. Ortalama maliyet 10 doların altında. Le Touz, “Telefonların kilidini açmak isteyen insanların çoğunun elinde binlerce telefon olmadığı çok açık; o ölçekte değiller,” diyor.

Son birkaç yılda çalınan telefon sayısı arttı. Örneğin Londra’da bir yılda yaklaşık 80 bin cihaz çalındı. Apple ve Google, çalıntı cihazlara yönelik korumalarını geliştirmiş olsa da farklı seviyelerde beceriye sahip hırsızlar çalıntı telefonlardan hala para kazanabiliyor. Bir telefonun kilidi açıksa ya da hırsız parolasına sahipse, çevrimiçi banka hesaplarından veya kripto cüzdanlarından para çalması mümkün olabiliyor. Sokakta ya da barlarda telefon kapıp kaçanlar ise bu cihazları satarak yüzlerce dolar kazanabiliyor.

Londra Metropolitan Polisi’nde ekonomik suçlar ve siber suçlar biriminin başında bulunan Will Lyne, “Telefon hırsızları yalnızca cihazın peşinde değil; banka hesaplarına ve kişisel bilgilere erişmek istiyorlar,” diyor. Lyne, 5 binden fazla çalıntı telefonu elinde bulundururken yakalanan ve bu cihazlardaki finansal hesaplardan para harcayan dört erkeğin karıştığı bir vakaya dikkat çekiyor.

Güvenlik şirketi Trail of Bits’in CEO’su ve kurucu ortağı, aynı zamanda mobil güvenlik şirketi iVerify’ın stratejik danışmanı olan Dan Guido’ya göre, çalıntı bir telefon kilitliyken yalnızca 50 ila 200 dolar arasında bir değere sahip olabilir. “Ama kilidini açarsanız değeri 500 dolar olur, hatta 1000 dolara çıkar.” Bu fark, insanları cihazlara erişmenin yollarını geliştirmeye teşvik edebiliyor. Guido, “Bütün bu yapı bir ekosistem ve tedarik zincirinin farklı seviyelerinde yer alan, telefonların kilidini açmak için birlikte çalışan birden fazla aktör var,” diyor.

Infoblox’taki güvenlik araştırmacıları, çalıntı telefonların kilidini açma ekonomisini bu yılın başlarında incelemeye başladı. Süreç, Asya’da kolluk kuvvetleriyle bağlantılı bir kişinin kendilerine mesaj atarak iPhone’unun çalındığını ve kilitli cihaza alternatif iletişim bilgileri ekledikten sonra bir kimlik avı mesajı aldığını söylemesiyle başladı. Kimlik avı sayfasındaki bağlantı, Apple’ın Find My sayfasını taklit ediyor ve telefonun konumunu gösteriyormuş gibi sahte bir harita sunuyordu. Ardından telefonun PIN kodunu isteyen bir açılır pencere gösteriliyordu.

İnternette çok sayıda kişi ve İsviçre Ulusal Siber Güvenlik Merkezi, iPhone’larını kaybettikten ya da çaldırdıktan sonra kimlik avı mesajları aldıklarını bildirdi. Saldırganların amacı, Apple iCloud hesaplarına erişmek ve bu hesapları telefonlardan kaldırmak. İsviçreli kurum kasım ayında, “Mesajları ikna edici göstermek için kayıp cihazın modeli, rengi ve depolama kapasitesi gibi doğru ayrıntılara yer veriyorlar; dolandırıcılar bu bilgileri doğrudan telefonun kendisinden okuyabiliyor,” diye yazdı. Kurum ayrıca, “Bu kilidi aşmanın bilinen bir yolu olmadığı için, suçlular açısından tek gerçekçi seçenek sahibini sosyal mühendislikle kandırmak,” ifadelerini kullandı.

Le Touz, Infoblox araştırmacılarının kendilerine ulaşan kimlik avı alan adı için DNS parmak izleri oluşturduğunu ve bununla bağlantılı diğer Apple benzeri siteleri takip ettiğini söylüyor. Bu sitelerin bazıları yönetici giriş sayfalarını açıkta bırakmıştı ve aynı zamanda telefon kilidi açmaya yönelik araçların reklamını yapıyordu. Araştırmacılar nihayetinde Telegram’da bu “kilit açma” servislerini öne çıkaran birden fazla grup tespit etti.

Infoblox’tan Le Touz ve Elena Puga araştırmalarında, bu servislerin farklı araçlar sattığını ancak üç ortak özelliğin öne çıktığını yazıyor: Eski iPhone’ları ya da Android cihazları jailbreak ettiğini ve telefonlardan sahip bilgilerini çektiğini iddia eden kilit açma araçları; hesaplara erişmek için kullanılabilen ve ‘Find My iPhone Off’ diye anılan kimlik avı kitleri; kimlik avı operasyonlarını yürütmek için kullanılan komut dosyaları ve yapay zeka destekli sesli arama yazılımları.

Le Touz, “Her şeyden önce ihtiyacınız olan şey, telefona fiziksel erişim,” diyor. Jailbreak yöntemleri işe yaramazsa, bazı sistemler kimlik avı saldırıları başlatmak ve kilit açma bilgilerini toplamak için kullanılabiliyor. Araştırmacılar raporlarında, “Analiz ettiğimiz tüm araçlar, erişim sağlanır sağlanmaz cihazı varsayılan olarak siliyor,” diye yazıyor.

Araştırmacıların elde ettiği bir video, iRealm adlı bir yazılımın Apple servislerini taklit eden kimlik avı bağlantıları ve sayfaları ürettiğini gösteriyor. iRealm ile bağlantılı diğer paylaşımlarda ‘Find My iPhone geçersiz kılındı’ gibi özelliklerden söz ediliyor, Apple Pay’den bahseden ‘komut dosyaları’nın reklamı yapılıyor ve yazılımın ‘Apple cihazlarına erişmek ve kilitlerini açmak’ için ‘sorunsuz bir deneyim’ sağlayabileceği söyleniyor.

Başka bir kilit açma servisinin grubunda bir kişi, “Merhaba, sahibine kilitli bir düzine iPhone’um var,” diye yazdıktan sonra bu cihazlarda Find My özelliğini kapatmanın mümkün olup olmadığını sordu. Bir başka grupta ise biri, kullandığı kilit açma aracının denediği ilk telefonda çalıştığını ama ikinci telefonda çalışmadığını söyledi. Diğer Telegram gruplarında üyeler, iPhone’ların açıldığına ya da internete bağlandığına dair kimlik avı kısa mesajlarının ekran görüntülerini paylaşıyor.

Bu servisler çalıntı cihazlar için kullanıldıklarını açıkça söylemese de uzmanlara göre bazı servislerin içine kimlik avı araçlarının dahil edilmesi, bunların muhtemelen meşru amaçlar için tasarlanmadığını gösteriyor. Trail of Bits’ten Guido, kendi iPhone’u bir barda çalındıktan sonra kimlik avı saldırısına hedef olan bir arkadaşından söz ederek, “Kendi telefonunuzun kilidini Apple ID’nizi meşru biçimde kullanarak açmanın birçok yolu var,” diyor. “Apple, gerçekten kendi cihazlarına erişemeyen insanlar için doğru yolu sunmuş durumda; ama bu araçların bunu meşru biçimde yapmaya çalışan biri için hiçbir anlamı yok.”

WIRED, telefon kilidi açma kanallarıyla ilgili Telegram’la iletişime geçtikten sonra şirket bu servislerle bağlantılı görünen yaklaşık yarım düzine grubu kaldırmış gibi göründü. Telegram sözcüsü, “Kimlik avı ve bunu mümkün kılan araçların tanıtımı, mesajlaşma uygulamalarından e-postaya, telefon aramalarına kadar her iletişim yöntemi üzerinden gerçekleşebilir ve gerçekleşiyor,” diyor. Sözcü kaldırma işlemlerine doğrudan değinmedi ancak platformun ‘sektör lideri moderasyona’ sahip olduğunu söyledi.

Apple, yayın saatine kadar WIRED’ın yorum talebine yanıt vermedi. Şirket son yıllarda cihaz güvenliğini geliştirmeye devam etti; çoğu jailbreak yöntemini işlevsiz hale getirdi ve yeni iPhone’ları saldırılara karşı daha dayanıklı kıldı. Apple ayrıca, hırsızların telefonlarda değişiklik yapmasını zorlaştıran Çalıntı Aygıt Koruması özelliğini de kullanıma sundu; ancak bu ayar varsayılan olarak açık olmayabilir.

Londra Metropolitan Polisi’nden Lyne’ın tavsiyesi ise şöyle: “Dahili hırsızlık karşıtı özellikleri etkinleştirmek, yazılımı güncel tutmak ve güçlü parolalar kullanmak gibi basit adımların yanında; telefonları kamusal alanlarda kullanırken çevrenin farkında olmak, bir telefon çalındığında oluşabilecek zararı önemli ölçüde azaltabilir.”