Dikkat SIM kartınız kopyalanabilir!
Milyonlarca kullanıcısı olan, sosyal haber ve içerik paylaşım sitesi Reddit 14-18 haziran tarihleri arasında hacklendiğini duyurdu. [1]
Reddit'in açıklamasına göre bu hacklenme vakasında, şirketin 2007 yılına kadarki yedeklenmiş verilerine erişen saldırganlar, bu veriler arasında bulunan şifrelenmiş parolalara, gizli ve açık mesajlaşmalara, kullanıcı bilgilerine ve 2018 Ağustos ayına ait e-posta bültenlerine erişim elde ettiler.
Reddit'in raporu bu "hack" vakasının etkilerini yukarıdaki şekilde özetliyor.
İngilizce olan vaka inceleme metninde ilgi çeken bir ayrıntı var ki bugünkü yazımızın ana teması bu: Saldırganlar şirket verilerinin yedeklendiği sunuculara birkaç şirket çalışanına ait SMS'leri ele geçirerek eriştiler.
SMS'lerin ele geçirilmesi mi? Evet!
İkinci vakamız, 12 Temmuz tarihinde Los Angeles'da gerçekleşen bir vaka. 20 yaşındaki üniversite öğrencisi Joel Ortiz, SIM kart kopylama yoluyla 5 milyon dolar değerindeki kriptoparayı çalmak suçlamasıyla polis tarafından göz altına alındı.
SIM kartlar telefonlarımızın içine taktığımız, smart kart türevi, kendi işlemcisine sahip minik elektronik cihazlardır. Kullandığımız mobil telefonlar civardaki baz istasyonlarıyla iletişime geçtiğinde, servis sağlayıcıya ait kimliğimizi bu kartlar vasıtası ile tanıtıp; mobil cihazın, kartla eşleşen telefon numarası için çağrı ve veri gönderim/alımına yetkili olduğunu belirtirler.
Bu minik kartların kaybolması, kırılması ve bozulması durumlarında, ayrıca yedek SIM kart talebi ve son zamanlarda popüler olduğu üzere operatör değişikliklerinde bize ait olan mobil numaralar yeni bir SIM kart ile ilişkilendirilmektedir. Önceki SIM kart bu durumlarda devredışı kalmakta, tüm çağrı ve veri gönderim/alma işlemleri yeni SIM kart üzerinden gerçekleşmektedir.
Kullandığımız pek çok hizmet, parola atama ve hatırlatma operasyonlarında SMS mesajlarını kullanmakta; kritik işlemlerden önce kimlik ve izin doğrulaması için SMS onaylarına müracaat etmektedir. Keza online ve telefon bankacılığı işlemlerinde de artık standart haline gelen pratik, SMS yolu ile işlem sahibinin kimliğinin doğrulanmasıdır.
SIM kartınızın sizden habersiz kopyalanması durumunda, kimliğinizi doğrulayabileceğiniz tüm bu kanallardaki veri akışı, kötü niyetli kişilerin eline geçecektir.
Peki SIM kart kopyalama işlemi bu kadar kolay mı?
Üç operatörün müşteri hizmetlerinden aldığım bilgiye göre -ki benzer bilgiler web sayfalarında da mevcut- hat sahibi nüfus cüzdanı ile HERHANGİ bir bayiden SİM kart yedekleme, yeni SIM kart çıkartma, operatör değişikliği işlemleri yapabilmektedir.
Şüphesiz buradaki kilit nokta herhangi bir bayi üzerinden yapılabiliyor oluşu. Kaldı ki nüfus kağıdınız da başka birinin eline geçtiği takdirde büyük risk altındasınız demektir.
Türkiye'de hiçbir kurum ve kuruluşu zan altında bırakmak istemem ama yurtdışında vuku bulan ve basına yansıyan hikâyelerin ülkemizde alınacak tedbirler için yol gösterici olacağına inanıyorum. Bu sebeple birkaçına bu yazıda yer vermek istiyorum.
3 Ağustos'da Motherboard Vice sitesinde yayınlanan makale suçluların GSM operatörü çalışanlarını para karşılığı nasıl yasadışı kart kopyalamaya ikna ettiklerine dair ilginç ayrıntılar sunuyor.[2]
Birkaç örnek...
Yazıda Joseph Dixon ismiyle anılan T-Mobile çalışanı, geçen yıl sosyal medya profilinde çalıştığı şirketi etiketlemesinin ardından özel mesaj yoluyla kendisine SİM kart kopyalama teklif edildiğini ve her bir kopyalama işlemi için 100 dolar değerinde Bitcoin önerildiğini belirtiyor. Haftada en az 10 iş getireceğini taahhüt eden çetenin kendinden oldukça emin ve ısrarcı olduğunu da ekliyor.
Bu "cazip" teklife mukabil talep edilen operasyon çalışan açısından gayet basit: Dixon'a isim, soyisim ve saldırganların elinde bulunan SIM kartın numarası verilecek ve hedef kişinin mobil numarasının bu SIM kart ile ilişkilendirilmesi sağlanacak.
Haftalık 1.000 dolar Dixon'u kandırmaya yetmemiş... Ama ya bu teklife kanacak başka birileri varsa?
Yazıda saldırganların bazen ortak arkadaşlar vasıtası ile de bu teklifleri götürdüğü belirtiliyor.
Örneğin habere göre ismini açıklamak istemeyen bir Verizon çalışanı kendisine Reddit üzerinden böyle bir teklif geldiğini ve hapse girmek istemediği için teklifi reddetiğini belirtiyor.
Açıklamada bulunan GSM operatörü çalışanları, kurum içinde bu tarz hareketleri kısıtlayacak sistem kuralları ve kayıt mekanizmaları olmadığını belirtiyorlar. Dolayısıyla bunu yapıp yapmamak kişilerin vicdani ve ahlaki tercihlerine kalmış kritik bir karar! Üstelik başkaları için bir o kadar hayati sonuçları olabilecek bir karar!
Türkiye'de durum nasıldır bilmiyorum. Ancak zincirin en zayıf halkası insan bazen telefonla, bazen operatör bayilerinde yüzyüze, bazen de para ve maddi çıkar karşılığında ikna edilebilir.
Bu konuda şayet bir düzenleme, iç akış, kontrol ve kurallar manzumesi yoksa derhal harekete geçilmeli. Çalışanlar, özellikle de böyle kritik noktalarda çalışanlar en az yetki prensibiyle yetkilendirilmeli ve tüm eylemleri kayıt altına alınacak bir iş akışı uygulamaya konulmalıdır. Hepsinden de önemlisi, bu tarz kritik operasyonlarda konumlandırılan çalışanların bu tarz "baştan çıkarıcı" maddi tekliflere tevessül etmeyecek ekonomik şartlarda çalıştırılmaları gerektiğidir.
Peki bizim yani son kullanıcı açısından çözüm nedir?
Aslında bunun kesin bir çözümü yok. Telefonunuzda şüphelendiğiniz bir durum olursa örneğin telefonunuz şebekeye bağlı görünmesine rağmen çok uzun süre çağrı ve mesaj almıyorsanız, bir yerleri arayamıyorsanız başta müşterisi olduğunuz bankalar ve operatörünüz olmak üzere yetkilileri arayarak durumdan haberdar ediniz.
Ayrıca hiç değilse online servisler için çift aşamalı doğrulamayı (2FA) SMS üzerinden değil, Google Authenticator ya da Authy gibi neredeyse tüm servisleri destekleyen uygulamalar üzerinden yapabilirsiniz.
Bilmem anlatabildim mi.
[1] https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
[2] https://motherboard.vice.com/en_us/article/3ky5a5/criminals-recruit-telecom-employees-sim-swapping-port-out-scam