Yandex.Mail hizmet hesabına bağlanan bir telefonun, oluşturduğum çevrimiçi yayının alan adının ele geçirilmesine nasıl yardımcı olduğunu anlatan bir gönderi."
Her şey bugün, 25 Eylül 2019'da başladı. Saat 15:50'de ben (etki alanı yöneticisi) telefonuma MTS'den bir mesaj aldım: Birisi SIM kartımın değiştirilmesini başlattı:
Yani birisi SIM kartımı yeniden yayınladı. Bunu nasıl başardığımız, MTS'ye yönelttiğimiz büyük bir sorudur.
Doğal olarak ilk işim dolandırıcılardan SMS alıp almadığımı kontrol etmek oldu. SMS'te belirtilen numarayı kontrol ettikten sonra numaranın doğru olduğunu fark ettim, bu da sorunun ciddi olduğu anlamına geliyor. Bir dakika içinde MTS TP ile iletişime geçmeye başladım. Sonucu operatörle iletişim olan MTS telefon menüsünü tamamlama görevleri ayrı bir hikayeyi hak ediyor. Kısaca anlatayım, “kişi” ile canlı iletişime başlamam yaklaşık 7 dakikamı aldı.
Ne yazık ki iletişim uzun sürmedi, 20 saniye sonra görüşme kesildi. Büyük olasılıkla, dolandırıcı SIM kartı etkinleştirdiği anda, artık numaramdan arama yapamadığım için SIM kartım devre dışı kaldı. Başka bir numaradan MTS destek hizmetine ulaşmayı başardık, bunun sonucunda numara (postaya bağlı) engellendi.
Ama artık çok geçti. Saldırgan, alan adı kayıt kuruluşunun kişisel hesabının kayıtlı olduğu Yandex'deki bir e-postaya erişim sağladı.
Bu arada, postaya iki faktörlü kimlik doğrulama bağlandı, ancak alan adının bu "ele geçirilmesi" tam olarak telefon numarasının bağlanması nedeniyle gerçekleşti. Telefon numaram e-posta adresime bağlı olmasaydı dolandırıcı şifremi sıfırlayamazdı.
Dolandırıcı, kayıt şirketinin kişisel hesabına (reg.ru) anında erişmeyi başardı ve alan adını başka bir hesaba aktardı. Alan adı uluslararası .NET bölgesinde olduğundan alan adını bir hesaptan diğerine aktarmak zor olmadı.
Şu anda yayınımızın web sitesi çalışıyor ve bugün ilgili web sitesini bile başlatmayı başardık.
Yandex, Reg.Ru'ya yazdığım tüm mektupların MTS ve Polise başvurduğuna (bugün başvuru yapacak zamanım olmadı ama yarın kesinlikle yapacağım), tüm bunların sonuç vereceğine inanmak isterim.
Hiçbir zaman politikaya karışmadık ya da özel materyaller yazmadık. Ancak sitemize de benzer bir kader düştü.
En iyisinin olması umuduyla, çevrimiçi yayın Banks Today'in ortak sahibi.
GÜNCELLEME 26 Eylül 15-00.
Uzun bir formu doldurduktan sonra Yandex postasına erişim zaten geri yüklendi. Polise bir beyanda bulunuldu. Taramalar TP Reg.Ru'ya gönderildi
GÜNCELLEME 26 Eylül 17-00.
Büyük bir mucize gerçekleşti! Reg.Ru DNS'imi geri verdi (etki alanı henüz iade edilmedi). Ve çok yakında kullanıcılarım siteme ulaşacak. Görünüşe göre dolandırıcı, işlemler devam ederken benim etki alanımın kendisininkiyle birleştirileceğine güveniyordu (onun etki alanını burada vurgulamayacağım, sanırım kendiniz kolayca tanıyabilirsiniz). Tüm sayfalarımdan zaten kendi alanında bulunan sayfalara 301 yönlendirmesi kurdu.
Gerçek DNS'miz bugün sabah saat 3 civarında değişti. Ve zaten sabah 9'dan itibaren okuyucularımızın yarısından fazlası dolandırıcıların alanına yönlendirilmeye başladı. Katılım dinamikleri:
GÜNCELLEME 28 Eylül 19-00.
Şu anda bazı olumlu değişiklikler var. Henüz bunlardan detaylı olarak bahsetmeyeceğim ama pazartesi günü işe başlayacağımızı düşünüyorum. Her şey bittiğinde, tüm aşamaları içeren ayrıntılı bir gönderi hazırlayacağımdan emin olabilirsiniz! Tavsiye ve destek için teşekkürler!
Kaynak: habr.com