Re: [NetSec] 3D Secure aşılması
Ben listede bazı arkadaşların bahsettiği akıllı telefonlardaki uygulamalar üzerinden mesaja erişilmesinin yanında, bankanın 3d secure önleminin aşılmış olabileceği ihtimalini de düşünüyorum. Çünkü yakın zaman içerisinde büyük diyebileceğimiz bankalardan bir tanesinde EFT için büyük çapta para aktarımında yapılan sms doğrulamasının email ile başkasına bilgi verme bölümü üzerinden doğrulama kodunun aşılması ile karşılaşmıştım. Burada ismini vermesenizde karşılaştığınız bu sıkıntı hangi banka ile ilgiliydi özelden mesaj atarsanız en azından aynı banka olup olmadığı ile ilgili bilgi verebilirim. http://blog.emrullahakdemir.com/ IT Security Consultant http://twitter.com/Emrullah_A From: omerfa...@gmail.com Date: Mon, 15 Sep 2014 05:56:14 +0300 To: liste@netsectr.org Subject: [NetSec] 3D Secure aşılması Merhaba,Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ? -- Ömer Faruk Sarıkaya | @omerfsa Yazılım Geliştirici - otobilge.com
Re: [NetSec] 3D Secure aşılması
Bu konuda merak ettiğim bir nokta bu oluşan güvenlik açığı, android telefonlarda mı oldu yoksa ios’ larda mı? Yoksa ikisinde de açıklık mevcut mu? From: netsec-boun...@netsectr.org [mailto:netsec-boun...@netsectr.org] On Behalf Of Mustafa Yörükoğlu Sent: Monday, September 15, 2014 10:57 AM To: liste@netsectr.org Subject: Re: [NetSec] 3D Secure aşılması Merhaba, Akıllı telefonlarındaki SMS okuma yetkisi olan uygulama(lar) ile gerçekleşmiş olabilir. Kurbanların akıllı telefonlarındaki bu yetkiyi kullanan uygulamaların, ortak uygulamaların ve uygulama yayımcılarının incelenmesinde fayda var. İyi çalışmalar. 15 Eylül 2014 05:56 tarihinde Ömer F Sa omerfa...@gmail.com mailto:omerfa...@gmail.com yazdı: Merhaba, Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ? -- Ömer Faruk Sarıkaya | @omerfsa https://twitter.com/omerfsa Yazılım Geliştirici - http://www.otobilge.com otobilge.com
Re: [NetSec] 3D Secure aşılması
Mert Hocamızın dediğine katılıyorum, Akıllı telefon kullanıyorlar ise gelen SMS doğrulama kodunu dolandırıcıya yönlendiren bir zararlı yazılım cihazlarında yüklü olabilir, .. Applle için uygulama yazarken Apple uygulamaları kontrol ediyor, test ediyor, Apple için zayıf bir ihtimal, Zararlı bir android uygulaması olma olasılığı yüksek, Bu olaya magruz kalanların ortak uygulamasını araştırmak gerekiyor. -- Saygılarımla İyi Çalışmalar Dilerim, Vedat ELÇİGİL 2014-09-16 10:26 GMT+03:00 zeki şahbaz zeki.sah...@outlook.com: Bu konuda merak ettiğim bir nokta bu oluşan güvenlik açığı, android telefonlarda mı oldu yoksa ios’ larda mı? Yoksa ikisinde de açıklık mevcut mu? *From:* netsec-boun...@netsectr.org [mailto:netsec-boun...@netsectr.org] *On Behalf Of *Mustafa Yörükoğlu *Sent:* Monday, September 15, 2014 10:57 AM *To:* liste@netsectr.org *Subject:* Re: [NetSec] 3D Secure aşılması Merhaba, Akıllı telefonlarındaki SMS okuma yetkisi olan uygulama(lar) ile gerçekleşmiş olabilir. Kurbanların akıllı telefonlarındaki bu yetkiyi kullanan uygulamaların, ortak uygulamaların ve uygulama yayımcılarının incelenmesinde fayda var. İyi çalışmalar. 15 Eylül 2014 05:56 tarihinde Ömer F Sa omerfa...@gmail.com yazdı: Merhaba, Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ? -- Ömer Faruk Sarıkaya | @omerfsa https://twitter.com/omerfsa Yazılım Geliştirici - otobilge.com http://www.otobilge.com
Re: [NetSec] 3D Secure aşılması
Telefondaki mesajlara (SMS) erişim yetkisi olan uygulama(lar) yüklenebilen tüm mobil işletim sistemlerinde (android ve ios dahil) mevcuttur. On 16.9.2014 10:26, zeki şahbaz wrote: Bu konuda merak ettiğim bir nokta bu oluşan güvenlik açığı, android telefonlarda mı oldu yoksa ios’ larda mı? Yoksa ikisinde de açıklık mevcut mu?
Re: [NetSec] 3D Secure aşılması
Merhabalar, Hesperbot olabilir. Bu saldırı türünün bankaların göndermiş olduğu tek kullanımlık sms şifrelere (aslında tüm inbox) erişebildiğini biliyoruz. Detaylı analiz için bkz : http://www.bilgiguvenligi.gov.tr/siniflandirilmamis/hesperbot-defref-saldirilari-geliserek-devam-ediyor.html -- Mustafa ALTINKAYNAK Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanlığı* mailto:mustafa.altinkay...@omu.edu.tr* 15.09.2014 05:56 tarihinde, Ömer F Sa yazdı: Merhaba, Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ? -- Ömer Faruk Sarıkaya | @omerfsa https://twitter.com/omerfsa Yazılım Geliştirici - otobilge.com http://www.otobilge.com
Re: [NetSec] 3D Secure aşılması
Merhaba, Akıllı telefonlarındaki SMS okuma yetkisi olan uygulama(lar) ile gerçekleşmiş olabilir. Kurbanların akıllı telefonlarındaki bu yetkiyi kullanan uygulamaların, ortak uygulamaların ve uygulama yayımcılarının incelenmesinde fayda var. İyi çalışmalar. 15 Eylül 2014 05:56 tarihinde Ömer F Sa omerfa...@gmail.com yazdı: Merhaba, Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ? -- Ömer Faruk Sarıkaya | @omerfsa https://twitter.com/omerfsa Yazılım Geliştirici - otobilge.com http://www.otobilge.com
Re: [NetSec] 3D Secure aşılması
Merhaba, Akıllı telefon kullanıyorlar ise gelen SMS doğrulama kodunu dolandırıcıya yönlendiren bir zararlı yazılım cihazlarında yüklü olabilir, aynı bankacılık zararlı yazılımlarında ( https://www.bilgiguvenligi.gov.tr/siniflandirilmamis/hesperbot-defref-saldirilari-geliserek-devam-ediyor.html) olduğu gibi. Görüşmek dileğiyle, 2014-09-15 5:56 GMT+03:00 Ömer F Sa omerfa...@gmail.com: Merhaba, Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ? -- Ömer Faruk Sarıkaya | @omerfsa https://twitter.com/omerfsa Yazılım Geliştirici - otobilge.com http://www.otobilge.com -- http://www.mertsarica.com http://twitter.com/mertsarica http://tr.linkedin.com/in/mertsarica CISSP, SSCP, OSCP, OPST, CREA CEREA
Re: [NetSec] 3D Secure aşılması
Tahminimce geceleyin Telefon ya fiziksel olarak ya da zararlı yazılımla ele geçirilmiştir.. ne yazıkki 3D secure tamamen güvenli değil, ve bence hukuki dayanağıda tartışmalı. parasal işlemler aşağıdaki 3 yöntemden en az ikisiyle gerçekleştirilebilir *) Something you know (eg. a password) = Bildiğin (örn: şifre) *) Something you have (eg. a smart card) = Sahip olduğun (örn: akıllı kart, anahtar) *) Something you are (eg. a fingerprint) = Olduğun (örn: parmakizi, retina taraması, ses) Kredi kartıyla ön ve arka yüzündeki bilgiler kartla bir bütün oluşturduğundan sahip olduğunuz birşeydir. Cep telefonuna gelen tek kullanımlık şifre içeren SMS mesajıda telefonla bir bütünlük oluşturduğundan sahip olduğunuz birşeydir. Eskiden 3D secure işlemlerinde 4 haneli PIN kodunun 2 hanesi (something you know=bildiğin birşey) isteniyordu ve bu durumda Two factor authentication sağlanmış oluyordu. şimdiyse sahip olduğunuz iki şey; kredi kartı ve cep telefonuyla işlem gerçekleştirilebiliyor. Artık 3D secure bildiğiniz veya olduğunuz herhangi birşeye ihtiyaç duymuyor ki bu yanlış. Sizin yapabileceğiniz şey, her siparişi mesai saatleri içerisinde telefonla müşterilerinizi arayıp hem sipariş bilgilerini hemde müşteri telefon numarasını adresini teyit etmektir. çok yüksek tutarlı işlemlerde veya şüpheli durumlarda POS veren bankanızla irtibat kurarak; kart sahibinin kendi bankası tarafından aranılıp teyidi alınmasını isteyebilirsiniz veya riski azaltmak adına bu tür durumlarda müşteriden kredi kartı önlü arkalı fotokopisi, kart sahibi kimlik fotokopisi, ile beraber kart sahibi tarafından imzalanmış sipariş formu, mailorder formu vs isteyebilirsiniz.. Bankaların burda riski, suistimali dahada düşürmek ve yasal olarak zor duruma düşmemek adına yapması gereken şey, tek kullanımlık şifre SMS'ini kaldırmadan; buna ek olarak 4 haneli PIN kodunun herhangi 2 hanesini eskisi gibi talep etmeye tekrar başlamaktır. böylece 3D secure gerçekten güvenli olabilir. Ayrıca bazı bankaların yüksek tutarlı her işlem için kart sahibine işlem bilgilerini SMS atması güzel, ancak bunuda her banka uyguluyor mu bilmiyorum ama uygulamalıdır. Bildiğim kadarıyla; mevcut mevzuata göre internet işlemine harcama itirazı durumunda, harcama tutarı, işlemin yapıldığı karta iade edilmek zorundadır. bu nedenle mahkeme ve icra yollarıyla uğraşmamak adına tedbirli davranmak doğru olacaktır. mal/mülk satışlarında teslimat belgesi imzalatıp saklamalısınız. mesela fatura veya irsaliyeyi kargocu/kurye müşteriye imzalayıp bir nüshasını size geri göndermelidir. aksi durumda kargo teslim tutanağı kargo içeriğini belgelemez ve hukuki ihtilaf durumunda hakimin insafına kalabilirsiniz. ayrıca paketlerin kolilerin üzerine sadece alıcı kişiye teslim edilebilir diye etiket yapıştırmalı, kargo/kurye şirketine SADECE ALICI KİŞİYE kimlik kontrolü ve ıslak imzalı tutanakla teslim etmesi konusunda anlaşma yapmalısınız. selam ve saygılarımla On 15.9.2014 05:56, Ömer F Sa wrote: Merhaba, Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ? -- Ömer Faruk Sarıkaya | @omerfsa https://twitter.com/omerfsa Yazılım Geliştirici - otobilge.com http://www.otobilge.com