-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
🛡️ 3D SECURE BYPASS 2026: HACKERLARIN BİLMEDİĞİ GERÇEK TEKNİKLER
🧠 1. BAŞLAMADAN ÖNCE: 3D SECURE NASIL ÇALIŞIR?
3D Secure (3DS), online kartlı ödemelerde üç alanlı (Three-Domain) bir güvenlik protokolüdür:- Satıcı Alanı (Acquirer/merchant): Ürünü satan site.
- Kart Kuruluşu Alanı (Card scheme): Visa, Mastercard gibi ağ.
- İhraççı Banka Alanı (Issuer): Kartın sahibi olan banka.
🎯 2. SÜRTÜNMESİZ AKIŞIN KÖTÜYE KULLANIMI (AZ BİLİNEN TEKNİK)
3DS2’nin en büyük zaafı, sürtünmesiz akışın kendisidir. İhraççı banka, satıcıdan gelen 150+ veri noktasını değerlendirir ve işlemi otomatik onaylar veya zorlu akışa yönlendirir. Saldırganlar, bu “güven sinyallerini” taklit ederek onayı garanti altına alabilir.Saldırganın yaptıkları:
- Cihaz öykünücüleri (emulators) ile temiz bir cihaz profili oluşturur.
- Konut proxy’leri (residential proxies) kullanarak kurbanın yaşadığı bölgeden bağlanır.
- Aynı IP’den yapılan düşük miktarlı test işlemleriyle bankanın risk eşiğini öğrenir.
- Bir kez eşik aşıldığında, yüksek tutarlı işlemler de otomatik onaylanır.
text
[+] Hedef: Bank X, risk eşiği 250$
[+] İşlem 1: 50$ → Cihaz emülatörü + kaliteli konut proxy → ONAYLANDI
[+] İşlem 2: 100$ → Aynı sinyaller → ONAYLANDI
[+] İşlem 3: 500$ → ONAYLANDI (güven inşa edildi, otomatik onay geldi)
Bu yöntem, bankaların eşik bazlı risk modellerini sömürür ve genellikle tespit edilmez.
🎯 3. KİMLİK BÜRÜNME VE SOSYAL MÜHENDİSLİK (EN ESKİ AMA HALA EN ETKİLİ)
Hackerlar, 3DS’i aşmanın en kolay yolunun kullanıcıyı kandırmak olduğunu bilir. Güncel yöntemler şöyledir:3.1. Sahte Banka Çağrısı (Vishing)
Saldırgan, numara taklidi (caller ID spoofing) ile bankanın müşteri hizmetleri numarasını aratır. Kurbanı arar ve “hesabınızda şüpheli işlem tespit ettik” diyerek onay kodu ister. Kurban, az önce cep telefonuna gelen 3DS kodunu söyler ve saldırgan işlemi tamamlar.3.2. SMS Oltalama (Smishing)
“Hesabınız askıya alındı, iptal etmek için tıklayın” gibi mesajlarla kullanıcılar sahte banka sayfasına yönlendirilir. Sayfada kart bilgileri ve telefon numarası istenir. Kurban bu bilgileri girdikten hemen sonra, saldırgan gerçek sitede işlemi başlatır ve SMS ile gelen kodu da kurbanın elinden alır.3.3. SIM Değiştirme (SIM Swap) ve SMS 2FA’nın Etkisizleştirilmesi
Saldırgan, operatörü arayarak “SIM kartımı kaybettim” der ve kimlik doğrulama sorularını sızdırılan bilgilerle geçer. Başarılı olursa, kurbanın telefon numarası saldırganın SIM kartına taşınır. Tüm SMS 2FA kodları ve 3DS onay kodları saldırgana gelir. Artık bankanın uygulamasına giriş yapıp 3DS’yi tamamen devre dışı bırakabilir.3.4. Mobil Kötü Amaçlı Yazılım (Malware)
Bazı zararlı yazılımlar, SMS gelen kutusunu okuma izni alır veya erişilebilirlik servisini kötüye kullanarak ekrandaki kodu anında saldırgana iletir. Kullanıcı, bir oyun veya yardımcı program yüklediğini sanarken, arka planda 3DS kodları sızdırılır.🎯 4. BIN TARAMA (BANK IDENTIFICATION NUMBER SCAN) – YENİ NESİL KART DOĞRULAMA
BIN tarama, kartın ilk 6 hanesini (BIN – Banka Tanımlama Numarası) kullanarak geçerli kart numaralarını tahmin etme yöntemidir. Saldırgan, Luhn algoritmasını kullanarak binlerce olası numara üretir ve 3DS ağına gönderir. 3DS sunucusu “kart bulunamadı” hatası dönerse geçersiz, başka bir yanıt gelirse geçerlidir.Yöntemler:
- Fraud-as-a-Service (FaaS) platformları bu işi otomatikleştirir. Mastercard, 2020’den bu yana BIN tarama saldırılarında %80 artış bildirmiştir.
- DDoS ile 3DS’i Çökertme: 3DS sistemi yoğun istek altında yanıt süreleri uzayınca otomatik bypass devreye girer. Saldırgan, DDoS ile doğrulama sunucusunu meşgul eder ve işlemler hiç sorgulanmadan geçer. 2025’in ilk çeyreğinde finansal kurumlara yönelik DDoS saldırıları bir önceki yıla göre %137 arttı.
[+] BIN: 123456 (Card range for Bank X)
[+] Luhn algorithm ile 1234560000000000 – 1234569999999999 arası 10.000 aday kart üret.
[+] Her aday için 3DS ağına sorgu gönder.
[+] Banka yanıtı “Card not found” değilse → kart aktif.
[+] Aktif kartları dark web’de sat veya doğrudan kullan.
🎯 5. REVERSE ENGINEERING: 3DS2 KARAR MEKANİZMASINI ÇÖZMEK
Finansal Kriptografi ve Veri Güvenliği konferansında yayımlanan çığır açıcı bir akademik çalışma, bir tarayıcı üzerinden 3DS2 protokolünü tersine mühendislik ile analiz ederek bankaların işlem risk değerlendirmesinde hangi verileri kullandığını ve hangi eşiklerde zorlu akışa geçtiklerini ortaya çıkarmıştır.Pratik sonuç:
Araştırmacılar, farklı ülkelerden farklı kartlarla değişen miktarlarda işlemler göndererek her bankanın “risk iştahını” (risk appetite) çıkarmış ve 3DS2’nin zorlu akışını tamamen atlayan bir kimliğe bürünme saldırısı (impersonation attack) geliştirmişlerdir. Bu saldırı, ikinci faktör doğrulamasını tetiklemez ve yalnızca tersine mühendislikle elde edilen verileri kullanır.
🎯 6. TEKRAR OYNATMA (REPLAY ATTACK) VE TOKEN YENİDEN KULLANIMI
Bazı sistemler, bir kez kullanılan yetkilendirme token’larını veya tek kullanımlık şifreleri (OTP) yeterince sıkı geçersiz kılmaz. Saldırgan, geçerli bir 3DS onayını yakalar (örneğin bir phishing sayfası üzerinden) ve aynı token’ı daha sonra farklı bir işlem için tekrar gönderir. Sistem, token’ın zaten kullanıldığını kontrol etmezse, işlem onaylanır.Korunma: Zaman damgalı (timestamp) ve tek kullanımlık token mekanizmaları bu riski azaltır, ancak tüm uygulamalarda bulunmaz.
🎯 7. CSRF ZAFİYETİ: 3DS2’NİN AZ BİLİNEN AÇIĞI (CVE-2024-25286)
Eylül 2024’te Redsys’in 3DSecure 2.0 Yetkilendirme Metodu’nda Cross-Site Request Forgery (CSRF) zafiyeti keşfedildi. Saldırgan, HTTP isteklerindeki Origin ve Referer başlıklarını değiştirerek yetkisiz form verilerini sunucuya gönderebilir. Başka bir deyişle, bir web sitesine tıklayan kullanıcının farkında olmadan 3DS işlemini onaylaması sağlanabilir.Simüle edilmiş saldırı:
text
[+] Kurban, saldırganın hazırladığı kötü amaçlı web sitesini ziyaret eder.
[+] Site, arka planda kurbanın oturumunu kullanarak 3DS sunucusuna sahte bir onay isteği gönderir.
[+] Origin ve Referer başlıkları meşru bir siteymiş gibi değiştirilir.
[+] Sunucu isteği kabul eder ve işlem onaylanır (kurbanın haberi yoktur).
🎯 8. SAHTE SATICI (MERCHANT) HESAPLARIYLA 3DS’İ TERSİNE ÇEVİRME
Bazı siber suçlular, 3DS kontrollü kartları işleyebilen sahte satıcı hesapları açar. Bu hesaplar, yalnızca düşük riskli kartları (çalıntı ama henüz rapor edilmemiş) kabul eder. Kart, 3DS kontrolünden geçince, saldırgan kartın bakiyesini hızla boşaltır. Aynı kartla birden fazla satıcıda işlem yaparak tespit edilme riskini dağıtır.Nasıl çalışır:
- Çalıntı kart bilgileriyle 3DS kontrollü bir satıcıda küçük bir test işlemi yapılır.
- İşlem başarılı olursa (kart “düşük risk” olarak işaretlenmişse), aynı kartla büyük miktarlı işlemler arka arkaya yapılır.
- Genellikle hemen nakde çevrilebilecek ürünler (hediye kartları, dijital ürünler) satın alınır.
🎯 9. YAPAY ZEKA DESTEKLİ SOSYAL MÜHENDİSLİK
Yapay zeka araçları (deepfake ses sentezi, ChatGPT benzeri modeller), saldırganların kurum çalışanı gibi inandırıcı çağrılar yapmasını veya kişiye özel (spear-phishing) e-postalar yazmasını sağlar. Kurban, tanıdığı bir ses veya çok gerçekçi bir e-posta ile kandırılır ve 3DS kodunu gönüllü olarak verir. Bu yöntem, geleneksel imza tabanlı filtrelerden geçer ve henüz yaygın olarak bilinmez.🧩 10. KORUNMA VE ÖNLEMLER
Kendinizi korumak için:| Yöntem | Ne Yapmalısınız? |
|---|---|
| SIM Swap’a karşı | Operatörünüzden ek bir PIN veya geçiş kodu talep edin. “SIM değiştirme koruması” özelliğini aktifleştirin. |
| Phishing’e karşı | Gelen e-postaların gönderen adresini dikkatlice kontrol edin. Asla linklere tıklamayın, bankanızın resmi uygulamasını kullanarak giriş yapın. |
| 3DS kodlarını kimseyle paylaşmayın | Banka çalışanları dâhil hiç kimse sizden 3DS kodu istemez. İsteyen herkes dolandırıcıdır. |
| Bildirimleri açık tutun | Bankanızın mobil uygulamasından anlık işlem bildirimlerini aktif edin. Fark etmediğiniz bir işlem olursa hemen müdahale edin. |
| Cihaz güvenliği | Mobil cihazınıza yalnızca resmi uygulama mağazalarından yazılım yükleyin. Gereksiz “erişilebilirlik” izni veren uygulamalardan kaçının. |
| CSRF zafiyetine karşı | Tarayıcınızda SameSite çerez ayarlarını sıkı (strict) olarak yapılandırın. Bankaların ise 3DS sunucularını güncellemesi gerekmektedir. |
| BIN tarama tespiti | Bankalar, anormal sayıda geçersiz işlem sorgusunu izlemeli ve otomatik olarak engellemelidir. Aynı kartla çok sayıda farklı siteden yapılan küçük test işlemlerine dikkat edin. |
| Token yeniden kullanımı | İşlemlerinizde kullanılan token’ların zaman damgalı ve tek kullanımlık olduğundan emin olun. Aynı token ile iki kez işlem yapılıyorsa, bankanıza bildirin. |
🔚;
3D Secure, güçlü bir güvenlik katmanıdır ancak kesinlikle aşılamaz değildir. Bu rehberde, sosyal mühendislikten tersine mühendisliğe, BIN taramadan CSRF zafiyetine, sürtünmesiz akışın kötüye kullanımından sahte satıcı hesaplarına kadar güncel ve az bilinen atlatma yöntemlerini inceledik. Unutmayın: Bu bilgileri sadece kendi güvenliğinizi sağlamak ve farkındalık yaratmak için kullanın.Ve unutmayın: Savunması olmayanın saldırısı, sadece intihardır.
Bu rehber, eğitim ve farkındalık için yazılmıştır. Yetkisiz işlemler yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.
@Tc4dy | github.com/tc4dy
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
