Dünyanın en güvenli anlık mesajlaşma platformları olarak kabul edilen Signal ve WhatsApp, siber suçluların en sinsi kimlik avı (phishing) kampanyalarından birine sahne oluyor. Güvenlik analistleri ve TechCrunch tarafından ilk kez rapor edilen bu yeni nesil saldırı, uygulamaların şifreleme duvarlarını hacklemek yerine, doğrudan en zayıf halkayı, yani insan psikolojisini hedef alıyor.
"Mesajlarınız siliniyor" korkusuyla gelen tuzak
Saldırganlar, gözünü karartmış profesyonel birer "Teknik Destek" çalışanı gibi davranarak kurbanların telefonlarına resmi görünümlü bir uyarı mesajı gönderiyor. Mesajda, kullanıcının sistemdeki bir senkronizasyon hatası nedeniyle geçmişteki tüm sohbet geçmişini, fotoğraflarını ve videolarını kalıcı olarak kaybetme riskiyle karşı karşıya olduğu iddia ediliyor.
Neden uygulamanın kendisine değil de kullanıcıya saldırıyorlar?
Bu tuzağın arkasında çok basit bir matematiksel gerçek var. Örnek olarak Signal, geçtiğimiz yıl uygulamaya koyduğu "Güvenli Yedeklemeler" özelliğiyle tüm konuşmalarınızı uçtan uca şifreli olarak sunucularında saklıyor. Ancak bu şifreyi çözebilecek tek şey, yalnızca sizin bildiğiniz özel bir kurtarma anahtarı. Signal şirketinin kendisi bile bu anahtar olmadan mesajlarınızı okuyamıyor.
İşte bu yüzden hackerlar, sistemin aşamadıkları o çelik şifreleme duvarını baypas etmek için doğrudan size saldırıyorlar. Sizi manipüle ederek, iki faktörlü kimlik doğrulama kodu veya kurtarma anahtarı gibi hayati verileri kendi ellerinizle teslim etmenizi sağlıyorlar.
Siber korsanların sunduğu sözde çözüm ise oldukça basit: "Yedeklerinize yeniden erişebilmeniz için size ait olan o kurtarma anahtarını / doğrulama kodunu bize gönderin."
Sadece aktivistler değil, herkes hedefte
İlk siber raporlar, bu sahte teknik destek mesajlarının Çin hükümetini eleştiren aktivistleri susturmak için kullanıldığını gösteriyordu. Ancak güvenlik uzmanları, kısa süre içinde bu toplulukla hiçbir bağı olmayan sıradan vatandaşların da aynı mesajları aldığını saptadı. Siber suçlular artık belirli bir grubu hedef almıyor; oltayı okyanusa atıp kimin düşeceğini bekliyorlar. Aynı yöntem bugün WhatsApp, Telegram, Facebook Messenger ve kurumsal e-posta servislerinde de aktif olarak deneniyor.
Yapay zeka dolandırıcıların dil bilgisini düzelti
Siber güvenlik uzmanları, gelecekte çok daha profesyonel dolandırıcılık vakalarıyla karşılaşacağımız konusunda uyarıyor. Eskiden sahte mesajlar bozuk dil bilgisi ve yazım hatalarıyla kendini ele veriyordu, ancak günümüzde Yapay Zeka (AI) teknolojilerini kullanan hackerlar, saniyeler içinde kusursuz bir kurumsal dille yazılmış, ayırt edilmesi imkansız sahte metinler üretebiliyor.
Altın Kural: Dünyadaki hiçbir meşru yazılım, banka veya sosyal ağ şirketi sizden şifrenizi, PIN kodunuzu, kurtarma anahtarınızı veya SMS doğrulama kodunuzu sohbet üzerinden ya da e-postayla İSTEMEZ.
Eğer gelen kutunuza bu tarz aciliyet içeren, "Yedekleriniz silinecek", "Hesabınız kapatılacak" ya da tam tersi "Büyük ödül kazandınız" diyen bir mesaj düşerse, bu otomatik olarak bir dolandırıcılıktır. Unutmayın: Hassas bilgilerinizi bir bilgisayar korsanına kendi rızanızla ifşa etmenizi engelleyebilecek hiçbir antivirüs yazılımı yoktur. En büyük güvenlik duvarı, kendi şüphenizdir.
