Bir İranlı aktivistin paylaştığı kırpılmış ekran görüntüleri, Orta Doğu ve diaspora içindeki bazı yüksek profil kullanıcıları hedef alan bir kimlik avı kampanyasının WhatsApp üzerinden yayıldığını ortaya koydu. Gönderilen bağlantılar, kurbanların tarayıcılarında sahte sayfalar açarak Gmail kimlik bilgilerini, iki faktörlü doğrulama kodlarını ve hatta cihaz konumu ile medya erişimini ele geçirmeyi amaçlıyordu.
Saldırı zincirinin içi
Hedefe gönderilen WhatsApp mesajındaki bağlantı, kurbana tıkladığında tarayıcıda bir sahte sayfa yüklüyordu. Saldırganlar, gerçek konumlarını gizlemek için bir dinamik DNS servisini ve ardında barınan bir alan adını kullandı. Elde edilen teknik inceleme, sahte sayfanın altyapısının farklı toplantı ve mesajlaşma servislerini taklit edecek şekilde tasarlandığını gösterdi.
Sayfanın kaynak kodu üzerinde yapılan analiz, saldırının kurbanları iki ana yoldan hedeflediğini gösteriyor: birincisi Gmail giriş bilgilerini ve SMS ile gelen iki faktörlü doğrulama kodlarını çalma; ikincisi ise mağduru tarayıcı izinleri aracılığıyla konum, fotoğraf ve ses erişimi vermeye ikna ederek gözetim sağlamaya çalışma.
Gmail kimlik bilgileri ve telefon numarası avı
Sahte sayfalar, hedefe göre ya sahte bir Gmail oturum açma ekranı ya da telefon numarası talep eden bir akış gösteriyordu. Saldırının kaynak kodunda bulunan bir eksiklik sayesinde, saldırgan sunucusunda depolanan kurban kayıtlarına erişilebiliyor ve bu kayıtlar üzerinden saldırı akışı adım adım takip edilebiliyordu.
Ele geçirilen kayıtlar arasında 850+ başvuru bulunuyordu. Bu kayıtlar, kullanıcının girdiği kullanıcı adı, parola, hatalı denemeler ve SMS ile gelen iki faktör kodları gibi ayrıntıları içeriyordu. Kayıtlarda ayrıca hedefin kullandığı işletim sistemi ve tarayıcı bilgisini gösteren kullanıcı ajan verileri de yer alıyor, bu da Windows, macOS, iPhone ve Android kullanıcılarının hedeflendiğini doğruluyor.
WhatsApp ele geçirme ve tarayıcı verilerinin çalınması
Başka bir saldırı yöntemi ise kurbana tarayıcıda WhatsApp temalı bir sayfa açıp sahte bir QR kodu göstermeye dayanıyordu. Kullanıcı bu kodu tararsa, WhatsApp hesabı saldırganın kontrolündeki bir cihaza bağlanabiliyor ve böylece mesajlar, kişiler ve medya erişilebiliyor.
Kaynak kodu incelemesi, sayfa yüklendiğinde tarayıcıdan konum bildirimi ile kamera ve mikrofon izinleri isteyen çağrılar tetiklendiğini gösterdi. İzin verildiğinde sayfa, kullanıcının koordinatlarını saldırgana hemen gönderebiliyor ve sayfa açık kaldığı sürece periyodik konum güncellemeleri ile fotoğraf ve kısa ses kayıtları alabiliyordu. Ancak tespit edilen sunucu kayıtlarında toplanmış konum, ses veya görseller gözlemlenmedi.
Hedefler, zamanlama ve sorumluluk tartışması
Kampanyanın arkasında kim olduğu belirsizliğini koruyor. Kampanya, çok sayıda farklı profilden kişiyi hedef almış görünüyor: akademisyenler, üst düzey iş insanları, bazı hükümet yetkilileri, gazeteciler ve diaspora topluluklarından sıradan görünen bireyler. Bugüne kadar doğrulanan etkilenen kişi sayısı ellinin altında, ancak sahada daha fazla mağdur olabileceği değerlendiriliyor.
Uzmanlar, kampanyanın bazı özelliklerinin bir devlet destekli operasyonla uyumlu olduğunu; diğer yandan altyapı ve bazı teknik göstergelerin finansal motivasyonlu siber suç faaliyetleriyle de örtüştüğünü belirtiyor. Ayrıca devlet aktörlerinin siber operasyonları dış kaynak kullanımıyla yürüttüğü ve böylece izlerini gizlediği geçmiş örnekler de bulunuyor. Bu nedenle tek bir açıklama yapmak zor.
Ne yapılmalı?
- Şüpheli bağlantılara tıklamayın. Özellikle beklenmeyen mesajlardaki bağlantılar yüksek risk taşır.
- İki faktörlü doğrulamayı güçlendirin. Mümkünse SMS yerine doğrulayıcı uygulamalar veya donanım anahtarları kullanın.
- Tarayıcı izinlerini dikkatle yönetin. Konum, kamera ve mikrofon erişimlerini yalnızca güvenilir sitelere verin ve kullandıktan sonra iptal edin.
- Hesaplarınızın erişim geçmişini kontrol edin. Şüpheli aktif oturumlar veya bağlı cihazlar varsa hemen oturum kapatın ve şifrenizi değiştirin.
- Kurumsal veya yüksek riskli kullanıcılar için güvenlik danışmanlarından destek alın.
Bu tür kampanyalar, sosyal mühendislik ve popüler mesajlaşma platformlarının kötüye kullanımını birleştirerek etkili sonuçlar doğuruyor. Genel kural olarak, beklenmeyen WhatsApp bağlantıları ve istenmeyen tarayıcı izin talepleri her zaman yüksek risklidir. Kullanıcıların uyanık olması ve hızlı davranması, olası zararı azaltmada belirleyici olacaktır.
