Hesap güvenliği için ne kadar tedbir alınırsa alınsın, dolandırıcılar her vakit hesapları çalmak için yeni yollar geliştiriliyor. En çok kullanılan yol ise toplumsal mühendislik tekniği oluyor.
Sosyal mühendislik, hedeflenen bir kurbanı hassas bilgi ve bilgilerini vermesi için ruhsal olarak manipüle etmeyi amaçlayan, siber hatalılar tarafından gerçekleştirilen bir dizi berbat niyetli faaliyetler için kullanılan bir kavramdır. Bu teknikte insanların inancını kazanan ya da onları korkutarak istediklerini yaptıran siber saldırganlar, kullanıcıların hesaplarını kolaylıkla ele geçirebiliyor.
Son günlerde Instagram’da ortaya çıkan yeni bir toplumsal mühendislik formülü birçok Instagram kullanıcısının mağdur olmasına neden oldu. Dünyanın en büyük toplumsal medya platformlarından Reddit’te mevzuyla ilgili kullanıcıların mağduriyetini anlattığı birçok bahis bulunuyor.
SİBER SALDIRGANLAR HESAPLARI ÇALMAK İÇİN EKRAN MANZARALARINI KULLANIYOR
Dolandırıcılar, kurbanın takip ettiği kullanıcılardan birinin hesabını ele geçirdikten sonra kurbanlarla ‘Direkt Mesajlar’ üzerinden bağlantıya geçiyor. Kurban arkadaşıyla sohbet ettiğini düşünerek son ana kadar hiçbir şeyden şüphelenmiyor.
Daha sonra siber saldırgan Instagram hesabının askıya alındığını ve arkadaşlarının hesabın gerçek sahibi olduğunu onayladıkları taktirde hesabının yine faal olacağını söyleyerek sohbet ettiği bireyden kendisine yardımcı olmasını talep ediyor.
Bu noktada ise siber saldırgan karşı taraftan telefon numarası istiyor. Akabinde telefonuna Facebook’tan SMS geleceğini ve bu SMS’teki linke tıklamak zorunda olmadığını söylüyor. Siber saldırgan bu kademede kurbana sırf SMS’in ekran imgesini göndermesinin kâfi olacağını belirtiyor. Ekran imajı siber saldırganın eline geçtiği anda ise her şey için çok geç oluyor.
YÖNTEM NASIL İŞLİYOR?
Saldırgan, kurbandan talep ettiği telefon numarasını aslında şifre sıfırlama talebi oluşturmak için kullanıyor. Şayet kurbanın verdiği telefon numarasına bağlı bir Instagram hesabı bulunuyorsa telefon numarasına Facebook’tan şifre sıfırlama irtibatı gönderiliyor.
Yukarıdaki görselden de görebileceğiniz üzere ileti hakikaten de Facebook’tan geliyor ve irtibata tıklamak zorunda olmadığı için kurban, siber saldırgandan şüphelenmiyor. Dahası Facebook’tan gelen SMS’te bu irtibatın şifre sıfırlama kontağı olduğunun belirtilmemesi siber saldırganın işini düzgünce kolaylaştırıyor.
Ancak siber saldırganın eline ekran imgesi geçtiğinde, saldırgan OCR teknolojisini kullanarak fotoğraftaki metni kopyalıyor ve şifre sıfırlamayı sizin isminize gerçekleştiriyor. Çabucak akabinde ise hesaba bağlı e-posta ve telefon numaraları değiştiriliyor.
Hesabınızın denetimini kaybettikten sonra tıpkı döngü takip ettiğiniz şahıslar için işlemeye devam ediyor. Ele geçirilen hesaplar birçok dolandırıcılıkta siber saldırganlara hizmet ediyor.
SİBER HÜCUMDAN KAÇINMAK İÇİN NE YAPILMASI GEREKİYOR?
Instagram’da iki faktörlü kimlik doğrulaması kullanın
Instagram’da iki faktörlü kimlik doğrulamasını ayarlamak, hesabınıza erişmek isteyen siber saldırganların önüne pürüz koymanın kusursuz bir yoludur. İki faktörlü kimlik doğrulaması aktifken şifreniz değiştirilmeye çalışıldığında e-posta yahut SMS ile tarafınıza gönderilen tek kullanımlık kodun da girilmesi gerekir. Bu nedenle siber saldırganın işi giderek zorlaşır.
Ekran manzarası göndermeyin
Güvenmediğiniz kişilere asla ilişki yahut şahsî bilgi içeren ekran imajları gönderilmemelidir. Talep eden kişi arkadaşınız ise onu telefonla arayarak bu isteği teyit edebilirsiniz. Lakin karşı taraftaki kişi arkadaşınız olsa bile irtibat yahut ferdî bilgi içeren ekran imgesini göndermenin gerçek olmadığını unutmayın.
Üçüncü taraf uygulamaları kullanmayın
Sitelere yahut uygulamalara giriş yaparken toplumsal medya hesapları kullanılırken dikkatli olunmalıdır. Mevzuyla ilgili ayrıntılı bilgi için haberimize bakabilirsiniz.
Sizden talep edilen her isteğe kuşkuyla yaklaşın
Karşı tarafın isteği size olağan gelse bile toplumsal mühendislik tekniğinde hudutların olmadığı unutulmamalıdır. Bu nedenle dijital ortamda size iletilen her isteği yapmak zorunda olmadığınızı unutmamanız hesaplarınızın güvenliği için kıymetlidir.