İranlı siber güvenlik araştırmacısı Gharib, Devrim Muhafızları istihbarat birimlerinin bir oltalama (phishing) saldırısı başlattığını duyurdu.
İran Devrim Muhafızları Ordusu’yla bağlantılı olduğu iddia edilen hackerların, İran’la ilgili faaliyetlerde bulunan ve ülke dışında yaşayan kişileri WhatsApp üzerinden hedef alan bir siber casusluk kampanyası yürüttüğü ortaya çıktı.
Saldırıya ilişkin bulgular, İngiltere'de yaşayan İranlı siber güvenlik araştırmacısı Nariman Gharib tarafından yayımlanan raporda yer aldı.
Gharib, sosyal medya platformu X’te yaptığı paylaşımda “Acil güvenlik uyarısı” diyerek İran Devrim Muhafızları istihbarat birimlerinin bir oltalama (phishing) saldırısı başlattığını duyurdu.
Oltalama, dolandırıcıların rastgele kullanıcı hesaplarına e-mail veya mesaj gönderdikleri bir çevrimiçi saldırı türü. Bu mesajlar, bilinen web sitelerinden veya kullanıcının bankasından, e-posta ya da internet hizmeti sağlayıcısından gönderilmiş gibi görünüyor. Kullanıcı mesajda yer alan bağlantıya tıkladığında hackerlar hesabı ele geçiriyor.
Gharib’e göre İran'daki saldırılar özellikle WhatsApp kullanıcılarını hedef alıyor. Uzmanlar şüpheli bağlantılara tıklanmaması konusunda uyarıda bulunuyor.
İnternet erişim haklarını savunan FilterBan derneğinin yaptığı açıklamada da, "Bazı kişiler, İran'daki ailelerinin sağlık durumlarını sormak için onları aramalarının ardından hemen bir WhatsApp doğrulama kodu veya bağlantısı aldıklarını söylüyor. Oysa WhatsApp'a giriş yapmak veya hesabı etkinleştirmek için herhangi bir talepte bulunmamışlar," ifadeleri yer aldı:
"Bu, WhatsApp hesabını hedefli bir şekilde hackleme girişimi gibi görünüyor. WhatsApp'a erişim sağlandıktan sonraki adım, Instagram ve Facebook'a erişim sağlamak."
Sahte WhatsApp sayfası ve QR kod tuzağı
Gharib'e göre saldırganlar, WhatsApp Web giriş ekranını taklit eden sahte bir web sayfası kullanıyor. Bu sayfada yer alan QR kod, aslında saldırganların kendi WhatsApp Web sayfasına ait. Hedef alınan kişi bu QR kodu telefonuyla taradığında kendi hesabında saldırganın oturum açmasına izin vermiş oluyor.
Bu yöntemle saldırıyı gerçekleştirenler, hedef kişinin WhatsApp hesabına tam erişim elde edebiliyor. Gharib, bunun yalnızca mesajlara erişimle sınırlı olmadığını, saldırının devamında tarayıcı üzerinden kamera, mikrofon ve konum bilgileri için de izin talep edildiğini belirtiyor.
Forbes'un aktarımına göre, QR kodlar aracılığıyla kullanıcıları kandırarak hesapları başka cihazlara bağlamak, daha önce de görülen bir yöntem. WhatsApp’ın “Bağlı Cihazlar (Linked Devices)” özelliği, bu tür saldırılarda önemli bir zafiyet alanı.
Gharib, şüpheli bir “WhatsApp toplantı linkine” tıklayan kullanıcıların derhal tarayıcı izinlerini iptal etmesi gerektiğini vurguluyor. Ancak en kritik önlemin, WhatsApp ayarlarından Bağlı Cihazlar listesinin düzenli olarak kontrol edilmesi ve tanınmayan tüm cihazların kaldırılması.
WhatsApp Web kullananlara ise tarayıcı oturumlarını düzenli olarak kapatıp yeniden başlatmaları tavsiye ediliyor.
WhatsApp: Tanımadığınız bağlantılara tıklamayın
WhatsApp’tan konuya ilişkin yapılan açıklamada, kullanıcıların tanımadıkları kişilerden gelen bağlantılara tıklamamaları gerektiği vurgulandı.
Şirket, “Rehberinizde olmayan kişilerden gelen bağlantılar zaten engelleniyor. Bu tür mesajları bildirmenizi teşvik ediyoruz. Amacımız insanların özel konuşma hakkını korumak ve bu tür zararlı faaliyetlerde bulunanları engellemeye devam edeceğiz,” ifadelerini kullandı.
Telegram ve Instagram'a yayıldı
Siber güvenlik hizmetleri veren Cloudflare'e bağlı Cloudforce One ise "İranlı yetkililerin, takipçi listelerini ve hesap aktivitelerini toplu olarak çıkaran araçlar kullanarak Instagram hesaplarını hedef aldığını gözlemledik," açıklamasında bulundu.
İranlı gazeteci Nima Akbarpour da, "Önceki kimlik avı kampanyası WhatsApp'tan Telegram'a yayıldı. @AuthentcatorBot adlı sahte bir bot, kullanıcılara hesap silme uyarıları göndererek hesaplarına erişmeye çalışıyor," dedi.
Söz konusu açıklamalar, kimlik avı kampanyasının WhatsApp ile sınırlı kalmayabileceğini, diğer uygulamalara da yayılabileceğini düşündürüyor.