İngiltere merkezli İranlı aktivist Nariman Gharib, kendisine WhatsApp üzerinden gönderilen bir kimlik avı bağlantısının ekran görüntülerini paylaştı. Öne çıkan bu bağlantının tehlikeli olduğunu belirten Gharib, “Şüpheli bağlantılara tıklamayın” uyarısında bulundu. İran’daki protestoları uzaktan takip eden aktivist, bu kampanyanın kendisi gibi İran ile ilgili faaliyetlerde bulunan kişilere yönelik olduğunu dile getirdi.
Bu siber saldırı kampanyası, İran’ın tarihindeki en uzun süreli internet kesintisi ile örtüşüyor. Ülkede anti-hükümet protestolar devam ederken, şiddetli baskılar da sürüyor. İran ve en yakın karşıtları, siber alanlarda oldukça aktif olduklarından dolayı, daha fazlasını öğrenmek istedik.
Gharib, paylaşımından kısa bir süre sonra TechCrunch ile kimlik avı bağlantısının tam kopyasını paylaştı ve bu bağlantının kullanıldığı web sayfasının kaynak kodunu elde etmemizi sağladı. Ayrıca bulgularını yazılı olarak da paylaştı.
TechCrunch, kimlik avı sayfasının kaynak kodunu analiz etti ve güvenlik araştırmacılarından alınan ek bilgilerle, bu kampanyanın Gmail ve diğer çevrimiçi kimlik bilgilerini çalmayı, WhatsApp hesaplarını ele geçirmeyi ve konum verileri, fotoğraflar ve ses kayıtları gibi izleme bilgilerini elde etmeyi hedeflediğini düşünüyoruz.
Ancak, siber saldırganların hükümetle bağlantılı ajanlar, casuslar veya siber suçlular olup olmadıkları belli değil. TechCrunch, saldırganın sunucusundaki tüm kurbanların yanıtlarını gerçek zamanlı olarak görüntülemenin bir yolunu da buldu. Bu sunucu şifre olmaksızın erişilebilir halde bırakılmıştı. Bu veriler, kimlik bilgilerini istemeden de olsa bu kimlik avı sitesine giren birçok kurbanı ortaya çıkardı.
Listede bir Orta Doğu akademisyeni, bir İsrailli drone üreticisinin yöneticisi, üst düzey bir Lübnan hükümeti yetkilisi, en az bir gazeteci ve Amerika Birleşik Devletleri’nde yaşayan veya ABD telefon numarası olan kişilerin isimleri yer aldı.
TechCrunch, Gharib’in raporundaki birçok bilgiyi doğruladıktan sonra bulgularını yayınlıyor. Kimlik avı sitesi artık kapandı.
Saldırının İç Yapısı
Gharib’e göre, aldığı WhatsApp mesajındaki şüpheli bağlantı, kurbanın tarayıcısında bir kimlik avı sayfasını yüklüyordu.
Bağlantı, saldırganların kimlik avı kampanyalarında DuckDNS adlı dinamik DNS sağlayıcısını kullandığını gösteriyor. Dinamik DNS sağlayıcıları, kullanıcıların kolayca hatırlanabilir web adreslerini sunuculara bağlamasına olanak tanır. Bu durumda, bir duckdns.org alt alan adı kullanılmıştır.
Saldırganların bu kimlik avı sitesini isteyerek kapatıp kapatmadığı veya DuckDNS tarafından engellenip engellenmediği belirsiz. DuckDNS ile iletişime geçtik, ancak sahibi Richard Harper’dan bir kötüye kullanım raporu göndermemiz talep edildi.
Anladığımız kadarıyla, saldırganlar DuckDNS’yi kimlik avı sayfasının gerçek konumunu gizlemek için kullandı; muhtemelen sayfanın güvenilir bir WhatsApp bağlantısı gibi görünmesini sağlamak için.
Kimlik avı sayfası aslında alex-fabow.online alanında barındırılıyordu. Bu alan, Kasım 2025’te ilk kez tescillenmişti. Aynı özel sunucuda barındırılan birçok diğer ilgili alan adı mevcut. Bu alan adları, kampanyanın diğer sanal toplantı odası sağlayıcılarını da hedef almış olabileceğini düşündürüyor, örneğin meet-safe.online ve whats-login.online.
DuckDNS bağlantısı kurbanın tarayıcısında yüklendiğinde ne olduğu veya bağlantının hangi kimlik avı sayfasını yükleyeceğini belirleyip belirlemediği belirsiz. DuckDNS bağlantısının, kullanıcının cihazından elde ettiği bilgilere göre belirli bir kimlik avı sayfasına yönlendirme yapması mümkün.
Kimlik avı sayfası, web tarayıcımızda açılmadı ve bu nedenle doğrudan etkileşime geçemedik. Ancak sayfanın kaynak kodunu incelemek, saldırının nasıl çalıştığını daha iyi anlamamıza yardımcı oldu.
Gmail Kimlik Bilgileri ve Telefon Numarası Phishing’i
Hedefe bağlı olarak, kimlik avı bağlantısına tıklamak sahte bir Gmail giriş sayfasını açabilir veya telefon numarasını talep edebilir ve şifre ve iki faktörlü kimlik doğrulama kodunu çalmayı hedefleyen bir saldırı akışı başlatabilir.
Fakat kimlik avı sayfasının kaynak kodunda en az bir hata vardı: TechCrunch, web tarayıcısındaki kimlik avı sayfasının URL’sini değiştirerek, saldırganların sunucularında kimlik bilgilerini giren her kurbanın kayıtlarının saklandığı bir dosyayı görüntüleyebileceğimizi buldu.
Dosya, saldırı akışı sırasında kurbanlar tarafından gönderilen bilgilerin 850’den fazla kaydını içeriyordu. Bu kayıtlar, her kurbanın hangi aşamada olduğunu gösteriyordu. Bu, kurbanların kimlik avı sayfasında girdikleri kullanıcı adları ve şifrelere ait kopyalar ile birlikte, yanlış girişlerin ve iki faktörlü kodların kaydını içeriyordu; bu da etkili bir tuş kaydedici işlevi görüyordu.
Kayıtlar ayrıca her kurbanın kullanıcı ajanını içeriyordu; bu, web sitelerini görüntülemek için kullanılan işletim sistemi ve tarayıcı sürümlerini tanımlayan bir metin dizisidir. Bu veriler, kampanyanın Windows, macOS, iPhone ve Android kullanıcılarını hedef almak üzere tasarlandığını göstermektedir.
Maruz kalan dosya, her kurban için saldırı akışını adım adım takip etmemize izin verdi. Bir olgada, maruz kalan dosyada bir kurbanın zararlı bir bağlantıya tıkladığı ve Gmail oturum açma penceresine benzeyen bir sayfayı açtığı görülüyor. Kaydın üzerinde, kurbanın doğru parolayı girene kadar birkaç kez e-posta kimlik bilgilerini girdiği yer alıyor.
Kayıtlar, aynı kurbanın kendisine gönderilen metin mesajıyla iki faktörlü kimlik doğrulama kodunu da girdiğini gösteriyor. Bunu anlamanın yolu, Google’ın iki faktörlü kodları belirli bir formatta göndermesidir (genellikle G-xxxxxx, altı rakamdan oluşan bir kod ile).
WhatsApp Ele Geçirme ve Tarayıcı Verilerinin Sızdırılması
Kredilerin çalınmasının ötesinde, bu kampanya kurbanları, konum, ses ve cihazlarından fotoğraf paylaşmaya zorlayarak izleme imkanı da sağlıyor gibiydi.
Gharib’in durumunda, kimlik avı mesajındaki bağlantıya tıklamak, tarayıcısında WhatsApp temalı sahte bir sayfayı açıyordu ve bu sayfa bir QR kodu gösteriyordu. Bu yanıltma, hedefin, sanal toplantı odasına erişmek için kodu taramasını sağlamak amacıyla kurgulanmıştı.
Gharib, QR kodunun saldırgan tarafından oluşturulduğunu ve bunu taramanın veya tıklamanın kurbanın WhatsApp hesabını saldırganın kontrolündeki bir cihaza bağlayacağını, dolayısıyla onların verilerine erişim sağlayacağını söyledi. Bu, WhatsApp’ın cihaz bağlantı özelliğini kötüye kullanan uzun zamandır bilinen bir saldırı tekniği ve aynı yöntemin Signal mesajlaşma uygulamasını hedeflemek üzere kötüye kullanıldığı da görülmüştür.
Granitt’in kurucusu Runa Sandvik, tehlikeye maruz kalan bireylerin güvenliğini sağlamak üzerine çalışan bir güvenlik araştırmacısı, kimlik avı sayfası kodunun bir örneğini incelmesi için davet ettik.
Sandvik, sayfa yüklendiğinde, kodun kullanıcının konumuna erişim izni talep eden bir tarayıcı bildirimi tetiklediğini, ayrıca fotoğraflar ve ses için (navigator.getUserMedia) izin istediğini buldu.
Eğer kabul edilirse, tarayıcı kullanıcının koordinatlarını hemen saldırgana gönderiyor, bu da kurbanın yerini belirlemeye olanak tanıyor. Sayfa açık kaldığı sürece, kurbanın konum verileri her birkaç saniyede bir paylaşılmaya devam ediyor.
Kod, ayrıca cihaz kameralarını kullanarak her üç ila beş saniyede bir ses kaydı yapmayı ve fotoğraflar çekmeyi de sağlıyordu. Ancak sunucuda toplanan konum verileri, ses veya görüntüleri göremedik.
Kurbanlar, Zamanlama ve Atıf Üzerine Düşünceler
Bu kampanyanın arkasında kimin olduğu belirsiz. Ancak, kampanyanın kurbanlardan statü bilgilerini çalmada başarılı olduğu açık ve bu kimlik avı kampanyasının tekrar ortaya çıkma ihtimali bulunuyor.
Kimi kurbanların kimliklerini bildiğimiz halde, bu kampanyanın doğasını anlamak için yeterli bilgiye sahip değiliz. Bu kampanyadan etkilenen kurban sayısı (bildiğimiz kadarıyla) oldukça az; 50’nin altında birey, sıradan insanlardan oluşan bir grup arasında, akademisyenler, devlet yetkilileri, iş liderleri ve daha geniş İran diasporası ve Orta Doğu’da bulunan diğer üst düzey figürlerle beraber yer alıyor.
Beklenenden çok daha fazla kurban olabileceği ihtimali var, bu da hedeflerin kim olduğunu ve potansiyel olarak neden hedef alındıklarını anlamamıza yardımcı olabilir.
Bu Kampanyanın Hükümet Destekli Bir Aktör Olabileceğine Dair İddia
Hackerların insanların kimlik bilgilerini çalma ve WhatsApp hesaplarını ele geçirme motivasyonları belirsiz; bu da bu siber saldırı kampanyasının arkasındakilerin kim olduğunu belirlemeye yardımcı olabilir.
Hükümet destekli bir grup, örneğin, bir politikacı ya da gazeteci gibi yüksek değerli bir hedefin e-posta parolasını ve iki faktörlü kodlarını çalmak isteyebilir, böylece özel ve gizli bilgilere ulaşabilir.
Bu mantıklı olabilir çünkü İran, şu anda neredeyse tamamen dış dünyadan kopmuş durumda ve bilgi almak veya dışarı çıkarmak bir zorluk teşkil ediyor. Hem İran hükümeti hem de İran’ın işlerine karışan yabancı bir hükümet, önemli İran bağlantılı bireylerin kiminle iletişim kurduğunu ve ne hakkında konuştuklarını bilmek isteyebilir.
Bu nedenle, bu kimlik avı kampanyasının zamanlaması ve hedef aldığı kişiler, belirli bir liste hakkında bilgi toplamak amacıyla bir casusluk kampanyasına işaret edebilir.
Citizen Lab’de güvenlik araştırmacısı ve mobil casusluk uzmanı Gary Miller’a, kimlik avı kodunu ve saldırganın sunucusundaki maruz kalan verileri inceleyip incelemeyeceğini sorduk.
Miller, saldırının “kesinlikle bir IRGC bağlantılı hedefli kimlik avı kampanyası izleri taşıdığını” belirtti. İran’ın İslam Devrim Muhafızları (IRGC) tarafından gerçekleştirilen yüksek hedeflenmiş e-posta saldırılarına atıfta bulunarak, kurbanların uluslararası kapsamı, kimlik bilgilerini çalma, WhatsApp gibi popüler mesajlaşma platformlarının kötüye kullanımı ve sosyal mühendislik tekniklerini işaret eden birçok unsur olduğunu söyledi.
Bu Kampanyanın Mali Motivasyonlu Bir Aktör Olabileceğine Dair İddia
Öte yandan, mali motivasyonlu bir hacker, başka bir yüksek değerli hedefin, örneğin bir şirket yöneticisinin çalınan Gmail parolasını ve iki faktörlü kodunu kullanarak, onların posta kutularından gizli ve özel iş bilgilerini çalabilir. Hacker, aynı zamanda kurbanının kripto para ve banka hesaplarının parolalarını zorla sıfırlayarak cüzdanlarını boşaltabilir.
Ancak, bir mali motivasyonlu aktör için kurbanın konumuna ve cihaz medyasına erişim sağlama odaklanması alışılmadık bir durumdur; bu tür tedbirler, resim ve ses kayıtlarından pek fazla fayda sağlamayabilir.
DomainTools’ta tehdit araştırmacısı Ian Campbell’a kampanyada kullanılan alan adlarını incelemesini ve bunların ne zaman oluşturulduğunu öğrenmesini istedik.
Campbell, kampanyanın İran’daki devam eden ulusal protestolar sırasında kurbanları hedef aldığını belirtirken, altyapısının birkaç hafta önce oluşturulduğunu da vurguladı. Çoğu alan adlarının Kasım 2025’te tescillendiğini ve bir ilişkili alanın da Ağustos 2025’te oluşturulduğunu ifade etti. Campbell, bu alanları orta ila yüksek riskli olarak değerlendirirken, siber suç operasyonuna bağlantılı olduklarını düşündü.
Ayrıca, İran hükümetinin, siber saldırılara karşı kendi dahil olmak istemediği düşüncesi ile vurduğu kazaların çoğunu kriminel hacker gruplarına devrettiği biliniyor. ABD Hazine Bakanlığı, İran’ın IRGC’sinin siber saldırılarda davranışlarını gizlemek için İranlı şirketlere önceki dönemlerde yaptırımlarda bulunmuştu.
Miller’ın dikkat çektiği bir nokta, “Şüpheli WhatsApp bağlantılarına tıklamanın, ne kadar ikna edici olursa olsun, yüksek riskli ve güvensiz bir uygulama olduğunu” vurguluyor.
Bu muhabirle güvenli bir şekilde iletişime geçebilmek için Signal üzerinden: zackwhittaker.1337 kullanıcı adı ile ulaşabilirsiniz.
Lorenzo Franceschi-Bicchierai raporlamaya katkıda bulundu.
