Rusya destekli siber saldırganlar, hükümet yetkilileri, askeri personel ve gazetecileri hedefleyen devam eden bir Signal ve WhatsApp oltalama kampanyası ile ilişkilendirilmiş durumdadır. Hollanda Savunma İstihbarat ve Güvenlik Servisi (MIVD) ve Hollanda Genel İstihbarat ve Güvenlik Servisi (AIVD) tarafından doğrulanan bu saldırılar, Hollanda hükümeti çalışanlarını maksatlı olarak hedef almıştır.
Saldırı Nasıl Çalışıyor?
Hollanda istihbarat ajansları, bu operasyonun, yasadışı hesap ele geçirme ve yeni mesajları gizlice izleme amacıyla meşru kimlik doğrulama özelliklerini kötüye kullanan oltalama ve sosyal mühendislik tekniklerine dayandığını belirtmektedir. Signal, kullanıcıları hedef alan bu oltalama saldırılarına karşı dikkatli olmaya çağırmıştır.
Signal, sosyal medyada paylaştığı bilgilendirmede, “Son günlerde, bazı Signal kullanıcılarının, hükümet yetkilileri ve gazeteciler dahil olmak üzere, hedef alınan oltalama saldırıları nedeniyle hesaplarının ele geçirildiğinin raporlarını aldık,” demiştir. Bu tür saldırıların, kullanıcıları bilgi paylaşmaya ikna eden karmaşık oltalama kampanyaları aracılığıyla gerçekleştirildiği vurgulanmıştır.
Oltalama Mesajları Signal Destek Görüşmesi Taklidi Yapıyor
Saldırıların birincil yöntemlerinden biri, “Signal Güvenlik Destek Chatbotu”nun taklit edilmesidir. Bu chatbot, kullanıcının hesabında şüpheli faaliyetlerin tespit edildiğini bildirir ve kullanıcıya bir “doğrulama prosedürü” tamamlaması için SMS ile gönderilen doğrulama kodunu paylaşmalarını ister.
Örnek bir oltalama mesajı şu şekildedir: “Cihazınızda şüpheli bir faaliyet tespit ettik; bu durum veri sızıntısına yol açabilir. Bu durumu önlemek için doğrulama prosedüründen geçmelisiniz ve doğrulama kodunu Signal Güvenlik Destek Chatbotuna girmeniz gerekiyor.”
Kurban, SMS doğrulama kodunu ve Signal PIN’ini sağladığında, saldırganlar hesabın tam kontrolünü ele geçirebilirler.
Saldırganlar, bir hesabın ele geçirilmesi durumunda, o hesaba bağlı telefon numarasını da değiştirebilir. Bu, kurbanın kişi listesini ve alınan mesajları inceleme imkanı tanır. Saldırganlar ayrıca, ele geçirilen hesap aracılığıyla kurbanın yerine mesaj gönderebilirler.
Signal’ın sohbet geçmişini yerel olarak cihazda saklaması nedeniyle, kurbanlar yeni bir hesap kaydettiklerinde eski mesajlarına yeniden erişebilirler. Bu durum, kurbanların hiç bir şeyin yanlış olduğunu düşünmelerine yol açabilir.
Etkilenen Sistemler
Hedefte olan sistemler arasında, Signal ve WhatsApp uygulamaları bulunmaktadır. Saldırganlar, kullanıcıların hesaplarını ele geçirmek için cihaz bağlama işlevselliğini kötüye kullanmışlardır.
Saldırganların kurbanlara göndermiş olduğu zararlı QR kodları veya bağlantılar, genellikle bir sohbet grubuna katılma veya başka bir kullanıcı ile bağlantı kurma daveti şeklinde görünmektedir. Kurban bu kodu taradığında veya bağlantıya tıkladığında, saldırganın cihazı kurbanın hesabına bağlanmaktadır.
Signal ve WhatsApp, kullanıcıların cihazları arasında bağlantı kurmalarını sağlayan bir linked device özelliği sunmaktadır. Bu özellik, yeni cihazların mesajlarına erişimini ve senkronizasyonunu sağlamak için ana mobil cihazdan oluşturulan bir QR kodunun taranması ile gerçekleştirilir.
Çözüm ve Korunma
Hollanda istihbarat ajansları, kullanıcılara mesajlaşma uygulamaları üzerinden hassas veya sınıflandırılmış bilgilerin paylaşılmamasını önermektedir. Ayrıca, kullanıcıların Signal ve WhatsApp hesaplarındaki bağlı cihazların listelerini kontrol etmeleri ve tanımadıkları cihazları hemen kaldırmaları gerektiği vurgulanmıştır.
- Şifrelerinizi güçlü ve karmaşık tutun.
- SMS doğrulama kodlarınızı veya PIN’inizi kimseyle paylaşmayın.
- Tanımadığınız bağlantılara veya QR kodlarına tıklamaktan kaçının.
- Sıfırlamadan önce bağlantılı cihaz listesine göz atın ve tanımadığınız cihazları kaldırın.
Bu tür mesajlaşma uygulama oltalama kampanyaları artık yeni değil. Geçtiğimiz yıl, Google, Rus tehdit aktörlerinin Signal kullanıcılarını hedef aldığını bildirmişti. Bu saldırılar, kullanıcıların iletişimlerine erişim sağlamak için cihaz bağlama gibi özelliklerin kötüye kullanılmasıyla gerçekleştirilmiştir.
Sonuç olarak, kullanıcılara önerimiz, kullandıkları tüm uygulamaları güncellemeleri, gizlilik ayarlarını kontrol etmeleri ve gerektiğinde cihazlarını kapatmalarıdır.
