WhatsApp uçtan uca şifreleme sunsa da kullanıcıların sosyal mühendislik, operatör zafiyeti ve kötü amaçlı yazılımlara karşı savunması zayıfsa hesaplar ele geçirilebiliyor. Aşağıda saldırı teknikleri özetleniyor ve her birine karşı uygulanabilecek koruyucu adımlar sıralanıyor.
1. SIM TAKASI (SIM SWAPPİNG) — OPERATÖR ÜZERİNDEN ELE GEÇİRME
Saldırganlar kullanıcıyı taklit ederek telefon numarasını başka bir SIM’e aktarabilir; böylece SMS ya da arama ile gönderilen doğrulama kodlarına erişirler.
Nasıl korunulur: Operatörünüzde taşıma/işlem için ek güvenlik (operatör PIN’i veya ek doğrulama) talep edin; telefon numarasıyla ilişkili hesaplarda güçlü, benzersiz parolalar kullanın.
2. SOSYAL MÜHENDİSLİK VE KİMLİK AVI
Dolandırıcılar arkadaş, kurum ya da destek ekibi kimliği taklidiyle doğrulama kodunu paylaşmanızı ister. WhatsApp hiçbir zaman kodu sizden talep etmez.
Nasıl korunulur: Hiçbir koşulda SMS/arama ile gelen doğrulama kodunu paylaşmayın; acilmiş gibi görünen talepleri doğrulamadan cevaplamayın.
3. ÇAĞRI YÖNLENDİRME VE ARAMA İSTİSMARI
Kötü niyetliler, yönlendirme veya arama ayarlarını manipüle ederek doğrulama çağrılarını kendi hatlarına yönlendirebilir.
Nasıl korunulur: Operatörünüzün arama yönlendirme ayarlarını periyodik kontrol edin; bilinç dışı kod çevirme veya yönlendirme taleplerine itibar etmeyin.
4. SAHTE QR KODLARI (QUİSHİNG) — WHATSAPP WEB TUZAKLARI
Sahte web sayfalarına yönlendiren QR kodları tarandığında saldırganlar WhatsApp Web oturumunu ele geçirebilir.
Nasıl korunulur: Sadece resmi WhatsApp Web adresini kullanın; tanımadığınız kaynaklardan gelen QR kodları taramayın; Ayarlar > Bağlantılı Cihazlar menüsünden bağlı oturumları düzenli kontrol edin ve tanımadığınız cihazları oturumdan çıkarın.
5. KÖTÜ AMAÇLI UYGULAMALAR VE CASUS YAZILIMLAR
Resmi olmayan kaynaklardan yüklenen uygulamalar, Truva atları veya gelişmiş casus yazılımlar cihazınızı ele geçirip mesaj ve kodlara ulaşabilir.
Nasıl korunulur: Uygulamaları yalnızca resmi mağazalardan indirin; işletim sistemi ve uygulamaları güncel tutun; güvenilir bir mobil güvenlik yazılımı kullanın.
6. SESLİ POSTA (VOİCEMAİL) İSTİSMARI
Doğrulama kodları sesli mesaja bırakılıyorsa, zayıf/varsayılan sesli posta PIN’leri ele geçirildiğinde kodlar dinlenebilir.
Nasıl korunulur: Operatörünüzde sesli posta için güçlü, benzersiz bir PIN/şifre belirleyin; varsayılan PIN’leri mutlaka değiştirin.
7. BAĞLANTILI META HESAPLARININ (FACEBOOK/INSTAGRAM) KÖTÜYE KULLANIMI
Bağlı hesaplar üzerinden kimlik avı veya otomatik davetlerle zararlı içerik yayılarak kullanıcı yönlendirilebilir.
Nasıl korunulur: Meta ekosistemindeki tüm hesaplarda güçlü parolalar ve iki faktörlü kimlik doğrulamayı etkinleştirin; şüpheli bağlantılara tıklamayın.
GENEL KORUNMA REHBERİ — HIZLI KONTROL LİSTESİ
- İki faktörlü doğrulama (2FA/PIN): WhatsApp’ta PIN’li ikincil doğrulamayı aktif edin.
- Kodları asla paylaşmayın. WhatsApp doğrulama kodunu kimse istemez.
- Cihaz listesini düzenli kontrol edin. Bilinmeyen oturumları kapatın.
- Operatör güvenliği: Taşıma ve sesli mesaj için ek doğrulama talepleri oluşturun.
- Güncellemeler ve uygulama kaynakları: Sistem ve uygulamaları güncel tutun; resmi mağazaları kullanın.
- Şüpheli QR/bağlantılara dikkat: E-posta, SMS veya sosyal medyadaki şüpheli QR/URL’leri taramayın.