Son yılların yükselen uygulaması WhatsApp, iki milyara ulaşan kullanıcı sayısıyla neredeyse her telefonda yüklü. Mesajlar şifrelenmiş aktarılıyor, yani özel konuşma doğrudan okunamaz. Ama yine de hesap ele geçirilebilir mi? Siber güvenlik kuruluşu ESET’ten Güvenlik Uzmanı Jake Moore, durumu test etmeye karar verdi ve WhatsApp hesabını daha iyi korumanın yollarını paylaştı.
Belki takip etmişsinizdir, hem Amazon hem de Washington Post gazetesinin sahibi olan Jeff Bezos’un telefonu bu yılın Ocak ayında WhatsApp üzerinden gönderilen kötü amaçlı bir video ile ele geçirildi. Bu olay, siber saldırganların her zaman her durumda tetikte olduğunu bir kez daha hatırlattı.
Aslında WhatsApp oldukça korunaklı görünüyor. Mesajlar zaten şifrelenmiş, yani birileri bu özel konuşmaları doğrudan okuyamaz, ama başka bir yolu var mı? WhatsApp mesajının şifreleme anahtarı, konuşmada kullanılan her iki cihazda da saklanır. Bu yüzden mesajları okumak isteyenin cihazlardan en az birini ele geçirmesi gerekir.
Peki, birinin hesabını ele geçirmek için sadece telefon numarasını bilmeniz yeterli ise ne olur? ESET Güvenlik Uzmanı Jake Moore, bir sosyal mühendislik denemesi yaparak durumu test etmeye karar verdi:
Önce sorundan bahsedelim
Yeni bir telefon satın aldığınızda önceki telefonda olan tüm uygulamalarınızı ve ayarlarınızı yedekten tekrar yüklersiniz. WhatsApp yedeklerini yüklemek için bir telefon numarasına gönderilen koda ihtiyacınız vardır. Bu kod (genellikle uygulamayı yüklediğiniz cihaza gönderilir) telefonu doğrular ve sohbetlerinizi geri yüklersiniz. Mesajların yedeğini de aldıysanız, bu mesajlar cihazı en son yedeklediğiniz zamana kadar geri gelir; değilse, görüştüğünüz kişilerin ve grupların adları mesajlar olmadan gösterilir.
Olası bir kusur fark ettiğimiz yer burası. Telefona gönderilen kodu alırsam başka birinin WhatsApp hesabını yeni bir cihazda kurabilir miyim?
Hipotezimi, meslektaşlarımdan biriyle test etmeye karar verdim. Son zamanlardaki konuşmalarımızda, WhatsApp sohbetlerini yedeklemenin iyi bir fikir olduğundan bahsettim. Önceki mesajlarını kaybetmesini istemem. Birkaç gün sonra yeni bir telefon kullanarak uygulamayı indirdim. WhatsApp yüklendiği cihazı doğrulamak için telefon numaramı istedi.
Arkadaşım kahve yapmak için masasından ayrılıp telefonunu bıraktığında ben de telefon numarasını yeni WhatsApp hesabıma girdim. Telefonuna anında bir mesaj geldi ve ben de masasının yanından geçerken şöyle bir bakarak kodu zihnime yazdım. Yeni telefonumdaki WhatsApp'ın doğrulama alanına kodu yazdım... ve sonuç... hesabının kontrolü artık bende.
Sonra itiraf etmeye karar verdim ve arkadaşıma olanları anlattım. Hesabının bu kadar kolay ele geçirildiğine inanamadı. Birçok insanın telefonlarını ortalıkta bıraktığını hatta halka açık yerlerde bile önemsemediğini düşündük. Elbette hesabını geri verdim ve alabileceği önlemleri anlattım.
Peki nasıl güvende kalırsınız?
Öncelikle, SMS mesajlarınızdaki ön izlemeleri kapatmalısınız. Bu çok basit görünebilir, ancak birçok kişi mesajlara daha hızlı bakmanın rahatlığını seviyor. Kullanıcılar iki aşamalı doğrulamayı (çift faktörlü koruma) uygulama olmadan kullandıklarında, SMS ile gönderilen kodları almayı tercih ederler. Ancak bu mesajlar kilitli bir ekranda görüntülenebilirler ve telefonlarını başı boş bırakan bir kullanıcı için anlamsızdırlar.
Telefonunuzu başı boş bırakmayın
Bu nedenle ikinci önerim; telefonunuzu veya herhangi bir cihazınızı başı boş bırakmayın. Bir çok insanın telefonlarını masanın üzerinde bırakarak uykuya daldığını ya da telefonlarını yabancılarla bırakarak tuvalete gittiğine şahit oldum. Birinin bu saldırı vektörünü deneyebileceğini unutmayın ve cihazınızı yalnız bırakmayın.
Son olarak, hesabınızı korumanın daha iyi bir yolu var ve hemen uygulayabilirsiniz. WhatsApp birkaç yıl önce kendi çift faktörlü korumasını oluşturdu; uygulaması kolay ve bu tür saldırıları önler. Aşağıda nasıl yapılacağını anlattım, uygulamayı hemen açın ve kurun!
WhatsApp'ta iki adımlı doğrulama nasıl kurulur?
Uygulama açıkken Ayarlar/Hesap/İki Adımlı Doğrulama'ya gidin ve Etkinleştir'i tıklayın.
Ardından, unutmayacağınız altı haneli bir kod girin.
Daha sonra ekstra bir önlem olarak e-posta adresinizi girin.
Son olarak telefonunuzda ayarlanan iki aşamalı doğrulamanın onayını göreceksiniz. Artık birinin hesabınızı ele geçirmesi veya mesajlarınızı başka bir cihaza aktarması çok daha zor olacaktır.
Artık WhatsApp'ı açtığınızda zaman zaman PIN girmeniz istenecektir. PIN uygulamayı her açtığınızda istenmez, bu nedenle bir rahatsızlık vermemeli.
Bununla birlikte, teknolojinin keyfini güvenle çıkarabilmeniz için sizi daha hazırlıklı hale getirecektir.
Konuyla ilgili makaleyi buradan da takip edebilirsiniz:
https://www.eset.com/tr/blog/hey-oradaki-whatsapp-mi-kullaniyorsun-hesabin-hacklenebilir/
https://www.welivesecurity.com/2020/04/20/hey-there-using-whatsapp-your-account-hackable/