Jeff Bezos'un telefonu WhatsApp üzerinden gönderilen kötü amaçlı bir video ile ele geçirildikten sonra, umarım hepiniz kendi telefon güvenliğinizi düşünmüş ve ne kadar kolay hacklenebileceğinizi fark etmişsinizdir. İki milyar WhatsApp'ın kullanıcısının siber suçlulardan korunması için yeterince araç, ipucu ve püf noktası var. Fakat unutmamamız gereken gerçek şu ki bir saldırgan kafasına koyarsa kendimizi koruyup saldırganın iyi korunmayan başka biriyle uğraşmaya başlaması dışında yapabileceğimiz çok az şey var.
Konu WhatsApp'a gelince, hesabımızı korumak için yapabileceğimiz başka bir şey var mı? Mesajlar zaten şifrelenmiş, yani birileri bu özel konuşmaları doğrudan okuyamazlar, ama başka bir yolu var mı? WhatsApp mesajının şifreleme anahtarı konuşmada kullanılan her iki cihazda da saklanır. Bu yüzden mesajları okumak isteyenin cihazlardan en az birini ele geçirmesi gerekir.
Bu noktada bir çok okuyucu cihazlarını PIN veya biyometrik iz ile koruduğunu söyleyecektir. Peki, birinin hesabını ele geçirmek için sadece telefon numarasını bilmeniz yeterli ise ne olur? Evet bu mümkün ve hatta korkutucu derecede kolaydır. Ancak bunu önlemenin ve hesabınızı korumanın yolları da var. Bunları makalenin sonunda açıklayacağım.
Önce sorundan bahsedelim.
Yeni bir telefon satın aldığınızda önceki telefonda olan tüm uygulamalarınızı ve ayarlarınızı yedekten tekrar yüklersiniz. WhatsApp yedeklerini yüklemek için bir telefon numarasına gönderilen koda ihtiyacınız vardır. Bu kod (genellikle uygulamayı yüklediğiniz cihaza gönderilir) telefonu doğrular ve sohbetlerinizi geri yüklersiniz. Mesajların yedeğini de aldıysanız, bu mesajlar cihazı en son yedeklediğiniz zamana kadar geri gelir; değilse, görüştüğünüz kişilerin ve grupların adları mesajlar olmadan gösterilir.
Olası bir kusur fark ettiğimiz yer burası. Telefona gönderilen kodu alırsam başka birinin WhatsApp hesabını yeni bir cihazda kurabilir miyim?
Hipotezimi geçen hafta meslektaşlarımdan biriyle test etmeye karar verdim. (Sosyal mühendislik denemelerimin kurbanı olmaktan mutlu olan bir arkadaşım) Not: Bunu açıkça önceden izin vermemiş kimse üzerinde test etmeyin!
Son zamanlardaki konuşmalarımızda, WhatsApp sohbetlerini yedeklemenin iyi bir fikir olduğundan bahsettim. Önceki mesajlarını kaybetmesini istemem. Birkaç gün sonra yeni bir telefon kullanarak uygulamayı indirdim. WhatsApp yüklendiği cihazı doğrulamak için telefon numaramı istedi.
Arkadaşım kahve yapmak için masasından ayrılıp telefonunu bıraktığında ben de telefon numarasını yeni WhatsApp hesabıma girdim. Telefonuna anında bir mesaj geldi ve ben de masasının yanından geçerken şöyle bir bakarak kodu zihnime yazdım. Yeni telefonumdaki WhatsApp'ın doğrulama alanına kodu yazdım... ve sonuç... hesabının kontrolü artık bende.
Uygulamada tüm sohbetlerini görebiliyordum ama mesajların içeriği yoktu. Testimizi bir sonraki seviyeye taşımak için bir sohbet buldum ve "Merhaba!" diye bir mesaj gönderdim. Gruptaki hiç şüphelenmeyen arkadaşlarından bir sürü yanıt geldi.
Arkadaşım kahvesiyle masasına döndüğünde, benim onun arkadaşları ile sohbet ettiğimin farkında değildi. Bir süre sonra telefonuna bakıp "Garip, WhatsApp'dan mesaj gelmiş" dedi. Onun merakını fark ettim ama sonra ne oldu? Sadece gelen mesajı silmekle yetindi, üstünde durmadı.
Sonra itiraf etmeye karar verdim ve ona olanları anlattım. Hesabının bu kadar kolay ele geçirildiğine inanamadı. Birçok insanın telefonlarını ortalıkta bıraktığını hatta restoran ve barlar gibi halka açık yerlerde bile önemsemediğini düşündük. Tabi ki kızın hesabını geri verdim ve alabileceği önlemleri anlattım.
Peki nasıl güvende kalırsınız?
Öncelikle, SMS mesajlarınızdaki ön izlemeleri kapatmalısınız. Bu çok basit görünebilir, ancak birçok kişi mesajlara daha hızlı bakmanın rahatlığını seviyor. İnsanlar iki aşamalı doğrulamayı (iki aşamalı kimlik doğrulama olarak da bilinir) uygulama olmadan kullandıklarında, SMS ile gönderilen kodları almayı tercih ederler. Ancak bu mesajlar kilitli bir ekranda görüntülenebilirler ve telefonlarını başı boş bırakan bir kullanıcı için anlamsızdırlar.
Bu nedenle ikinci önerim; telefonunuzu veya herhangi bir cihazınızı başı boş bırakmayın. Bir çok insanın telefonlarını masanın üzerinde bırakarak uykuya daldığını ya da telefonlarını yabancılarla bırakarak tuvalete gittiğine şahit oldum. Dahası, şirketlerde birçok insan çalışıyor. İş arkadaşlarınıza güvenseniz bile başka birinin bu saldırı vektörünü deneyebileceğini unutmayın ve cihazınızı yalnız bırakmayın.
Son olarak, hesabınızı korumanın daha iyi bir yolu var ve hemen uygulayabilirsiniz. WhatsApp birkaç yıl önce kendi iki adımlı doğrulamasını oluşturdu; uygulaması kolay ve bu tür saldırıları önler. Aşağıda nasıl yapılacağını anlattım, uygulamayı hemen açın ve kurun!
WhatsApp'ta iki adımlı doğrulama nasıl kurulur?
Uygulama açıkken Ayarlar/Hesap/İki Adımlı Doğrulama'ya gidin ve Etkinleştir'i tıklayın .
Ardından, unutmayacağınız altı haneli bir kod girin.
Daha sonra ekstra bir önlem olarak e-posta adresinizi girin.
Son olarak telefonunuzda ayarlanan iki aşamalı doğrulamanın onayını göreceksiniz. Artık birinin hesabınızı ele geçirmesi veya mesajlarınızı başka bir cihaza aktarması çok daha zor olacaktır.
Artık WhatsApp'ı açtığınızda zaman zaman PIN girmeniz istenecektir. PIN uygulamayı her açtığınızda istenmez, bu nedenle bir rahatsızlık vermemeli.
Bununla birlikte, teknolojinin keyfini güvenle çıkarabilmeniz için sizi daha hazırlıklı hale getirecektir.