2020 yılında, birinin WhatsApp uygulamanızı ne kadar kolay ele geçirebileceğini gösterdikten sonra etik olarak yanlış bulduğumdan insanların hesaplarını ele geçirmekten uzak durdum. Sokağa çıkma kısıtlamaları olsun ya da olmasın, bu durum kendi hesaplarınızı ele geçirmekten farklı. Ancak yavaş yavaş insanlarla tekrar bir araya gelmeye başladığımız bu günlerde hiçbir şeyden şüphelenmeyen kurbanların (yani arkadaşlarım) üzerinde eski numaralarımı denemenin ve iyi bilinen uygulamalarda hala işe yarayıp yaramadıklarını görmenin eğlenceli olacağını düşündüm. Bu numaraların halen ne kadar kolay işe yaradığına çok şaşırdım.
Geçtiğimiz günlerde Apple App Store’da en popüler 10 ücretsiz uygulamayı inceledim ve birinin hesabını ele geçirip geçiremeyeceğimi görmek için bir uygulamayı ele almaya karar verdim. Bu deneyler bunun ne kadar kolay başarılabileceğini göstermenin yanı sıra tüm hesaplarınızın güvende olmasını sağlamak için uygulayabileceğiniz önlemleri göstermek için de bir fırsattır.
Hedef kitlesi 18-24 yaş arasındaki kişiler olduğu için (kullanıcılarının birçoğunun daha küçük yaşlarda olduğunun düşünülmesine rağmen) Snapchat dikkatimi çekti. Hayatlarının ilk yıllarından beri teknolojiyle büyüyen ilk kuşak olduklarından Z kuşağı genel olarak “teknoloji düşkünü” olarak görülüyor.
Ancak bu kuşak iki faktörlü kimlik doğrulama kullanma ve arkadaşlarıyla parolalarını paylaşmama gibi birçok güvenlik önlemi konusunda pek hassas değil. Dolayısıyla uygulamadaki güvenliğin nasıl olduğunu ve WhatsApp’la kıyaslandığında ne kadar kolay ele geçirilebileceğini görmek istedim.
Bu sefer “omuz üzerinden sinsice izleme” denen, yani benim “omuz üzerinden bakarak korsanlık” dediğim bir tekniği kullandım. Bu teknikte parolalar, PIN kodları veya onay kodları gibi hassas bilgilerinizi çalmak isteyen bir kişi omzunuzun üzerinden bakar. Bu basit ama etkili teknik, sosyal medya ve diğer hesaplar için büyük bir tehdittir ancak Snapchat hesabınızı ele geçirmek için de kullanılabilir mi?
Deney
Benim bir Snapchat hesabım yok ancak birçok arkadaşımın var. Test etmek için bir hesaba ihtiyacım vardı ve tabii ki öncelikle iş arkadaşlarımdan izin istedim. “Elle” olarak bahsedeceğim arkadaşım tezimle gerçekten ilgilendi ve siber farkındalığı artırmak adına gönüllü olarak Snapchat hesabını ele geçirmeye çalışmama izin verdi. Tabii ki başarılı olursam, hesabından hiçbir şey paylaşmamam koşuluyla!
Hesabını ele geçirme teşebbüsümün ve işbirliğinin karşılığında Elle’i yemeğe davet ettim ve birkaç arkadaş Bournemouth’ta öğle yemeğine gittik. Masada Elle’in yanında oturuyordum ve birlikte sohbet etmenin yanı sıra telefonlarımızla da ilgileniyorduk. Daha önce telefonuma Snapchat yüklemiş ancak henüz bir hesap oluşturmamış veya giriş yapmamıştım. Telefonumda uygulamayı açtım ve giriş yapmak için aşağıdaki ekranı görüntüledim. Orta kısımda bilgisayar korsanlarının en sevdiği bağlantı olan “Parolamı unuttum” öğesi bulunuyordu.
Bu bağlantı, bir hesabı ele geçirmeye çalışanların güvenliği ve olası giriş yöntemlerini test etmek için kullandıkları ilk adımdır. “Parolamı unuttum” öğesine tıkladım ve uygulama bana parolamı sıfırlamak için hangi yöntemi kullanmak istediğimi sordu. “telefon yoluyla mı veya e-posta yoluyla mı?” seçenekleri vardı. Telefon yoluyla seçeneğini tercih ettim, dolayısıyla uygulama telefon numaramı girmemi istedi.
Elle masada hala telefonuyla ilgileniyordu ve onun telefon numarasını girerek devam ettim. Onay kodunu “omzunun üstünden görmek” için sabırsızlıkla yanında bekledim. Bir mesajlaşma sırasında telefonuna bakarken, Apple iPhone ekranının üst kısmındaki açılır bildirimle onay kodu geldi; altı haneli numarayı hızlıca okudum ve ezberledim.
Bu noktada yaptığımı anlayacağını düşünmüştüm, ancak bildirimi göz ardı etti ve arkadaşıyla mesajlaşmaya devam etti. Aslında daha sonra ne yaptığımı ona anlattığımda, “çok fazla bildirim geldiğinden ve bu bildirimler birbirine karıştığından” Snapchat’ten gelen mesajı fark bile etmediğini söyledi.
Gelen onay kodunu telefonuma girdim ve uygulama hemen benden yeni parola girmemi istedi. Daha sonra arkadaşım hesabını geri almak için kullanacağından “JakeHarikaBiridir.1” parolasının iyi bir seçim olduğuna karar verdim. Bu noktada daha önce WhatsApp ile ilgili yaptığım deneyimde olduğu gibi birinin hesabını ele geçirmek oldukça kolay göründü, ancak hesabı tamamen ele geçirmek için Snapchat’in fazladan bir katmanı daha bulunuyordu.
Bir parola istememesine rağmen (tahminen e-posta ve kullanıcı adı olmadan hesap oluşturulabildiğinden), bu fazladan güvenlik katmanı arkadaşımın telefonuna kısa mesaj yoluyla başka bir onay kodu daha yolladı. Bunu beklemiyordum ama yine de Elle telefonuna bakarken o fark etmeden gelen kısa mesajı görmeyi başardım. Bu kod sayesinde uygulamaya girmeyi başardım ve uygulamanın tüm kontrolünü ele geçirdim; hatta arkadaşımın telefonundaki uygulamayı kilitledim.
Hiçbir şey yayınlamayacağıma ve arkadaşlarıyla iletişime geçmeyeceğime söz vermiştim, ancak tezimin işe yaradığını kanıtladım. Yalnızca arkadaşımın telefon numarasını bilerek ve omzunun üzerinden telefonunu görebilecek bir mesafede oturarak bunu kolaylıkla başardım. Yakınlarında bulunan birilerinin hesaplarını ele geçirmek istemesi durumunda Snapchat kullanıcıları hesaplarının risk altında olduğu konusunda dikkatli olmalıdır; hesapları fidye istemek için dahi kullanılabilir.
Hatta konuyu daha ayrıntılı ele aldığımızda, bu saldırının uzaktan da manipülatif bir sosyal mühendis tarafından gerçekleştirilebileceğini ve kişileri arayarak onay kodlarını paylaşmak üzere onları ikna edebileceğini varsayabiliriz. Bu durumla gittikçe daha sık karşılaşıyoruz ve insanların daha dikkatli davranması gerekiyor.
Yalnızca e-postayla yoluyla doğrulama seçeneği bulunsaydı, bu deneyin başarılı olması neredeyse mümkün değildi. Bu durumda Elle’in ona gönderilen e-postaya ve e-postada yer alan bağlantıya tıklamasına ihtiyacım olacaktı. Sanırım her ikisini de yapmazdı. Şifresiz bir mesajlaşma hizmeti yoluyla gönderilen ve telefonun bildirim panosunda beliren bir kod kullanan Snapchat’in parola kurtarma mekanizması, suistimal edilmesi kolay bir saldırı vektörüne olanak tanıyor.
Snapchat hesabınızı nasıl geri alabilirsiniz?
Maalesef çalınan bir Snapchat hesabını geri almak her zaman kolay değildir. Her şey bilgisayar korsanının yaptığı değişikliklere bağlıdır. Bilgisayar korsanı yalnızca parolayı değiştirdiyse, yukarıda bahsettiğim adımları izleyerek hesabınızı geri alabilirsiniz.
Ancak telefon numarasını, e-posta adresini değiştirdiyse veya iki faktörlü kimlik doğrulama eklediyse seçenekler sınırlıdır ve birçok sosyal medya uygulamasında olduğu gibi bu şirketlerle iletişime geçmek ve bu saldırıyla ilgili yardımda bulunmalarını sağlamak zordur. Hesabınız ihlale uğradığında Snapchat size bunu yapmanızı tavsiye eder.
Snapchat hesabınızı nasıl güvende tutabilirsiniz?
Güçlü ve benzersiz bir parola ifadesi (tüm çevrimiçi hesaplarınızda kullanmalısınız) kullanmanın yanı sıra Snapchat ayarlarından iki faktörlü kimlik doğrulamayı açmalısınız. Ayrıca bu seçeneğin bulunduğu tüm uygulamalarda da bunu yapmalısınız. Snapchat uygulamasında Ayarlar bölümüne girin ve İki Faktörlü Kimlik Doğrulaması ayarını bulun. SMS tabanlı 2FA kullanmanın yanı sıra Microsoft Authenticator veya Google Authenticator gibi kimlik doğrulama uygulaması kullanmak oldukça faydalıdır.
Snapchat hesabınız olmasa bile hesabı olan birilerini tanıyor olabilirsiniz. Lütfen Snapchat kullanan arkadaşlarınızı “Snap Korsanlığı” hakkında uyarın ve bu tavsiyeleri tüm çevrimiçi hesaplarında uygulamaları için teşvik edin.
Özellikle kalabalık alanlarda, bir uygulamaya veya internet sitesine hassas bilgilerinizi girerken başkalarının ekranınızı görmesini engelleyerek omuz üzerinden sinsice izlemelerinden kaçınabilirsiniz. Ayrıca, bildirimlerin önizlemesini kapattığınızdan emin olun, bu sayede telefonunuz kilitliyken gelen bildirimleri meraklı gözlerden koruyabilirsiniz. Ayrıca, etrafınızda başkaları varken telefonunuzu veya tabletinizi kullanıyorsanız kısa mesajlarınızı mutlaka takip edin. Bunu yapsaydı Elle de benim Snapchat hesabı saldırımı engelleyebilirdi.