"Webcam'inizi Hackledim, BTC Yollayın": 3 Uykusuz Geceden Sonra Nasıl Kurtuldum
Temel Sonuçlar
Problem
34 yaşında bir muhasebeci, sabah e-postalarına bakarken yıllar önce kullandığı eski şifresini içeren bir tehdit mailine rastladı. Mail netti: "Tüm cihazlarına eriştim, webcam'inden görüntüler aldım. 48 saat içinde 1.500 USD değerinde BTC gönder. Göndermezsen rehberindeki herkese yolluyorum." Tanıdık şifreyi gören müşteri 3 gün boyunca gözüne uyku almadı. BTC nasıl alınır araştırdı. Son onayı vermek üzereydi.
Çözümümüz
Altahonos, 30 dakikalık ücretsiz görüşmede şifrenin 2019 Collection #1 veri sızıntısından geldiğini gösterdi. Mailin milyonlarca kişiye gönderilen otomatik bir bot olduğu kanıtlandı. Hiçbir cihaza erişilmediği, hiçbir görüntü bulunmadığı ortaya kondu. Tüm kritik hesaplara 2FA kuruldu ve 7 günlük sızıntı izleme başlatıldı.
Ne Oldu?
Sıradan bir sabah. Gelen kutusu. Ve orada, mailin ilk satırında: eski bir parola. Kendi parolası. Yıllardır kullanmadığı, neredeyse unuttuğu biri.
Mail devam ediyordu: "Tüm cihazlarına eriştim. Webcam'inden görüntüler aldım. 48 saat içinde 1.500 USD değerinde BTC gönder. Göndermezsen rehberindeki herkese yolluyorum."
34 yaşında bir muhasebeci olan müşterimiz o an dondu. Parola gerçekti. Yıllarca bir hesapta kullanmıştı bu şifreyi. Peki ya mail? Bu da gerçek olabilir miydi?
3 Gün, 0 Uyku
İlk dürtü "sil ve unut" oldu. Ama silerken elini tuttu bir şey: parola. Rastgele bir şifre değildi, gerçekten onun şifresiydi. Belki cidden hacklenmiştik?
Polise gidebilirdi. Ama görüntüler varsa ne olurdu? İş arkadaşları görürse? Ailesi? Muhasebe firmasındaki müşterileri? O panik içinde mantıklı düşünmek neredeyse imkânsızdı. Aklı sürekli aynı soruya dönüyordu: "Gönderirlerse ne olur?"
Geceleri uyuyamadı. Sabahları işe giderken aklının yarısı o maildeydi. Müşterileriyle toplantı yaparken telefona bakıyordu, yeni bir mesaj geldi mi diye. Eşiyle konuşurken cümlesini unutuyordu. Üç gün boyunca bu döngü içinde mahsur kaldı.
O üç günde BTC nasıl alınır araştırdı. Kripto borsası hesabı açtı. Kimlik doğrulaması yaptı. Transfer ekranına geldi. Miktar girildi. Gönder tuşuna 2 tık kalmıştı.
O noktada durdu ve Altahonos'u aradı.
Bu Saldırı Nasıl Çalışır?
Bu tür mailler "sextortion bot-blast" olarak biliniyor. Çalışma prensibi şu: saldırganlar dark web'den milyonlarca e-posta adresi ve eşleşen eski parola satın alıyor. Bu listeler genellikle yıllar önce gerçekleşmiş büyük veri ihlallerinden geliyor. LinkedIn, Adobe, MySpace, sayısız küçük site. Milyarlarca hesap bilgisi bugün hâlâ el altında dolaşıyor.
Saldırgan bu listedeki her kişiye aynı maili gönderiyor. Tek fark, mailin içine o kişinin gerçek parolasını eklemek. Bu küçük dokunuş mesajı kişiselleştirilmiş ve inandırıcı gösteriyor. "Bu kişi gerçekten beni biliyor" hissi yaratıyor.
Gerçekte ise hiçbir cihaza erişilmiyor. Hiçbir görüntü alınmıyor. Saldırgan sadece bir liste, bir şablon ve otomatik gönderim sistemi kullanıyor. Türkiye'den İsveç'e, ABD'den Japonya'ya aynı anda binlerce kişiye ulaşıyor.
Alıcıların büyük çoğunluğu maili siliyor. Küçük bir kısmı ödüyor. Saldırgan için bu oran fazlasıyla yeterli. Çünkü maliyet sıfıra yakın, ödeme anında ve iz bırakmıyor.
30 Dakikada Her Şey Değişti
Görüşmenin ilk 10 dakikasında parolanın nereden geldiğini bulduk: 2019 yılında gerçekleşen Collection #1 veri sızıntısı. Bu sızıntıda 773 milyon e-posta adresi ve milyarlarca parola tek seferde internete düşmüştü. O güne kadar görülen en büyük veri ihlallerinden biriydi. Müşterimizin parolası da bunların arasındaydı. Dark web'de satılan bir listede yıllardır duruyordu.
Şantajcı cihazına hiç dokunmamıştı. Sadece o listeden bir e-posta adresi ve eşleşen parolayı alarak milyonlarca kişiye aynı maili göndermişti. Mail bir blöftü. Tamamen. Hiçbir cihaza erişilmemişti. Hiçbir görüntü alınmamıştı. Görüntü hiçbir zaman var olmamıştı.
Görüşmenin geri kalanında 2FA kurulumu yaptık. Tüm kritik hesaplara iki adımlı doğrulama eklendi. Ardından 7 günlük sızıntı izleme başlattık. Yeni bir tehdit sinyali çıkarsa anında haberdar olacaktı.
Süreç Sona Erdiğinde
Müşterimiz tek kuruş ödemedi. Hiçbir görüntü hiçbir yere gitmedi, çünkü hiç yoktu. Transfer ekranını kapattı, borsadaki parayı geri çekti.
9 ay sonra yaptığımız kontrolde her şey temizdi. Hesaplar güvende, e-posta adresi yeni bir tehditle karşılaşmamış, 2FA aktif.
Aynı Maili Siz de Aldıysanız
Bu mail her gün on binlerce kişiye ulaşıyor. Türkiye'de, Avrupa'da, dünyanın her yerinde. İçinde gerçek bir parola görmek insanı donduruyor ama o parola cihaz erişiminin değil, veri sızıntısının kanıtı. İkisi çok farklı şeyler.
Ne yapmamalısınız? Ödeme yapmayın. Bir kez ödeyenler genellikle ikinci bir taleple karşılaşıyor. "Bu kişi ödüyor" listesine girmiş oluyorsunuz. Panikle karar vermeyin, 48 saatlik süre baskısı gerçek değil, psikolojik bir taktik.
Ne yapmalısınız? Maili silmeyin, ekran görüntüsü alın. haveibeenpwned.com adresine e-posta adresinizi girin, hangi sızıntılarda yer aldığınızı saniyeler içinde görün. O parolayı kullandığınız tüm hesaplarda şifrenizi değiştirin. 2FA kurun.
Aynı maili aldıysanız ödemeden önce 5 dakikanızı ayırın. Gerçek mi blöf mü, birlikte bakalım. Hemen arayın: 0212 909 40 00
“Son onayı vermek üzereydim. Altahonos'u aradım, 30 dakikada her şeyin bir blöf olduğunu anladım. O gece ilk kez uyudum.”— Anonim
Sıkça Sorulan Sorular
Hayır. Eski parolalar veri sızıntılarından elde ediliyor. Milyonlarca kişiye toplu gönderilen bu mailler, içinde tanıdık bir bilgi görerek paniğe kapılmanızı bekliyor. Cihaz erişiminin değil, veri sızıntısının kanıtı.
haveibeenpwned.com adresine e-posta adresinizi girin. Hangi sızıntılarda yer aldığınızı ve hangi parolaların ele geçirildiğini saniyeler içinde görebilirsiniz. Ücretsiz ve güvenli bir araç.
Hayır. Büyük ihtimalle silinecek görüntü de yok. Ödeme yaparsanız "bu işe yarıyor" sinyali vermiş olursunuz, yeni talepler gelir ve miktar artar.
Silmeyin, ekran görüntüsü alın. Şifrenizi değiştirin ve 2FA kurun. Ödeme yapmayın. Emin değilseniz ödemeden önce bizi arayın; 5 dakikada gerçek mi blöf mü anlayabiliriz: 0212 909 40 00
Yazar Hakkında
Altahonos Ekibi
Altahonos Ekibi, siber güvenlik ve çevrimiçi itibar yönetimi alanında uzmanlaşmış profesyonellerden oluşmaktadır. Dijital tehdit azaltma ve içerik kaldırma stratejilerinde kapsamlı deneyime sahip ekibimiz, bireylerin ve işletmelerin dijital varlıklarını korumalarına yardımcı olmaktadır.