FBI, Rus istihbarat servislerinin (RIS) yüksek riskli Signal kullanıcılarının yedekleme kurtarma anahtarlarını ele geçirmek için hedefli bir kimlik avı (phishing) kampanyası yürüttüğünü duyurdu. 26 Haziran'da yayımlanan kamu hizmeti duyurusunda (PSA), Rus Federal Güvenlik Servisi (FSB) ajanları ve askeri hackerlar da dahil olmak üzere birden fazla casusluk grubunun bu operasyonda yer aldığı belirtildi. Hedefler arasında ABD ve uluslararası hükümet yetkilileri, askeri personel, siyasi figürler, gazeteciler ve Ukraynalı yetkililer bulunuyor.
PSA'da ticari mesajlaşma uygulamaları (CMA) genel olarak anılsa da, belgede yer alan iki örnek phishing mesajı da doğrudan Signal ile ilgili. FBI, RIS siber tehdit aktörlerinin kendilerini otomatik CMA destek hesapları gibi göstererek güncellenmiş phishing mesajları gönderdiğini ve mağdurların yedekleme kurtarma anahtarlarını (backup recovery keys) ele geçirmeye çalıştığını vurguladı. Ayrıca doğrulama kodları ve hesap PIN'lerinin de hâlâ hedeflendiği belirtildi.
FBI'a göre, bir kullanıcı mesajlarını yedeklerse ve ardından yedekleme kurtarma anahtarını paylaşırsa, saldırganlar hesabın geçmiş mesajlarına, özel ve grup mesajlarına erişebilir ve hatta hesabı tamamen ele geçirebilir. Daha da önemlisi, aynı telefon numarasıyla yeni bir hesap oluşturulsa bile, paylaşılan kurtarma anahtarı geçerliliğini korur ve bu da yeni hesabı riske atar. FBI, bu riski azaltmak için kullanıcıların Ayarlar menüsünden yeni bir yedekleme kurtarma anahtarı oluşturmalarını önerdi. Ancak bu işlem, saldırganın daha önce yedeklenmiş verileri indirmesini engellemez.
Nasıl Önlem Alınmalı?
Rus kampanyası ilk olarak Mart 2026'da Hollanda İç İstihbarat Servisi (AIVD) ve Askeri İstihbarat Servisi (MIVD) tarafından ortaya çıkarıldı. O tarihte Hollandalı hükümet çalışanlarının Signal ve WhatsApp hesaplarını hedef alan bir saldırı kampanyasında mağdur oldukları bildirilmişti. Mağdurlar genellikle bir Signal sohbet robotundan (chatbot) geldiği iddia edilen ve PIN veya doğrulama kodu isteyen sahte mesajlar alıyordu. Bir başka varyasyonda ise hackerlar, daha önce Ukraynalı yetkililere yönelik kampanyalarda olduğu gibi, bağlı cihazlar (linked devices) özelliğini kötüye kullanmaya çalışıyordu.
FBI, kullanıcıların korunması için bir dizi uyarıda bulundu: CMA destek hizmetleri kullanıcılarla yalnızca resmi şirket e-posta adresleri aracılığıyla iletişim kurar. Meşru CMA destek hizmetleri, uygulama içinde doğrulama kodu talep etmez. CMA destek hizmetleri, hesapları 'doğrulamak' veya 'geri yüklemek' için kullanıcılara bağlantı göndermez. Kullanıcılar, talebin meşru bir CMA iletişim kanalından geldiğini teyit etmeden asla doğrulama kodu vermemelidir.
Bu tür saldırılara karşı alınabilecek ek önlemler arasında iki faktörlü kimlik doğrulamayı etkinleştirmek, şifreleme anahtarlarını düzenli olarak değiştirmek ve bilinmeyen kaynaklardan gelen mesajlara karşı dikkatli olmak yer alıyor. Signal kullanıcıları, uygulama içi güvenlik ayarlarını kontrol ederek yedekleme kurtarma anahtarlarını sıfırlayabilir ve böylece önceki anahtarların geçersiz kılınmasını sağlayabilir. Ayrıca, şüpheli mesajları doğrudan Signal'e bildirmek de önemli bir adım.
FBI'ın bu uyarısı, özellikle Ukrayna savaşı bağlamında Rus istihbaratının siber casusluk faaliyetlerinin ne kadar sofistike hale geldiğini gösteriyor. Hedefli saldırılar, yalnızca bireysel kullanıcıları değil, aynı zamanda ulusal güvenliği de tehdit ediyor. Kullanıcıların, özellikle hassas bilgilere erişimi olanların, bu tür tehditlere karşı sürekli tetikte olması ve güvenlik protokollerini güncel tutması hayati önem taşıyor.
Teknik Analiz
Sonuç olarak, Signal gibi uçtan uca şifreleme sunan uygulamalar bile, kullanıcı hataları ve sosyal mühendislik saldırıları karşısında savunmasız kalabiliyor. FBI'ın paylaştığı ipuçları, sadece Signal değil, tüm mesajlaşma uygulamaları için geçerli temel güvenlik prensiplerini içeriyor. Kullanıcıların, resmi destek kanallarını doğrulamadan asla hassas bilgilerini paylaşmaması gerekiyor. Unutulmamalıdır ki, siber güvenlik zinciri en zayıf halka kadar güçlüdür.
Kaynak: infosecurity-magazine.com