Amerika Birleşik Devletleri’nin siber savunma ajansı, Google, Microsoft ve Apple kullanıcılarını hesaplarını güçlendirmeye yönelik uyarıda bulundu. Şifrelerin değiştirilmesi, SMS tabanlı iki faktörlü kimlik doğrulamanın kaldırılması ve passkey’lerin eklenmesi önerildi. Hacker’ların taktiklerini hızla evrilttiği belirtilirken, hatta bu şirketlerden gelen meşru mesajların bile saldırı unsuru olabileceği kaydedildi.
Apple yetkilileri, saldırganların artık gelişmiş yöntemlerle kullanıcıları kandırarak giriş kimlik bilgilerini ve güvenlik kodlarını ele geçirmeye çalıştığını ifade etti. Geçen ay, hacker’ların otomatik Apple güvenlik mesajlarını tetikleyerek aynı anda mağdurları arayıp Apple Destek birimi gibi davrandığı vakalar gündeme geldi. Bu taktikler, kullanıcıları ikna ederek hesaplara erişim sağlamayı amaçlıyordu.
Google hesap sahipleri benzer tehditlerle karşı karşıya kaldı. Bir Reddit kullanıcısı, saldırganın telefonuna doğrudan Google güvenlik uyarıları gönderebildiğini sorguladı. Cevap olarak, herhangi birinin bir Google adresi için hesap kurtarma sürecini başlatabileceği aktarıldı. Bu uyarılar, işlemi kendisinin başlatmadığı sürece dikkate alınmamasını tavsiye ediyor.
Ancak söz konusu olayda, tıpkı son Apple saldırılarında olduğu gibi, telefon hattında “Google güvenlik ekibi”nden biriyle eş zamanlı iletişim kuruldu. Bu kombinasyon –meşru otomatik mesajlarla karışık saldırı– kullanıcıyı ikna etti. Ardından arayan, otomatik kodlardan birini okutmayı başardı ve hesap kaybedildi.
Güvenlik önlemleri için basit adımlar önerildi. Apple, “Apple veya Apple Destek birimi adına gelen istenmeyen veya şüpheli bir telefon çağrısı alırsanız, hemen kapatın” ifadesini kullandı. Google da benzer bir tutum sergiledi. Şirket yetkilileri, “Google, şifre sıfırlama veya hesap sorunlarını gidermek için sizi aramaz” diye belirtti ve bu mesajın okuyuculara iletilmesini talep etti.
Beklenmedik güvenlik uyarıları karşısında, hesap kurtarma süreci başlatılmadıysa veya unutulan şifre sıfırlanmadıysa ya da cihaz değiştirilmediyse, bu uyarılar görmezden gelinmeli. Tıklanmamalı, e-posta, mesaj veya telefon yoluyla kodlar paylaşılmamalı. Aynı anda gelen herhangi bir temas, her zaman bir saldırı olarak değerlendirilmeli.
Bu uyarılar, siber tehditlerin karmaşıklaştığını ve kullanıcıların dikkatli olması gerektiğini vurguluyor. Ajans, passkey gibi gelişmiş kimlik doğrulama yöntemlerinin benimsenmesini teşvik etti. Hacker’ların meşru sistemleri kötüye kullanma eğiliminin arttığı kaydedildi.
