Yeni bir Instagram tuzağı, hesap bilgilerinizi kolaylıkla çalabiliyor

E-posta sağlayıcınızın spam klasörüne bakarsanız, oldukça bariz ve bazen de komik olan kimlik avı girişimleri ile dolu bir çok e-posta görebilirsiniz. Ancak bazen dolandırıcılar daha akıllı davranır ve en önemli bilgilerinizi paylaşmanız için sizi nasıl korkutmaları gerektiğini bilirler.

Trustwave tarafından bildirilen ve giderek yayılan yeni bir vakada, dolandırıcılar Meta’nın kimliğine bürünerek kullanıcıları hesaplarının “telif haklarını ihlal ettiği” konusunda uyarıyor. Daha da kötüsü, bu karara itiraz etmediğiniz takdirde Meta’nın hesabınızı 12 saat içinde sileceğini vurguluyorlar.

Dikkatli kişiler için bu mesaj bariz bir dolandırıcılık gibi gözükebilir. Meta, karara itiraz etmediğiniz sürece, bir uyarı e-postası gönderdikten 12 saat sonra bir hesabı asla silmez. Daha derine inerseniz, e-posta adresinin Meta’ya ait olmadığını görürsünüz: “contact-helpchannelcopyrights[.]com” olarak belirtilen bir adrestir ve itiraz formunun URL’si bir Meta URL’sine değil, bir Google Bildirim bağlantısına gider.

Ancak çoğu kişi bu kırmızı işaretleri görmeyecek ve Instagram hesaplarını kaybetmemek için mümkün olan en kısa sürede itiraz düğmesine tıklamak isteyecektir. Bunu yaparsanız, “itiraz” işleminize başlayabileceğiniz sahte bir Meta “İhlal Durumu Merkezi Portalı”na yönlendirilirsiniz. İşlemi başlatmak için başka bir siteye tıkladığınızda, site sizden Instagram kullanıcı adınızı ve şifrenizi ister. Ancak kimlik avcılarının asıl peşinde olduğu şey daha sonra ortaya çıkar ve hesabınızda iki faktörlü kimlik doğrulamanın olup olmadığını soracaklar. Eğer güvenlik için olması gerektiği gibi bu doğrulamaya sahipseniz, “koruma” amacıyla yedek kodlarınızdan birini sağlamanız istenecektir.

İki faktörlü kimlik doğrulama (veya 2FA) sistemleri, hesabınıza her giriş yapmaya çalıştığınızda güvenilir bir cihaza bir kod gönderir. Bunun amacı, kullanıcı adınızı ve şifrenizi bilen davetsiz misafirlerin erişimini engellemektir ve bu nedenle kodunuzu asla kimseyle paylaşmamalısınız. Ancak güvenilir cihazınıza erişiminiz yoksa Instagram gibi bazı hizmetler yedek kodları kullanır. Bunlar, tek seferlik kullanabileceğiniz, 2FA gibi davranan, önceden belirlenmiş kodlardır. Bu kodlar sayesinde, 2FA kodunuzu içeren kısa mesaja erişiminiz olmasa bile, kimliğinizi doğrulamak için bir yedek kod kullanabilirsiniz.

Dolandırıcılar, kullanıcı adınızı ve şifrenizi takip ederek yedek kodlarınızdan birini vermenizi isterler, böylece hesabınıza giriş yapmak için ihtiyaçları olan tüm bileşenlere sahip olurlar. Bunu yaptıktan sonra, hem şifreyi hem de kodları sıfırlayarak hesabınızı kilitleyebilirler. Bu yüzden 2FA veya yedek kodlarınızı asla kimseyle paylaşmamalısınız.