iPhone’umu nasıl iki kez çaldırabildim? Bölüm 2

Ağustos 28, 2019

Yaklaşık bir yıl önce, mağdurun Apple Kimlik hesabı ile çalıntı bir iPhone arasındaki eşlemeyi kaldırmayı amaçlayan klasik bir kimlik avı hilesi hakkında bir yazı kaleme almıştık. Burada amaç, telefonu yedek parçalara ayırarak değil, çok daha değerli ve bütün bir ikinci el akıllı telefon olarak yeniden satmaktı.

Geçen sefer talih dolandırıcıların yüzüne gülmüş ve dolandırıcılar kurbanın iCloud kullanıcı adını ve şifresini çalmayı başarmışlardı. Bu sefer, telefon hırsızlığı mağdurlarının gizli verilerini elde etmeye yönelik daha karmaşık bir hileyi ele alacağız. Bu hilenin, A planından kaçmayı başaran hemen hemen herkesi tuzağa düşürecek B Planından bahsedeceğiz.

Adım 1: iPhone hırsızlığı

Her şey son derece normal başlamış, iş arkadaşım Anna parktaki bir sandalyede telefonunu bırakmıştı. 20 dakika sonra geri döndüğünde ise telefonu ortadan kaybolmuştu. Hiç kimse bir şey görmemişti ve kendi numarasını aradığında cevap alamamıştı. Anna hiç tereddüt etmeden bir arkadaşının akıllı telefonunu kullanarak iPhone’umu Bul uygulamasındaki Kayıp Modunu etkinleştirmiş ve telefonu bulan kişinin arayıp kendisine ulaşabileceği ikinci bir numara sağlamıştı.

Bir gün sonra, telefonu bulan kişiden çağrı gelmesi umudu suya düşmüş ve telefon, iPhone’umu Bul uygulamasındaki bilgiye göre hâlâ çevrimdışıydı. Anna iPhone’u Sil seçeneğini kullanmaya kendini hazırlıyordu.

Bu kullanışlı özellik telefondaki tüm verileri temizler ve İnternet’e bağlandığı anda telefonu kullanışsız kılar. Ancak görünüşe göre hırsız ya bir iPhone konusunda yetkin birisiydi ya da daha büyük ihtimalle, Apple cihazları ile sahiplerinin iCloud hesapları arasındaki eşlemeyi kaldırma sanatında uzman birine danışmıştı. Her halükarda, telefon kaybolduğu andan itibaren bir saniye dahi çevrimiçi olmamış, bu yüzden de silme ve kullanışsız hâle getirmek bir seçenek olmaktan çıkmıştı.

Dahası, cihaz Touch ID ile korunuyor olsa bile telefonun kilidini açmadan Wi-Fi ve mobil veriye erişim kapatılabiliyor. Tek yapılması gereken, kilit ekranında bir yukarı kaydırma hareketi ile Kontrol Merkezi’ne ulaşarak Uçuş Modunu etkinleştirmektir.

Telefonun SIM kartının henüz engellenmediği iki gün boyunca, dolandırıcılar Anna’nın telefon numarasını öğrenmek için yeterince zamana sahipti. Üçüncü gün, eski SIM operatör tarafından engellenmiş ve aynı numaraya sahip yeni bir SIM kartı Anna’nın yeni telefonuna yerleştirilmişti.

Adım 2: Kimlik avı amaçlı SMS

Dördüncü gün, dolandırıcılar çalıntı telefon ile Anna’nın Apple Kimliği arasındaki eşlemeyi kaldırmaya çalışarak telefonu satışa hazır hâle getirme işine koyulmuştu. Öncelikle, görünüşte ABD’de kayıtlı bir telefon numarasından birkaç arama yaptılar. Bu aramalar açıldığında karşı taraftan hiçbir ses gelmiyordu.

Aramaların amacı, SIM’in yeniden verildiğini ve numaranın yeniden aktifleştirildiğini teyit etmekti. Son aramadan hemen sonra Anna, çalınan telefonunun çevrimiçi olduğuna ve yerinin tespit edildiğine dair bir metin mesajı alır.

Kimlik avı mesajı zekiceydi. Anna bu mesajdan hiç kuşkulanmamıştı; mesaj, gönderici kısmına “Apple” yazabilen bir hizmetten gönderilmişti. Mesajdaki kimlik avı bağlantısı da son derece gerçekçi görünüyordu. Elle girildiğinde URL, mevcut olmayan bir sayfaya yönlendirmişti. Ancak bu bağlantıya tıklamak, kimlik avı sitesine yeniden yönlendirilmekle sonuçlanmıştı. Peki bunun sırrı ne?

Aslında, icloud.co.com alan adı gerçekten mevcuttu ve Apple’a aitti. Ama metindeki bağlantı icIoud.co.com adresine yönlendiriyordu. Fark şu ki, burada küçük L değil büyük I harfi yer alıyordu. Bağlantıya tıkladıktan sonra Anna gerçek gibi görünen bir kimlik avı sayfasına yeniden yönlendirilmişti; burada kayıp telefonunun yerini tespit etmek için Apple Kimliği ile şifresini girmesi isteniyordu. Sayfa dikkatlice incelense, adresin değiştiği ve verileri girmenin güvenli olmadığı anlaşılabilirdi.

İlginç bir şekilde sayfa, görüntülenen cihaz ve tarayıcıya bağlı olarak farklı görünmektedir. Saldırganlar büyük ihtimalle, farklı platformlara uygun olarak hazırlanmış çeşitli kimlik avı hileleri için bu siteyi kullanıyordu.

Anna kimli avı formunu doldurmamıştı, çünkü söz konusu hizmetin sahte olduğunu hemen fark etmişti. Dahası, çalındığı zamandan beri telefonu iPhone’umu Bul uygulamasında hâlâ çevrimdışı görünüyordu.

Hırsızların işi bu noktada bitebilirdi, ama Anna’nın Apple Kimliğinin eşlemesini kaldırmadan, telefonun yeniden satışından yeterince para kazanamayacaklardı. O yüzden B planına geçmişlerdi.

Adım 3: Bir “arkadaştan” gelen telefon

Kimlik avı mesajı gönderildikten üç saat sonra Anna’nın sahte sayfaya hesap bilgilerini girmeyeceği açık bir şekilde anlaşılınca Anna’ya bir telefon gelmişti. Arayan kişi kendini bir servis merkezinin çalışanı olarak tanıttı, telefonun modelini ve rengini tam olarak belirtti ve Anna’ya böyle bir telefon kaybedip kaybetmediğini sordu. Daha sonra telefonun şehrin öteki yakasında yer alan bir alışveriş merkezinde bulunan servis merkezinde olduğunu ve Anna’nın buraya gelip telefonunu teslim alabileceğini söyledi.

Kimlik avcılığı ihtimalini aklından çıkarmayan Anna arayan kişiye, telefonun ve telefon numarasının nasıl eline geçtiği gibi birkaç soru sorarak arayanın dolandırıcı olup olmadığını anlamaya çalışır. Yabancı ise tersleyerek bir cevap verdi: “Eğer telefona ihtiyacınız yoksa, gelmeyin.”

Ayrıca, telefonu servis merkezine getiren kişilerin şüpheli göründüğünü ve bu yüzden veritabanında arama yapıp telefonun kayıp olarak listelendiğini fark ettiğini belirtti. Aynı (mucizevi) veritabanı Anna’nın telefon numarasını da içeriyordu. Özetleyecek olursak arayan kişi, hırsızlar geri dönmeden önce telefonu almak için bir saati olduğunu söyledi.

Şimdi bu noktada birkaç teknik ayrıntıyı gözden geçirelim. Bir telefonun kayıp olup olmadığını anlamak için o kişinin telefonu açması gereklidir. Telefonda daha sonra, sahibine ulaşmak amacıyla sağlanan bir telefon numarasıyla birlikte bir kayıp bildirimi görüntülenir. Hatırlayalım; Anna’nın eski SIM kartı telefonuyla beraber çalındığı için yeni bir SIM kartı çıkarılmış ve Anna kendi numarası yerine bir arkadaşının numarasını vermişti. Dolayısıyla, birisi bu iletişim numarasını ararsa Anna’nın belirttiği numaraya ulaşacaktı.

Dahası, servis merkezinden aradığını iddia eden kişiyle konuşurken Anna telefonunun çevrimiçi olup olmadığını kontrol etmişti. Anna arayan kişiye telefonun çevrimiçi olmadığını söyler; arayan kişi ise hızlıca cevap vererek telefonun belki de başka bir Apple Kimliği ile eşleştirilmiş olabileceğini belirtti. Olayın yarattığı duygusal ve psikolojik baskıyı yok edebilseydik, bu noktada dolandırıcının yalanı açık bir şekilde ortaya çıkarılabilirdi. Ancak devamında olayların nasıl geliştiğine bir bakalım.

Servis merkezi çalışanı rolünü oynayan adam, mağazanın kendisi için diğer müşterilerini bekletmeyeceğini ve eğer telefonu getiren kişiler geri dönerse telefonu onlara geri teslim edeceğini söyledi. Ayrıca Anna’dan, alışveriş merkezine bir saat içinde gelemeyecek olursa kendisini aramasını rica etti. İşte bu noktada işler karışıyor: Adam Anna’ya, gelirken telefonun orijinal paketini ve kimlik kartını getirmesini söyler. Plan işe yaramıştı. Güvenliği için yanına birkaç arkadaşı alan Anna taksi çağırıyor ve yola koyuluyor. Alışveriş merkezi arabayla 30 dakika mesafedeydi; yani belirtilen sürede varabilecekti.

Yoldayken Anna, bir gelişme olup olmadığını öğrenmek için sözde “servis merkezini” arıyor. Adam Anna’ya, iPhone’umu Bul uygulamasını açmasını söyledi ve yardım eder gibi görünmek için ekranda ne gördüğü, telefon simgesinin yanındaki topun ne renk olduğu gibi sorular sordu.

Anna mağazaya varmak üzere olduğunu söylediğinde ise adam Anna’nın iCloud hesabına tekrar giriş yapmasını ve cihazın görünüp görünmediğini kontrol etmesini söyledi. Ardından Kaldır düğmesine basmasını ve uyarı mesajının belirli kelimeler içerip içermediğini söylemesini istedi. Anna düğmeye bastı ve uyarı mesajında ne yazdığını söyledi. Adam meseleyi çözdüğünü sevinçle söyledi: Telefonun iCloud eşlemesi kaldırılmış ve yeniden eşlemek için öncelikle kaldırma işlemini onaylamak gerekiyor.

Anna içinde bulunduğu stresli duruma rağmen elbette bunu yapmadı. Telefon ile sahip hesabı arasındaki eşlemenin ne olursa olsun kaldırılmaması gerektiğini hatırlamıştı. O yüzden Anna, servis merkezine geldiğinde bu işlemi yapacağı cevabını verir.

Birkaç dakika sonra dolandırıcı tekrar arar ve en etkili sosyal mühendislik tekniğini kullandı. Adam mağduru sıkıştırmak için, telefonu bulan kişilerin geri geldiğini iddia etmişti. Bu yüzden telefonu onlara geri verip vermeme konusunda bir an önce karar vermesi gerekiyordu.

Arkadan gelen tipik kalabalık gürültüsünü, “Evet? Durum nedir?” gibi insan seslerini ve dolandırıcının, Anna’nın telefonu bulut sisteminden kaldırmasında ısrar ederken “Bir saniye arkadaşlar,” demesini duyan Anna polisi aradığını ve kendisi ve polisin yolda olduğunu söyledi. Adam bütün kamera görüntülerini teslim edebileceğini ancak müşterileri daha fazla bekletmeyeceği cevabını verdi. Telefonu getiren kişilere vereceğini söyledi.

Tahmin edildiği üzere, alışveriş merkezine vardığında Anna herhangi bir servis merkezi bulamamıştı. Dahası, bölgedeki bir polis memuru daha sonra böyle bir mağazanın gerçek olmadığını belirtmiş, dolandırıcıların kurbanlarını sıklıkla o mekâna yönlendirdiğini anlatmış ve Anna üzerinde oynanan oyunun benzeri hilelerin detaylarını vermişti.

Bu olaydan sonra dolandırıcılar bir daha iletişime geçmedi ancak kimlik avı mesajları birkaç gün daha gelmeye devam etmişti; besbelli ki, Anna’nın en sonunda boyun eğip şifresini vermesini umut ediyorlardı.

Sonuç olarak Anna iPhone’unu geri alamamıştı. Ancak dolandırıcıların tuzağına da düşmemişti. Çalınan telefon, iPhone’u Sil Modu etkin bir şekilde kendi Apple Kimliğine bağlı kalmaya devam etti; telefon çevrimiçi olduğu an her şey silinecek ve “kullanışsız” hâle gelecekti. Yani dolandırıcılar, telefonun parçalarını satmakla yetinebilecekti.

iPhone’unuz kaybolur veya çalınırsa yapmanız gerekenler

Sonuç bölümünde, iPhone’unuz kaybolur veya çalınırsa yapmanız gerekenlere dair bazı ipuçları vereceğiz.

  • iPhone’umu Bul uygulamasından Kayıp Modunu derhal etkinleştirin.
  • Özellikle de PIN kodu koruması (PIN kodları varsayılan olarak ya devre dışıdır ya da 0000 gibi kolay şifreleri vardır) kullanmıyorsanız, SIM kartınızı bloke etmek için hizmet sağlayıcınıza başvurun.
  • Telefonunuzu geri almanın mümkün olmadığı netleştiği takdirde, iPhone’u Sil modunu derhal aktifleştirin.
  • Unutmayın, SMS mesajları ve daha da önemlisi, sesli aramalar dahi taklit edilebilir. Eğer gelen mesajlardaki bilgiler iPhone’umu Bul uygulamasında gördüklerinizle uyuşmuyorsa, birisi muhtemelen sizi oyuna getirmeye çalışıyor.
  • Gerçek iPhone’umu Bul mesajlarının gelip gelmediğini görmek için e-postanızı kontrol edin. Eğer herhangi bir e-posta gelmemişse, telefonunuzun durumuna yönelik aldığınız SMS’ler büyük ihtimalle dolandırma amaçlıdır.
  • Gelen bir metin mesajındaki bağlantıyı açmak yerine, icloud.com adresini tarayıcınız üzerinden dikkatli bir şekilde yazın ve bir bağlantı yoluyla açtığınız sayfaya asla Apple Kimliğinizi ve şifrenizi girmeyin.
  • Sakin olun. Dolandırıcılar muhtemelen sizi acele kararlar almaya zorlayacaktır. Bu, standart bir aldatmacadır; tuzağa düşmemeye dikkat edin.
  • Dolandırıcılar bu konuda ne kadar baskı yaparsa yapsın, asla ama alsa kayıp telefonunuzu iPhone’umu Bul uygulamasından kaldırmayın.