Ortadoğu’da akademisyenler, gazeteciler, siyasetçiler ve iş dünyasından isimleri hedef alan kapsamlı bir siber saldırı kampanyası gün yüzüne çıktı. Saldırının, Gmail hesap bilgilerini ele geçirmeyi, WhatsApp hesaplarını ele almayı ve kurbanları dijital olarak gözetlemeyi amaçladığı belirlendi.
Şüpheli WhatsApp mesajıyla başladı
Saldırı, İngiltere merkezli İranlı aktivist Nariman Gharib’in WhatsApp üzerinden aldığı şüpheli bir mesajı kamuoyuyla paylaşmasıyla ortaya çıktı. Gharib, kendisine gönderilen bağlantının bir oltalama (phishing) linki olduğunu belirterek kullanıcıları uyardı.
Gharib’in paylaştığı bağlantı ve teknik analizleri, saldırının İran ile bağlantılı faaliyetlerde bulunan kişileri hedef aldığını gösterdi. Bu gelişme, İran’da devam eden protestolar sırasında ülkenin tarihindeki en uzun internet kesintilerinden birinin yaşandığı bir döneme denk geldi.
Kimlik avı sitesi incelendi
Gharib’in paylaştığı veriler ve TechCrunch tarafından yapılan teknik analizler sonucunda, saldırganların sahte web siteleri aracılığıyla:
- Gmail kullanıcı adı ve şifrelerini
- İki aşamalı doğrulama (2FA) kodlarını
- WhatsApp hesaplarını
- Konum, fotoğraf ve ses kayıtlarını
ele geçirmeyi hedeflediği tespit edildi.
Saldırının arkasında devlet destekli bir yapı mı, casuslar mı yoksa siber suçlular mı olduğu ise henüz netlik kazanmadı.
Hedefler arasında üst düzey isimler var
Saldırganların sunucusunda korumasız şekilde bırakılan bir dosya sayesinde, çok sayıda kurbanın bilgilerine ulaşıldı. Bu listede:
- Ulusal güvenlik alanında çalışan Ortadoğulu bir akademisyen
- İsrailli bir insansız hava aracı üreticisinin yöneticisi
- Lübnanlı üst düzey bir bakan
- Gazeteciler ve ABD bağlantılı telefon numaralarına sahip kişiler
yer aldı. Bazı kurbanların gerçekten hesap bilgilerini girdiği ve hesaplarının ele geçirilmiş olabileceği değerlendiriliyor.
DuckDNS ile gizlenen altyapı
Saldırganların, oltalama kampanyasını gizlemek için DuckDNS adlı dinamik DNS hizmetini kullandığı belirlendi. Bu yöntem, bağlantının gerçek konumunu gizleyerek WhatsApp’a aitmiş gibi görünmesini sağladı.
Oltalama sitesinin asıl olarak alex-fabow.online alan adı üzerinden çalıştığı ve benzer amaçlarla oluşturulmuş başka alan adlarıyla da bağlantılı olduğu tespit edildi. Alan adlarının büyük bölümünün Kasım 2025’te oluşturulduğu kaydedildi.
Gmail ve iki aşamalı doğrulama hedef alındı
Sahte siteler, kurbanları Gmail giriş ekranına benzeyen sayfalara yönlendirerek şifrelerini ve doğrulama kodlarını girmelerini sağladı. Açıkta bırakılan saldırgan sunucusunda 850’den fazla kayıt bulundu.
Bu kayıtlar arasında:
- Doğru ve yanlış girilen şifreler
- SMS ile gönderilen 2FA kodları
- Kullanıcıların cihaz ve tarayıcı bilgileri
yer aldı. Veriler, saldırının Windows, macOS, iPhone ve Android kullanıcılarını hedeflediğini ortaya koydu.
WhatsApp hesapları ele geçirildi, gözetleme riski oluştu
Saldırının bir diğer boyutunda, kurbanlara WhatsApp temalı sahte bir QR kodu gösterildi. Bu kodun taranması halinde, kurbanın WhatsApp hesabının saldırganların kontrolündeki bir cihaza bağlandığı belirtildi. Bu yöntem, daha önce Signal kullanıcılarına yönelik saldırılarda da görülmüştü.
Güvenlik uzmanı Runa Sandvik, sayfa kodlarını inceledikten sonra, tarayıcıdan konum, mikrofon ve kamera erişimi istendiğini doğruladı. İzin verilmesi halinde, kurbanın konum bilgilerinin saniyeler içinde saldırganlara iletilebildiği belirlendi.
Devlet destekli saldırı şüphesi güçleniyor
Citizen Lab araştırmacısı Gary Miller, saldırının özelliklerinin İran Devrim Muhafızları (IRGC) bağlantılı hedefli oltalama operasyonlarına benzediğini ifade etti. Uluslararası hedef seçimi, WhatsApp gibi yaygın platformların kullanılması ve sosyal mühendislik yöntemleri bu şüpheyi güçlendirdi.
Öte yandan bazı uzmanlar, saldırının finansal kazanç amaçlı bir siber suç operasyonu olabileceğini de değerlendiriyor. Ancak konum ve medya erişimi gibi unsurlar, bu ihtimali zayıflatıyor.
“Şüpheli bağlantılara tıklamayın” uyarısı
Uzmanlar, özellikle WhatsApp üzerinden gelen beklenmedik bağlantıların ciddi risk taşıdığı konusunda uyarıyor. Gary Miller, “Ne kadar ikna edici görünürse görünsün, tanımadığınız bağlantılara tıklamak yüksek risklidir” değerlendirmesinde bulundu.
Oltalama sitesi şu anda çevrimdışı olsa da, saldırının yeniden ortaya çıkabileceği belirtiliyor.