WhatsApp’taki sahte belge saldırısı: Bilgisayarlarınıza nasıl sızdıklarını anlamak
By Mag-Info Tech editorial · 2026-06-23
WhatsApp’taki en güvenilir iletişim kanallarından biri olan mesajlaşma uygulaması, son dönemde ciddi bir siber tehdit aracı haline geldi. Siber suçlular, tanıdık kişilerden gönderilen sahte faturalar, ödeme bildirimleri ve finansal raporlar gibi görünen dosyaları kullanarak kullanıcıların bilgisayarlarına sızdırmaya çalışıyor. Bu saldırılar, yalnızca bireyleri değil, aynı zamanda şirketleri ve organizasyonları da hedef alıyor. Peki, bu saldırılar nasıl gerçekleşiyor ve kendinizi nasıl koruyabilirsiniz?
Sahte faturalar ve raporlar: Saldırının ilk adımı
Saldırganlar, kurbanların WhatsApp hesaplarını ele geçirerek, onların temas listesindeki kişilere sahte belgeler gönderiyor. Bu belgeler, genellikle "Ödeme Bildirimi", "Finansal Rapor", "Muhasebe Fişi" gibi isimlerle adlandırılıyor ve kullanıcıların dikkatini çekmek için yerel dillerde hazırlanıyor. Saldırganlar, bu dosyaların içerisine gizlenmiş VBScript kodlarını kullanarak, kullanıcıların bilgisayarlarına doğrudan erişim sağlamaya çalışıyor. Dosyaların adları ve içerikleri, kullanıcıların merakını ve acil bir işlem yapma ihtiyacını tetikleyecek şekilde tasarlanıyor.
Bu saldırıların küresel ölçekte yaygınlaşmasının temel nedenlerinden biri, WhatsApp’ın dünya genelinde yaygın olarak kullanılması. Brezilya, Hindistan, Meksika, Singapur, İngiltere, İspanya, Tayvan, Avustralya, Rusya, Vietnam ve Malezya gibi ülkelerde tespit edilen bu kampanya, yerel dillerde hazırlanan dosyalarla daha geniş bir kitleye ulaşmayı hedefliyor. Siber suçlular, bu şekilde dil bariyerini aşarak, kullanıcıların güvenini kazanmaya çalışıyor. Bu tür saldırılar, yalnızca bireysel kullanıcıları değil, aynı zamanda şirket çalışanlarını da hedef alabiliyor, çünkü sahte faturalar ve ödeme bildirimleri, iş dünyasında sıkça karşılaşılan belgeler arasında yer alıyor.
VBScript tuzağı: Kodun çalıştırılması ve sistemdeki ilk hareketler
Kurbanın sahte belgeyi indirip çalıştırmasıyla birlikte, VBScript dosyası otomatik olarak Windows Script Host (wscript.exe) üzerinden çalıştırılıyor. Bu durum, özellikle WhatsApp Desktop istemcisinde gerçekleştiğinde, kullanıcıdan herhangi bir onay alınmasına gerek kalmadan kodun çalıştırılmasına olanak tanıyor. Eğer dosya WhatsApp Web üzerinden indirildiyse, kullanıcının dosyayı manuel olarak çalıştırması gerekiyor. Ancak, saldırganlar bu süreci mümkün olduğunca basit hale getirerek, kullanıcıların dikkatsizce dosyayı açmalarını sağlamaya çalışıyor.
VBScript’in çalıştırılmasıyla birlikte, saldırganın kontrolündeki sunuculardan iki ek script indiriliyor. Bu scriptler, sistemdeki Güvenlik Hesabı Denetimi (UAC) korumalarını devre dışı bırakmak için Windows Kayıt Defteri'nde değişiklikler yapıyor. Bu adım, saldırganın sistemde daha geniş yetkilere sahip olmasını ve yerleşik korumaları aşmasını sağlıyor. Ardından, ManageEngine Endpoint Central adlı bir uzaktan yönetim aracının yüklenmesi için bir ZIP arşivinin indirilmesi gerçekleşiyor. Bu araç, aslında meşru bir sistem yönetimi yazılımı olmasına rağmen, saldırganlar tarafından kötüye kullanılarak, kurbanın bilgisayarına uzaktan erişim sağlamak için kullanılıyor.
ManageEngine Endpoint Central: Saldırganın gizli aracı
ManageEngine Endpoint Central, genellikle kurumsal ortamlarda sistem yöneticileri tarafından kullanılan bir araçtır. Bu araç, merkezi bir kontrol paneli üzerinden birçok bilgisayarın yönetimini kolaylaştırır. Ancak, saldırganlar bu aracı kötüye kullanarak, kurbanın bilgisayarını kendi sunucularına bağlamayı ve tam kontrol sağlamayı hedefliyor. Yüklenen yazılım, saldırganın kontrolündeki yönetim sunucularına bağlanacak şekilde yapılandırılıyor ve bu sayede saldırgan, kurbanın bilgisayarında dilediği işlemleri gerçekleştirebiliyor.
Saldırganların bu aracı seçmelerinin birkaç nedeni bulunuyor. İlk olarak, ManageEngine Endpoint Central’in meşru bir yazılım olması, antivirüs ve diğer güvenlik yazılımlarının bu aracın varlığını sorgulamamasına yol açıyor. İkinci olarak, bu araç, sistemde geniş yetkilere sahip olduğu için, saldırganların kurbanın bilgisayarında kalıcı bir erişim sağlamasına olanak tanıyor. Üçüncü olarak, bu araç sayesinde saldırganlar, kurbanın bilgisayarındaki verileri çalabilir, yeni malware’ler yükleyebilir ya da diğer sistemlere yayılabilirler.
Küresel tehdit: Hangi ülkeler etkileniyor?
Kaspersky tarafından yapılan telemetri verileri, bu saldırı kampanyasının dünya genelinde birçok ülkede aktif olduğunu gösteriyor. Brezilya, Hindistan, Meksika, Singapur, İngiltere, İspanya, Tayvan, Avustralya, Rusya, Vietnam ve Malezya’daki kullanıcılar, bu saldırıların hedefi haline geldi. Saldırganların yerel dillerde hazırlanan dosyaları kullanması, bu ülkelerdeki kullanıcıların güvenini kazanmalarını kolaylaştırıyor. Örneğin, bir Brezilyalı kullanıcıya gönderilen sahte fatura, Portekizce olarak hazırlanıyor ve bu da kullanıcının dosyaya daha fazla güven duymasına neden oluyor.
Bu küresel yayılım, siber suçluların farklı dillerde ve kültürlerdeki kullanıcıları nasıl hedef aldıklarını gösteriyor. Saldırganlar, yalnızca teknik araçları değil, aynı zamanda psikolojik taktikleri de kullanarak, kullanıcıların dikkatini dağıtıyor ve güvenlerini kazanmaya çalışıyor. Bu durum, siber güvenlik alanında çalışan uzmanların, yalnızca teknik çözümler değil, aynı zamanda kullanıcı eğitimi ve farkındalık oluşturma konularına da odaklanmalarını gerektiriyor.
WhatsApp hesaplarının ele geçirilmesi: Saldırganlar nasıl başarıyor?
Kaspersky’nin yaptığı araştırmalar, saldırganların WhatsApp hesaplarını nasıl ele geçirdiğine dair net bir bilgi sunmuyor. Ancak, bu durumun birkaç olası nedeni bulunuyor. İlk olarak, kullanıcıların zayıf şifreler kullanması ve iki faktörlü kimlik doğrulamasını etkinleştirmemesi, hesapların ele geçirilmesini kolaylaştırabilir. İkinci olarak, phishing saldırıları yoluyla kullanıcıların kimlik bilgilerinin çalınması da mümkün. Üçüncü olarak, WhatsApp’ın güvenlik açıkları ya da üçüncü taraf uygulamalar aracılığıyla hesapların ele geçirilmesi de söz konusu olabilir.
Real results from MEFAI's AI. Get $50 off the Pro plan.
Sponsored · Past performance is not indicative of future results. Not financial advice.
WhatsApp hesaplarının ele geçirilmesi, saldırganlara kullanıcıların temas listesine erişim sağlıyor ve bu da saldırıların daha geniş bir kitleye yayılmasına olanak tanıyor. Bu durum, siber suçluların hedef odaklı saldırılar gerçekleştirmelerini ve daha yüksek başarı oranlarına ulaşmalarını sağlıyor. Kullanıcıların, hesaplarını korumak için güçlü şifreler kullanmaları, iki faktörlü kimlik doğrulamasını etkinleştirmeleri ve şüpheli bağlantıları tıklamamaları büyük önem taşıyor.
Korunma yolları: Kendinizi ve verilerinizi nasıl koruyabilirsiniz?
WhatsApp’tan gelen sahte belge saldırılarına karşı korunmanın en etkili yolu, şüpheci olmak ve güvenlik önlemlerini uygulamaktır. İlk olarak, bilinmeyen kaynaklardan gelen dosyaları indirip çalıştırmamalısınız. Özellikle fatura, ödeme bildirimi ya da rapor gibi belgelerden şüpheleniyorsanız, göndereni doğrudan mesajlaşma uygulaması dışında başka bir yolla (örneğin, telefonla arama) doğrulayınız. Bu basit adım, birçok saldırının önüne geçebilir.
İkinci olarak, Windows sistemlerinde Güvenlik Hesabı Denetimi (UAC) korumalarını devre dışı bırakmamalısınız. UAC, sistemde yapılan değişikliklerin kullanıcı onayı gerektirmesiyle, kötü niyetli yazılımların sistemi ele geçirmesini zorlaştırır. Üçüncü olarak, sisteminizde güvenilir bir antivirüs ve anti-malware yazılımı kullanmalısınız. Bu yazılımlar, VBScript dosyaları ya da diğer kötü niyetli kodları tespit ederek, sisteminizi koruyabilir.
Dördüncü olarak, WhatsApp hesaplarınızı korumak için güçlü ve benzersiz şifreler kullanmalısınız. İki faktörlü kimlik doğrulamasını etkinleştirerek, hesabınıza yetkisiz erişimlerin önüne geçebilirsiniz. Beşinci olarak, sisteminizde çalışan uygulamaları ve hizmetleri düzenli olarak kontrol etmelisiniz. Bilinmeyen ya da şüpheli uygulamaların sistemden kaldırılması, saldırganların erişimini engelleyebilir.
Kurumsal tehditler: Şirketler nelere dikkat etmeli?
Bu saldırılar yalnızca bireysel kullanıcıları değil, aynı zamanda şirketleri de hedef alıyor. Kurumsal ortamlarda, çalışanların sahte faturalar ve raporlar gibi belgeleri açma olasılığı daha yüksek, çünkü bu tür belgeler iş akışlarının bir parçası. Bu nedenle, şirketlerin çalışanlarına siber güvenlik eğitimleri vermesi ve farkındalık oluşturması büyük önem taşıyor. Ayrıca, kurumsal ağlarda kullanılmak üzere tasarlanmış güvenlik yazılımlarının kullanılması ve ağ trafiğinin sürekli izlenmesi gerekiyor.
Şirketler, çalışanlarının hesaplarını korumak için çok faktörlü kimlik doğrulamasını zorunlu hale getirmeli ve hesapların güvenliğini düzenli olarak denetlemelidir. Ayrıca, ManageEngine Endpoint Central gibi araçların yalnızca yetkili kullanıcılar tarafından kullanıldığından emin olunmalı ve bu araçların bağlantı kurduğu sunucuların güvenilirliği kontrol edilmelidir. Kurumsal ortamlarda, saldırganların sistemlere sızmasını önlemek için katmanlı güvenlik stratejileri uygulamak gerekiyor.
Gelecekteki tehditler ve neler bekleniyor?
Siber suçlular, saldırı yöntemlerini sürekli olarak geliştiriyor ve yeni teknolojileri kullanarak daha sofistike saldırılar gerçekleştiriyor. WhatsApp gibi popüler uygulamaların, sahte belge saldırıları için bir araç olarak kullanılması, gelecekte de benzer kampanyaların artacağını gösteriyor. Siber güvenlik uzmanları, bu tür saldırıların yaygınlaşmasıyla birlikte, hem bireysel kullanıcıların hem de şirketlerin daha dikkatli olmaları gerektiğini vurguluyor.
Gelecekte, yapay zeka ve makine öğrenmesi teknolojilerinin siber saldırılarda kullanılması da mümkün. Bu teknolojiler, saldırganların daha hedef odaklı ve kişiselleştirilmiş saldırılar gerçekleştirmelerine olanak tanıyabilir. Bu nedenle, siber güvenlik alanında çalışan uzmanların, yeni tehditlere karşı hazırlıklı olmaları ve sürekli olarak güncel kalmaları gerekiyor.
Sonuç: Güvenlik bilinci ve proaktif adımlar
WhatsApp’tan gelen sahte belge saldırıları, siber tehditlerin ne kadar yaygın ve sofistike hale geldiğini gösteriyor. Bu saldırılar, yalnızca bireysel kullanıcıları değil, aynı zamanda şirketleri ve kuruluşları da hedef alıyor. Kendinizi ve verilerinizi korumak için, şüpheci olmak, güvenlik önlemlerini uygulamak ve sürekli olarak güncel kalmak büyük önem taşıyor.
WhatsApp’tan gelen bilinmeyen dosyaları indirip çalıştırmamak, hesap güvenliğini sağlamak ve sistem korumalarını etkinleştirmek, bu saldırılara karşı alınabilecek en temel önlemler arasında yer alıyor. Ayrıca, şirketlerin çalışanlarına siber güvenlik eğitimleri vermesi ve katmanlı güvenlik stratejileri uygulaması da gerekiyor. Siber tehditlerin sürekli olarak evrildiği bir dünyada, güvenlik bilinci ve proaktif adımlar, hem bireysel hem de kurumsal düzeyde hayati önem taşıyor.
More in Cybersecurity & Privacy
Cisco Unified CM'deki Kritik SSRF Açığı Artık Saldırılarda Kullanılıyor: Riskler ve Korunma Yolları
Cisco Unified Communications Manager'daki CVE-2026-20230 adlı SSRF açığı artık saldırılarda aktif olarak kullanılmaya başladı. Cihazlara kök ayrıcalığı kazandırabilen bu güvenlik açığına karşı sisteml
Tata Elektronik’te siber saldırı: Üretim verileri sızdırıldı mı?
Hindistanlı elektronik devi Tata Electronics’e yapılan siber saldırıda üretim verileri sızdırıldı iddiası ortaya çıktı. Apple bileşenlerine ait iç dizayn belgeleri ve üretim spesifikasyonları risk alt
Windows 11 KB5095093 Güncellemesiyle Gelen Nokta-Zamanı Geri Yükleme Özelliği: Siber Güvenlik ve Veri Koruma Nasıl Değişiyor?
Microsoft’un Windows 11 KB5095093 önizleme güncellemesiyle tanıtılan Nokta-Zamanı Geri Yükleme özelliği, sisteminizi sadece birkaç dakika içinde önceki bir duruma döndürmenizi sağlıyor. Siber saldırıl