Öncelikle şuna dikkatinizi çekelim: Başkasının Instagram hesabını çalmak yasa dışıdır ve ahlaki değildir.
Bundan dolayı, instagram hesap çalmayla ilgili bilgi paylaşımını teşvik etmiyoruz.
Fakat hackerların kullandığı ve kesin olarak işe yaradığı bilinen garantili instagram hesap çalma yöntemlerini öğrenerek kendinizi bunlara karşı daha iyi koruyabileceğinizi düşünüyoruz. Zaten her yöntemin sonunda bu yöntemden korunma yolunu da anlatıyoruz.
Güvenli bir Instagram şifresine sahip olmak önemlidir ancak siber suçlular hesabınıza erişmek için çeşitli yöntemler kullanabilirler. Bu da şu soruyu ortaya çıkarır: Instagram hesapları nasıl çalınır?
Her yıl kaç Instagram hesabı çalınıyor?
Notch’un verilerine göre, bir Instagram oluşturucu hesabı ortalama her 10 dakikada bir çalınıyor, bu da yılda 50.000’den fazla oluşturucu hesabının çalındığı anlamına geliyor. Sadece oluşturucu hesapları için değil, tüm hesaplar için çalınma rakamı çok daha yüksek.
Her yıl, siber suçlular yalnızca sosyal medya saldırılarından 3 milyar dolardan fazla gelir elde ediyor ve hacking bu kötü amaçlı olayların büyük bir bölümünü oluşturuyor.
Instagram hesaplarını korumak için, aşağıda kişisel bilgileri çıkarmak ve 2 faktörlü kimlik doğrulamayı aşmak için kullandıkları 6 taktiği açıklıyoruz.
Instagram hesapları nasıl çalınıyor?
Hackerlar Instagram hesaplarını nasıl çalıyor? 2 faktörlü kimlik doğrulama gibi Instagram’da varsayılan güvenlik özellikleri olduğundan, bunları nasıl aşıyorlar?
Bu sorunun genel cevabı, çoğu durumda, bir tür sosyal mühendislik biçimidir.
Bu bağlamda, sosyal mühendislik, Instagram kullanıcılarını manipüle etmek ve aldatmak için yapılan eylemleri ifade eder.
Yöntem -1: Yanlış telif ihlali mesajları
Taktik
Instagram, telif hakkı ihlali yasalarına aykırı olmayan orijinal içerik paylaşabileceğinizi belirtir. Bununla birlikte, istemeden bir telif hakkı ihlali yapmanız mümkündür, bu durumda Instagram harekete geçer ve sorunu düzeltmek için sizinle iletişime geçer.
Bu olay, birçok siber suçlunun, telif hakkı ihlali sorunlarını çözmek için taklit Instagram temsilcileri gibi davrandıkları anlamına geliyor. Bu durumlarda, bir hacker, e-postanıza veya Instagram’daki özel bir mesaj aracılığıyla bir bağlantı gönderir ve sorunu çözmek için giriş yapmanızı ister. Bu, @wandertears hesabını hacklemek için kullanılan gerçek bir mesaj örneğidir:
İngilizce olan bu mesajda hesabınızın telif hakkı ihlali yaptığını belirterek verilen linke tıklayıp onlarla iletişime geçmeniz gerektiğini bildiriyorlar. Dolayısıyla resmi instagram yetkilisi gibi davranıp sizin hesap bilgilerinizi ele geçirmeye çalışıyorlar.
Bu bağlantı, Instagram’ın giriş sayfasını taklit etmesine rağmen aslında kullanıcı adı ve şifre bilgilerinizi toplamak için tasarlanmış sahte bir sayfaya yönlendiriyor. Gerçek ve sahte sayfa arasındaki tek fark, URL’deki küçük bir farklılıktır ve bunu tespit etmek zordur.
Siber suçlular, şüphe uyandırmamak için genellikle telif hakkı ihlali konusunu ele alan Instagram’ın meşru SSS sayfalarından birine yönlendirirler.
Çözüm Instagram’dan aldığınız bildirimleri doğrulamak için kullanabileceğiniz birkaç farklı yöntem vardır. İlk olarak, acil Instagram bildirimleri genellikle hesap arayüzü üzerinden veya e-posta yoluyla doğrudan teslim edilir. Hesabınızla ilgili bir DM aldıysanız, kullanıcı adında “Instagram” olan bir profil bile olsa doğru olmayacaktır.
İkinci olarak, Instagram artık hesabınız aracılığıyla tüm güvenlik ve giriş e-postalarının kaydını görmenize olanak tanır. Doğrudan gelen şüpheli bir e-posta aldıysanız, mesajı açmadan önce Instagram hesabınızın bu bölümünü kontrol etmelisiniz.
Profilinizden Güvenlik>Instagram E-postalarına gidin. E-postanın kaydını görmüyorsanız, hemen silmelisiniz.
Yöntem – 2: Aldatıcı Onaylı Rozet Teklifleri
Taktik
Muhtemelen Instagram profillerinin üstündeki mavi rozetleri biliyorsunuzdur. Bu rozetler sosyal ağ tarafından doğrulanmış hesapları temsil ediyor. Değerli olsalar da, bu hesap özelliği Instagram’a sızmak için hackerların kullandığı bir sosyal mühendislik taktiğinin merkezinde de yer alıyor.
Bu senaryoda, hackerlar, doğrulanmış bir rozet eklemek için bir şans sunan özel bir mesaj veya e-posta gönderirler. Ancak, hesap bilgilerinizi toplayan aldatıcı bir web sitesine bağlantı verirler. Hesabınıza girmek için yeterli zamanı kazanmak için kullanıcı adı veya şifrenizi değiştirmemenizi isteyebilirler.
Cuddle Buddy yastık işletmesinin sahiplerine gönderilen bir doğrulama rozeti dolandırıcılığı e-postası örneği şöyle:
Çözüm
Böyle bir dolandırıcılığa düşmekten kaçınmak için burada birkaç belirgin farklılık var. Başlangıçta, aşırı büyük harf kullanımı gibi dilbilgisi hataları bir uyarı işareti olmalıdır. Ayrıca, mesajın gönderildiği profil resmi resmi bir hesaba ait değil ve onaylanmış bir hesabı yoktur. İsminde “Instagram” kelimesi geçse de, resmi bir hesap olduğuna dair hiçbir işaret vermez. Son olarak, mavi düğmedeki “bize ulaşın” metninin düzgün bir şekilde ortalanmadığına dikkat edin. Bu, diğer Instagram içeriğiyle tutarlı değildir.
Şu anda mavi onay rozeti almak için, profilinizden başvurmanız gerekiyor. Doldurmanız gereken form yaklaşık olarak şöyle görünmeli:
Yöntem – 3: Yasa dışı şüpheli etkinlik uyarıları
Taktik
Sosyal mühendislik saldırılarını kullanan hacker’lar ellerindeki her türlü bilgiyi kullanırlar. Örneğin, bazen Instagram’dan gelen meşru bir bildirim gibi görünen şüpheli etkinlik uyarıları tasarlarlar, ancak aslında zararlı bağlantılar içerirler.
Çözüm
Çözüm olarak, Meta’ya ait sosyal platforma göre, Instagram’dan gelen e-postalar yalnızca “@mail.instagram.com” veya “@facebookmail.com” adreslerinden gelir. İşte Instagram’dan gelen meşru bir güvenlik e-postasının örneği:
Bu güvenlik mesajı, kullanıcının sık sık oturum açmadığı bir cihazdan yeni bir oturum açma için gönderilmiştir. E-posta adresinin güvenilir bir kaynaktan geldiğine ve tüm tasarım unsurlarının düzgün bir şekilde hizalandığına dikkat edin.
E-postalarınızın meşru gibi görünmesine rağmen, Instagram hesabınıza gidip güvenlik e-postasının oradan gönderildiğini doğrulamanızı öneririz.
Yöntem – 4: Sahte eşantiyonlar (hediyeler) ve marka sponsorlukları
Taktik
Sahtekâr hediyeler özellikle rastgele verilen gerçek promosyonlardan oluşan bir ekosistemin içinde var oldukları için özellikle sorunlu hale gelirler. Bu sosyal mühendislik formu iki farklı şekilde ortaya çıkabilir.
En geleneksel versiyonunda, bu tür bir hack, sahte doğrulanmış rozet saldırısı gibi çalışır. Farkı, hacker’ın özellikle belirli sosyal medya etkileyicilerine büyük bir hediye sunan büyük bir marka, heyecan verici bir başlangıç veya benzeri ünlü bir şirketi taklit etmesidir.
Bazı dolandırıcılar, aktif olan ve binlerce takipçisi olan meşru görünen hesaplara bile sahiptir. İlk mesaj genellikle kullanıcı adı ve şifre almak için tasarlanmış sahte bir Instagram oturum açma sayfasına yönlendiren en az bir sahte bağlantı içerir.
Dolandırıcı hediyelerinin ve sponsorluklarının daha karmaşık bir formu, hacker’ların sizinle ilgili bilgi topladığı ancak hesabınıza başarılı bir şekilde girme konusunda hala birkaç ayrıntıya ihtiyaç duyduğu durumlarda ortaya çıkabilir. Hacker’lar, sizi sahte bir giriş sayfasına yönlendiren bir bağlantı yerine, doğum tarihiniz, annenizin kızlık soyadı ve diğer yaygın güvenlik sorularına verilen cevaplar gibi kişisel bilgiler isteyen bir anket doldurmanızı isteyebilirler.
Aşağıda, @FlipFlopWanderers’ın hacklenmesine neden olan phishing e-postasının gerçek bir örneği yer almaktadır. Tam hikayelerini buradan okuyabilirsiniz.
Yöntem – 5: Sahte sosyal medya araçları
Taktik
Sosyal medya profili yönetmek, özellikle büyük bir takipçi kitlesine sahipseniz, çok büyük bir zaman alabilir. İşlemi basitleştiren birçok araç bulunmasına rağmen, her platformu meşru bir geliştiriciden geldiğinden emin olmak da gereklidir.
Kötü niyetli web uzantılarıyla olduğu gibi, hackerlar işlevselliği artırmak için tasarlanmış sahte araçlar oluşturabilirler, ancak aslında bir güvenlik tehdidi oluştururlar.
Bu araçlar genellikle meşru gibi görünürler ancak pratik bir değer taşımazlar. Bu tür bir düzenek yaygın olmasa da, daha büyük ve daha değerli hedefler arayan siber suçlular tarafından kullanılır.
Bu tür bir saldırı başarılı olduğunda, hedef kullanıcılar sahte aracı sosyal medya hesaplarına entegre ederler. Bu sahte araç, man-in-the-middle saldırıları kurmak, tüm verileri araçtan geçirerek ve giriş bilgileri dahil diğer verileri çalmak için kullanılabilir.
Çözüm
Çözüm Instagram hesabınızın erken aşamalarında bütçenizi izlemek normaldir. Ancak, az bilinen, düşük maliyetli araçlarla çalışmak, dolandırıcılardan hedef olma olasılığını artırır. Bunun önüne geçmek için, güvenilir sağlayıcılardan gelen tanınmış araçları veya güvenilir akranlar tarafından önerilen platformları tercih etmelisiniz.
Yöntem – 6: Ters proxy saldırıları
Taktik
Bu yazıda ele alınan tüm sosyal mühendislik hackleme teknikleri, hedeflerinden ayrıntıları toplamak için sahte uygulamalar ve web sayfaları oluşturmak için manuel olarak hackerların çalışmasını gerektirir. Ancak ters proxy saldırıları ile hackerlar sahte bir web sitesi veya uygulama oluşturmak zorunda değildir – bunun yerine kimlik bilgilerinin otomatik olarak çalınmasını sağlayabilirler.
Ters proxy saldırısı, kullanıcının ve meşru web sitesi arasında konumlanan bir alan adına kurbanları yönlendiren bir man-in-the-middle yaklaşımıdır. URL, meşru sayfaya çok benzer olacak ve kötü amaçlı alan adının genel görünümü meşru sayfayı yansıtacaktır.
Instagram bağlamında uygulandığında, hackerların size ikna edici bir e-posta gönderebilir ve sizi Instagram’ın giriş sayfasına yönlendirebilir. Farkında olmadan bir proxy sunucusu aracılığıyla bunu yaptığınızı fark etmezsiniz, bu nedenle kimlik bilgilerinizi ve 2FA dahil olmak üzere Instagram’a giriş yaparken tüm bilgileriniz gerçek zamanlı olarak ele geçirilmektedir.
Çözüm
E-posta gelen kutunuzdan tıkladığınız bağlantılarda son derece dikkatli olun – Instagram’dan geldiğini iddia eden bir e-postayı, Instagram hesabınızı kontrol ederek doğrulayın. Profilinizden Güvenlik>E-postalar’a gidin – e-posta burada görünmüyorsa, muhtemelen bir dolandırıcılıktır.
Bilgisayar Korsanları Hesabınızı Hackledikten Sonra Ne Yapar?
“Instagram hesaplarını nasıl çalacaklarını” yanıtladığımıza göre, şimdi bu suçluların neden profilinize hedef olmak isteyebileceğini gözden geçirelim.
Diğer suçlu türleri gibi, hackerlar ve diğer kötü niyetli aktörler en popüler platformlara yönelir çünkü bunlar en büyük finansal fırsatları sunar. Bugün, büyük bir takipçi tabanından önemli bir gelir elde edebilirsiniz ve hackerlar bundan faydalanmaya isteklidirler.
Hesabınız ele geçirildikten sonra bir hacker’ın yapabileceği yaygın şeyler arasında şunlar yer alır:
- Bir fidye talep etmek
- Arkadaşlarınızı, aile üyelerinizi ve müşterilerinizi dolandırmak. Yatırım, Bitcoin ve Aşk dolandırıcılığı gibi bazı yaygın olanlarıdır.
- Hesabınızı karanlık ağda satmak
- Dolandırıcı bir işletme yürütmek için hesabınızı kullanmak
- Uygunsuz fotoğraf talep etme gibi çeşitli yasadışı isteklerde bulunmak.
Instagram Hesabınız Çalınırsa Ne Yapmalısınız?
Eğer bir işletme sahibiyseniz ve hizmetlerinizi Instagram hesabınız üzerinden pazarlamakta ve satışlarınızı artırmaktaysanız, Instagram hesabınıza saldırı geçirmek gerçek bir kabus olabilir. Eğer hesabınız ele geçirildiyse, hesabınızı kurtarmanız için ne yapabileceğinize dair özet bilgileri okumaya devam edin. Daha fazla ayrıntı için aşağıdaki video açıklamasını izleyebilirsiniz.
- [email protected] adresinden gelen bir e-postayı kontrol edin ve “bu değişikliği geri al” seçeneğini seçin. Bu işe yaramazsa, adımlara devam edin.
- Giriş ekranında “şifremi unuttum” seçeneğine tıklayın ve giriş bağlantısı isteyin. Bu işe yaramazsa, adımlara devam edin.
- Instagram’a bir video-selfie gönderin: Bu yöntem birçok insanın hesabını kurtarmasına yardımcı oldu. Burada önemli bir ayrıntı, hesabınızın yüzünüzün fotoğraflarını içermemesi durumunda bu doğrulama sürecinin işe yaramayacağıdır.
- Facebook’ta bir İşletme Hesabı oluşturun, “Yardım” bölümüne gidin ve “Reklam hesabım hacklendi” seçeneğini seçin. Bu şekilde, bir insan müşteri destek temsilcisine ulaşma şansınız daha yüksek olacaktır. Bu işlemi video’da nasıl yapacağınızı gösteriyoruz.