Instagram ve WhatsApp, Türkiye’de internet kullanıcılarının en yoğun kullandığı platformlar arasında yer alıyor. TÜİK’in 2023 verilerine göre erkek kullanıcıların yaklaşık %88,7’si WhatsApp, %72,6’sı ise Instagram kullanıyor; kadınlarda da oranlar benzer düzeyde. Bu kadar yoğun kullanım, bu platformları dolandırıcılar için de doğal bir hedef hâline getiriyor.

Neden Instagram ve WhatsApp?

Türkiye’de sosyal medya ve mesajlaşma uygulamaları günlük hayatın ayrılmaz bir parçası hâline geldi. Toplu taşıma, iş hayatı, okul ve aile içi iletişimde WhatsApp ve Instagram, resmî kanallar kadar etkili. Bu da iki kritik sonucu beraberinde getiriyor:

• Ele geçirilen bir hesap, sadece sahibini değil; “tüm rehberi ve takipçi ağını” doğrudan etkiliyor.
• Dolandırıcılar, “gerçek bir arkadaş / aile üyesi” kimliğine bürünerek, klasik telefon dolandırıcılığından çok daha ikna edici olabiliyor.

Dünya genelinde dijital dolandırıcılık kayıplarının 2023 yılında 1 trilyon ABD dolarını aştığı tahmin ediliyor. Sosyal medya ve mesajlaşma uygulamaları da bu zararın önemli bir kısmını oluşturuyor. Meta hakkında açılan bir dava dosyasında, yalnızca 2022 yılında günde ortalama 100.000 WhatsApp hesabının ele geçirildiği, 2023’te ise bu sayının 400.000’e kadar çıktığı iddia ediliyor. Bu rakamlar, hesap ele geçirme saldırılarının ölçeğini ortaya koyuyor.

Türkiye’de Tehdidin Görünümü

Türkiye’de Instagram ve WhatsApp hesap çalma vakaları çoğu zaman şu başlıklarla gündeme geliyor:

• “Hesabım çalındı, tüm takipçilerime yatırım dolandırıcılığı mesajı gidiyor.”
• “WhatsApp hesabım ele geçirildi, arkadaşlarımdan para istenmiş.”
• “Instagram’dan telif hakkı ihlali mesajı geldi, linke tıklayınca hesabı kaybettim.”

Şikâyet platformlarında, Instagram hesabı ele geçirilip yatırım veya kripto dolandırıcılığı için kullanılan çok sayıda vaka bulunuyor. Bu vakalarda mağdurların e-posta adresi ve telefon numaraları değiştirilerek hesaba erişimleri tamamen engelleniyor.

Türkiye’de kamuoyuna yansıyan vakalardan biri, ünlü oyuncu Ahmet Mümtaz Taylan’ın WhatsApp hesabının ele geçirilmesi. Hesabı ele geçiren dolandırıcılar, oyuncunun yakın arkadaşına mesaj atarak iki ayrı transferde toplam 80.000 TL para göndermesini sağladı. Benzer şekilde, yerel yöneticilerin veya iş insanlarının WhatsApp hesapları ele geçirilerek çevresinden para istendiğine dair haberler de sıkça gündeme geliyor. 

Bu örnekler, saldırganların hedef gözetmeksizin hem sıradan kullanıcıları hem de kamuoyunda tanınan kişileri hedef aldığını gösteriyor. Esas amaç, ele geçirilen “güven ilişkisini” kullanarak para veya hassas bilgi elde etmek.

Saldırganların Kullandığı Yöntemler

WhatsApp Doğrulama Kodu (OTP) Tuzağı

En yaygın WhatsApp hesap çalma yöntemlerinden biri, **6 haneli doğrulama kodu** üzerinden yürütülen sosyal mühendislik saldırılarıdır.

Tipik senaryo şöyle işler:

1. Saldırgan, kurbanın telefon numarasını ele geçirir veya tahmin eder.
2. WhatsApp’ta ilgili numara için “yeni kurulum” denemesi yapar; kurbanın telefonuna bir SMS doğrulama kodu gelir.
   • Saldırgan, kurbana şu tarz bir mesaj gönderir:
     • “Yanlışlıkla sizin numaranıza kod gönderdim, bana iletir misiniz?”
     • “Çekiliş kazandınız, hesabınızı doğrulamak için gelen kodu yazmanız yeterli.”
3. Kurban, bu kodu saldırgana ilettiğinde hesabının kontrolünü fiilen devretmiş olur.

Bu tür saldırılarda saldırganlar, genellikle “gerçekten tanıdık biriymiş gibi” davranır; bazen kurbanın başka bir hesabını ele geçirip oradan yazışır, bazen de güvenilir bir kurumun temsilcisi gibi konuşur.

Instagram Telif Hakkı ve “Hesabınız Kapatılacak” Mesajları

Instagram’da en sık görülen hesap çalma senaryolarından biri, sahte “telif hakkı ihlali” veya “marka ihlali” mesajlarıdır. Kullanıcıya, hesabında telif ihlali tespit edildiği, 24 saat içinde itiraz formu doldurmazsa hesabın kalıcı olarak silineceği söylenir.

Bu mesajlar genellikle:

• Resmi Instagram bildirim ekranını taklit eden görsellerle desteklenir.
• Profil linki, kullanıcı adı ve profil fotoğrafı kullanılarak “kişiselleştirilmiş” görünür.
• Kullanıcıya gönderilen link, aslında bir “kimlik avı (phishing)” sayfasıdır.

Kullanıcı bu sahte sayfaya kullanıcı adı, parola ve bazen SMS ile gelen doğrulama kodunu girdiğinde, hesap anında saldırganın kontrolüne geçer.

Sahte Uygulamalar ve Mobil Kötü Amaçlı Yazılımlar

Android ekosisteminde, Google, Instagram, WhatsApp gibi popüler uygulamaları taklit eden sahte uygulamalarla kullanıcı verilerini çalan çok sayıda kampanya tespit edildi. 2024 yılında yayımlanan bir raporda, Google, Instagram, Snapchat, WhatsApp ve X’i taklit eden Android uygulamalarının, kullanıcıların giriş bilgilerini çalmak için kullanıldığı ortaya kondu.

ESET Research, mobil kullanıcıları hedefleyen phishing kampanyalarında farklı URL teslim mekanizmaları (otomatik sesli arama, SMS, sosyal medya reklamları) kullanıldığını ve hedefin çoğu zaman bankacılık veya cüzdan uygulamaları olsa da aynı tekniklerin sosyal medya ve mesajlaşma hesapları için de uyarlanabildiğini raporladı.

Daha yeni bir ESET araştırmasında ise, sahte iletişim uygulamaları (örneğin Signal veya benzeri mesajlaşma uygulaması gibi görünen) üzerinden kullanıcı verilerini çalan yeni Android casus yazılım aileleri ortaya çıkarıldı. Bu da saldırganların yalnızca hesap parolasını değil, doğrudan mesaj içeriklerini ve bildirimleri de hedefleyebildiğini gösteriyor.

SIM Değiştirme, WhatsApp Klonlama Miti ve Gerçekler

Kullanıcılar arasında sıkça “WhatsApp’ım klonlandı” ifadesi kullanılsa da teknik olarak çoğu vakada yapılan, hesabın başka bir cihaza “taşınması” veya WhatsApp Web oturumu açılmasıdır. Gerçek anlamda SIM değiştirme (SIM swapping) saldırılarında ise:

• Saldırgan, operatör nezdinde hattı kendi kontrolündeki SIM karta taşıtır.
• Banka, e-Devlet, WhatsApp, Instagram doğrulama SMS’leri saldırgana ulaşır.
• Böylece hem finansal hem de sosyal hesaplar zincirleme şekilde ele geçirilebilir.

Bu tür saldırılar, operatör hesabının veya kimlik bilgilerinin ele geçirilmesiyle birleştiğinde son derece ciddi sonuçlar doğurur.

ESET Perspektifi: Tehdit Nereden Bakınca Nasıl Görünüyor?

Hesap Ele Geçirme Bir “Sonuç”, Asıl Sorun Davranış ve Hijyen

Instagram ve WhatsApp hesap çalma saldırılarını tek bir teknik açıklamayla sınıflandırmak zor. Çoğu vakada aşağıdakiler bir araya gelerek saldırganlara alan açıyor.

• Zayıf veya tekrar kullanılan parolalar,
• Parola yöneticisi kullanılmaması,
• İki aşamalı doğrulamanın (2FA) kapalı olması,
• Kullanıcıların doğrulama kodlarını paylaşması,
• Bilinmeyen linklere tıklama alışkanlığı

Araştırmalarımızda, WhatsApp kullanıcılarını hedef alan farklı dolandırıcılık senaryolarının, genellikle rastgele büyük kitlelere uygulandığı ve “deneme–yanılma” mantığıyla çalıştığı, ne yazık ki yeterince kurban bulunduğu için sürdürülebilir kaldığı belirtiliyor. 

Mobil ve Uç Nokta Güvenliğinin Rolü

ESET’in mobil güvenlik ürünleri, zararlı uygulamaları ve kimlik avı bağlantılarını tespit edip engellemeye odaklanıyor. Özellikle hesap ele geçirme zincirinin erken aşamalarında saldırıyı kesebiliyor.

• Sahte WhatsApp / Instagram güncellemesi gibi dağıtılan APK dosyalarının zararlı olarak işaretlenmesi,
• Tarayıcı veya uygulama içi bağlantılarda bilinen phishing alan adlarının engellenmesi,
• SMS ve e-posta üzerinden gelen şüpheli linkler için URL filtreleme

Mobil odaklı phishing kampanyalarına ilişkin araştırmamız, saldırganların sahte bankacılık uygulamaları veya destek sayfaları ile mobil kullanıcıları hedef aldığını, benzer tekniklerin sosyal medya ve mesajlaşma hesapları için de kullanıldığını gösteriyor.

Kimlik ve Parola Yönetimi: Sıfır Güven Bakışı

Sosyal medya ve mesajlaşma hesapları, kurumsal sistemler kadar kritik kimlik varlıkları olarak ele alınmalıdır. 

• Her hesap için benzersiz ve güçlü parola,
• Mümkün olan her yerde iki veya çok faktörlü kimlik doğrulama (2FA/MFA),
• Parolaların bir parola yöneticisinde (password manager) saklanması,
• Güvenilmeyen cihaz ve ağlardan giriş yapılmaması

Örnek Senaryolar

WhatsApp’tan “Acil Para” İsteyen Arkadaş

Bu senaryoda saldırgan, kurbanın WhatsApp hesabını doğrulama kodu tuzağıyla ele geçirir. Ardından:

• Kurbanın annesine, babasına, kardeşine ve en yakın arkadaşlarına sırayla mesaj atar.
• “Kartım bloke oldu, acil şu hesaba 10.000 TL atman lazım, birazdan geri gönderirim.” benzeri bir senaryo kurar.
• Mesajlarda kurbanın üslubunu taklit etmek için eski sohbetlerden esinlenir.

Çoğu durumda yakın çevreden en az bir kişi, doğrulama için aramadan veya görüntülü konuşma yapmadan parayı gönderir. Oysa ESET’in önerisi, özellikle yüksek tutarlı para talebi içeren tüm mesajlar için farklı bir kanaldan doğrulama yapılmasıdır (örneğin bir telefon görüşmesi).

Instagram İşletme Hesabı Üzerinden Yatırım Dolandırıcılığı

Bir başka sık görülen senaryo, işletme veya influencer hesaplarının ele geçirilmesidir. Hesabı ele geçiren saldırgan:

• Profil fotoğrafını ve gönderileri olduğu gibi bırakır,
• Hikâyelerde “Yatırım fırsatı, garantili kazanç” gibi içerikler paylaşır,
• DM üzerinden takipçilere yüksek kazanç vaat eden sahte kripto veya forex platformu linkleri gönderir.

Bu tip dolandırıcılıklarda:

• Marka itibarı ciddi zarar görür,
• Takipçilerin güveni kaybolur,
• Şirketler hem müşteri kaybı hem de itibar kaybı nedeniyle maddi–manevi tazminat davalarıyla karşı karşıya kalabilir.

Çalınan Instagram Hesabının Geri Alınamaması

Birçok kullanıcı, hesabı ele geçirildikten sonra Instagram destek süreçlerinde zorlanıyor. Saldırgan, hesaba erişir erişmez:

• Hesaba bağlı e-posta adresini ve telefonu değiştiriyor,
• İki faktörlü doğrulamayı kendi numarasına tanımlıyor,
• Kurtarma kodlarını yeniliyor.

Sonuç olarak, hesap “teknik olarak” yeni sahibine aitmiş gibi görünmeye başlıyor. Kullanıcı kimlik doğrulama videoları gönderse bile hesabı geri alamadığını açıklayan çok sayıda örnek olay bulunuyor. 

Kurumsal Risk: Sadece Bireylerin Sorunu Değil

Kurumsal tarafta, Instagram ve WhatsApp hesaplarının ele geçirilmesi çok ciddi sonuçlar doğurabiliyor:

• Kampanyaların sabote edilmesi,
• Sahte kampanyalarla müşterilerin dolandırılması,
• Veri koruma (KVKK) ihlali ve yasal sorumluluklar,
• CEO veya üst düzey yöneticilerin itibarı üzerinden dolandırıcılık yapılması

Kurumsal hesaplara ilişkin en büyük risklerden biri, bu hesapların çoğu zaman kişisel cihazlar üzerinden yönetilmesi ve aynı cihazda hem kişisel hem kurumsal hesapların bulunması. Bu durumda tek bir cihazda yaşanacak güvenlik zafiyeti hem bireysel hem de kurumsal hesapları hedef hâline getiriyor.

Bireysel Kullanıcılar İçin ESET’ten Öneriler

Hesap Güvenliği Ayarları

• WhatsApp’ta İki Adımlı Doğrulama özelliğini (PIN kodu) etkinleştirin.
• Instagram’da İki Faktörlü Kimlik Doğrulama’yı (uygulama tabanlı doğrulama tercih ederek) açın.
• Her iki platformda da kullandığınız parolaların benzersiz ve uzun olmasına dikkat edin (en az 12 karakter, harf–rakam–sembol karışımı).

Davranışsal Güvenlik

• Size gelen 6 haneli doğrulama kodunu kimseyle paylaşmayın. Ne WhatsApp ne Instagram ne de “destek ekibi” bu kodu sizden istemez.
• Mesaj içeriği ne kadar inandırıcı olursa olsun, yüksek tutarlı para veya acil talep içeren her mesajı farklı bir kanaldan (telefon, görüntülü arama) doğrulayın.
• Bilinmeyen kaynaklardan gelen linklere tıklamadan önce, adres çubuğunu ve alan adını dikkatle kontrol edin. Küçük bir harf farkı bile sahte siteye işaret edebilir. 

Cihaz ve Yazılım Hijyeni

• Android’de mümkün olduğunca sadece resmi mağaza (Google Play) üzerinden uygulama indirin; bilinmeyen kaynaklardan gelen APK dosyalarını kurmayın.
• Telefonunuzda güncel bir mobil güvenlik çözümü (örneğin ESET Mobile Security) bulundurun.
• İşletim sistemi ve uygulamaları güncel tutun; eski sürümlerde kritik güvenlik açıkları bulunabilir.

Hesabınız Ele Geçirilirse

• Öncelikle e-posta hesabınızın güvende olduğundan emin olun; gerekirse parolayı değiştirin ve 2FA açın.
• Instagram ve WhatsApp’ın resmi destek sayfalarındaki “Hesabım ele geçirildi” adımlarını eksiksiz takip edin.
• Dolandırıcılık iddiası varsa, ödeme dekontları ve yazışmalarla birlikte savcılık veya emniyet birimlerine başvurun.
• Çevrenizi bilgilendirin; sizin adınıza gelebilecek yeni mesajlara karşı uyarın.

Sonuç

Instagram ve WhatsApp hesap çalma saldırıları, teknik olarak çoğu zaman karmaşık istismar zincirlerinden çok; “insan davranışını hedef alan sosyal mühendislik ve kimlik avı” yöntemlerine dayanıyor. Türkiye’de hem sıradan kullanıcılar hem de kamuya mal olmuş kişiler bu saldırıların hedefinde ve dolandırıcılar, ele geçirdikleri güven ilişkisini kullanarak çok kısa sürede büyük maddi kayıplara yol açabiliyor.

ESET açısından çözüm, yalnızca bir antivirüs veya tekil bir güvenlik ürünü kurmaktan ibaret değil. Etkili koruma; kullanıcı farkındalığı, güçlü kimlik ve parola yönetimi, çok faktörlü doğrulama, mobil ve uç nokta güvenliği ile bütünleşik bir “sıfır güven” yaklaşımı gerektiriyor.

Kısacası: En zayıf halka hâlâ insan, ama doğru araçlar ve alışkanlıklarla bu halkayı güçlendirmek mümkün.