Bir hesap binlerce mağdur | Sosyal medya hesapları tehlikede

Bir hesap binlerce mağdur | Sosyal medya hesapları tehlikede

Influencerlar, dolandırıcılık ve kötü amaçlı yazılım dağıtımı için erişim ve güven sağlayabilir. Hesapların ele geçirilmesi sadece kurbanlar için değil, takipçileri ve potansiyel marka müşterileri için de yıkıcı bir etki yaratabilir. Siber güvenlik alanında dünya lideri olan ESET, influencerları hedef alan saldırıları inceledi.

Influencer olmak kolay bir iş değil. Markalar daha az harcama yapıyor, reklam gelirleri düşüyor ve rekabet çok şiddetli çünkü yapay zekâ tarafından oluşturulan influencerlar ve taklitçiler de var. Yurtdışında yapılan bir araştırmaya göre sektörün yaklaşık yarısı yılda sadece 15 bin dolar veya daha az kazanırken sadece 10 kişiden biri 100 bin doların üzerinde kazanıyor. Influencerlar, siber suçlular için giderek daha popüler bir hedef hâline geliyor.

Tehdit aktörleri genellikle potansiyel çevrimiçi kurbanlarında birkaç şey ararlar. Ele geçirmek için influencerların sosyal medya hesaplarını arıyorlarsa mümkün olduğunca çok takipçisi olan hesapları tercih ederler. Bu, dolandırıcılık veya kötü amaçlı yazılımlarının geniş bir alana yayılacağı anlamına gelir. İdeal olarak, aylarca çevrimiçi tavsiyelerde bulunarak izleyicileriyle uzun vadeli bir güven ilişkisi kurmuş influencerları hedeflemek isterler. Güven, doğrulanmış durum rozetleri ile de kazanılabilir. Her iki durumda da takipçilerin bu hesaplardaki bağlantılara düşünmeden tıklama olasılığı daha yüksektir. Hackerların bu hesapların kolayca ele geçirilebilir olmasını istedikleri de açıktır. Tek bir zayıf parola ile korunan her şey, fırsatçı siber suçlular için bir hediyedir.

Influencerları hedef alan saldırılar, X, YouTube, TikTok, Instagram veya başka bir platform olsun, sosyal medya hesabının kendisinden başlar. Yüksek değerli bir influencer hesabına erişim sağlayan bir siber suçlu, bu hesabı hemen çevrimiçi olarak en yüksek teklifi verene satmak isteyebilir. Ya da bu hesabı kendisi kullanabilir. Her iki durumda da bu hesap büyük olasılıkla kripto yatırım dolandırıcılığı ve takipçilerin zor kazandıkları paralarını aldatmak için tasarlanmış diğer hızlı zengin olma planlarının reklamını yapmak için kullanılır. Ya da takipçilerin bilgisayarlarına kötü amaçlı yazılım yükleyebilecek kötü amaçlı bağlantılar yayımlamak için kullanılır.

Bir tehdit aktörü, kurbanını, erişimi geri kazanmak için kendisine para ödemesi için şantaj yapmaya da çalışabilir. Takipçilerin iletişim veri tabanlarına erişebilirler ve bu veri tabanları satılabilir veya takipçileri doğrudan spam ve kimlik avı saldırılarıyla hedeflemek için kullanılabilir. Ele geçirilen bir hesap teorik olarak, o influencer ile bağlantılı markalar hakkında yanlış iddialar yayımlamak için de kötüye kullanılabilir. Tehdit aktörleri, aynı teknikleri kullanarak bir influencerın e-ticaret hesabını da ele geçirmeyi başarırsa takipçilerden gelen fonları başka yere yönlendirebilirler. Takipçiler için kimlik hırsızlığıyla ilgili güvenlik riskleri, markalar ve influencerlar için itibar kaybı ve içerik oluşturucular için potansiyel doğrudan kayıplar ortaya çıkar. 

Bir influencerın itibarı, ticari başarısını belirler. 

Influencerlar itibarını korumak için sosyal medya hesaplarını da  koruyabilmeliler.  

• Parola püskürtme araçlarının kırması daha zor olan uzun, güçlü ve benzersiz parolalar tercih etmeliler.
• Ele geçirilebilen metin tabanlı 2FA kodları yerine uygulama tabanlı 2FA  (Google Authenticator veya Microsoft Authenticator gibi uygulamalar). Bu, hackerlar parolayı ele geçirse bile hesaba erişememelerini sağlar.
• Daha fazla kimlik avı farkındalığı; özellikle hackerların influencer'ları cezbetmek için genellikle kullandıkları bazı tuzaklar, örneğin büyük markalarla kazançlı görünen sponsorluk anlaşmaları. Bir şey gerçek olamayacak kadar iyi görünüyorsa genellikle öyledir.
• İş ve kişisel kullanım için ayrı cihazlar ve e-posta hesapları kullanın; iş amaçlı olanlara daha yüksek düzeyde güvenlik kontrolleri uygulayın.
• Tüm cihazlarda ve makinelerde saygın bir sağlayıcıdan güvenlik yazılımı kullanın. Bu, kötü amaçlı indirmeleri önlemeli ve kimlik avı e-postalarını engellemeli.
• Cihaz ve PC yazılımını veya işletim sistemini her zaman en son sürüme, yani en güvenli sürüme güncelleyin.
• Resmî olmayan uygulama mağazalarından asla uygulama indirmeyin çünkü bunlar bilgi çalan kötü amaçlı yazılımlar barındırabilir.