Apple dendiğinde akla birinci gelen kavram çoklukla “sarsılmaz güvenlik” olur. Ancak son günlerde yaşananlar, siber saldırganların en inançlı kaleleri bile içeriden fethedebileceğini gösteriyor. Dijital hırsızlar, kullanıcıları kandırmak için bu defa düzmece e-posta adresleri üretmekle uğraşmıyor; direkt Apple’ın kendi resmi bildirim sistemini manipüle ederek karşımıza çıkıyor.

Gönderen kısmında gerçek bir Apple alan ismi gördüğümüzde hepimiz savunma sistemlerimizi ister istemez indiririz. İşte dolandırıcılar tam olarak bu ruhsal boşluktan faydalanarak, güvenlik filtrelerine takılmayan yasal görünümlü e-postalarla banka hesaplarımıza göz dikmiş durumda. Bu yeni taarruz prosedürünün merkezinde, Apple kimliği oluşturma sürecindeki şaşırtan bir esneklik yer alıyor. Dolandırıcılar yeni bir hesap açarken isim ve soy isim alanlarına kendi isimlerini yazmak yerine, uzun oltalama metinlerini sığdırıyor. Akabinde bu hesap üzerinde bir bilgi değişikliği yapıldığında, Apple’ın otomatik sistemleri kullanıcıya resmi bir bilgilendirme gönderiyor. Lakin sistem, isim hanesindeki uzun ve tehlikeli iletisi da e-postanın içine dahil edince; resmi sunucudan çıkan, yasal imzalı fakat içi zehir dolu bir bildirim kurbanın posta kutusuna düşüyor.

Sahte faturalar ve telefon tuzağı

Saldırıların ana teması çoklukla PayPal üzerinden yapılan yüksek dengeli ve hayali bir iPhone satın alımına dayanıyor. Posta kutusunda 899 dolarlık bir fatura gören kullanıcı, doğal olarak büyük bir panik yaşıyor. Metnin içine ustalıkla yerleştirilen “siparişi iptal etmek için bu numarayı arayın” ibaresi ise asıl tuzağın kurulduğu yer. Bu numarayı arayan şahıslar, karşılarında profesyonel bir müşteri temsilcisi üzere konuşan saldırganları buluyor. Telefonda ikna edilen kurbanlar, ya banka bilgilerini kendi elleriyle teslim ediyor ya da bilgisayarlarına uzaktan erişim müsaadesi vererek tüm birikimlerinin dakikalar içinde buharlaşmasına neden oluyor.

Dev markaların isimlerinin bu tip işlere alet edilmesi aslında yeni bir durum değil; geçmişte Google ve Microsoft kullanıcıları da misal süreçlerden geçti. Geçen yıl iCloud takvimleri üzerinden yapılan hücumlar hala hafızalardayken, artık de sistem bildirimlerinin suistimal edilmesiyle karşı karşıyayız. Uzmanlar, e-postanın kaynağı ne kadar sağlam görünürse görünsün, içinde “acil” koduyla bir telefon numarasını aramanızı isteyen her bildirinin aslında bir alarm zili olduğunu hatırlatıyor. Kuşkulu bir durumda e-postadaki yönlendirmelere güvenmek yerine, markanın resmi sitesine manuel olarak girip bilgi almak, dijital dünyada hayatta kalmanın en temel kuralı.