Hesabı suçlular tarafından saldırıya uğrayan ve bağlantılarından üç milyondan fazla peso çalınan bir WhatsApp kullanıcısı olan Andrés López. Kolombiya’nın büyük şehirlerinde silahlı soygunların sürekli olduğu zaten biliniyor. Bununla birlikte, dijital işlemlerin ilerlemesiyle birlikte, suçlular kendi yöntemlerini yapmak için yeni yöntemler geliştirdiler. Bu, Medellin’de yaşayan ve suçluların WhatsApp hesabını nasıl kontrol altına aldığını ve ardından bağlantılarından üç milyondan fazla peso çaldığını gören bir finans uzmanı olan Andrés Lopéz’in durumudur.
López, hak ettiği bir tatilin keyfini çıkardıktan sonra, yönetici olarak çalıştığı finans şirketindeki iş faaliyetlerine geri döndü. Günün ilk saatleri önemli bir haber olmadan geçti, sabah 10’da WhatsApp üzerinden beklenmedik bir mesaj aldı ve “teknik destek” ten hesabının başka bir cihazda kullanılacağına dair bilgilendirildi.
López mesajı yanıtlarken herhangi bir sorun görmedi ve kendisine yazdıkları numaranın profil fotoğrafının sosyal mesajlaşma ağının logosuna sahip olduğu konusunda güven verdi.
“Mesaj, birinin hesabımı başka bir cihazdan kullandığını söyledi; ben olsam evet derdim; ve ben olmasaydım hayır derdim”, diye açıklıyor.
WhatsApp hesabının hacklendiği iddiasıyla karşı karşıya kalan Andrés, kendini iyileştirmek istedi ve dakikalar sonra profili aracılığıyla birçok kişisini dolandıracaklarını düşünmeden “Hayır” dedi.
Genç adam, WhatsApp’ının herhangi bir risk oluşturabilecek herhangi bir hassas veriyle bağlantılı olmadığını göz önünde bulundurarak herhangi bir tehlike görmedi.
“Dolandırıcılık olarak görmedim ve WhatsApp’ımın çalıştığım kurumun bankalarıyla, bankalarımla bir bağlantısı olmadığını da düşündüm. Hiçbir şeyle bağlantılı değil, bu yüzden bu nasıl bir dolandırıcılık olabilir dedim, WhatsApp tarafından dolandırılmamın bir anlamı yok.”
“Hayır” diyerek cevap verdikten sonra, aynı şekilde vermesi gereken bir kısa mesaj yoluyla bir kod aldı. Söz konusu kodu verdiği sırada WhatsApp hesabının kontrolünü kaybetti.
“Toplantılarla çok meşguldüm. WhatsApp ile bağlantımı kaybedemedim ve başardım” diye itiraf ediyor.
Üç milyondan fazla peso için dolandırıcılık
Unutulmamalıdır ki WhatsApp bir hesabın birden fazla cihazda kullanılmasına izin vermez, bu nedenle uygulamayı başka bir telefonda kullanmak için bazı kodlar aracılığıyla kimliği doğrulamak gerekir. Andrés’in zorlanmadan teklif ettikleriyle aynı.
Saldırıyı fark ettikten sonra hesabını tekrar istediğinde, uygulama ona hesabını kurtarmak için başka bir kod istemek için 12 saat beklemesi gerektiğini söyledi.
“WhatsApp’sız 12 saat olacağım ama ciddi bir şey yapmayacak, bu benim çalışma araçlarımdan biri ama düşündüm ki: Bir şeyler yapacağım” dedi.
Ablukadan bir buçuk saat sonra, hemen bir arkadaşından bir telefon aldı: “İşe yaradı mı? Sana ne oldu?” Anlamadan açıklama istedi, arkadaşının isteği üzerine WhatsApp üzerinden 700 bin peso aktardığını söyledi.
“İşte o zaman hassas bilgilere sahip olduğumu fark ettim; Hassas bilgilerim bağlantılarımdır” diye itiraf ediyor.
Suçlular, adlarını kullanarak ve sözde acil durum senaryolarında sosyal ağdaki bağlantılarından borç para aldı.
Dolandırılan bir başka arkadaşı bile bir blok ötedeydi; ofisteydi ve şirket çevresinde öğle yemeği yiyordu. İş arkadaşına yardım ettiğini düşünerek yaptığı iki işlemde tek başına 3.200.000 doları çalındı.
Hemen tüm ailesini ve arkadaşlarını, bir iletişimden diğerine bilgi zincirleri ve çeşitli kanallar aracılığıyla haberdar etti.
“Ben kimseden borç alan biri değilim, bu yüzden insanlar benim adıma konuşurken konuşmaya devam etmeden önce beni aramaya başladılar.”
Paradoksal olarak, geceleri kontakları, López’in hesabı hacklenmeden önce aldığı aynı mesajı WhatsApp’ta almaya başladı. Bu durumda suçlular için en önemli veriler kişilerdir.
WhatsApp ve görünüşte adalet
Andrés López, WhatsApp’ın, bir dolandırıcılık kanıtı olsa bile, saldırıya uğramış hesabını engellemek için hemen harekete geçmediğini eleştiriyor.
“Bu sosyal ağ göründüğü kadar güvenli değil, kullanıcı ihtiyaç duyduğunda hareket etmiyor.”
Ayrıca, kayıt için yalnızca bir e-posta gerektiren Nequi veya Daviplata gibi dijital finansal platformları hedefliyor. Suçlular, çalınan paranın bloke edilmesini önlemek için birkaç dakika içinde 10’dan fazla farklı hesap kullanmayı başardılar.
Andrés ve dolandırılan arkadaşları bilgi hırsızlığı, kimlik hırsızlığı ve dolandırıcılık için ilgili şikayetleri yetkililere sunsalar da, olumlu yanıtlar konusunda karamsar.
“Bu ülkedeki adalet sistemine erişilemiyor çünkü bu tür sanal şikayetleri yapmak çok zor ve mağdurun acil müdahaleye ihtiyacı olduğunda çok fazla bilginin iletilmesi gerektiğinden uzun zaman alıyor.”
Son olarak, yetkililerin siber suçlar için özel bir kalemi olmadığı için şikayeti “belge hırsızlığı” olarak sınıflandırıldı.
Bu soygun türü sabit olmaya devam ediyor, ancak ne yazık ki etkilenen insanlar yeniden mağdur oluyor. İster korkudan bir mesaja cevap versin, isterse ihtiyacı olan bir arkadaşına para aktarsın, eleştirinin iyi niyetle hareket eden kişiye düşmesi yaygındır.
Andrés suçsuz olduğunu ve tüm önlemleri almadığını, ancak bu davalarda ihmal için yargı sisteminin ve dijital platformların şiddetle sorgulanması gerektiğini kabul ediyor.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.