LinkedIn Dolandırıcıları
If you are looking for an English version of this article, please visit here.
Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın korumalı olması sebebiyle LinkedIn paylaşımlarımın Twitter’a kıyasla çok daha fazla kişiye ulaşması beraberinde art niyetli kişilerin, dolandırıcıların da radarına girmeme ve ilginç mesajlar almama yol açabiliyor.
Günlerden bir gün LinkedIn üzerinden Jenny Tores isimli bir kişiden özel bir mesaj aldım. Google Çeviri ile hazırlanmış bir metinden hallice olan mesajında, profilimi çok ilginç bulduğunu ve benimle iletişime geçmek istediğinden bahsediyordu. Haber peşinde koşan bir gazeteci edasıyla ayağıma gelen bu fırsatı değerlendirerek bu kişiyle iletişim kurmaya karar verdim.
Kendisine e-posta gönderdikten sonra gelen yanıtta hanım ablamız, Afganistan’da ABD vatandaşı bir asker olduğundan, yeni bir ilişkiye başlamak istediğinden, yaşın ve mesafenin önemli olmadığından ve asıl konuşmak istediği önemli konuyu bir sonraki e-postasında belirteceğinden bahsediyordu. Sosyal mühendislik girişiminin gerçekçi olabilmesi adına da sağolsun bana 4 tane fotoğrafını da göndermeyi ihmal etmemişti. Devrik cümleli LinkedIn mesajına kıyasla e-postasındaki yazı dili ise şaşırtıcı derecede iyiydi.
Gönderdiği ikinci e-postada hanım ablamız gerçekleştirdiği bir kurtarma operasyonunda içinde yüklü miktarda para bulunan bir kutu bulduğunu, kendisine düşen payın tam tamına 3.7 milyon dolar olduğunu, bu parayı görevini tamamlayana kadar başka bir ülkeye çıkarmak istediğinden ve tabii ki benim yardımıma ihtiyacı olduğundan bahsediyordu. :) Yine bu e-postasında da yeni resimler göndermeyi ihmal etmemişti.
Üçüncü e-postasında ise bir yandan güvenini kazanabilmek bir yandan da sevkiyatı gerçekleştirebilmek için Birleşmiş Milletler diplomatını devreye sokacağı için kişisel bilgilerime, telefon numarama, pasaportumun veya kimliğimin o da olmazsa ehliyetimin taratılmış halini göndermemi istiyordu. Garanti olsun diye e-devletten ikametgahımı da hazır ettikten sonra gönderdiği yeni fotoğrafları incelemeye başladım. Kutu içinde yer alan 100’lük banknotları ve hanım ablamızın pasaportunu da gördükten sonra artık benden istediği tüm bilgilerimi göndermeye iyice ikna olmuştum. :)
“Vay efendim sen bana nasıl güvenmezsin” diye hanım ablamıza çıkıştıktan sonra gelen son e-postada hanım ablamız “Geçmişe bir sünger çekelim ama bir yandan da bilgilerini alayım” dedikten sonra yazışmayı sonlandırmaya ve epostalarda yer alan bilgileri incelemeye koyuldum.
Geçtiğimiz aylarda görsel arama motorlarının geldiği son noktayı konu alan faydalı bir yazı okuduktan sonra hanım ablamızın göndermiş olduğu e-postalara yakından göz atmaya karar verdim.
Üniformalı fotoğraflardan birini Yandex.Images arama motorunda arattığımda bu fotoğrafın kullanıldığı başka web siteleri olduğunu ve farklı bir isim (Jelissa Torres) altında sosyal medya hesabı olduğunu öğrendim.
@JelissaTorres Twitter hesabına göz attığımda Mayıs 2019 yılına kadar gönderdiği tweetler arasında Türkçe mesajlar da olması dikkatimi çekti. Bu mesajları Twitter’da arattığımda başka hesaplardan kopyala yapıştır yapılan mesajlar olduğunu öğrendim.
“Jelissa Torres army” anahtar kelimesi ile Google arama motorunda arama yaptığımda ise Kamerun’da bulunan bir kişinin bana gönderilen fotoğraflardan birini @ambrose_tarh Twitter hesabında paylaştığını daha sonrasında ise sildiğini farkettim. (OPSEC fail ?) Jelissa tarafından gönderilen e-postaların başlık bilgilerini kontrol ettiğimde gönderilen e-postaların saatleri ile Türkiye saati arasında -3 saat zaman farkı olduğunu gördüm. Kamerun’a komşu olan Senegal, Gana ve Gine ile Türkiye arasında 3 saat zaman farkı olduğunu göz önünde bulundurduğumda, bu e-postaların bu ülkelerin birinden Kamerunlu bu kişi veya bu kişi ile bağlantılı başka kişiler tarafından gönderilmiş olma ihtimalinin yüksek olduğunu düşünmeye başladım.
Fotoğraflara hızlıca göz attığımda amatörce yapılan fotomontajlar hemen dikkatimi çekti. Bundan 7 yıl önce kaleme aldığım Manipüle Edilmiş Fotoğraf Analizi blog yazımda olduğu gibi fotoğrafları ELA tekniği ve Forensically web uygulamasında yer alan kopyalama tespiti tekniği ile analiz etmeye başladım.
Kimsenin damgalı eşek gibi tişörtünün sırt kısmına adını ve telefon numarasını yazdırmayacağını düşünerek bu fotoğrafı ELA tekniği ile analiz ettiğimde, tahmin ettiğim üzere sırt kısmında yer alan isim ve telefon numarasının sonradan bu fotoğrafa eklendiğini tespit ettim.
Her ne kadar kartvizitinin yer aldığı fotoğrafta gözle görülür bir şekilde fotomontaj olduğu görülse de teyit etmek için Clone Detection sayfasından faydalanarak bu fotoğraf üzerinde çok sayıda kopyalama işlemi yapıldığını tespit ettim.
Son olarak pasaport fotoğrafını Yandex.Images üzerinde arattığımda ise arka plandaki pembe işaretin aynı olduğu benzer sahte pasaport fotoğraflarını bularak pasaportun da sahte olduğunu teyit etmiş oldum.
Bunların dışında e-postaya konu olan hanım ablamızın adı ve soyadı (Jennifer Torres) ile gönderdiği üniformalı fotoğraflardaki isim ve soyadın farklı olması da pek tabii dikkatimden kaçmadı.
Jennifer ile yazışmayı kestikten sonra aç gözlü dolandırıcılar tabii ki peşimi bırakmayıp yeni mesajlar ile LinkedIn mesaj kutumu meşgul etmeye bir süre daha devam ettiler.
Görünen o ki bir zamanların oldukça popüler Nijeryalı Prens dolandırıcıları artık faaliyetlerine LinkedIn üzerinde devam etme kararı almışlar dolayısıyla dikkatli olmakta ve çevrenizdekileri uyarmakta fayda olacağına inanıyorum.
Ülke olarak COVID-19 salgınını geride bırakacağımız sağlıklı günlerde yeni bir yazı ile tekrar görüşmek dileğiyle herkese sağlıklı ve güvenli günler dilerim.