Smishing (SMS Phishing olarak da bilinir), bir bilgisayar korsanının SMS numaranıza, genellikle ücretsiz bir ürün teklifi, bankacılık veya diğer hassas bilgilerle ilgili acil bir uyarı içeren sahte bir mesaj göndermesidir.
SMS mesajları inandırıcı olacak şekilde yapıldığından, oltalama özellikle temel siber güvenlik bilgisine sahip olmayanlar için tehlikelidir. Hatta bazı smishing mesajları, sizi kandırmak için belli belirsiz kişisel bilgiler bile içerir.
Smishing’in amacı phishing’den farklı olmasa da, kişisel veya finansal bilgilerinizi çalma ve masaüstü veya mobil cihazlarınıza bulaştırma araçları farklıdır. Oltalama e-posta yoluyla yapılan çevrimiçi suçları ifade ederken, smishing saldırıları hedeflenen kişiyi cezbetmek için bir cep telefonu veya başka bir mobil cihaz ve kısa mesajlar kullanır. Başka bir deyişle, smishing, kimlik avının kısa mesaj yoluyla yapılan bir şeklidir. Normal metin mesajlarına ek olarak, WhatsApp gibi mesajlaşma hizmetleri de hassas verilerin, giriş bilgilerinin ve diğer kişisel bilgilerin çalınması söz konusu olduğunda güvenli değildir.
Bir smishing mesajı hedeflenen kişiyi kandırmada bir phishing e-posta’sından daha başarılı olabilir çünkü çoğu kişi kısa mesajları güvenlik ve gizliliklerine yönelik bir tehdit olarak görmez.
Smishing saldırıları, psikolojik manipülasyon yoluyla insanları avladıkları için sosyal mühendislik saldırıları olarak kabul edilir. Çoğu durumda, smishing mesajı bir aciliyet hissi yaratmak için tasarlanmıştır. Mesajlar, “hemen harekete geçin” ve “buraya tıklamazsanız hesabınız risk altında” veya “takip etmezseniz size karşı yasal işlem başlatılacak” gibi tetikleyici ifade veya kelimeler içerebilir. Bu mesajlar korkuya ve nihayetinde harekete geçmeye neden olabilir.
Siber suçlular telefon numaralarını web üzerindeki veri ihlalleri yoluyla elde eder. Örneğin, bir perakende sitesinde bir web hesabına kaydolduğunuzda, genellikle e-postanızı, telefon numaranızı ve diğer kişisel bilgilerinizi verirsiniz. Eğer bu siteler siber suçlular tarafından hack’lenirse, bu kayıtlar genellikle kâr amacıyla dark web’de dağıtılır veya satılır. Böylece kişisel bilgileriniz dağıtılmış olur.
Ayrıca telefon numaranızı bir kimlik avı e-posta’sı veya başka bir gayrimeşru site aracılığıyla girmiş olabilirsiniz, bu durumda da sitenin arkasındaki şirket aslında bir siber suçludur.
Her smishing saldırısı benzer yöntemler kullanırken, sunum önemli ölçüde değişebilir. Bilgisayar korsanları, bu SMS saldırılarını öngörülemez ve tespit edilmesi zor tutmak için çok çeşitli kimlikler kullanabilir.
Ne yazık ki, bu saldırıların bitmek bilmeyen yeniden icadı nedeniyle oltalama türlerinin kapsamlı bir listesini yapmak neredeyse imkansızdır. Birkaç yerleşik dolandırıcılık türü hakkında bilgi edinerek, hedef olmadan önce bir smishing saldırısını tespit etmenize yardımcı olacak özellikleri ortaya çıkarabilirsiniz.
COVID-19 oltalama dolandırıcılığı, COVID-19 salgınından kurtulmak için hükümet, sağlık ve finans kuruluşları tarafından tasarlanan meşru yardım programlarına dayanmaktadır.
Bilgisayar korsanları bu planları, hedeflenen kişilerin sağlık ve finans korkularını manipüle etmek için kullandı.
Peki bu saldırılardaki uyarı işaretleri nelerdir?
Finansal hizmetlere yönelik oltalama saldırıları, finansal kurumlardan gelen bildirimler olarak maskelenmektedir. Neredeyse herkes bankacılık ve kredi kartı hizmetlerini kullanmaktadır, bu da onları hem genel hem de kuruma özel mesajlara duyarlı hale getirmektedir. Krediler ve yatırımlar da bu kategorideki yaygın örneklerdir.
Bir bilgisayar korsanı, finansal dolandırıcılık yapmak için bir banka veya başka bir finans kurumu gibi davranır. Bir finansal hizmetler smishing dolandırıcılığının özellikleri arasında hesabınızın kilidini açmak için acil bir talep, şüpheli hesap etkinliğini doğrulamanızın istenmesi ve daha fazlası yer alabilir.
Hediye dolandırıcılığı, genellikle saygın bir markadan veya başka bir şirketten ücretsiz hizmet veya ürün vaadi anlamına gelir. Bunlar hediye yarışmaları, alışveriş ödülleri veya diğer ücretsiz teklifler olabilir. Bir bilgisayar korsanı “ücretsiz” fikrini öne sürerek heyecanınızı artırdığında, daha hızlı harekete geçmenizi sağlayabilir. Bu saldırının işaretleri arasında sınırlı süreli teklifler veya ücretsiz bir hediye kartı için özel seçim yer alabilir.
Smishing birçok farklı biçimde ortaya çıkar ve potansiyel hedeflerin potansiyel olarak tehlikeli metin mesajlarını tanımasını zorlaştırır. Bilgisayar korsanın amacı her zaman kişisel verileri elde etmek veya akıllı telefonu ele geçirmektir. Kimlik avında olduğu gibi, sıklıkla gördüğümüz birkaç yaygın smishing mesajı türü vardır. Bunlar aşağıdaki şekildedir:
Bu tür kısa mesajlar, sigorta şirketinizden veya benzer kaynaklardan geliyormuş gibi görünecek şekilde gizlenir. Hackerlar genellikle çalışan gibi davranır ve bir sorun nedeniyle bir bağlantıya tıklamanızı ister. Görünürdeki sorunu çözmek için genellikle hızlı bir yanıt talep eder.
Şebeke şirketinden geliyormuş gibi görünen kimlik avı SMS mesajları giderek daha popüler hale gelmektedir. İndirim kampanyalarının veya yükseltme tekliflerinin reklamını yaparlar. Burda da kullanıcının kendisini şebeke operatörünün kopya bir web sitesine yönlendiren bir bağlantıya tıklaması beklenir. Bağlantıya tıklanırsa, hedeflenen kişiden adres veya kredi kartı numarası gibi kişisel verilerini doldurması istenecektir.
Bu örnekte, bilgisayar korsanları insanların içindeki iyiliğe hitap eder. Kısa mesaj görünüşte bir yardım kuruluşundan geliyor gibi görünür ve acil bir durum ya da felaketle ilgili acil yardım talep eder. Burada da, kredi kartı bilgilerinin ve diğer kişisel verilerin talep edildiği bir web sitesine yönlendiren bir bağlantı eklenir.
WhatsApp veya Telegram gibi mesajlaşma uygulamalarında kimlik avı metin mesajları giderek daha popüler hale gelmektedir. Örneğin, popüler mağazalar için indirim veya kuponların reklamını yapan zincir mesajlar dolaştırılmaktadır. Bu mesajlar özellikle tehlikelidir, çünkü hedeflenen kişileri arkadaşları ve tanıdıkları tarafından iletilir. Bu kişiler alıcılar tarafından güvenilir olarak görüldüğünden, hedeflenen kişiler genellikle düşünmeden bağlantıya tıklar ve fazla düşünmeden kişisel verilerini verir.
Herhangi bir şirket veya kuruluştaki en iyi koruma, konuyla ilgili iyi bir eğitimdir. Her türlü kimlik avı veya smishing, ancak çalışanlar dolandırıcıların tuzağına düşerse zarara neden olabilir. Amaç, olası riskler konusunda farkındalık sağlamak olmalıdır.
Bu noktada aşağıdaki basit ipuçları, şirketinizi daha iyi korumanıza yardımcı olacaktır:
Bir şirketteki her kişinin şirket içindeki tüm verilere erişmesi nadiren gerekir. Belirli alanlara erişimin sınırlandırılması, smishing’den kaynaklanan potansiyel riskleri azaltabilir. Web siteleri de şirket bilgisayarlarında kısıtlanabilir.
Şirketteki riskler hakkında düzenli bilgi sağlayabilir ve çalışanlarınıza potansiyel tuzaklar hakkında bilgilendirebilirsiniz. Bu şekilde, onları bu tür metin mesajlarını ve kimlik avı gibi diğer saldırıları tanıma konusunda da eğitebilirsiniz.
Çalışanlarınızın şirkete kendi akıllı telefonlarını getirmelerine izin veriliyorsa, BYOD yönergeleri (BYOD = “kendi cihazını getir”) oluşturmanız tavsiye edilir. Bu, çalışanların mesai saatleri içinde kişisel akıllı telefonlarıyla neler yapabileceklerini düzenleyebilir.
Siber suçlar uzun süredir var olmasına ve neredeyse herkesi etkileyebilmesine rağmen, çok az kişi bu konuda yeterince eğitimlidir. Uygun eğitim, çalışanlarınızın olası tehlikeleri hızlı bir şekilde fark etmelerine yardımcı olur. Çalışanlarınız arasında iyi bir bilgi seviyesi ile oltalama saldırılarına karşı en iyi korumaya sahip olursunuz.
Abonelikten çıkmak gibi yanıtlama istemleri bile aktif telefon numaralarını tespit etmek için bir hile olabilir. Bilgisayar korsanları sizin merakınızdan veya mevcut durumla ilgili endişenizden yararlanır, ancak etkileşime girmeyi reddedebilirsiniz.
Acil hesap güncellemelerine ve sınırlı süreli tekliflere olası smishing’in uyarı işaretleri olarak yaklaşmalısınız. Bu noktada şüpheci olmanız ve dikkatlice ilerlemeniz şarttır.
Meşru kurumlar mesaj yoluyla hesap güncellemeleri veya giriş bilgileri talep etmez. Bu yüzden acil bildirimleri doğrudan çevrimiçi hesaplarınızdan veya resmi bir telefon yardım hattı aracılığıyla doğrulayabilirsiniz.
Garip görünümlü telefon numaraları, örneğin 4 haneli olanlar, e-postadan metne servislerin kanıtı olabilir. Bu, bir dolandırıcının gerçek telefon numarasını gizlemek için kullanabileceği birçok taktikten biridir.
Finansal bilgilerin dijital bir cüzdandan çalınmasını önlemenin en iyi yolu, bu bilgileri asla oraya koymamaktır.
İhlal edilen hesap doğrulama için ikinci bir “anahtar” gerektiriyorsa, parola smishing saldırısını yapan için işe yaramaz olabilir. MFA’nın en yaygın çeşidi, genellikle bir kısa mesaj doğrulama kodu kullanan iki faktörlü kimlik doğrulamadır. Doğrulama için özel bir uygulama (Google Authenticator gibi) kullanmayı içeren daha güçlü varyantlar da mevcuttur.
Hem şifreler hem de kısa mesajla gönderilen iki faktörlü kimlik doğrulama kurtarma kodları yanlış ellerde hesabınızı tehlikeye atabilir. Bu bilgileri asla kimseye vermemeniz gerekir.
E-posta oltalama gibi smishing de bir suçtur. Hedeflenen kişiyi bir bağlantıya tıklayarak veya bilgi vererek işbirliği yapması için kandırmaya dayanır. Bu siber saldırılara karşı en basit koruma hiçbir şey yapmamaktır. Yanıt vermezseniz, kötü niyetli bir metin size hiçbir şey yapamaz.
Mümkün olduğunda doğrudan resmi iletişim kanallarını kullanın.
Siber suçluların genellikle kullandığı birkaç taktik vardır. Bir iş ortamında, genellikle BT’den biri gibi davranarak sizden kimlik bilgilerinizi vermenizi veya bir girişi doğrulamanızı isterler. Hatta dikkatinizi çekmek ve talebi sorgulamadan yanıt vermenizi sağlamak için patronunuz veya C-suite’den biri gibi davranabilirler.
İş dışı bir ortamda, smishing örnekleri arasında bankanızdan gelen sahte bir mesaj, siyasi bir kampanya metni, sık sık gittiğiniz bir işletmeden gelen bir metin veya hatta numaralarını kaydetmeyi unuttuğunuzu düşünmenizi umarak arkadaşınız gibi davranan biri yer alır.
Bu siber suçluların peşinde olduğu bilgiler aşağıdakileri içerir:
Copyright © 2024 Tüm Hakları Saklıdır.
