Smishing, yeni bir şey olmasa da, siber suçlular arasında ilgi görmeye başlayan bir tehdit türüdür. Proofpoint tarafından yapılan bir araştırmaya göre, 2019 yılında kuruluşların %84’ü smishing saldırılarıyla karşılaşmıştır.
- Proofpoint, 55 yaş üstü kullanıcıların yalnızca %23’ünün smishing’i doğru bir şekilde tanımlayabildiğini bildirmiştir. 23-38 yaş arası kişilerin ise, yalnızca %34’ü bu terimin farkında olduğunu göstermiştir.
- Proofpoint, SMS tabanlı dolandırıcılıkların yalnızca 2020’nin ortasında %328 arttığını bildirdi.
- NextCaller, Amerikalıların %44’ünün ülke çapındaki karantina döneminin ilk iki haftasında dolandırıcılık amaçlı telefon aramalarında ve kısa mesajlarda artış gördüklerini söylediğini bildirdi.
- 2020 yılında Bank of Ireland, tek bir oltalama dolandırıcılığında bilgilerini veren 300’den fazla banka müşterisine 800.000 € ödemek zorunda kaldı.
Rakamlardan da anlayacağınız gibi smishing saldırıları her geçen gün artmaktadır. Smishing’in neler yapabildiği ve potansiyel riskleri hakkında ne kadar çok şey bilirseniz, bir smishing saldırısından kaynaklanan zararı tespit etmek ve önlemek o kadar kolay olacaktır.
Smishing (SMS Phishing) Nedir?
Smishing (SMS Phishing olarak da bilinir), bir bilgisayar korsanının SMS numaranıza, genellikle ücretsiz bir ürün teklifi, bankacılık veya diğer hassas bilgilerle ilgili acil bir uyarı içeren sahte bir mesaj göndermesidir.
SMS mesajları inandırıcı olacak şekilde yapıldığından, oltalama özellikle temel siber güvenlik bilgisine sahip olmayanlar için tehlikelidir. Hatta bazı smishing mesajları, sizi kandırmak için belli belirsiz kişisel bilgiler bile içerir.
Smishing bir oltalama türü müdür?
Smishing’in amacı phishing’den farklı olmasa da, kişisel veya finansal bilgilerinizi çalma ve masaüstü veya mobil cihazlarınıza bulaştırma araçları farklıdır. Oltalama e-posta yoluyla yapılan çevrimiçi suçları ifade ederken, smishing saldırıları hedeflenen kişiyi cezbetmek için bir cep telefonu veya başka bir mobil cihaz ve kısa mesajlar kullanır. Başka bir deyişle, smishing, kimlik avının kısa mesaj yoluyla yapılan bir şeklidir. Normal metin mesajlarına ek olarak, WhatsApp gibi mesajlaşma hizmetleri de hassas verilerin, giriş bilgilerinin ve diğer kişisel bilgilerin çalınması söz konusu olduğunda güvenli değildir.
Bir smishing mesajı hedeflenen kişiyi kandırmada bir phishing e-posta’sından daha başarılı olabilir çünkü çoğu kişi kısa mesajları güvenlik ve gizliliklerine yönelik bir tehdit olarak görmez.
Smishing Nasıl Çalışır?
Smishing saldırıları, psikolojik manipülasyon yoluyla insanları avladıkları için sosyal mühendislik saldırıları olarak kabul edilir. Çoğu durumda, smishing mesajı bir aciliyet hissi yaratmak için tasarlanmıştır. Mesajlar, “hemen harekete geçin” ve “buraya tıklamazsanız hesabınız risk altında” veya “takip etmezseniz size karşı yasal işlem başlatılacak” gibi tetikleyici ifade veya kelimeler içerebilir. Bu mesajlar korkuya ve nihayetinde harekete geçmeye neden olabilir.
Siber suçlular telefon numaralarını web üzerindeki veri ihlalleri yoluyla elde eder. Örneğin, bir perakende sitesinde bir web hesabına kaydolduğunuzda, genellikle e-postanızı, telefon numaranızı ve diğer kişisel bilgilerinizi verirsiniz. Eğer bu siteler siber suçlular tarafından hack’lenirse, bu kayıtlar genellikle kâr amacıyla dark web’de dağıtılır veya satılır. Böylece kişisel bilgileriniz dağıtılmış olur.
Ayrıca telefon numaranızı bir kimlik avı e-posta’sı veya başka bir gayrimeşru site aracılığıyla girmiş olabilirsiniz, bu durumda da sitenin arkasındaki şirket aslında bir siber suçludur.
Smishing Saldırı Türleri
Her smishing saldırısı benzer yöntemler kullanırken, sunum önemli ölçüde değişebilir. Bilgisayar korsanları, bu SMS saldırılarını öngörülemez ve tespit edilmesi zor tutmak için çok çeşitli kimlikler kullanabilir.
Ne yazık ki, bu saldırıların bitmek bilmeyen yeniden icadı nedeniyle oltalama türlerinin kapsamlı bir listesini yapmak neredeyse imkansızdır. Birkaç yerleşik dolandırıcılık türü hakkında bilgi edinerek, hedef olmadan önce bir smishing saldırısını tespit etmenize yardımcı olacak özellikleri ortaya çıkarabilirsiniz.
1. COVID-19 smishing
COVID-19 oltalama dolandırıcılığı, COVID-19 salgınından kurtulmak için hükümet, sağlık ve finans kuruluşları tarafından tasarlanan meşru yardım programlarına dayanmaktadır.
Bilgisayar korsanları bu planları, hedeflenen kişilerin sağlık ve finans korkularını manipüle etmek için kullandı.
Peki bu saldırılardaki uyarı işaretleri nelerdir?
- Hassas bilgiler (sosyal sigorta numarası, kredi kartı numarası vb.) isteyen iletişim takibi
- Vergi temelli mali yardım
- Kamu sağlığı güvenliği güncellemeleri
2. Finansal hizmetler smishing
Finansal hizmetlere yönelik oltalama saldırıları, finansal kurumlardan gelen bildirimler olarak maskelenmektedir. Neredeyse herkes bankacılık ve kredi kartı hizmetlerini kullanmaktadır, bu da onları hem genel hem de kuruma özel mesajlara duyarlı hale getirmektedir. Krediler ve yatırımlar da bu kategorideki yaygın örneklerdir.
Bir bilgisayar korsanı, finansal dolandırıcılık yapmak için bir banka veya başka bir finans kurumu gibi davranır. Bir finansal hizmetler smishing dolandırıcılığının özellikleri arasında hesabınızın kilidini açmak için acil bir talep, şüpheli hesap etkinliğini doğrulamanızın istenmesi ve daha fazlası yer alabilir.
3. Hediye dolandırıcılığı
Hediye dolandırıcılığı, genellikle saygın bir markadan veya başka bir şirketten ücretsiz hizmet veya ürün vaadi anlamına gelir. Bunlar hediye yarışmaları, alışveriş ödülleri veya diğer ücretsiz teklifler olabilir. Bir bilgisayar korsanı “ücretsiz” fikrini öne sürerek heyecanınızı artırdığında, daha hızlı harekete geçmenizi sağlayabilir. Bu saldırının işaretleri arasında sınırlı süreli teklifler veya ücretsiz bir hediye kartı için özel seçim yer alabilir.
Smishing’i Nasıl Tanıyabilirim?
Smishing birçok farklı biçimde ortaya çıkar ve potansiyel hedeflerin potansiyel olarak tehlikeli metin mesajlarını tanımasını zorlaştırır. Bilgisayar korsanın amacı her zaman kişisel verileri elde etmek veya akıllı telefonu ele geçirmektir. Kimlik avında olduğu gibi, sıklıkla gördüğümüz birkaç yaygın smishing mesajı türü vardır. Bunlar aşağıdaki şekildedir:
1. Sözde güvenilir bir kaynaktan gelen SMS
Bu tür kısa mesajlar, sigorta şirketinizden veya benzer kaynaklardan geliyormuş gibi görünecek şekilde gizlenir. Hackerlar genellikle çalışan gibi davranır ve bir sorun nedeniyle bir bağlantıya tıklamanızı ister. Görünürdeki sorunu çözmek için genellikle hızlı bir yanıt talep eder.
2. Bir şebeke operatöründen gelen SMS
Şebeke şirketinden geliyormuş gibi görünen kimlik avı SMS mesajları giderek daha popüler hale gelmektedir. İndirim kampanyalarının veya yükseltme tekliflerinin reklamını yaparlar. Burda da kullanıcının kendisini şebeke operatörünün kopya bir web sitesine yönlendiren bir bağlantıya tıklaması beklenir. Bağlantıya tıklanırsa, hedeflenen kişiden adres veya kredi kartı numarası gibi kişisel verilerini doldurması istenecektir.
3. Yardım kuruluşlarından gelen oltalama SMS’leri
Bu örnekte, bilgisayar korsanları insanların içindeki iyiliğe hitap eder. Kısa mesaj görünüşte bir yardım kuruluşundan geliyor gibi görünür ve acil bir durum ya da felaketle ilgili acil yardım talep eder. Burada da, kredi kartı bilgilerinin ve diğer kişisel verilerin talep edildiği bir web sitesine yönlendiren bir bağlantı eklenir.
4. Mesajlaşma uygulamalarındaki metin mesajları
WhatsApp veya Telegram gibi mesajlaşma uygulamalarında kimlik avı metin mesajları giderek daha popüler hale gelmektedir. Örneğin, popüler mağazalar için indirim veya kuponların reklamını yapan zincir mesajlar dolaştırılmaktadır. Bu mesajlar özellikle tehlikelidir, çünkü hedeflenen kişileri arkadaşları ve tanıdıkları tarafından iletilir. Bu kişiler alıcılar tarafından güvenilir olarak görüldüğünden, hedeflenen kişiler genellikle düşünmeden bağlantıya tıklar ve fazla düşünmeden kişisel verilerini verir.
İşletmemi Smishing’den Nasıl Koruyabilirim?
Herhangi bir şirket veya kuruluştaki en iyi koruma, konuyla ilgili iyi bir eğitimdir. Her türlü kimlik avı veya smishing, ancak çalışanlar dolandırıcıların tuzağına düşerse zarara neden olabilir. Amaç, olası riskler konusunda farkındalık sağlamak olmalıdır.
Bu noktada aşağıdaki basit ipuçları, şirketinizi daha iyi korumanıza yardımcı olacaktır:
1. Erişim kontrollerini kullanın
Bir şirketteki her kişinin şirket içindeki tüm verilere erişmesi nadiren gerekir. Belirli alanlara erişimin sınırlandırılması, smishing’den kaynaklanan potansiyel riskleri azaltabilir. Web siteleri de şirket bilgisayarlarında kısıtlanabilir.
2. Risklere dikkat çekin
Şirketteki riskler hakkında düzenli bilgi sağlayabilir ve çalışanlarınıza potansiyel tuzaklar hakkında bilgilendirebilirsiniz. Bu şekilde, onları bu tür metin mesajlarını ve kimlik avı gibi diğer saldırıları tanıma konusunda da eğitebilirsiniz.
3. BYOD politikaları oluşturun
Çalışanlarınızın şirkete kendi akıllı telefonlarını getirmelerine izin veriliyorsa, BYOD yönergeleri (BYOD = “kendi cihazını getir”) oluşturmanız tavsiye edilir. Bu, çalışanların mesai saatleri içinde kişisel akıllı telefonlarıyla neler yapabileceklerini düzenleyebilir.
4. Siber suçlar için eğitim
Siber suçlar uzun süredir var olmasına ve neredeyse herkesi etkileyebilmesine rağmen, çok az kişi bu konuda yeterince eğitimlidir. Uygun eğitim, çalışanlarınızın olası tehlikeleri hızlı bir şekilde fark etmelerine yardımcı olur. Çalışanlarınız arasında iyi bir bilgi seviyesi ile oltalama saldırılarına karşı en iyi korumaya sahip olursunuz.
5. Cevap vermeyin
Abonelikten çıkmak gibi yanıtlama istemleri bile aktif telefon numaralarını tespit etmek için bir hile olabilir. Bilgisayar korsanları sizin merakınızdan veya mevcut durumla ilgili endişenizden yararlanır, ancak etkileşime girmeyi reddedebilirsiniz.
6. Bir mesaj acilse yavaşlayın
Acil hesap güncellemelerine ve sınırlı süreli tekliflere olası smishing’in uyarı işaretleri olarak yaklaşmalısınız. Bu noktada şüpheci olmanız ve dikkatlice ilerlemeniz şarttır.
7. Şüpheliyse, doğrudan bankanızı veya satıcınızı arayın
Meşru kurumlar mesaj yoluyla hesap güncellemeleri veya giriş bilgileri talep etmez. Bu yüzden acil bildirimleri doğrudan çevrimiçi hesaplarınızdan veya resmi bir telefon yardım hattı aracılığıyla doğrulayabilirsiniz.
8. Telefon numarasını kontrol edin
Garip görünümlü telefon numaraları, örneğin 4 haneli olanlar, e-postadan metne servislerin kanıtı olabilir. Bu, bir dolandırıcının gerçek telefon numarasını gizlemek için kullanabileceği birçok taktikten biridir.
7. Kredi kartı numaralarını asla telefonunuzda tutmamayı tercih edin
Finansal bilgilerin dijital bir cüzdandan çalınmasını önlemenin en iyi yolu, bu bilgileri asla oraya koymamaktır.
8. Çok faktörlü kimlik doğrulama (MFA) kullanın
İhlal edilen hesap doğrulama için ikinci bir “anahtar” gerektiriyorsa, parola smishing saldırısını yapan için işe yaramaz olabilir. MFA’nın en yaygın çeşidi, genellikle bir kısa mesaj doğrulama kodu kullanan iki faktörlü kimlik doğrulamadır. Doğrulama için özel bir uygulama (Google Authenticator gibi) kullanmayı içeren daha güçlü varyantlar da mevcuttur.
9. Asla metin yoluyla bir şifre veya hesap kurtarma kodu vermeyin
Hem şifreler hem de kısa mesajla gönderilen iki faktörlü kimlik doğrulama kurtarma kodları yanlış ellerde hesabınızı tehlikeye atabilir. Bu bilgileri asla kimseye vermemeniz gerekir.
10. Tüm SMS kimlik avı girişimlerini belirlenen yetkililere bildirin.
E-posta oltalama gibi smishing de bir suçtur. Hedeflenen kişiyi bir bağlantıya tıklayarak veya bilgi vererek işbirliği yapması için kandırmaya dayanır. Bu siber saldırılara karşı en basit koruma hiçbir şey yapmamaktır. Yanıt vermezseniz, kötü niyetli bir metin size hiçbir şey yapamaz.
11. Mesajda sizi rahatsız eden herhangi bir bağlantı veya iletişim bilgisi kullanmaktan kaçının
Mümkün olduğunda doğrudan resmi iletişim kanallarını kullanın.
Bireysel Kullanıcılar İçin Smishing Koruması
- Özellikle bilinmeyen bir numaradan geliyorsa, doğal olmayan veya dilbilgisi açısından yanlış bir dil kullanan metinlere karşı dikkatli olun.
- Metin mesajları içindeki gömülü bağlantılara tıklamaktan kaçının.
- Bir finans kuruluşundan veya satıcıdan geliyormuş gibi görünen ve hesap bilgilerinizi güncellemenizi veya kişisel bilgilerinizi vermenizi isteyen metinlere yanıt vermeyin.
- Bir bankadan veya iş yaptığınız bir şirketten gelmiş gibi görünen ve bir bağlantı veya bilgi verme talebi içeren bir mesaj alırsanız, doğrudan şirketi arayın. Metinde verilen telefon numarasını kullanmayın.
- Kimden geldiğinden emin değilseniz asla bir bağlantıya tıklamayın veya bir mesajda verilen telefon numarasını aramayın.
Smishing Saldırılarının Yaygın Örnekleri
Siber suçluların genellikle kullandığı birkaç taktik vardır. Bir iş ortamında, genellikle BT’den biri gibi davranarak sizden kimlik bilgilerinizi vermenizi veya bir girişi doğrulamanızı isterler. Hatta dikkatinizi çekmek ve talebi sorgulamadan yanıt vermenizi sağlamak için patronunuz veya C-suite’den biri gibi davranabilirler.
İş dışı bir ortamda, smishing örnekleri arasında bankanızdan gelen sahte bir mesaj, siyasi bir kampanya metni, sık sık gittiğiniz bir işletmeden gelen bir metin veya hatta numaralarını kaydetmeyi unuttuğunuzu düşünmenizi umarak arkadaşınız gibi davranan biri yer alır.
Bu siber suçluların peşinde olduğu bilgiler aşağıdakileri içerir:
- Sosyal güvenlik numaraları
- Kredi veya banka kartı numaraları
- Posta kodları (eğer numaraya zaten sahiplerse kartınızı kullanmalarına yardımcı olur)
- Banka adları veya kredi kartı şirketleri (bunları daha sonra özel ve kişiselleştirilmiş saldırılarda kullanabilirler)
- İş giriş bilgileri
- İş başvuru bilgileri
- Müşteri veya satıcı bilgileri
- Cihaz ve ağ bilgileri
Okumanızı Öneririz: Phishing (Oltalama) Nedir? Phishing Saldırısı Nasıl Engellenir?
![Türkiye’de E-posta Kullanımı %40 Arttı [İnfografik]](https://uzmanposta.com/blog/wp-content/uploads/2021/02/turkiye-is-epostasi-verileri-2020-001-2-120x86.png)
