Son zamanlardaki siber saldırı türlerinden biri de vishing saldırısıdır. IBM’in X-Force tarafından yayınlanan bir rapora göre, vishing saldırıları son birkaç yılda hızla artmıştır. Sadece 2022 yılında, bu siber saldırılar şu ana kadar tüm siber dolandırıcılıkların %41’ini oluşturmaktadır.
Vishing (Voice phishing) Nedir?
Sesli oltalama olarak da bilinen vishing, bilgisayar korsanlarının hedeflenen kişileri başka biriymiş gibi davranarak telefonla aradıkları bir sosyal mühendislik türüdür. Bu saldırı türünde telefondaki kişi teknik destek, banka çalışanı veya hatta polis memuru olduğunu iddia edebilir. Gerçekte bu kişiler sizi dolandırmak isteyen kişilerdir ve istedikleri tek şey kişisel bilgilerinizdir. Eğer başarılı olurlarsa, bir sonraki adım ya kimlik hırsızlığı ya da banka hesaplarınızı boşaltmak olacaktır.
Vishing saldırılarının temel amacı nedir?
Siber suçlular değerli kişisel verileri çalmak için vishing yöntemini kullanır. Bu bilgiler kişisel kimlik bilgileri, banka hesap numaraları, giriş bilgileri, gizli parolalar veya şirket kimlik bilgileri olabilir. Vishing girişimi başarılı olursa, suçlu bilgilerinizi kişisel bilgilerinize veya diğer değerli varlıklara erişmek için kullanabilir.
Vishing Saldırıları Nasıl Çalışır?
Vishing saldırıları, genellikle bilgisayar korsanının hedefleri hakkında sosyal mühendislik taktiklerinde kullanılabilecek kişisel bilgileri öğrenmek için araştırma yapmasıyla başlar. Bilgisayar korsanları genellikle hedeflerin telefon numaralarıyla yanıt vermelerini sağlamaya çalışan e-posta’lar göndererek işe başlar. Daha sonra hedefi arayarak korku gibi insani içgüdülerle oynarlar, hatta hassas bilgileri ifşa etmeye ikna etmek için bir arkadaş veya aile üyesi gibi davranmak üzere ses değiştirme yazılımı kullanabilirler. Başarılı olmaları halinde, bilgisayar korsanları banka hesaplarına yetkisiz erişim elde edebilir ve hileli transfer işlemleri gerçekleştirebilir.
Vishing Türleri
Tıpkı normal oltalama gibi birkaç farklı vishing saldırısı türü de vardır. Bunlar aşağıdaki şekildedir:
1. Deepfakes
Gelişmiş yapay zeka, tanıdığınız kişileri taklit ederek dolandırıcıların başarılı olmasına yardımcı olur. İnandırıcı bir ses klonu yaratmak için ihtiyaç duydukları tek şey, genellikle sosyal medya platformlarında herkese açık olan kısa bir ses örneğidir.
Suçlu aramayı başlattıktan sonra, sesi doğal bir şekilde “konuşmaya” yönlendirmek için metinden sese yazılımı kullanır. Arayan kişinin iş arkadaşınız, müdürünüz veya şirket CEO’nuz olduğunu düşündüğünüzde, arayan kişinin hassas bilgi talebini yerine getirme olasılığınız daha yüksektir.
2. Robocall
Numaraları aramak ve önceden kaydedilmiş mesajları çalıştırmak için özel bir yazılım kullanan bu vishing dolandırıcılığı yaygındır. Otomatik mesaj, bankanız, hükümet, polis gibi sözde bir makamdan geldiğini iddia eder.
Kayıt sizi hesap bilgilerinizi teyit etmeye veya adınızı, kredi kartı bilgilerinizi, banka hesap bilgilerinizi ve posta adresinizi vererek hesabınızı güvence altına almaya çağırır.
3. Teknik Destek Çağrısı
Arayanlar şirketinizin BT departmanından, internet servis sağlayıcınızdan veya diğer teknik destek hizmetlerinden olduklarını iddia eder. Cihazınızın veya bağlantınızın güvenli olmadığını ve sorunu çözmek için şifrenize veya uzaktan erişiminize ihtiyaçları olduğunu söylerler.
Büyük şirketlerde, BT’de kimin çalıştığını şahsen bilmiyor olabilirsiniz. İş arkadaşınızın sadece işini yaptığını düşünerek bilgilerinizi vermek zorunda hissedebilirsiniz.
4. Müşteri Çağrısı
Bu vishing dolandırıcılığında, arayanlar çöp dalışı (dumpster diving) yoluyla buldukları eski faturaları kullanarak para sızdırmaya çalışır. Arama sırasında satıcı gibi davranırlar ve faturanın ödenmemiş olduğunu söylerler. Parayı göndermek için hızlı hareket etmeniz konusunda sizi baskı altına almak için acil veya öfkeli bir ton benimserler.
5. VoIP Vishing
İnternet Protokolü Üzerinden Ses (VoIP), vishing dolandırıcılarının tespit edilmekten kaçınmasını kolaylaştırır. VoIP aramaları, izlenmesi zor olan sanal numaralardan yapılır. Bilgisayar korsanı, suçu işlemek için kulağa meşru gelen yerel ofislerden veya kurumlardan geliyormuş gibi görünen sahte numaralar oluşturabilir.
6. Arayan Kimliği Sahteciliği
VoIP vishing gibi siber suçlular kendilerini “bilinmeyen” olarak listeleyerek veya devlet dairesi, hastane, polis veya kamu hizmeti şirketi gibi yasal bir kuruluşun numarasını ve adını taklit ederek sizi kandırır.
7. Çöp Dalışı (Dumpster Diving)
Dijital çağda bile ofisler hala kağıt kullanır ve vishing dolandırıcıları da bunu bilir. Bu sayede ofis binalarının ve parkların arkasındaki çöp kutularını karıştırarak geçerli çalışan ve iş telefon numaralarını kolayca toplayabilirler. Genellikle hedefli bir vishing saldırısında kullanmak için destekleyici ayrıntılar bulurlar.
Sosyal mühendislik, bu vishing tekniklerinin başarısı için kritik öneme sahiptir. Bu yüzden acil, zorlayıcı veya aşırı ikna edici bir dil kullanan arayanlara her zaman şüpheyle yaklaşmanız gerekir. Teknik destek, bankalar, kamu kuruluşları ve hastanelerin asla kişisel banka bilgilerinizi istemeyeceğini bilmeniz gerekir.
Bir Vishing Dolandırıcılığı Nasıl Tespit Edilir?
Belirli ipuçlarına dikkat ederek bir vishing dolandırıcılığını tespit edebilir ve kötü bir şey olmadan önce durdurabilirsiniz. Aşağıdaki listede bir vishing dolandırıcılığını nasıl tespit edileceğine dair listeye göz atarak bu dolandırıcılıktan kaçınabilirsiniz:
1. Gizli bilgileri ifşa etmeniz istenir
Finansal bilgileriniz, adresiniz, doğum tarihiniz, sosyal güvenlik numaranız, oturum açma bilgileriniz veya diğer kişisel bilgilerinizi, güvenmediğiniz kişilerle paylaşmayın. Bir vishing aramasını cevaplamak kendi başına tehlikeli değildir. Ancak, kendiniz hakkında bilgi verdiğinizde veya arayanın isteği üzerine bir şey yaptığınızda işler ters gidebilir.
2. Arayan kişinin talebi şüpheli derecede acildir
Değerli bilgileri ifşa etmenizi sağlamak için dolandırıcının talebinde genellikle bir aciliyet duygusu vardır. Bu şekilde, düşünmek için yeterli zamanınız olmadan ve arayan kişinin iyi bir şey yapmayabileceğini fark etmeden hızlı hareket etmeniz sağlanır. Bu noktada arayan kişinin talebinin makul görünüp görünmediğini her zaman durup düşünmeniz gerekir.
3. Arayan kişi size güvenilir biri olduğunu söylüyorsa
Bu elbette otomatik olarak arayanın dolandırıcı olduğu anlamına gelmez. Güvenilir kişiler de aslında zaman zaman telefonla size ulaşabilir. Ancak, telefonda arayan kişinin gerçek kimliğinden emin değilseniz, bu nedenle dikkatli olmanız gerekir.
4. Arama kısa sürer ve aniden biter
Bazen bilgisayar korsanı, siz bir şey duyamadan biten kısa aramalar yaparak geri aramanızı sağlamaya çalışabilir. Amaçları sizin geri aramanızı sağlamaktır. Hedeflenen kişi haberi olmadığı için arama beklediğinden daha pahalıya mal olabilir.
Eğer gerçekten bir vishing saldırısının hedefi olabileceğinizi düşünüyorsanız, yapılacak en iyi şey aramayı hemen sonlandırmaktır. Kendinizi bir vishing saldırısının hedefi olmaktan korumanın diğer yolları ise, sessiz kalmak ya da arayan kişinin sorularına yalnızca daha fazla soruyla yanıt vermektir.
Şüpheli bir numara aradığında ilk etapta telefonu açmayarak da kendinizi koruyabilirsiniz. Sizinle gerçekten iletişime geçmeleri gerekiyorsa, tekrar arayacaklar veya size bir mesaj göndereceklerdir. Geri aramanızı sağlamak bir tuzak olabilir. Kimin aradığını bilmeniz gerekiyorsa, daha fazla bilgi için numarayı Google’da aramayı deneyebilirsiniz. Telefon numaralarına göre sizi kimin aradığını bulmak için kullanılabilecek uygulamalar da vardır.
Vishing, Phishing ve Smishing Saldırıları Arasındaki Farklar
Her üç saldırının da hedefinin aynıdır: finansal kazanç için kullanıcılardan hassas bilgiler elde etmek. Ancak, farklılıkları kullanılan ortamda yatmaktadır. Vishing saldırıları telefon üzerinden gerçekleşir. Öte yandan, oltalama saldırıları e-posta’lar aracılığıyla gerçekleşirken, smishing saldırıları ise SMS mesajları aracılığıyla gerçekleşir.
Yaygın Vishing Saldırısı Örnekleri
Vishing saldırıları sosyal mühendislik saldırılarıdır. Yani bir bilgisayar korsanı bir hedefi rastgele aramaz. Bunun yerine, hedefledikleri kişi hakkında daha fazla bilgi edinmek için stratejik bir yaklaşım kullanırlar. Temel olarak, hedef kişinin sosyal medya profillerini inceler ve onlar için “özel” bir strateji geliştirirler.
1. Devlet Doğrulaması
Hedeflenen kişi sosyal güvenlik veya diğer yardımları alıyorsa, bilgisayar korsanı bu bilgileri almak için kendini bir hükümet temsilcisi olarak gizleyebilir. Bilgisayar korsanı, mağdurun bu yardımları almaya devam edebilmesi için doğrulama amacıyla bu bilgilere ihtiyaç duyduklarını “iddia edebilir”.
2. Çevrimiçi Ödeme Geçidi
Bazen bir siber saldırgan Google, Apple veya Amazon gibi şirketlerin müşteri destek temsilcisi olduğunu iddia edebilir. Hedeflenen kişinin dijital cüzdanlarında olağandışı bir hareketlilik fark ettiklerini ya da kontrol ettiklerini söylerler. “Temsilci” daha sonra bu cüzdanlara erişmek için şifreler ve PIN ister.
3. Banka Müdürü
Bu muhtemelen bu listedeki en yaygın siber saldırı türüdür. Burada bilgisayar korsanı, kendini bir banka müdürü olarak tanıtır ve hedeflenen kişinin hesabında bazı hileli işlemler olduğunu iddia eder. Bilgisayar korsanı ayrıca bankanın bir çek aldığını ve bunu hedeflenen kişinin hesabına yatırmak istediğini de iddia edebilir.
4. Teknik Destek
Bu örnekte, siber suçlular Microsoft gibi şirketlerin teknik destek temsilcileri olduklarını iddia eder. Hedeflenen kişinin cihazında bulunan virüsler hakkında derinlemesine konuşurlar. Ardından, hedeflenen kişiden e-posta yoluyla gönderecekleri belirli bir antivirüs yazılımını yüklemesini isterler. Gönderdikleri bağlantı, hedeflenen kişinin cihazına bulaşabilecek kötü amaçlı yazılımlar veya diğer zararlı virüsler içerir.
Bireysel Olarak Vishing Saldırılarını Önlemek için 3 İpucu
Potansiyel bir kurban olmaktan kaçınmak için uygulayabileceğiniz bazı ipuçları ve püf noktalar aşağıdaki şekildedir:
1. Konuşmalarınızın Farkında Olun
Şüpheli bir kişi sizi ararsa her zaman farkındalığınızı koruyun. Bilgisayar korsanlarının telefonda neredeyse herkes gibi davranabileceğini unutmayın. Aramaya devam etmeden önce her zaman ilgili kuruluşla iki kez kontrol edin.
2. Hassas Bilgileri Açıklamaktan Kaçının
Telefonda kendinizle ilgili herhangi bir bilgiyi açıklamaktan kaçının. Bu ipucu sadece banka hesap bilgileriniz ve PIN kodlarınızla ilgili değildir. Aslında, telefonda herhangi bir bilgi türünü açıklamamalısınız. Buna ev adresiniz ve kendinizle ilgili diğer kişisel bilgiler de dahildir. Hiçbir yasal kuruluşun telefonla arayıp kişisel bilgilerinizi istemeyeceğini unutmayın.
3. Yalnızca Güvenilir Arayanlardan Gelen Çağrıları Kabul Edin
Şüpheli numaralardan gelen aramaları yanıtlamaktan kaçının. Bunun yerine, arayanların sesli mesaj bırakmasına izin verin. Konuyla ilgili olduğunu düşünüyorsanız daha sonra yanıt verebilirsiniz. Siber saldırganlar asla sesli mesaj bırakmazlar. İstenmeyen numaralardan arama almamak için telefon numaranızı Aramayın kayıt defterine bile kaydedebilirsiniz.
- Kişisel bilgilerinizi, iş yerinizi veya ev adresinizi telefonda vermeyin veya teyit etmeyin.
- Bilinmeyen numaralardan gelen telefonlara cevap vermeyin. Aramayı sesli mesaja bırakın ve yanıt vermeden önce mesajın meşruiyetini değerlendirin.
- Anormallikleri veya garip arka plan gürültüsünü tespit etmek için arayanın sesini dikkatlice dinleyin.
- Taleplere yanıt vermeden önce duraklayın-özellikle de talepler acilse. Arayan kişi hızlı hareket etme sorumluluğunuzu istismar ediyor olabilir.
- Sorular sorun. Arayan kişi bilgi talep ediyor veya bir ödül teklif ediyorsa, kim olduklarını doğrulamak için adlarına ve şirket telefon numaralarına ihtiyacınız olduğunu söyleyin. Bu bilgileri vermeyi reddederlerse telefonu kapatın. Verirlerse, karşılığında bilgilerinizi vermeden önce yasal olduğundan emin olun.
- Hassas bilgiler içeren iş aramaları için bir kimlik doğrulama süreci uygulayın. Arayan kişi bir iş arkadaşınızı taklit ediyor ancak bir güvenlik sorusuna yanıt veremiyorsa, bu bir vishing girişimi olabilir.
- Telefon numaranızı isteyen e-posta’lara veya sosyal medya mesajlarına yanıt vermeyin. Bu taktik genellikle hedefli bir vishing saldırısının ilk adımıdır. Bunun yerine, bu e-posta’ları ve mesajları BT ekibinize bildirin.
- Telefonunuzda spam aramaları engelleyen veya filtreleyen koruma özelliklerini keşfedin ve etkinleştirin.
İşletmelerin Vishing Saldırılarını Önlemesi İçin İpuçları
Vishing saldırıları söz konusu olduğunda, siber suçlular işletmeleri de hedef alabilir. Aşağıda bu saldırıların kurumunuzda gerçekleşmesini önlemenin bazı yollarını bulabilirsiniz:
1. Çalışanlarınızı Eğitin
İlk adım olarak, çalışanlarınızı vishing saldırıları konusunda eğitin. Onlara siber suçluların hassas bilgileri elde etmek için bu saldırıları nasıl kullanabileceğini gösterin. Ayrıca, hiçbir yöneticinin veya CEO’nun bilgi istemek için onlarla telefonda iletişime geçmeyeceğini de çalışanlarınıza hatırlatmalısınız.
2. Hassas Bilgilere Erişimi Sınırlandırın
Genel olarak, işletmenizdeki hassas belgelere erişimi düzene sokmak ve kısıtlamak iyi bir uygulamadır. Bu belgeler, çalışan bilgilerini ve diğer iş açısından kritik bilgileri içeren her şeyi içerebilir.
