Siber güvenlik kuruluşu ESET, e-posta oltalama atakları ile birlikte sesli kimlik avcılığının da arttığı konusunda ikazlarda bulundu. “Vishing” olarak da isimlendirilen bu usulde saldırganlar toplumsal mühendislik metotlarını kullanıp kurbanlarının yanılma hissesinden yararlanıyorlar. Pandemi periyodunda konuttan çalışanları tuzağa düşürmeye çalışıyorlar.
Kimlik avı hırsızlığı, siber hatalıların toplumsal mühendislik yoluyla gerçekleştirdiği ve tüm dünyada uyguladığı bir dolandırıcılık metodu. Dolandırıcılar hedefledikleri şahısları ruhsal ve toplumsal sistemlerle ikna ederek emellerine ulaşmayı hedefliyor. Banka vazifelisi, teknoloji sağlayıcısı, kamu çalışanı, polis, adliye ya da BT yardım masası çalışanı üzere sağlam bir otoritenin kimliğine girerek, kurbanın dikkatini yahut ilgisini çekebilecek acil bir durum olduğuna dair bir his uyandırıyorlar. Kurbanlarının datalarını ele geçirebilmek için dehşet, heyecan, panik, gerilim yaratıyorlar.
Pandemi sürecinde uzaktan çalışmanın ve online hizmet alımının artması ile birlikte siber saldırganlar sesli kimlik avcılığını da ağır olarak kullanmaya başladı. Amerika Birleşik Devletleri’nde 2020 yılında yalnızca FBI’ya bildirilen hadise sayısı 241 binin üzerinde ve 54 milyon dolardan fazla meblağ SMS kimlik avı, pharming ve sesli kimlik avı aracılığıyla dolandırıcıların eline geçmiş durumda.
ESET uzmanları siber hatalıların sesli kimlik avcılığında ağır olarak kullandıkları usulleri şu formda sıraladı:
Teknoloji dayanaklı dolandırıcılıklar
Teknoloji dayanaklı sahtekarlıklarda, internet servis sağlayıcısı yahut bilinen bir yazılım yahut donanım satıcısı kimliğine bürünen bir dolandırıcı kurbanı arar. Hedeflenen kişinin bilgisayarında bir sorun olduğunu tez ederek bu sorunu çözmek için ekseriyetle ödeme yapılmasını yahut kart bilgilerini vermesini ister. Bu süreçte makus hedefli bir yazılım indirilmesini sağlayabilir. Ayrıyeten, kullanıcıyı bir acil durum numarasını aramaya yönlendiren açılır bir pencereyle de bir dolandırıcılık başlayabilir.
Otomatik arama
Bu uygulama, birçok kurbana otomatik sesli ileti göndermeyi içerir; çoklukla vergi borçları yahut ödenmemiş cezaları olduğu üzere savlarla kurbanları geri aramaları için korkutmayı gayeler.
Telefonla pazarlama
Başka bir tanınan taktik ise, alıcının büyük bir ödül kazandığı teziyle aranmasıdır. Fakat bu mükafatı alabilmek için kurbanın bir ön ödeme yapması gerekir.
Kimlik avı hırsızlığı/SMS iletisi hırsızlığı
Dolandırıcılık, kullanıcıyı bir numarayı aramaya ikna etmek üzere uydurma bir e-posta yahut SMS ile başlayabilir. Bunlardan biri, bir evvelki siparişte bir şeylerin aksi gittiğini tez eden bir ‘Amazon’ e-postasıdır. E-postadaki numarayı arayan kişi, sesli kimlik avı hırsızıyla bağlantıya geçer.
Sesli kimlik avı nasıl engellenir
Bu dolandırıcılıklardan kimilerinin epeyce karmaşık bir hal almasına karşın, ESET uzmanları kurban durumuna düşmemek için yapabilecekleri şu biçimde sıraladı;
- Telefon rehberinde numaranızın paylaşılmasına müsaade vermeyin, bu sayede numaranız herkesin erişimine açık olmaz.
- Telefon numaranızı online formlara (örneğin online alışveriş yaparken) girmeyin.
- Bankanızdan gelen ve şahsî yahut hassas bilgilerinizi telefonda paylaşmanızı isteyen talepler konusunda dikkatli olun.
- Dikkatli davranın. Bilhassa hassas bilgilerinizi onaylamanızı isteyen ve muteber olmayan şahıslarla irtibat kurmayın.
- Sesli ileti yoluyla size ulaşan bir numarayı asla geri aramayın. Hep kuruluşla direkt irtibata geçin.
- Tüm çevrimiçi hesaplarınızda çok faktörlü kimlik doğrulamasını (MFA) kullanın.
- E-posta/internet güvenliğinizin yeni olduğundan ve kimlik avına karşı muhafaza sağladığından emin olun.
Kaynak: (BHA) – Beyaz Haber Ajansı
