TikTok’ta insanların telesekreter sesi kullanarak arkadaşlarını arayıp hesaplarından büyük ölçüde para çekileceğini söylediği bir latife giderek yayılıyor. Kaspersky uzmanları, bu eğilimin vishing ismi verilen gerçek bir dolandırıcılık formu olduğu ve siber hatalılar tarafından etkin olarak kullanıldığı konusunda uyarıyor. Kaspersky araştırmacıları, Haziran ayında vishing e-postalarının sayısında artış tespit etti (toplamda yaklaşık 100 bin) ve Mart ile Haziran 2022 ortasında yaklaşık 350 bin vishing e-postasına rastladılar. Araştırmacılar ayrıyeten vishing’in nasıl çalıştığını ve siber hatalıların bu tuzağına düşmekten nasıl kaçınılacağını paylaştılar.
Sesli kimlik avının kısaltması olan Vishing, bireyleri siber suçluları aramaya ve telefon üzerinden ferdî bilgileri ve banka detaylarını açıklamaya ikna etmeye dayalı bir dolandırıcılık uygulaması olarak tanımlanıyor. Olay birçok kimlik avı taarruzunda olduğu üzere büyük bir çevrimiçi mağazadan yahut ödeme sağlayıcısından gelen alışılmadık bir e-posta ile başlıyor. Örneğin bu PayPal’ın düzmece bir sürümünden, hesabınızdan büyük ölçüde para çekme talebi aldıklarını bildiren bir e-posta olabiliyor.
Buradaki fark şöyle ortaya çıkıyor: Olağan kimlik avı e-postaları kurbandan siparişi iptal etmek için bir ilişkiyi tıklamasını isterken, vishing e-postaları verilen müşteri takviye numarasını hemen aramaya yönlendirir. Kaspersky uzmanları, bu tekniğin siber hatalılar tarafından kasıtlı olarak seçildiğini vurguluyor. Zira beşerler bir kimlik avı sitesine baktıklarında, aksiyonları hakkında düşünecek yahut sayfanın yasal olmadığını gösteren işaretleri fark edecek vakitleri oluyor. Lakin kurbanlar telefonda konuştuğunda ekseriyetle dikkatleri dağılıyor ve daha sıkıntı odaklanıyor. Bu şartlar altında saldırganlar kullanıcıların istikrarını daha da bozmak için ellerinden gelen her şeyi yapıyor. Onları aceleye getiriyor, korkutuyor, kelamda geçersiz süreci iptal etmek için hemen kredi kartı bilgilerini vermelerini talep ediyor. Siber hatalılar, kurbanın banka hesap bilgilerini aldıktan sonra bu bilgileri paraları çalmak için kullanıyor ve kurbanı boş bir cüzdanla baş başa bırakıyor.
Kaspersky uzmanları, son dört ayda (Mart’tan Haziran 2022’ye kadar) yaklaşık 350 bin vishing e-postası tespit ettiklerini ve bu e-postalarda kurbanların bir numarayı arayarak süreci iptal etmelerinin istendiğini vurguluyor. Haziran ayında bu çeşit e-postaların sayısı artarak yaklaşık 100 bine ulaştı ve bu durum Kaspersky araştırmacılarının bu eğilimin ivme kazanarak büyümeye devam edeceğini düşünmelerine yol açtı.
Tuhaf bir formda TikTok kullanıcıları, evvelden uydurma bir e-posta göndermemeleri yahut kurbanlarından hiçbir şey çalmamaları kuralıyla bu senaryonun benzerini hayata geçiriyor. Burada emel gösteri, para değil. Arama, sesi çevrimiçi bir mütercim tarafından oluşturulan bir telesekreter aracılığıyla gerçekleştiriliyor. Birden fazla vakit şakacılar kendilerini büyük bir çevrimiçi mağazanın müşteri hizmetleri departmanından bir temsilci üzere tanıtıyor, kurbandan birkaç bin dolarlık sipariş aldıklarını argüman ediyor ve onaylarını istiyor. Kurban nasıl karşılık verirse versin, telesekreterin söylediği bir sonraki şey “Teşekkürler, siparişiniz onaylandı” oluyor. Beşerler telesekreterin onları yanlış duyduğunu ve paranın çabucak hesaplarından çekileceğini zannederek panikliyor, çığlık atıyor ve bunun bir latife olduğunun farkına varamıyor.
İnsanlar bir kimlik avı sayfası yerine bir telefon görüşmesi sırasında ferdî bilgilerini ifşa etmeye ikna olduklarında, çoklukla bir aldatmacanın amacı olduklarını düşünme talihi bulamıyor. Bu latifenin hayata geçirildiği çok sayıda TikTok görüntüsü bunun çarpıcı bir örneği.
Kaspersky Güvenlik Uzmanı Roman Dedenok, şunları söylüyor: “TikTok’ta öbür insanları arayarak ve hesaplarının binlerce dolar borçlandırılmak üzere olduğunu söyleyerek latife yapan blogcuların görüntülerine sıkça rastlıyorum. Kurbanlar buna inanıyor ve çıldırıyor. Telefonunuzdan bu görüntülere baktığınızda ‘bir insan bu türlü bir şeye nasıl kanar’ diye düşünebilirsiniz. Lakin beşerler gerçek hayatta dolandırıcılık davetleriyle karşılaştıklarında, birçok vakit birebir anda birden fazla durumdan etkilenirler. Bu türlü bir davet onları hazırlıksız yakalayabilir. Başları öbür şeylerle doluyken davetin öbür ucunda kimin olduğunu net bir halde değerlendiremezler. Bu bir şakacı, dolandırıcı yahut gerçek bir banka vazifelisi olabilir.”
Securelist raporunda öteki tanınan e-posta sahtekarlığı metotları hakkında bilgi edinebilirsiniz.
Vishing taarruzlarına karşı korunmak için Kaspersky şunları öneriyor:
- Gönderenin adresini denetim edilmelidir. Birçok spam e-posta anlamsız görünen adreslerden gelir. Örneğin, [email protected] üzere. Gönderenin isminin üzerine gelerek tam e-posta adresini görebilirsiniz. Bir e-posta adresinin yasal olup olmadığından emin değilseniz, denetim etmek için bir adresi arama motoruna koyabilirsiniz.
- Ne çeşit bilgilerin istendiği dikkate alınmalıdır. Yasal şirketler, banka yahut kredi kartı bilgileriniz, Toplumsal Güvenlik numaranız yahut öbür hassas bilgileriniz üzere ferdî bilgilerinizi istemek için istenmeyen e-postalar aracılığıyla sizinle ansızın bağlantı kurmazlar. Genel olarak, “hesap detaylarını doğrulamanızı” yahut “hesap bilgilerinizi güncellemenizi” söyleyen istenmeyen bildirilere dikkatle yaklaşılmalıdır.
- Mesaj bir aciliyet duygusu yaratıyorsa dikkatli olunmalıdır. Spam gönderenler ekseriyetle bu taktiği kullanarak baskı uygulamaya çalışırlar. Örneğin husus satırı, sizi harekete geçmeye zorlamak için “acil” yahut “acil süreç gerekli” üzere sözler içerebilir.
- Dil bilgisi ve yazım kontrolü yaparak dolandırıcıyı belirleyebilirsiniz. Yazım yanılgıları ve makus dilbilgisi kırmızı bayraklardır. Tıpkı halde e-postanın tercümanlar aracılığıyla birkaç sefer çevrilmesinden kaynaklanabilecek garip tabirler yahut olağandışı sözdizimleri de yer alır.
- Güvenilir bir güvenlik tahlili kurulmalı ve tavsiyeleri takip edilmelidir. İnançlı tahlil, birçok sorunu otomatik olarak çözecek ve gerektiğinde sizi uyaracaktır.
Kaynak: (BYZHA) – Beyaz Haber Ajansı