Çevrimiçi alışveriş artık gündelik hayatın bir parçası. Yemeklerimizi, giysilerimizi ve diğer ürünleri birkaç tıkla kapımıza getirtiyoruz. Çevrimiçi alışverişkolikler bazen kargolarından birini unutabiliyor ya da kuryenin aramasını kaçırabiliyor. Bu durum, tahmin edilebileceği üzere, sahte teslimat bildirimlerini yem olarak kullanan saldırganlar tarafından kötüye kullanılıyor.
Uluslararası ekspres kurye servisi DHL’i taklit eden siber suçlular da bunun bir örneği. Ancak bu sefer bu dolandırıcılık oyununu başlatan şey her zamanki kimlik avı bağlantısı yerine e-posta ile gönderilen bir QR kod. Bu yazıda bunu neden ve nasıl yaptıklarını anlatacağız.
“Paketiniz postanede”
Saldırı, DHL’den geliyormuş gibi görünen bir e-postayla başlıyor. Gönderenin adresi kurye servisinin adıyla hiçbir ilgisi olmayan rastgele sözcüklerden oluşsa da mesaj metni oldukça ikna edici: Şirket logosu, sipariş numarası (sahte) ve paketin güya alındığı tarihi içeriyor.
Bu örnekte İspanyolca olan mesaj, paketiniz yerel postaneye ulaştığını ancak kurye tarafından teslim edilemeyeceğini söylüyor. Genellikle bu tür yemlere “sorunu çöz” gibi bir bağlantı eşlik etse de bu sefer bunun yerine bir QR kod görüyoruz.
QR kodlar birçok iş yapabilir. Örneğin Wi-Fi bağlantısı kurmak, bir satın alma işlemi için ödeme yapmak ya da bir konsere veya filme aldığınız bileti onaylamak için kullanılabilirler. Ancak belki de en yaygın kullanımları, çevrimdışı olarak bağlantı yaymaktır: Ürün ambalajında, reklam posterlerinde, kartvizitlerde vey başka bir yerde gördüğümüz siyah beyaz kareyi taratarak ilgili web sitesine hızla ulaşabiliriz.
Elimizdeki örnekte ise elbette saldırganların derdi kullanıcıların işini kolaylaştırmak değil. Amaçları, kurban e-postayı ilk olarak bilgisayarda açsa bile QR kodu akıllı telefonla okutmak zorunda kalacağı için kötü amaçlı sitenin cep telefonunun küçük ekranında açılması, böylece kimlik avı işaretlerinin daha zor tespit edilir hale gelmesi. Mobil tarayıcılarda alan kısıtlı olduğu için URL’ler tam olarak gösterilmez. Safari’de ise adres çubuğu yakın zaman önce ekranın altına, birçok kullanıcının hiç bakmadığı bir yere taşındı. Sahte sitenin URL’i resmi siteye hiç benzemediği, hatta adreste DHL kelimesi bile geçmediği için bu durum doğrudan siber suçluların elini güçlendiriyor.
Web sitesinin metni de küçük, bu sayede tasarımdaki kusurlar da daha az göze batıyor. Gerçi tasarımda pek fazla kusur olduğunu da söyleyemeyiz. Sayfa, kullanıcıları markaya özgü sarı ve kırmızı renklerle karşılıyor, altta şirket adı görünüyor, metin ise cümle başlarında birkaç küçük harf kullanımı dışında neredeyse hatasız.
Kurban, paketin 1-2 gün içinde geleceği yönünde bilgilendiriliyor; paketi almak için adlarını, soyadlarını, adreslerini ve posta kodlarını girmeleri isteniyor. Teslimat servisi de bu tür bilgiler isteyeceği için durum hiç şüphe uyandırmıyor.
Fakat veri hasadı burada bitmiyor. Bir sonraki sayfada kurbandan güya teslimatın ödemesini yapmak üzere banka kartı bilgileri ve kartın arkasındaki CVV kodu isteniyor. Saldırganlar herhangi bir ücret belirtmiyor, yalnızca ücretin bölgeye göre değişeceğini söyleyerek paranın paket ulaşmadan çekilmeyeceğine dair güvence veriyorlar. Oysa aslında DHL teslimat ücretini önden, sipariş verildiğinde alıyor. Müşteri gerçekten de kuryeyi kaçırırsa sonraki teslimat ücretsiz yapılıyor.
Suçlular ödeme bilgilerinizle ne yapıyor?
Suçluların kurbanın kartından hemen para çekmeye başlaması pek olası değil. Dolayısıyla kurban, ilerleyen zamanlarda kartından çekilen paraları sahte “DHL” e-postasıyla ilişkilendiremiyor. Ödeme verilerini dark web’de satmaları, ardından veriyi satın alan kişilerin hesabı boşaltması daha olası. Bu sırada kurban esasında varolmayan paketi çoktan unutmuş oluyor.
Kendinizi nasıl koruyabilirsiniz
Siber dolandırıcılığa karşı korunmanın tüm genel kuralları bu durum için de geçerli:
- Bilinen bir servisten geldiğini iddia eden bir e-posta aldığınızda mutlaka gönderenin e-posta adresini kontrol edin. @ işaretinden sonra şirketin adı yok mu? Büyük olasılıkla dolandırıcılıktır. Ayırt edebileceğiniz diğer işaretler için ilgili yazımıza göz atın.
- Bir paket bekliyorsanız takip numarasını not alın ve durumunu resmi siteden kendiniz kontrol edin. Bunu yaparken resmi siteyi Favoriler’den veya arama motoruna URL’i manuel girerek açın.
- İşi şansa bırakmamak için QR kodları tararken Kaspersky QR Scanner kullanın (hem Android hem de iOS için mevcut). Kod tehlikeli bir siteye yönlendiriyorsa uygulama sizi uyarır.
- Tüm cihazlarda sizi tehlikelere karşı zamanında uyaracak, kimlik avına ve dolandırıcılığa karşı korumaya sahip güvenilir bir antivirüs kullanın.