Smishing’in yükselişiyle birlikte Amerika Birleşik Devletleri, İtalya ve Brezilya medyası bu yeni dolandırıcılıklarla ilgili endişe verici hikayelerden geçilmiyor. Alman polisi, bu yöntemle gerçekleştirilen bir dolandırıcılık girişimine ilişkin resmi bildiri bile yayınladı.
Bu olay, yapılan aramalardaki popülerliğinden de anlaşılacağı üzere, yüksek tutarlarda kazanç sağlıyor. Peki nedir bu smishing?
Nedir bu smishing, nasıl çalışıyor?
Smishing, e-posta yerine kısa mesaj (SMS) yoluyla yayılan kimlik avıdır; dolayısıyla smishing adı SMS + phishing’den (kimlik avı) geliyor. Yapılan bazı sınıflandırmalarda, mesajlaşma uygulamaları üzerinden gerçekleştirilen kimlik avı saldırıları da smishing’in bir parçası olarak değerlendiriliyor, ancak bunun ayrı bir kategori olduğunu düşünüyoruz ve bu yazıda bundan bahsetmeyeceğiz.
Diğer kimlik avı girişimlerinde olduğu gibi amaç, mesajı alan kişileri, genellikle çevrimiçi bankacılık parolaları veya banka kartı bilgileri gibi hassas bilgilerini dolandırıcılarla paylaşmaları için kandırmaktır. Bunu yapmak için dolandırıcılar, genellikle alıcının bir bağlantıya tıklayarak çözmesi gereken kendi yarattıkları bir sorunla ilgili — örneğin gönderiye ilişkin yaşanan bir sorun, ödenmemiş fatura veya bloke edilmiş hesap — kısa mesajlar gönderirler. Bundan sonraki aşamada iki seçenek vardır:
Birinci senaryoda kurbana, önemli bilgilerin talep edildiği yasal bir uygulama olarak gizlenmiş kötü amaçlı yazılımlar bulaştırılır;
İkinci senaryoda ise kurbanın, önemli bilgilerin talep edildiği yasal bir internet sitesi olarak gizlenmiş bir internet sayfasına girmesi sağlanır.
Seçilecek senaryo, dolandırıcının kötü amaçlı yazılımlar ve sahte internet siteleri arasında kendini tarafta rahat hissettiğine bağlıdır. Her iki durumda da kurbandan elde edilen sonuç aynıdır. Benzer dolandırıcılıklar da binlerce dolar, euro ve pound‘un çalınmasını sağlıyor. Peki son zamanlarda SMS kimlik avının bu kadar popüler hale gelmesinin nedeni ve bunu tipik kimlik avından daha tehlikeli yapan nedir?
Smishing’i tipik kimlik avından daha tehlikeli yapan nedir?
Çoğumuz e-posta dolandırıcılığına az çok alıştık ve genellikle artık insanlar bu dolandırıcılık girişimlerini nasıl tanıyacaklarını ve önleyeceklerini biliyorlar. Dolandırıcılık amacıyla kısa mesaj kullanılması çok da tercih edilen bir yol değildir, bu nedenle insanların gelen kısa mesajın bir dolandırıcılık girişimi olduğunu düşünme olasılığı daha düşüktür.
Bunun da ötesinde, insanlar kısa mesajlara daha çok güvenmelerine rağmen kısa mesajlar e-postadan daha az güvenli olma eğilimindedir. Günümüzde, her düzgün sayılabilecek e-posta hizmetinde yerleşik bir akıllı spam filtresi bulunuyor. Bu filtreler elbette mükemmel değildir ancak dolandırıcıların onları aşmak için sürekli yeni yöntemler geliştirmeleri gerekir. Ne yazık ki söz konusu esneklik ve doğruluk olduğunda, mobil operatörlerin spam filtreleri çok yetersizdir.
Ayrıca insanlar kısa mesajları genellikle hareket halindeyken veya başka şeylerle uğraştıkları sırada okurlar. Bu durum, kısa mesajların daha az tehlikeli olduğu düşüncesiyle ile bir araya geldiğinde, insanların bunlara daha az dikkat etme eğiliminde oldukları anlamına gelir ve bu da saldırının başarı olasılığını artırır. Diğer bir deyişle, insanlar bir mesaj aldıklarında, akıllarındaki tehlike işaretlerine ilişkin kontrol mekanizmasını dikkate almazlar ve mesajda yer alan bağlantıya tıklarlar.
Son olarak da SMS mesajları, bir dolandırıcılığı tanımanıza yardımcı olacak daha az tehlike işaretine sahiptir. Bir e-posta aldığınızda, gönderenin adresine bakabilir, tasarım ve düzenini değerlendirebilir ve e-postanın genel anlamda ne kadar mantıklı olduğunu düşünebilirsiniz — kısacası, standart tehlike işaretlerine bakabilirsiniz.
Ancak söz konusu kısa mesajlar olduğunda, yasal mesajlar bile birbirine çok benzerdir, genellikle standart olmayan bir dil kullanılır ve bir tasarımdan bahsedilemez; ve teknik becerilere sahip dolandırıcılar, gönderenin gerçek numarasını sahte bir numara ile değiştirerek gönderenin bilgilerini gerçekçi bir şekilde taklit edebilir.
Smishing’ karşı kendinizi nasıl koruyabilirsiniz
Geleneksel kimlik avında olduğu gibi, smishing’e karşı da güçlü savunmalara sahipsiniz.
- Kısa mesajlarda yer alan bağlantılara tıklamayın veya mesaj içinde sahip olduğunuz herhangi bir bilgiden bahsetmeyin. Genel bir kural olarak, ne kadar az, o kadar iyi;
- İmkanınız olan her durumda iki faktörlü kimlik doğrulamayı kullanın. Bu yöntemi kullandığınızda, suçluların çalınan parolanıza sahip olması bile hesabınızı ele geçirmeleri konusunda onlara bir fayda sağlamaz.
- Suçluların hesabınıza eriştiğinden şüpheleniyorsanız derhal bankanızla iletişime geçin. Banka, kartınızı bloke edebilir, parolanızı değiştirebilir ve devamında atmanız gereken adımlar konusunda size tavsiyelerde bulunabilir.
Bir kaç sıkça sorulan soru ile aklınıza takılan konuları netleştireceğiz.
Yalnızca mesaj gönderim listesinden çıkarmaları amacıyla hileli mesajlara yanıt vermeli miyim?
Bunu yapmayın. Gelen mesaja yanıt vermek, yalnızca telefon numaranızın aktif olduğunu onayladığınız anlamına gelir. Yasal şirketlerin gönderim listesinden çıkmak bile zorken yasayı çiğneyen insanlardan dürüst olmalarını bekleyemezsiniz.
Peki ya gelen mesaj smishing amaçlı değil de bankamdan gelen önemli bir mesajsa?
Eğer gelen mesaj konusunda herhangi bir şüpheniz varsa doğrudan bankanızla iletişime geçin. Muhtemelen mesajı gönderen onlardır. Bu arada bankayla iletişim kurmaktan bahsederken, bankanızla iletişime geçeceğiniz telefon numarasını bankanın internet sitesi gibi resmi bir kaynaktan aldığınızdan emin olun. Ne yaparsanız yapın, kesinlikle şüpheli mesajdaki iletişim bilgilerini kullanmayın.
SMS mesajıyla gerçekleştirilen kimlik avını otomatik şekilde filtrelemenin bir yolu var mı?
Elbette var! Birçok güvenlik çözümü uzun süredir, kısa mesajlardaki ve mesajlaşma uygulamalarındaki şüpheli bağlantıları yakalamak, sizi bunlar hakkında uyarmak ve bir anlık da olsa tedbiri elden bıraksanız dahi para kaybetmenizi önlemek için yerleşik filtreler kullanıyor. Örneğin, Kaspersky Internet Security for Android ürünümüzü kullanarak bu tür filtrelerden yararlanabilirsiniz.