Smishing'in anlamı ve tanımı
Smishing, SMS kimlik avı olarak da bilinen, mobil kısa mesaj üzerinden gerçekleştirilen bir kimlik avı siber güvenlik saldırısı türüdür.
Kimlik avının bir çeşidi olarak, kurbanlar kılık değiştirmiş bir saldırgana hassas bilgiler vermeleri için kandırılır. SMS kimlik avı, kötü amaçlı yazılımlar veya dolandırıcılık web siteleri tarafından desteklenebilir. Veri tabanlı mobil mesajlaşma uygulamaları gibi SMS dışı kanallar da dahil olmak üzere birçok mobil metin mesajlaşma platformunda meydana gelir.
Smishing Nedir?
Smishing'in tanımından da anlaşılacağı üzere, bu terim "SMS" (kısa mesaj hizmetleri, daha çok mesajlaşma olarak bilinir) ve"phishing" yani "kimlik avı" terimlerini bir araya getirmektedir Smishing'i daha ayrıntılı tanımlamak gerekirse, teknik istismarlardan ziyade insanların güvenini istismar etmeye dayanan bir tür sosyal mühendislik saldırısı olarak kategorize edilir.
Siber suçlular kimlik avı yaptıklarında, alıcıyı kötü niyetli bir bağlantıya tıklaması için kandırmayı amaçlayan sahte e-postalar gönderirler. Smishing'de, e-posta yerine kısa mesajlar kullanılır.
Özünde, bu siber suçlular kişisel verilerinizi çalar ve daha sonra bunları dolandırıcılık veya diğer siber suçları işlemek için kullanabilirler. Genellikle bu, para çalmayı da içerir - genellikle sizin, ancak bazen şirketinizin parasını da.
Siber suçlular bu verileri çalmak için genellikle iki yöntemden birini kullanır:
- Kötü amaçlı yazılım: Smishing URL bağlantısı, kendisini telefonunuza yükleyen kötü amaçlı yazılımları indirmeniz için sizi kandırabilir. Bu SMS kötü amaçlı yazılımı yasal bir uygulama gibi görünerek sizi gizli bilgileri yazmanız için kandırabilir ve bu verileri siber suçlulara gönderebilir.
- Kötü niyetli web sitesi: Smishing mesajındaki bağlantı, hassas kişisel bilgilerinizi yazmanızı isteyen sahte bir siteye yönlendirebilir. Siber suçlular, saygın siteleri taklit etmek için tasarlanmış özel yapım kötü amaçlı siteler kullanarak bilgilerinizi çalmayı kolaylaştırır.
Smishing metin mesajları genellikle bankanızdan geldiğini iddia ederek sizden hesap veya kart şifreniz gibi kişisel veya finansal bilgilerinizi ister. Bu bilgileri vermek, hırsızlara banka bakiyenizin anahtarlarını vermekle eşdeğerdir.
Giderek daha fazla insan kişisel akıllı telefonlarını iş için kullandıkça (BYOD veya "kendi cihazını getir" olarak adlandırılan bir eğilim), smishing bir tüketici tehdidi olduğu kadar bir iş tehdidi haline geliyor. Bu nedenle, smishing'in kötü niyetli kısa mesajların önde gelen biçimi haline gelmesi şaşırtıcı olmamalıdır.
Mobil cihazlara yönelik siber suçlar, tıpkı mobil cihaz kullanımı gibi artıyor. Mesajlaşmanın akıllı telefonların en yaygın kullanımı olmasının yanı sıra, birkaç başka faktör de bunu özellikle sinsi bir güvenlik tehdidi haline getirmektedir. Daha açıklayıcı olmak için smishing saldırılarının nasıl çalıştığını inceleyelim.
Smishing nasıl çalışır?
Aldatma ve dolandırıcılık, her türlü SMS kimlik avı saldırısının temel bileşenleridir. Saldırgan güvenebileceğiniz bir kimliğe büründüğünden, isteklerine boyun eğme olasılığınız daha yüksektir.
Sosyal mühendislik ilkeleri, smishing saldırganlarının bir kurbanın karar verme sürecini manipüle etmesine olanak tanır. Bu aldatmacanın itici faktörleri üç yönlüdür:
- Güven: Siber suçlular, meşru kişi ve kuruluşlar gibi davranarak hedeflerinin şüpheciliğini azaltırlar. SMS metinleri, daha kişisel bir iletişim kanalı olduğundan, doğal olarak kişinin tehditlere karşı savunmasını da düşürmektedir.
- Bağlam: Hedeflerle ilgili olabilecek bir durumu kullanmak, bir saldırganın etkili bir kılık değiştirme oluşturmasına olanak tanır. Mesaj kişisel bir intiba bırakır, bu da spam olabileceği şüphesini geçersiz kılmaya yardımcı olur.
- Duygu: Saldırganlar, hedefin duygularını harekete geçirerek, hedeflerinin eleştirel düşünme yetisini geçersiz kılabilir ve onları hızlı bir şekilde harekete geçmeye teşvik edebilir.
Saldırganlar bu yöntemleri kullanarak alıcının harekete geçmesini sağlayacak mesajlar yazarlar.
Saldırganlar tipik olarak alıcının kısa mesaj içindeki bir URL bağlantısını açmasını ister ve bu bağlantıyı açtıktan sonra özel bilgilerini ifşa etmelerini isteyen bir kimlik avı aracına yönlendirilirler. Bu kimlik avı aracı genellikle sahte bir kimlikle görünen bir web sitesi veya uygulama şeklinde gelir.
Hedefler çeşitli şekillerde seçilir, ancak genellikle bir kuruluşa veya bölgesel bir konuma bağlılıkları temel alınır. Belirli bir kurumun çalışanları veya müşterileri, mobil ağ aboneleri, üniversite öğrencileri ve hatta belirli bir bölgenin sakinleri hedef olabilir.
Bir saldırganın kullandığı kılık değiştirme genellikle erişmek istediği kurumla ilgilidir. Ancak, kimliğinizi veya finansal bilgilerinizi ele geçirmelerine yardımcı olacak herhangi bir maske de olabilir.
Spoofing, yani sahte aramalar olarak bilinen bir yöntem kullanarak, bir saldırgan gerçek telefon numarasını bir tuzağın arkasına gizleyebilir. Smishing saldırganları, saldırının kaynağını daha da maskelemek için "kullan-at telefonlar" (ucuz, tek kullanımlık ön ödemeli telefonlar) da kullanabilirler. Saldırganların, numaralarını gizlemenin bir başka yolu olarak email-to-text servislerini kullandıkları bilinmektedir.
Adım adım ilerleyen bir saldırgan, saldırısını birkaç temel aşamada gerçekleştirecektir:
- Kısa mesaj "yeminin" hedeflere dağıtılması.
- Kurbanın bilgilerini aldatma yoluyla ele geçirmek.
- Kurbanların ele geçirilmiş bilgileri kullanılarak istenen hırsızlığın gerçekleştirilmesi.
Bir saldırganın smishing planı, hedefledikleri hırsızlığı gerçekleştirmek için özel bilgilerinizi kullandıktan sonra başarılı olur. Bu hedef, doğrudan bir banka hesabından çalmak, yasa dışı olarak kredi kartları açmak için kimlik sahtekarlığı yapmak veya özel kurumsal verileri sızdırmak olabilir, ancak bunlarla sınırlı değildir.
Smishing Nasıl Yayılır?
Daha önce de belirtildiği gibi, smishing saldırıları hem geleneksel kısa mesaj hem de SMS dışı mesajlaşma uygulamaları aracılığıyla gerçekleştirilmektedir. Ancak SMS kimlik avı saldırıları, aldatıcı yapıları nedeniyle öncelikle kesintisiz ve fark edilmeden yayılır.
Smishing aldatmacası, kullanıcıların kısa mesaj güvenliği konusunda yanlış bir güvene sahip olmaları nedeniyle artmaktadır.
Öncelikle, çoğu insan e-posta dolandırıcılığının risklerini biliyor. Muhtemelen "Merhaba, bu bağlantıya göz atın" diyen genel e-postalardan şüphelenmeyi öğrenmişsinizdir Gerçek bir kişisel mesajın olmaması, e-posta spam dolandırıcılığının önemli bir tehlike işareti olma eğilimindedir.
İnsanlar telefonlarının başındayken daha az dikkatli oluyorlar. Birçok kişi akıllı telefonlarının bilgisayarlardan daha güvenli olduğunu varsayıyor. Ancak akıllı telefon güvenliğinin sınırlamaları vardır ve her zaman doğrudan smishing'e karşı koruma sağlayamaz.
Kullanılan araç ne olursa olsun, bu planların başarıya ulaşması için güveninizin ve muhakeme yeteneğinizin zayıflamasından başka çok az şeye ihtiyaç vardır. Sonuç olarak, smishing, kısa mesaj özelliği olan herhangi bir mobil cihaza saldırabilir.
Android cihazlar pazarın çoğunluğu tarafından kullanılan platform ve kötü amaçlı metin mesajları için ideal bir hedef olsa da, iOS cihazlar da eşit derecede tehlike altındadır. Apple'ın iOS mobil teknolojisi güvenlik konusunda iyi bir üne sahiptir, ancak hiçbir mobil işletim sistemi tek başına sizi kimlik avı tarzı saldırılardan koruyamaz. Güvende olunduğuna dair gereksiz güven, platformdan bağımsız olarak kullanıcıları özellikle savunmasız bırakabilir.
Bir başka risk faktörü de akıllı telefonunuzu hareket halindeyken, genellikle dikkatiniz dağınıkken veya aceleniz varken kullanmanızdır. Bu, banka bilgilerinizi veya bir kuponu kullanmanızı isteyen bir mesaj aldığınızda gardınızı düşürme ve düşünmeden yanıt verme olasılığınızın daha yüksek olduğu anlamına gelir.
Smishing saldırı türleri
Her kimlik avı saldırısı benzer yöntemler kullanırken, sunum önemli ölçüde farklılık gösterebilir. Saldırganlar bu SMS saldırılarını taze tutmak için çok çeşitli kimlikler ve araçlar kullanabilir.
Ne yazık ki, bu saldırıların bitmek bilmeyen yeniden icadı nedeniyle smishing türlerinin kapsamlı bir listesini yapmak neredeyse imkansızdır. Birkaç yerleşik dolandırıcılık öncülünü kullanarak, kurban olmadan önce bir smishing saldırısını tespit etmenize yardımcı olacak özellikleri ortaya çıkarabiliriz.
İşte smishing saldırılarının bazı yaygın öncülleri:
COVID-19 Smishing
COVID-19 smishing dolandırıcılıkları , COVID-19 salgınının etkilerin azaltılması için hükümet, sağlık ve finans kuruluşları tarafından tasarlanan meşru yardım programlarına dayanmaktadır.
Saldırganlar bu planları kurbanların sağlık ve maddi korkularını manipüle ederek dolandırıcılık yapmak için kullanmışlardır. Uyarı işaretleri şunları içerebilir:
- Hassas bilgiler (kimlik numarası, kredi kartı numarası vb.) isteyen temas takibi
- Teşvik çekleri gibi vergi temelli mali yardımlar.
- Kamu sağlığı güvenlik güncellemeleri.
- ABD Nüfus Sayımı talepleri.
Finansal Hizmetler Smishing Saldırıları
Finansal hizmetler smishing saldırıları, finansal kurumlardan gelen bildirimler olarak maskelenmektedir. Neredeyse herkes bankacılık ve kredi kartı hizmetlerini kullanıyor, bu da onları hem genel hem de kuruma özel mesajlara karşı duyarlı hale getiriyor. Krediler ve yatırımlar da bu kategorideki yaygın araçlardır.
Bir saldırgan, finansal dolandırıcılık yapmak için ideal bir kılık değiştirme için bir banka veya başka bir finans kurumu gibi davranır. Bir finansal hizmetler smishing dolandırıcılığının özellikleri arasında hesabınızın kilidini açmak için acil bir talep, şüpheli hesap etkinliğini doğrulamanızın istenmesi ve daha fazlası yer alabilir.
Hediye Smishing Saldırıları
Hediye dolandırıcılığı, genellikle saygın bir perakendeciden veya başka bir şirketten ücretsiz hizmet veya ürün vaadi anlamına gelir. Bunlar hediye çekilişleri, alışveriş ödülleri veya diğer ücretsiz teklifler olabilir. Bir saldırgan "bedava" fikrini öne sürerek heyecanınızı yükselttiğinde, bu daha hızlı harekete geçmenizi sağlamak için bir mantıklı düşünmeyi geçersiz kılma işlevi görür. Bu saldırının işaretleri arasında sınırlı süreli teklifler veya ücretsiz bir hediye kartı için özel fırsatlar yer alabilir.
Fatura veya Sipariş Onayı Smishing Saldırıları
Onay smishing saldırıları, bir hizmet için yakın zamanda yapılan bir satın alma işleminin veya faturalandırma faturasının sahte bir şekilde onaylanmasını içerir. Merak duygunuzu manipüle etmek için bir takip bağlantısı verilebilir veya istenmeyen suçlamalardan korkmanızı tetiklemek için hemen harekete geçmenizi isteyebilir. Bu dolandırıcılığın kanıtı, sipariş onay metinleri dizisi veya bir işletme adının bulunmaması olabilir.
Müşteri Desteği Smishing Saldırısı
Müşteri desteği smishing saldırganları, bir sorunu çözmenize yardımcı olmak için güvenilir bir şirketin destek temsilcisi gibi davranır. Apple, Google ve Amazon gibi yüksek kullanımlı teknoloji ve e-ticaret şirketleri bu yöntemde saldırganlar için etkili kılıklardır.
Tipik olarak, saldırgan hesabınızda bir hata olduğunu iddia eder ve bunu çözmeniz için size adımlar sunar. Talep, sahte bir giriş sayfası kullanmak kadar basit olabilirken, daha karmaşık planlar parolanızı sıfırlamak için gerçek bir hesap kurtarma kodu sağlamanızı isteyebilir. Destek tabanlı bir smishing şemasının uyarıları arasında faturalandırma, hesap erişimi, olağan dışı etkinlik veya son müşteri şikayetinizin çözülmesi ile ilgili bir sorun yer alır.
Smishing örnekleri
SMS'in cep telefonu olan neredeyse herkes tarafından kullanılabilir olması nedeniyle, smishing saldırılarının küresel olarak gerçekleştiği bilinmektedir. İşte dikkat etmeniz gereken bazı smishing saldırı örnekleri.
Erken Erişim Apple iPhone 12 Dolandırıcılığı - Sipariş Onayı ve Hediye Smishing Saldırısı
Eylül 2020'de, ücretsiz bir iPhone 12 için kredi kartı bilgilerini vermeleri için insanları kandıran bir smishing kampanyası ortaya çıktı.
Şema, kısa mesajın bir paket teslimatının yanlış bir adrese gönderildiğini iddia ettiği bir sipariş onayı öncülünü kullanıyordu. Metin içi URL bağlantısı, hedefleri Apple sohbet robotu gibi görünen bir kimlik avı aracına yönlendiriyordu. Araç, erken erişim deneme programının bir parçası olarak ücretsiz iPhone 12'lerini talep etmek için kurbanı bir süreç boyunca yönlendiriyor, ancak kaçınılmaz olarak küçük bir nakliye ücretini karşılamak için kredi kartı bilgilerini istiyordu.
USPS ve FedEx Dolandırıcılığı - Sipariş Onayı ve Hediye Smishing Saldırısı
Eylül 2020'de, sahte bir USPS ve FedEx paket teslim SMS dolandırıcılığı raporları dolaşmaya başladı. Bu smishing saldırısı, çeşitli hizmetler için hesap kimlik bilgilerinizi veya kredi kartı bilgilerinizi çalmaya çalışabilir.
Mesajlarda, paketin teslim edilmediği ya da yanlış teslim edildiği iddia ediliyor ve FedEx ya da USPS hediye anketi gibi görünen bir web sitesi kimlik avı aracına bağlantı veriliyor. Bu kimlik avı sitelerinin öncülleri farklılık gösterse de, birçoğunun Google gibi hizmetler için hesap girişlerini toplamaya çalıştığı tespit edilmiştir.
Zorunlu Çevrimiçi COVID-19 Testi Dolandırıcılığı - COVID-19 Smishing Saldırısı
Nisan 2020'de Better Business Bureau, ABD hükümetini taklit eden kişilerin, bağlantılı bir web sitesi aracılığıyla insanlardan zorunlu bir COVID-19 testine girmelerini isteyen kısa mesajlar gönderdiğine dair raporlarda bir artış gözlemledi.
Elbette, COVID-19 için çevrimiçi bir test olmadığı için birçok kişi bu dolandırıcılığı anında fark etti. Bununla birlikte, pandemi korkularını avlamak halkı mağdur etmek için etkili bir yöntem olduğundan, bu smishing saldırılarının öncülü kolayca gelişebilir.
Smishing Nasıl Önlenir
İyi haber şu ki bu saldırıların potansiyel sonuçlarına karşı korunmak kolaydır. Hiçbir şey yapmayarak kendinizi güvende tutabilirsiniz. Özünde, saldırılar yalnızca yemi yutarsanız hasar verebilir.
Bununla birlikte, kısa mesajın birçok perakendeci ve kurumun size ulaşması için meşru bir araç olduğunu unutmayın. Tüm mesajlar göz ardı edilmemelidir, ancak ne olursa olsun güvenli bir şekilde hareket etmelisiniz.
Bu saldırılara karşı kendinizi korumanıza yardımcı olacak akılda tutulması gereken birkaç şey vardır.
- Cevap vermeyin. Abonelikten çıkmak için "ÇIK" yazıp göndermek gibi yanıt istemleri bile aktif telefon numaralarını tespit etmek için bir hile olabilir. Saldırganlar sizin merakınıza ya da eldeki durumla ilgili endişenize bel bağlarlar, ancak etkileşime girmeyi reddedebilirsiniz.
- Bir mesaj acilse durun ve düşünün. Acil hesap güncellemelerine ve sınırlı süreli tekliflere, olası bir smishing saldırısının uyarı işaretleri olarak yaklaşmalısınız. Şüpheci olun ve dikkatli ilerleyin.
- Şüpheniz varsa doğrudan bankanızı veya satıcınızı arayın. Meşru kurumlar mesaj yoluyla hesap güncellemeleri veya giriş bilgileri talep etmez. Ayrıca, acil bildirimler doğrudan çevrimiçi hesaplarınızdan veya resmi bir telefon yardım hattı aracılığıyla doğrulanabilir.
- Mesajda herhangi bir bağlantı veya iletişim bilgisi kullanmaktan kaçının. Sizi rahatsız eden mesajlarda bağlantı veya iletişim bilgilerini kullanmaktan kaçının. Mümkün olduğunda doğrudan resmi iletişim kanallarına gidin.
- Telefon numarasını kontrol edin. Garip görünümlü telefon numaraları, örneğin 4 haneli olanlar, email-to-text servislerinin kanıtı olabilir. Bu, bir dolandırıcının gerçek telefon numarasını gizlemek için kullanabileceği birçok taktikten biridir.
- Kredi kartı numaralarını asla telefonunuzda tutmamayı tercih edin. Finansal bilgilerin dijital bir cüzdandan çalınmasını önlemenin en iyi yolu, bu bilgileri asla oraya koymamaktır.
- Çok faktörlü kimlik doğrulama (MFA) kullanın. Ele geçirilen hesap doğrulama için ikinci bir "anahtar" gerektiriyorsa, ele geçirilmiş bir parola smishing saldırganı için hala işe yaramaz olabilir. MFA'nın en yaygın çeşidi, genellikle bir kısa mesaj doğrulama kodu kullanan iki faktörlü kimlik doğrulamadır (2FA). Doğrulama için özel bir uygulama (Google Authenticator gibi) kullanmayı içeren daha güçlü varyantlar mevcuttur.
- Asla metin yoluyla bir parola veya hesap kurtarma kodu vermeyin. Hem parolalar hem de kısa mesaj iki faktörlü kimlik doğrulama (2FA) kurtarma kodları yanlış ellerde hesabınızı tehlikeye atabilir. Bu bilgileri asla kimseye vermeyin ve sadece resmi sitelerde kullanın.
- Bir kötü amaçlı yazılımdan koruma uygulaması indirin. Kaspersky Internet Security for Android gibi ürünler, kötü amaçlı uygulamaların yanı sıra SMS kimlik avı bağlantılarına karşı da koruma sağlayabilir.
- Tüm SMS kimlik avı girişimlerini ilgili yetkililere bildirin.
E-posta kimlik avında olduğu gibi, smishing'in de bir dolandırıcılık suçu teşkil ettiğini unutmayın. Kurbanı bir bağlantıya tıklayarak veya bilgi vererek işbirliği yapması için kandırmayı amaçlar. Bu saldırılara karşı en basit koruma hiçbir şey yapmamaktır. Eğer yanıt vermezseniz, kötü niyetli bir mesaj hiçbir şey yapamaz.
Smishing kurbanı olursanız ne yapmalısınız?
Smishing saldırıları kurnazdır ve sizi çoktan mağdur etmiş olabilir, bu nedenle bir kurtarma planınızın olması gerekir.
Başarılı bir smishing girişiminin zararlarını sınırlamak için bu önemli adımları atın:
- Şüpheli saldırıyı yardımcı olabilecek tüm kurumlara bildirin .
- Gelecekte veya devam eden kimlik dolandırıcılığını önlemek için kredi kartınızı dondurun.
- Mümkünse tüm parolaları ve hesap PIN'lerini değiştirin.
- Finans, kredi ve çeşitli çevrimiçi hesapları tuhaf giriş konumları ve diğer etkinlikler için izlemeye alın.
Bu adımların her biri, bir smishing saldırısından sonra korunmanız için önemli bir ağırlığa sahiptir. Bununla birlikte, bir saldırıyı bildirmek yalnızca sizin iyileşmenize yardımcı olmakla kalmaz, aynı zamanda başkalarının da mağdur olmasını önler.
İlgili Bağlantılar: