Telefon numarası sizinle iletişim kurmaktan daha fazlasıdır. Dolandırıcılar telefon numaranızı kötü niyetli mesajlarla sizi hedef almak ve hatta banka hesabınıza erişmek veya kurumsal verileri çalmak için kullanabilir

Geçen ay, dolandırıcıların telefon numaranıza nasıl erişebileceğini ve veri ihlalleri ile kimlik avı kampanyalarının bu numarayı elde etmeyi nasıl kolaylaştırabileceğini incelemiştik. Bu blog yazısında, telefon numaralarının neden değerli hedefler olduğuna daha fazla odaklanacağız ve bunların ele geçirilmesiyle ilişkili riskleri tartışacağız. 

Dolandırıcılık endüstrisi 

Çevrimiçi dolandırıcılar çok çeşitli dolandırıcılık planlarından şaşırtıcı kârlar elde etmeye devam ediyor. Son yıllarda bu tür dolandırıcılıkların birçoğu, Güneydoğu Asya’da insan ticaretine maruz kalan kişilerin domuz kasaplığı gibi ayrıntılı planları uygulamaya zorlandığı dolandırıcılık yerleşkeleri işleten suç örgütleri tarafından düzenlenmektedir. 

Sahte çevrimiçi ilişkiler kurmanın yanı sıra, birçok çevrimiçi dolandırıcının taktikleri genellikle acil eylem gerektiren senaryolar oluşturmayı veya sözde banka veya PayPal hesabı devralmaları, kötü amaçlı yazılımla tehlikeye atılmış cihazlar, başarısız paket teslimatları ve hatta kaçırılan akrabalar ve yapay zekâdan (AI) yararlanan diğer planlar dahil olmak üzere diğer hileleri içerir. 

Birçok çevrimiçi dolandırıcılık planının merkezinde oltalama ve diğer sosyal mühendislik saldırıları yer almaktadır. Bunların başarısı büyük ölçüde düşük maliyetli/yüksek ödüllü olmalarına, ölçeklenebilirliklerine, insanların zayıflıklarından faydalanma kabiliyetlerine ve sınır ötesi kanun uygulamalarının zorluklarına dayanmaktadır. Üstüne üstlük, tüm operasyonu finanse etmek için tek bir başarılı “olta” yeterli olabilir. 

Bana birkaç sayı at, telefon numarası olsun 

Şimdi telefon numaralarının bu konuya nasıl dahil olduğuna, hesap giriş bilgileriyle birlikte dolandırıcılar için neden bu kadar değerli olduklarına ve kötü niyetli amaçlar için nasıl kullanılabileceklerine bakalım. 

Smishing ve bilgisayar korsanlığı 

Yeni başlayanlar için, tehdit aktörleri sizi iyi huylu bağlantılar veya ekler olarak gizlenmiş kötü amaçlı yazılımlarla hedefleyebilir ancak bunlar cihazınıza casus yazılım veya diğer kötü amaçlı yazılımları yükleyecek veya kişisel verilerinizi cihazınızdan sızdıracaktır. Alternatif olarak, kimlik avı web sitelerinde oturum açma kimlik bilgilerinizi veya diğer kişisel bilgilerinizi teslim etmeniz için sizi kandırmayı amaçlayan mesajlar gönderebilirler. 

PayPal kimlik bilgilerinizi ele geçiren oltalama mesajı (daha fazlasını buradan okuyun|resim kaynağı: BleepingComputer) 

Örneğin, ESET Tehdit Raporu H1 2024, iOS yinelemesinde kurbanları bir Mobil Cihaz Yönetimi profili yüklemeye ikna eden ve tehdit aktörlerine kurbanın telefonu üzerinde tam kontrol sağlayan çok aşamalı bir sosyal mühendislik şeması kullanan GoldPickaxe kötü amaçlı yazılımının yaygınlaştığını vurguladı. 

Çağrı yönlendirme, SIM değiştirme ve Arayan Kimliği sahteciliği 

Dijital iletişimin yükselişine rağmen, telefon görüşmeleri ve mesajlar gizli bilgi alışverişi için güvenilir bir yöntem olmaya devam etmektedir.  

• Arama yönlendirme planlarında, dolandırıcılar sizinle veya servis sağlayıcınızla iletişime geçer ve sonuçta telefon numaranızdan gelen aramaların kendi kontrolleri altındaki bir numaraya yönlendirilmesini sağlar. Sağlayıcı doğrulama istese de dolandırıcı zaten kişisel bilgilerinizin çoğuna (veri sızıntılarından veya halka açık kaynaklardan) erişebilir ve bu dolandırıcılığı gerçekleştirmeyi kolaylaştırır. 

• Benzer şekilde, SIM değiştirme dolandırıcıları mobil operatörünüzü kandırarak SIM kartlarını sizin adınız/eski numaranız altında etkinleştirebilir ve numaranızı kendi SIM kartlarına taşıyabilirler. Bu dolandırıcılık, çağrı yönlendirmeden daha “gürültülüdür” çünkü sonuç olarak telefon şebekenize erişiminizi kaybedersiniz. Doğrulama işlemi için kurbanın hayatı hakkında biraz araştırma yapılmasını da gerektiren SIM değiştirme, yıllardır ciddi bir tehdittir. 

• Dolandırıcılar, numaranızı taklit ederek, İnternet Protokolü Üzerinden Ses (VoIP) veya sahtekârlık hizmetlerini kullanarak ve diğer yöntemlerle Arayan Kimliğini taklit edebilirler. Sonuç olarak, saldırganlar finansal dolandırıcılık ve diğer suçları işlerken kimliklerini maskeleyebilir ve siz veya güvendiğiniz kişi gibi davranabilirler. 

Bir başka smishing girişimi örneği (daha fazlasını buradan öğrenin) 

Tüm bu dolandırıcılıklar neden böyle bir tehdit oluşturuyor? Bugünlerde birçok çevrimiçi hizmet, kimlik doğrulama ve hesap kurtarma için telefon numaralarına güveniyor. Bu nedenle, bir telefon numarasını ele geçirmek, iki faktörlü kimlik doğrulama (2FA) dahil olmak üzere güvenlik önlemlerinizi atlamakla eş değer olabilir. Ayrıca dolandırıcılar kişilerinizi veya işvereninizi dolandırmak için sizi taklit edebilir. 

Kurumsal veriler için kimlik avı 

Günümüzde birçok çalışan kurumsal e-postalarını veya mesajlarını kontrol etmek için kişisel veya şirket telefonlarını kullanıyor. Bilgisayarlar artık tehlikeye atma girişimleri için tek erişim noktası olmadığından bu durum saldırılar için dikkate değer bir vektör oluşturmaktadır. Dolandırıcılar, şirket yöneticilerini veya muhasebe departmanlarını taklit ederek “iş” amaçlı para transferleri talep edebilir.  

Gerçekten de birçok dolandırıcının nihai hedefi kurumsal sistemlere ve fonlara erişim sağlamaktır. İnsan unsuru da bu düzenlerde çok önemli bir rol oynamaktadır. Genellikle talepleri yerine getirmeden önce meşruiyetlerini doğrulamıyoruz, bu da kimlik avı saldırılarının başarılı olmasını kolaylaştırıyor ve sonuçta işletmelere önemli mali zararlar veriyor. 

CEO dolandırıcılığı 

Örneğin, büyük bir finans şirketinde muhasebeci olduğunuzu düşünün. Excel kullanırken görünüşte patronunuzdan gelen ve başarısı sizin hızlı hareket etmenize bağlı olan bir iş anlaşması için para havale etmenizi isteyen bir telefon alıyorsunuz. Bu tür dolandırıcılıklar oldukça gerçektir. Arama, patronunuzun numarasından geliyor gibi göründüğünden meşruiyetini sorgulamayabilirsiniz ve birçok kişi gibi yanılmanız olasıdır. 

Haberlerde, iş e-postası dolandırıcılığının (BEC) bir alt kümesi olan bu “CEO dolandırıcılığından” bahsediliyor. Günümüzde, bu tür dolandırıcılıklar yapay zekâ ile güçlendirilmiştir ve tehdit aktörleri birisini daha iyi taklit etmek için ses klonlama kullanmaktadır (arayan kimliği sahteciliğinin yeterli olmaması durumunda). 

Peki, böyle tehlikeli zamanlarda ne yapmalı? 

Güvenlik ağının yükseltilmesi 

Neyse ki insanların ve işletmelerin telefon dolandırıcılığından uzak durabilmeleri için birkaç yol var: 

• Doğrulayın: Tanımadığınız arayanlara/gönderenlere asla cevap vermeyin veya etkileşimde bulunmayın ve “güvenilir” bir kuruluştan kişisel veri talebi aldığınızda önce onları arayın ve aldığınız talebin gerçek olup olmadığını sorun. 

• Sağlayıcı güvenliği: Yönlendirmeyi veya SIM takaslarını önlemek için servis sağlayıcınızdan, SIM kilitleri veya daha kapsamlı doğrulama kontrolleri gibi ek güvenlik faktörleriyle hesabınızı istenmeyen değişikliklere karşı güvence altına almasını isteyin. 

• Ne paylaştığınıza dikkat edin: Dolandırıcıların hakkınızda daha fazla veri toplamasını önlemek için, çevrimiçi ortamda kendinizle ilgili ne paylaştığınıza dikkat edin. Kimliğe bürünme, kendini tanıdığınız biri gibi göstermeye dayanır, bu nedenle kamuya açıklığınızı sınırlamaya çalışın. 

• SMS’i unutun: Dolandırıcılığı önlemek için hesaplarınızı SMS tabanlı yerine uygulama tabanlı iki faktörlü kimlik doğrulama ile koruyun. İlki kolayca ele geçirilebilir ve dolandırıcıların hesaplarınızı kolaylıkla tehlikeye atmasına izin verebilir. 

• Mobil güvenliği kullanın: Mesajlar ya da aramalar yoluyla yapılan kimlik avı, güçlü mobil güvenlik yazılımları tarafından tespit edilebilir. İşletmeler için mobil tehdit savunması ve güvenli kimlik doğrulama bu tür tehditlerin üstesinden gelmeye yardımcı olabilir. 

Sonuç olarak, bir telefon numarası tehdit aktörleri için bir giriş kapısı olabilir ve büyük ölçekli ticari uzlaşmalara ve milyonlarca zarara yol açabilir. Sonuçta diğer benzersiz tanımlayıcılar gibi mümkün olduğunca gizli tutulmalıdır.  

Kimlik avı büyük bir tehdit olmaya devam ettiğinden tetikte olun ve unutmayın: onaylama ve kimlik doğrulama güvende kalmanızın anahtarıdır!