Yeni sanal dolandırıcılık yöntemi VISHING (Voice Phishing)

Vishing Nedir ?
Voice phishing olarak güvenlik firmaları tarafından adlandırılmasıyla phishing kategorilerinde yerini buldu. İnsanoğlu’nun yıllar önce de benzerlerini yaşadığı bir saldırı türüydü ancak o zamanlar hacker saldırılarında adlarını sıkça duyardık ve sosyal mühendislik dalı altında kendine yer buluyordu.

Günümüzde gelişen teknolojinin de getirdiği avantajları ve kolaylıkları kullanarak kademe atlayan ve phishing saldırıları altında kendine yer edinen bir saldırı türü olarak günlük hayattaki önemini ve yerini koruyor. Vishing, ses aldatmacası işlemini gerçekleştirerek bizlerin kredi kartı bilgileri gibi özel bilgilerimizi ele geçirmeyi hedefleyen bir saldırı türü olarak karşımıza çıkıyor.
Vishing yöntemi sosyal mühendisliğin sınırlarının zorlanıp neler ortaya çıkabileceğinin göstergesidir. Günümüzdeki teknoloji olanaklarının verimli ve kötü yönde kullanılmasıyla insanoğlunu tehdit eden farklı saldırı türleri de ortaya çıkabilir. Hackerlığın tarihçesinden günümüze kadar geçen sürede teknolojik imkânların verimliliğinden yararlanıp insanların özel bilgilerine ulaşmayı hedefleyip başarılı olabilen yöntemler arasındaki en iyi yöntemin vishing olduğunu söyleyebiliriz.

Ses aldatmacalarından haberdar olun ve olası vishing saldırılarına karşı önleminizi alın!
Phishing saldırılarından sonra bizler yeni bir saldırı türü olan aslında bu zamana kadar ticari ve öz kaynak koşullarının sağlanamamasından dolayı bir türlü sağlıklı olarak hayata geçirilemeyen bir saldırı tehdidi ile karşı karşıyayız.

Adını sıkça duyduğumuz phishing kelimesindeki bir harfin değişimiyle fark ettiriyor. Vishing teriminin doğuşu “voice phishing” denilen saldırı yönteminin uygulanmaya başlamasından sonra yeni bir terim olarak güvenlik bültenlerinde yerini buldu. Temel itibariyle phishing saldırı türlerinin alt kategorisi olmasıyla birlikte saldırı boyutunun büyüklüğü ve inandırıcılığı sıradan bir phishing saldırısına oranla kat kat fazla olarak bize tehlikenin boyutunu gösteriyor.

Bizi Bekleyen Tehlikeler
Vishing saldırıları için çeşitli senaryolar mevcut ve bunlar henüz ülkemizde gerçekleşmemiş olsa da gerçekleşmesi için uygun ortamlar ve imkânlar bulunuyor.
E-posta adresinize girdiğinizde müşterisi olduğunuz bankadan size gönderilmiş bir e-posta dikkatinizi çekecek ve sizde bu
e-postayı açacaksınız. E-posta içeriğinde ;
Sayın Müşterimiz
Bankamızdaki hesap güncellemeleri sırasında hesabınızın süresinin kısa bir zaman sonra sona ereceği gözüküyor. Hesabınızın devamlılığı için lütfen bizimle iletişime geçin.
444 0 99x

Gibi bir e-posta içeriğiyle karışılabilirsiniz. Belirtilen telefon numarasını aradıktan sonra önceden kiralanmış bir yurtiçi voip hizmeti için kiralanmış bir pbx hat ile karşılaşacaksınız. Arama işleminizde karşınıza bir bayan kullanıcı sesiyle hazırlanmış otomatik kayıt
özelliği olan bir ses sistemiyle karşılacaksınız.

Sizden kredi kartı numaranızın 16 hanesini, 3 haneli güvenlik kodunu, son kullanma tarihini ve diğer kişisel bilgilerinizi isteyeceklerdir. Sizde herhangi bir art niyet düşünmeden buraya bilgilerinizi gireceksiniz. Çünkü e-posta ve pbx hat o kadar inandırıcıdır ki kendini profesyonel sanan kişiler bile kolayca aldanmaktadır.

Girdiğiniz bilgiler karşı sistem tarafından kaydedilecektir ve sizin gibi binlerce kişinin bilgileri kayıt olacak ve bir süre sonra sistem kiralama süresi sona erince otomatik olarak iptal olacaktır. Tabi bu arada sizin tüm bilgileriniz kötü niyetli kişilerin eline geçmiş olacaktır. Elegeçirdikleri kredi kartlarıyla harcamalar yapacaklar ve size yüklü miktarda bir kredi kartı borcu bırakacaklardır. Siz bu durumun farkına hesap ekstranızı alınca göreceksiniz.

Tabi bu süre içinde kötü niyetli kişiler ortadan kaybolmuş olacaktır. Sizde yüklü miktardaki kredi kartı borcuyla ve nasıl olduğunu düşünmekle baş başa kalacaksınız.
İşte bu tehlikenin boyutunun ne kadar büyük boyutlarda olduğunu gösteriyor. İnandırıcılığı yüksek, sosyal mühendislik sınırlarını zorlayan vishing yöntemi milyonlarca kişiyi mağdur etmek için hazırlanabilecek en iyi düzeneklerden biri olarak karşımıza çıkıyor.

Bir diğer senaryo ise “man in the middle” saldırılarına örnek olacak türden.

E-posta yoluyla size ulaşan bir mesajda yine inandırıcı bir içerik yer alır ve belirtilen telefon numarasını aradığınızda kurulmuş düzenek ile karşılaşırsınız, kişisel bilgilerinizi girdikten sonra sizi gerçek bankanın müşteri temsilcisine bağlar ve siz durumun doğruluğuna bir kat daha inanırsınız. Bu saldırı türünün anlaşılması daha zor ve geniş kitlelerce inanma olasılığı daha yüksektir. Banka ile sizin aranızda duran bir köprü vaziyeti görerek, elde etmek istedikleri bilgileri elde edip otomatik yönlendirme işlemiyle iletişim devamlılığını sağlıyorlar.
Geçtiğimiz yıl yaklaşık olarak 20.000 phishing vakası güvenlik firmalarına bildirildi. Anti-phishing güvenlik grubuna ulaşan bu bilgilerde çoğunluğu e-posta ile yayılan phishing saldırıları ilk sırayı çekiyor.
Eğer phishing mağduru olduğunuzu düşünüyorsanız Anti-Phishing Working Group: Report Phishing adresiyle iletişime geçip durumu işin uzmanlarına bildirip başınıza gelen olayın doğruluğunu öğrenebilirsiniz.

Nasıl Korunurum ?
Bu tür saldırılardan korunmak için gelebilecek saldırı çeşitlerinden haberdar olmanız gerekir. Vishing saldırıları sadece e-posta yoluyla değil, cep telefonlarınıza bir mesaj ile de ulaşabilir. Cep telefonu numaralarını “ücretsiz sms gönderin” tarzında faaliyet gösteren bir site gibi kayıt sırasında kullanıcı bilgileriyle birlikte cep telefonu numaralarınızı toplayıp daha sonra kiraladık bir hat üzerinden toplu sms ile size gönderebilirler. Cep telefonunuza ulaşan mesajın içeriği gönderilen e-posta içeriğine benzer olacak ve yine aynı senaryolar gerçekleşerek bilgilerinizi kötü niyetli kişilere kaptıracaksınız. Bu tür yöntemlerden haberdar iseniz korunmanız daha kolay olacak.

Korunmak için yapılması gerekenler:

  • E-posta, sms gibi çeşitli yollardan size ulaşan telefon numaralarını aramayınız.
  • Banka gibi özel işlerinizin geçerli olacağı yerlerde aradığınız numaranın doğruluğunu yetkili kişilere kontrol ettiriniz.
  • Banka gibi yerlerle iletişime geçeceğiniz zaman kartınızın arkasındaki telefon numarasını kullanınız.
  • Özel bilgi girişi isteyen konuşmaları toplum içinde ve yüksek sesle gerçekleştirmeyiniz.
  • Bu yöntemin uygulandığını şüphelendiğinizde yetkili kişilere durumu bildiriniz.

Kaynak:

CNET Vishing Attack

Loading