Vishing Nedir? Sesli Kimlik Avı Dolandırıcılıklarının ve Tekniklerinin Maskesini Kaldırma

Yayınlanan: 2023-10-12
vishing saldırıları açıklandı

Sesli iletişim ile kimlik avı taktiklerinin sinsi bir karışımı olan Vishing, dolandırıcıların yöntemlerini endişe verici bir karmaşıklıkla geliştirmesi nedeniyle zorlu bir mücadele sunuyor. Bu makalede, bunun mekaniğini, kullandığı psikolojik manipülasyonu ve fark etme ve önleme için hayati stratejileri inceleyerek bireyleri sese dayalı siber aldatmanın istikrarsız sularında yön bulmalarını sağlayacak bilgiyle donatıyoruz.

Özlemek nedir?

Vishing veya sesli kimlik avı, tehdit aktörlerinin bireyleri şifreler, kredi kartı bilgileri veya Sosyal Güvenlik numaraları gibi hassas bilgileri ifşa etmeleri için kandırmak amacıyla telefon çağrıları veya sesli mesajlar kullandığı bir sosyal mühendislik saldırısı biçimidir. İnsanoğlunun sesli iletişime güvenme eğilimini istismar eden failler, sahte bir aciliyet veya korku duygusu yaratarak mağdurları, arayanın kimliğini doğrulamadan harekete geçmeye teşvik ediyor.

İnsanlar mesajlaşmayı tercih etmeye devam ettikçe, onları vishing'i tanıma ve onunla mücadele etme konusunda eğitmek, bir telefon görüşmesinin bazen sıra dışı olabildiği bir çağda güvenli bir iletişim ortamı sağlamak çok önemli hale geliyor. Mesajlaşmanın rahatlığını ses tabanlı tehditlere karşı farkındalıkla dengelemek, güvenli ve tercih edilen iletişim kanallarını geliştirmek açısından çok önemlidir.

Kimlik avı-smishing-vishing ortamında gezinme

1990'lı yıllarda ortaya çıkan "kimlik avı" terimi, dolandırıcıların dijital dünyada kurbanları kandırmak için "cezbedici" olarak kullandıkları taktikleri tanımlıyordu. Bu terim günümüzde de varlığını sürdürüyor ve bireyleri yanıltıcı tuzaklara düşmeleri için kandırmayı amaçlayan sosyal mühendislik içeren dolandırıcılıkları temsil ediyor.

Siber suçların ilerlemesiyle birlikte, daha geniş bir kimlik avı kategorisine giren "smishing" ve "vishing" gibi yeni terminolojiler ortaya çıktı. Smishing saldırıları, dolandırıcıların SMS göndererek alıcıları kötü amaçlı bir bağlantıya tıklamaya veya kişisel bilgileri metin alışverişi yoluyla paylaşmaya ikna etmeyi amaçlamaktadır.

Öte yandan vishing, saldırının bir aşamasında sesli iletişimi de içeriyor. İlk mesajın amacı olası kurbanı bir numarayı çevirmeye ikna ederek saldırganların aldatmaya devam etmelerini veya iletişim kurulan numaranın sahibi olduğunu doğrulamalarını sağlamaktır.

Vishing nasıl çalışır?

Vishing saldırıları, başarı için rastgele sayıları çevirmekten çok daha fazlasını içeren karmaşık işlemlerdir. Aşağıda bir vishing saldırısının ayrıntılı dört aşamalı yolculuğuna dalın:

Arzulu bir saldırı nasıl çalışır infografik

Aşama 1: Soruşturma

Saldırı, tehdit aktörlerinin hedeflerini iyice araştırması ile başlar. Bu aşamada, iletişim bilgilerini paylaşmaya hazır potansiyel kurbanlardan gelecek yanıtları bekleyerek kimlik avı e-postaları dağıtabilirler. Gelişmiş yazılım kullanmak, kurbanlarının alan kodunu paylaşan bir numarayı kullanarak çok sayıda insanı aramalarına olanak tanıyor.

Aşama 2: Çağrının yürütülmesi

Bir kurban daha önce gönderilen bir kimlik avı e-postası tarafından aldatılırsa, gelen aramadan daha az şüphe duyacaktır. Vishing taktiğinin kurnazlığına bağlı olarak kurban bir çağrıyı bekliyor olabilir ve bu da bilgisayar korsanlarının işini kolaylaştırır. Saldırganlar, yerel alan kodlarından gelen çağrıların yanıtlanma olasılığından yararlanır.

Aşama 3: İkna

Temas kurulduktan sonra tehdit aktörünün amacı, kurbanın doğasında var olan güven, korku, açgözlülük ve fedakarlık içgüdülerini manipüle etmeye yönelir. Bu sosyal mühendislik tekniklerinin bir karışımını kullanarak mağdurlara güven verirler ve onları aşağıdaki konularda ikna edebilirler:

  • Bankacılık ve kredi kartı bilgilerini ifşa edin

  • E-posta adreslerini paylaşın

  • Para transferi

  • İşle ilgili gizli belgeleri iletin

  • İşverenleri hakkında bilgi verin

Aşama 4: Doruk Noktası

Özlem yolculuğu burada bitmiyor. Edinilen bilgilerle donanmış olan kötü niyetli aktörler, ek suçlar işlemeye hazırlanıyor. Mağdurun banka kaynaklarını tüketebilir, kimliğini üstlenebilir ve yetkisiz işlemler gerçekleştirebilirler. Dahası, kurbanın e-postasını kullanarak iş arkadaşlarını hassas kurumsal bilgilerin yayınlanması konusunda kandırabilirler.

Avlama yöntemleri

Visher'lar aldatıcı hedeflerine ulaşmak için çeşitli taktikler kullanırlar. Yaygın yöntemler şunları içerir:

  • Arayan Kimliği Sahtekarlığı : Saldırganlar, arayan kimliğini bir banka veya devlet kurumu gibi güvenilir bir kuruluş arıyormuş gibi görünecek şekilde değiştirir.

  • Pretexting : Saldırgan, hedeften bilgi almak için uydurma bir senaryo veya bahane yaratır.

  • IVR Kimlik Avı : Otomatik Etkileşimli Sesli Yanıt (IVR) sistemleri, hassas verileri yakalamak için meşru şirketleri taklit eder.

Yaygın dilek örnekleri

Bu dolandırıcılıklar giderek daha karmaşık hale geldikçe, yaygın kalıpları ve senaryoları tanımak hayati önem taşıyor. Çeşitli örnek örnekleri incelemeden önce, bir adım önde kalabilmeniz ve bilgilerinizi koruyabilmeniz için en yaygın taktiklerden bazılarını öğrenelim.

IRS dolandırıcılığı

Arayanlar IRS temsilcilerini taklit ederek kurbanın vergi borcu olduğunu ve hemen ödeme yapmaması halinde tutuklanma tehlikesiyle karşı karşıya kalacağını, genellikle hediye kartları veya banka havalesi yoluyla ödeme talep ettiklerini iddia ediyor. Bu varyant genellikle vergi beyannamelerindeki tutarsızlıkları iddia eden ve yasal işlem tehdidinde bulunan otomatik mesajların yanı sıra IRS iletişimini taklit etmek için arayan kimliği sahtekarlığını içerir. Bu tür iddiaları doğrudan IRS ile doğrulamak ve dolandırıcıyla etkileşime geçmekten kaçınmak çok önemlidir.

Teknik destek dolandırıcılığı

Dolandırıcılar, kurbanın bilgisayarında virüs olduğunu iddia ederek saygın şirketlerin teknik destek temsilcileri gibi davranıyorlar. Olmayan sorunun çözümü için uzaktan erişim veya ödeme talep ediyorlar.

Banka dolandırıcılığı uyarısı

Dolandırıcılar, kurbanın bankasındanmış gibi davranarak hesaplarında şüpheli etkinlik olduğunu belirtirler. Mağdurun kimliğini 'doğrulamak' ve hesabı 'güvenlik altına almak' için hesap ayrıntılarını ve PIN'lerini istiyorlar. Buna uymak yerine, konuşmayı sonlandırmanız ve bankanın resmi web sitesindeki iletişim bilgilerini kullanarak doğrudan bankaya ulaşmanız tavsiye edilir.

Piyango veya ödül dolandırıcılığı

Mağdurlar, bir ödül veya piyango kazandıklarını ancak ödülü almak için vergi veya harçları önceden ödemeleri gerektiğini bildiren çağrılar alıyor. Dikkatli olmak ve doğrulamak, bu tür taktiklerin tuzağına düşmekten kaçınmanın anahtarıdır.

Sosyal güvenlik dolandırıcılıkları

Arayanlar, Sosyal Güvenlik Kurumu'ndan olduklarını iddia ederek mağdurun SSN'sinin şüpheli faaliyet nedeniyle askıya alındığını belirterek, sorunun çözümü için kişisel bilgilerini istiyor. Özellikle Federal Ticaret Komisyonu, telefon görüşmelerini yaşlıları hedef alan dolandırıcıların kullandığı birincil yöntem olarak tanımlıyor.

Tıbbi uyarı/sigorta dolandırıcılıkları

Dolandırıcılar, özellikle yaşlıları hedef alarak mağdurlardan kişisel ve finansal bilgiler elde etmek için ücretsiz tıbbi uyarı sistemleri sunar veya sağlık sigortası temsilcisi gibi davranırlar.

Büyükbaba veya büyükanne dolandırıcılığı

Arayan kişi, acil mali yardıma ihtiyacı olan, sıkıntı içindeki bir torun gibi davranıyor ve büyükanne veya büyükbabadan diğer aile üyelerine söylememesini istiyor.

Yardımcı dolandırıcılık

Kamu hizmeti şirketi temsilcilerinin kimliğine bürünen dolandırıcılar, derhal ödeme yapılmadığı takdirde kurbanın hizmetinin kesileceğini iddia ediyor.

Devlet hibesi dolandırıcılığı

Mağdurlara, devlet yardımı almak üzere seçildikleri ve parayı almak için bir işlem ücreti ödemeleri veya banka hesap bilgilerini vermeleri gerektiği söyleniyor.

Borç tahsilat dolandırıcılıkları

Arayanlar kendilerini borç tahsildarları gibi tanıtarak mağdurun aslında borçlu olmadığı bir borcu ödememesi halinde yasal işlem başlatmakla tehdit ediyor. Meşru borç verenler ve yatırımcılar bu şekilde faaliyet göstermediği veya beklenmedik temaslar başlatmadığı için şüpheci kalmak önemlidir.

vishing saldırılarını tanımak

Vishing saldırıları nasıl tanınır?

Vishing'in farkına varmak, kişinin kendini bu tür aldatıcı uygulamaların kurbanı olmaktan koruması açısından çok önemli olabilir. Dikkat edilmesi gereken en önemli hususlardan biri arama sırasındaki sestir. Aramanın ses kalitesi, profesyonel ayarlara uymayan arka plan gürültüleri nedeniyle zayıf olabilir.

Ek olarak, vishing saldırıları sıklıkla açıklayıcı işaretler sergiler:

  • Aciliyet : Arayan kişi derhal harekete geçilmesi konusunda ısrar ederek mağdura bilgiyi aceleyle paylaşması konusunda baskı yapar.

  • Hassas bilgi talebi : Meşru kuruluşlar nadiren kişisel verileri telefonla ister.

  • Bilinmeyen arayan : Bilinmeyen veya beklenmeyen numaralardan çağrı almak bir tehlike işareti olabilir.

Vishing nasıl önlenir

Vishing'e karşı savunma çok yönlü bir yaklaşımı gerektirir. Kendinizi mağdur olmaktan korumak için aşağıdaki önlemlere uyduğunuzdan emin olun:

Hassas bilgileri koruyun

Hassas bilgileri telefonda onaylamaktan veya ifşa etmekten kaçının. Orijinal bankaların veya devlet kurumlarının hiçbir zaman arama yoluyla kişisel bilgilerinizi talep etmeyeceğini unutmayın.

Dikkatli olun

Arayanın dilini ve tavrını inceleyin. Herhangi bir kişisel bilginin ifşa edilmesine karşı dikkatli olun ve görüşme sırasında yapılan tehditlere veya acil taleplere karşı dikkatli olun.

Aramalarını görüntüle

Bilinmeyen bir numara ararsa sesli mesaja bırakmak daha güvenlidir. Arayanın kimlikleri değiştirilebilir; bu nedenle, aramaya geri dönüp dönmeyeceğine karar vermeden önce mesajı dinleyerek arayanın kimliğini doğrulayın.

Paylaşılan bilgileri sınırlayın

Yanıt vermeniz durumunda kendiniz, iş yeriniz veya konumunuz hakkında ayrıntılı bilgi vermekten kaçının.

Sorgulayın ve doğrulayın

Arayan kişi bir ürün pazarlıyorsa veya ödül teklif ediyorsa kimliğini ve bağlılığını gösteren kanıt talep edin. Herhangi bir bilgiyi paylaşmadan önce sağlanan bilgileri onaylayın. Eğer uymakta tereddüt ederlerse aramayı sonlandırın.

Arama Kayıt Defterine Kayıt Olun

Numaranızı Arama Yapma Kayıt Defteri'ne kaydetmeniz telefonla pazarlamacıları caydıracak ve yasal firmalar genellikle bu listeye saygı gösterdiğinden, bu tür kuruluşlardan gelen aramaları şüpheli hale getirecektir.

Resmi taleplere dikkat edin

Meşru üstlerinizin veya İK temsilcilerinin kişisel kanallar aracılığıyla para transferi, hassas veri veya belge gönderimi talep etmeyeceğini unutmayın.

Şüpheli iletişimleri görmezden gelin

Telefon numaranızı isteyen e-postalara veya sosyal medya mesajlarına yanıt vermeyin. Bu tür iletişimler hedefli saldırıların habercisi olabilir. Şüpheli mesajları BT veya destek ekibinize bildirin.

Kendini geliştir

Proaktif olarak bilgi arayın, farkındalık programlarına katılın ve en yeni tehditler ve koruyucu önlemler hakkında bilgi edinmek için çevrimiçi kaynakları kullanın.

SMS pazarlamasını kullanan işletmeler, potansiyel dolandırıcılıkların tanınması ve bunlara yanıt verilmesi konusunda bilgi sağlayarak ve meşru iletişim ile aldatıcı taktikler arasındaki farkları vurgulayarak tüketicileri vishing konusunda eğitmede rol oynayabilir.

İstenirse hangi adımları atmalısınız?

Bankacılık bilgilerinizi farkında olmadan şüpheli bir dolandırıcıyla paylaştığınızı fark ederseniz, derhal harekete geçmek çok önemlidir.

Bankanıza, kredi kartı şirketinize, finans kurumuna veya ilgili Medicare yetkilisine ulaşın. Şüpheli işlemleri durdurma ve yetkisiz ödemelerin önlenmesi olasılığını öğrenin. Güvenliği artırmak ve yetkisiz erişime karşı koruma sağlamak için hesap numaralarınızı değiştirmeyi düşünün.

Daha sonra, uygun önlemlerin alınması için Federal Ticaret Komisyonu'na veya FBI'ın İnternet Suçları Şikayet Merkezi'ne şikayette bulunun.

Çözüm

Aldatıcı ve potansiyel olarak zarar verici olsa da, arzulama, dikkatli olunması, eğitim ve teknolojinin akıllıca kullanılması yoluyla etkili bir şekilde azaltılabilir. Bireyler ve kuruluşlar, bilgili kalarak ve dikkatli davranarak ziyaretçilerin girişimlerini engelleyebilir ve hassas bilgilerin güvenliğini sağlayabilirler.