Ses aldatmacalarından haberdar olun ve gelebilecek vishing saldırılarına karşı önleminizi alın.

Phishing saldırılarından sonra bizler yeni bir saldırı türü olan aslında bu zamana kadar ticari ve öz kaynak koşullarının sağlanamamasından dolayı bir türlü sağlıklı olarak hayata geçirilemeyen bir saldırı tehditi ile karşı karşıyayız.Adını sıkça duyduğumuz phishing kelimesindeki bir harfin değişimiyle farkettiyor.Vishing teriminin doğuşu “voice phishing” denilen saldırı yönteminin uygulanmaya başlamasından sonra yeni bir terim olarak güvenlik bültenlerinde yerini buldu.Temel itibariyle phishing saldırı türlerinin alt kategorisi olmasıyla birlikte saldırı boyutunun büyüklüğü ve inandırıcılığı sıradan bir phishing saldırısına oranla kat kat fazla olarak bize tehlikenin boyutunu gösteriyor.

Vishing Nedir ?

Voice phishing olarak güvenlik firmaları tarafından adlandırılmasıyla phishing kategorilerinde yerini buldu.İnsanoğlu’nun yıllar önce de benzerlerini yaşadığı bir saldırı türüydü ancak o zamanlar hacker saldırılarında adlarını sıkça duyardık ve sosyal mühendislik dalı altında kendine yer buluyordu.Günümüzde gelişen teknolojininde getirdiği avantajları ve kolaylıkları kullanarak kademe atlayan ve phishing saldırıları altında kendine yer edinen bir saldırı türü olarak günlük hayattaki önemini ve yerini koruyor.Vishing,ses aldatmacası işlemini gerçekleştirerek bizlerin kredi kartı bilgileri gibi özel bilgilerimizi ele geçirmeyi hedefleyen bir saldırı türü olarak karşımıza çıkıyor.

Vishing yöntemi sosyal mühendisliğin sınırlarının zorlanıp neler ortaya çıkabileceğinin göstergesidir.Günümüzdeki teknoloji olanaklarının verimli ve kötü yönde kullanılmasıyla insanoğlunu tehdit eden farklı saldırı türleri de ortaya çıkabilir.Hackerlığın tarihçesinden günümüze kadar geçen sürede teknolojik imkanların verimliliğinden yararlanıp insanların özel bilgilerine ulaşmayı hedefleyip başarılı olabilen yöntemler arasındaki en iyi yöntemin vishing olduğunu söyleyebiliriz.

Bizi Nasıl Tehlikeler Bekliyor ?

Vishing saldırıları için çeşitli senaryolar mevcut ve bunlar henuz ülkemizde gerçekleşmemiş olsa da gerçekleşmesi için uygun ortamlar ve imkanlar bulunuyor.

E-posta adresinize girdiğinizde müşterisi olduğunuz bankadan size gönderilmiş bir e-posta dikkatinizi çekecek ve sizde bu e-postayı açacaksınız.E-posta içeriğinde ;

Gibi bir e-posta içeriğyle karşılabilirsiniz.Belirtilen telefon numarasını aradıktan sonra önceden kiralanmış bir yurtiçi voip hizmeti için kiralanmış bir pbx hat ile karşılaşacaksınız.Arama işleminizde karşınıza bir bayan kullanıcı sesiyle hazırlanmış otomatik kayıt özelliği olan bir ses sistemiyle karşılacaksınız.Sizden kredi kartı numaranızın 16 hanesini ,3 haneli güvenlik kodunu,son kullanma tarihini ve diğer kişisel bilgilerinizi isteyeceklerdir.Sizde herhangi bir art niyet düşünmeden buraya bilgilerinizi gireceksiniz.Çünkü e-posta ve pbx hat o kadar inandırıcıdır ki kendini profesyonel sanan kişiler bile kolayca aldanmaktadır.Girdiğiniz bilgiler karşı sistem tarafından kaydedilecektir ve sizin gibi binlerce kişinin bilgileri kayıt olacak ve bir süre sonra sistem kiralama süresi sona erince otomatik olarak iptal olacaktır.Tabi bu arada sizin tüm bilgileriniz kötü niyetli kişilerin eline geçmiş olacaktır.Elegeçirdikleri kredi kartlarıyla harcamalar yapacaklar ve size yüklü miktarda bir kredi kartı borcu bırakacaklardır.Siz bu durumun farkına hesap ekstranızı alınca göreceksiniz.Tabi bu süre içinde kötü niyetli kişiler ortadan kaybolmuş olacaktır.Sizde yüklü miktardaki kredi kartı borcuyla ve nasıl olduğunu düşünmekle başbaşa kalacaksınız.

İşte bu tehlikenin boyutunun ne kadar büyük boyutlarda olduğunu gösteriyor.İnandırıcılığı yüksek,sosyal mühendislik sınırılarını zorlayan vishing yöntemi milyonlarca kişiyi mağdur etmek için hazırlanabilecek en iyi düzeneklerden biri olarak karşımıza çıkıyor.

Bir diğer senaryo ise man in the middle saldırılarına örnek olacak türden.E-posta yoluyla size ulaşan bir mesajda yine inandırıcı bir içerik yer alır ve belirtilen telefon numarasını aradığınızda kurulmuş düzenek ile karşılaşırsınız ,kişisel bilgilerinizi girdikten sonra sizi gerçek bankanın müşteri temsilcisine bağlar ve siz durumun doğruluğuna bir kat daha inanırsınız.Bu saldırı türünün anlaşılması daha zor ve geniş kitlelerce inanma olasılığı daha yüksektir.Banka ile sizin aranızda duran bir köprü vaziyeti görerek,elde etmek istedikleri bilgileri elde edip otomatik yönlendirme işlemiyle iletişim devamlılığını sağlıyorlar.


Geçtiğimiz yıl yaklaşık olarak 20.000 phishing vakası güvenlik firmalarına bildirildi.Anti-phishing güvenlik grubuna ulaşan bu bilgilerde çoğunluğu e-posta ile yayılan phishing saldırıları ilk sırayı çekiyor.

Anti Phishing working group tarafından hazırlanan tabloda aylık phishing istatistikleri yer alıyor.




Eğer phishing mağduru olduğunuzu düşünüyorsanız http://www.anti-phishing.org/report_phishing.html adresiyle iletişime geçip durumu işin uzmanlarına bildirip başınıza gelen olayın doğruluğunu öğrenebilirsiniz.


Nasıl Korunurum ?

Bu tür saldırılardan korunmak için gelebilecek saldırı çeşitlerinden haberdar olmanız gerekir.Vishing saldırıları sadece e-posta yoluyla değil,cep telefonlarınıza bir mesaj ile de ulaşabilir.Cep telefonu numaralarını “ücretsiz sms gönderin” tarzında faaliyet gösteren bir site gibi kayıt sırasında kullanıcı bilgileriyle birlikte cep telefonu numaralarınızı toplayıp daha sonra kiraladık bir hat üzerinden toplu sms ile size gönderebilirler.Cep telefonunuza ulaşan mesajın içeriği gönderilen e-posta içeriğine benzer olacak ve yine aynı senaryolar gerçekleşerek bilgilerinizi kötü niyetli kişilere kaptıracaksınız.Bu tür yöntemlerden haberdar iseniz korunmanız daha kolay olacak.




Korunmak için yapılması gerekenler:


1-E-posta,sms gibi çeşitli yollardan size ulaşan telefon numaralarını aramayınız.
2-Banka gibi özel işlerinizin geçerli olacağı yerlerde aradığınız numaranın doğruluğunu yetkili kişilere kontrol ettiriniz.
3-Banka gibi yerlerle iletişime geçeceğiniz zaman kartınızın arkasındaki telefon numarasını kullanınız.
4-Özel bilgi girişi isteyen konuşmaları toplum içinde ve yüksek sesle gerçekleştirmeyiniz.
5-Bu yöntemin uygulandığını şüphelendiğinizde yetkili kişilere durumu bildiriniz.

 

Olcay Kük

PC MAGAZINE