Smishing, cep telefonları saldırı platformu olarak kullanılan bir kimlik avı tekniğidir. Saldırgan, sosyal sigorta ya da kredi kartı numaraları da dahil olmak üzere avına düşüreceği kişinin, kişisel bilgilerini toplayarak saldırı gerçekleştirir. Smishing, metin mesajları ya da SMS yoluyla gerçekleştirilir ve saldırıya “SMiShing” adı verilir.
Kullanıcıları kandırabilecek ve kendilerine ait gerçek bilgileri içeren bazı metin mesajları akıllı telefonunuza gönderilmiş olabilir. Kişisel bilgileriniz ya da banka hesabı numaranız gibi finansal bilgilerinizi isteyen, çoğunlukla kullandığınız bankadan geliyormuş gibi görünüyor olabilir. Bu bilgiler paylaşıldığı an ya da gönderilen linklere tıklandığı zaman hırsızlara bankadaki kasanızın anahtarını vermiş gibi olabilirsiniz. Fark ettirmeden yapılabiliyor olmasında en önemli etken ise kişisel bilgilerin size ait gibi gözükmesidir.
Smishing “SMS (kısa mesaj servisleri) ve “phishing (kimlik avı)” kelimelerinden türetilen bir kelimedir. Siber suçlular kimlik avı yaparken alıcıya kötü amaçlı yazılımla hazırlanan bir ek dosya açmasını, bağlantıya tıklamasını isteyebilir. Kötü amaçlı ve kandırmak için hazırlanan sahte e-postalar gönderebilir. Smishing, e-posta yerine metin mesajlarını kullanır.
Smishing Yapanların Asıl Amacı Nedir?
Smishing yapanların asıl amacı genellikle kişisel bilgileri ele geçirmek, şirketlere ya da şahıslara finansal yönden zarar vermek veya kötü niyetli yazılımları hedef kişilere bulaştırmaktır. Bu tür saldırılarda kullanılan mesajlar, genellikle kurbanları yanıltarak sahte bir güven duygusu oluşturmaya çalışır ve kişileri belirli eylemleri gerçekleştirmeye yönlendirir. Kimlik avcıları gerçek bir kurum veya kuruma/şirkete dair hizmet veriyormuş gibi davranarak kişisel bilgileri ele geçirmeye çalışabilirler. Bu bilgiler arasında kullanıcı adları, şifreler, kredi kartı bilgileri, sosyal güvenlik numaraları gibi hassas bilgiler bulunabilir. Kişilere zararlı bağlantılar içeren mesajlar göndererek kötü amaçlı yazılımları hedef cihazlara bulaştırmaya çalışabilirler.
Smishing Saldırısı Nasıl Önlenebilir?
Smishing saldırılarının temel amacı, kişilerin güvenini kötüye kullanarak onlardan bilgilerini çalmak veya onlara finansal zarar vermek için tasarlanmıştır. Bu tür saldırılara karşı dikkatli olmak, şüpheli mesajlara karşı uyanık olmak ve güvenilir kaynakları doğrulamak önemlidir.
Smishing Nasıl Çalışır?
SMiShing, adından da anlaşılacağı üzere kısa mesaj (SMS) yoluyla gerçekleştirilen bir dolandırıcılık yöntemidir. Smishing saldırıları, genellikle kişileri yanıltarak onları belirli eylemleri gerçekleştirmeye yönlendirmek amacıyla düzenlenir.
Smishing Saldırı Türleri Nelerdir?
Smishing saldırıları, yaygın olarak metin mesajları olarak bilinen kısa mesaj hizmetidir. Yani SMS yoluyla bilgilerinize kötü amaçlı erişimdir. İnsanların telefonlarındaki bir mesajlaşma uygulaması aracılığıyla gelen bir mesaja, e-posta yoluyla gönderilen bir mesajdan daha fazla güvenebilir. Bu saldırı biçimi giderek daha popüler hale gelmiş, hatta son zamanlarda WhatsApp gibi uygulamalarda da karşımıza çıkmaya başlamıştır.
Çoğu kurban kimlik avı dolandırıcılığını kişisel kısa mesajlarla eşit tutmasa da, e-postadan daha tehdit oluşturucudur. Telefon numaralarıyla ilgili sınırlı sayıda seçenek vardır. Birçok ülkede telefon numarası 10 hanelidir.
E-posta adresleri sayılar, harfler ve simgeler içerebilmektedir. Bir avcı, kurbanına ulaşmak için rastgele bir 10 haneli telefon numarası yoluyla size bir e-postadan daha rahat bir şekilde ulaşılabilir. E-posta yerine tercih edilme sebebi ise daha güvenilir gözükmesidir.
Bilgisayar korsanı, telefon numaralarımızla aynı uzunluktaki herhangi bir rakam kombinasyonuna mesaj gönderebilir. Bu kombinasyonu rahatça deneyebilir. Araştırmalara göre kısa mesajların %98’i okunmaktadır. %45’i ise yanıtlamaktadır. Araştırmalara göre e-postaların yalnızca %6’sının yanıt aldığını göstermektedir. Bu da, Smishing uygulayanların neden bu yöntemi tercih ettiğini daha iyi açıklıyor. Metin mesajlarıyla kimlik avı saldırısı bir kısa mesaj yoluyla yapılırken, bilgisayar korsanları birçok farklı tekniği de deniyor olabilir. Örneğin bankanızın bir temsilcisiymiş gibi davranarak kişisel bilgilerinizi çalabilir. Bankaya bağlanmak ya da şüpheli bir ödemenin size ait olmadığını kanıtlamak isterken mesajdaki bir bağlantıya tıklamanız gerekebilir. Yakın zamanda yapılmış şüpheli bir işlemi konuşmak için kısa mesajda yer alan numarayı aramanız gibi teknikler de denenebilir.
Bilgisayar korsanları ayrıca hassas bilgileri toplamak için duygusal veya sempatik yöntemler denemeye çalışabilir. Örneğin sizden bir deprem yardımı için topladığı bağışa katılım sağlamanızı istiyor olabilir. Bilgisayar korsanı, verilen bağlantıya tıklamanızı sağlayarak kredi kartı bilgilerinizi, adresinizi ve sosyal sigorta numarası gibi bilgilerinizi girmenizi ister. Bu bilgilerinize eriştiğinde sizi endişelendirmemek için kredi kartınızdan aylık ücret olarak alabilir.
Cep telefonuyla yapılan kimlik avının başka bir örneği ise servis sağlayıcınızın bir hizmeti üst düzeye çıkarmak için size özel indirim teklifleri öneriyormuş gibi yapmasıdır. Mesaj, anlaşmayı etkinleştirmek için sağlanan bağlantıya tıklamanızı isteyebilir. Sağlayıcınızın web sitesine benzeyen web sayfasında, sizden kredi kartı numaranız, adresiniz gibi bilgilerinizi doğrulamanızı ister. Eğer mesaj sizin için mantıksız ve absürt duruyorsa baştan şüphelenebilirsiniz.
Anında mesajlaşma kimlik avıyla Facebook, WhatsApp gibi ücretsiz yazılımları kullanabilirler. Teknik olarak smishing kapsamına girmese de yakından ilişkilidir. Bilgisayar korsanı, kullanıcıların sosyal medya platformları aracılığıyla yabancılardan gelen mesajları açarak bunlara yanıt vermelerinden yararlanabilir.
Gerçek bir kimlik avı planı gibi saldırının amacı, parolalar kredi kartı numaraları gibi kişisel bilgileriniz dahil olmak üzere bilgilerinizi almaktadır. Bu tür bilgileri elde etmek için saldırgan size bir anlaşma, sözleşme ya da indirim fırsatı teklif edilebilir. Bu tür tekliflerde çoğu zaman tıklanabilir bir bağlantı vasıta olarak kullanılır.
Smishig Saldırısı Nasıl Anlaşılır?
Bilinmeyen veya gizli bir numaradan gelen bir mesaj şüpheli olabilir. Resmi bir kuruluş veya hizmet sağlayıcı genellikle size açık bir şekilde ulaşmaya çalışır. Mesajda bulunan linklere tıklamadan önce dikkatli bir şekilde inceleyin. Sahte bağlantılar genellikle gerçek bir web sitesine benzeyebilir, ancak aslında kötü amaçlı olabilir. Ayrıca, mesajda verilen bir telefon numarasını aramadan önce dikkatli olun.
HEMEN BAŞLA!
