SMiShing nedir? Bir SMS ne kadar tehlikeli olabilir?

SMiShing, e-posta ile yapılan oltalama saldırılarına benzer şekilde giderek büyüyen bir siber tehdit olarak dikkat çekiyor. 

SMS phishing yani “SMS oltalama” kelimelerinin birleştirilmesinden türetilen SMiShing, e-posta ile yapılan oltalama saldırılarına benzer şekilde giderek büyüyen bir siber tehdit olarak dikkat çekiyor. “Oltaya takılma” ifadesi ilk başta kulağa komik gelse de bu dolandırıcılık yöntemin kurbanları çok ağır sonuçlara katlanmak zorunda kalabiliyor. Bu yazımızda SMiShing'in nasıl çalıştığını ve en önemlisi kendinizi bundan nasıl koruyabileceğinizi ele alacağız.

SMiShing, dolandırıcıların saygın kurumlar gibi görünerek kurbanlarına sahte kısa mesajlar gönderdiği, alıcıları bir bağlantıya tıklamaları, bir numarayı aramaları veya hassas kişisel bilgilerini vermeleri için kandırmayı amaçlayan aldatıcı bir uygulamadır. SMiShing saldırılarını bu kadar tehlikeli yapan şey mobil cihaz kullanıcıların SMS mesajlarına e-postalarından daha fazla güvenme eğiliminde olmalarıdır. SMiShing’e karşı en iyi savunma yöntemi SMiShing'in ne olduğu, nasıl işlediği ve alınabilecek koruyucu önlemler hakkında farkındalığa sahip olmaktır.

SMiShing nasıl çalışır?

Siber suçlular, alan kodlarına dayalı olarak cep telefonu numaraları oluşturmalarını sağlayan gelişmiş yazılımlar kullanırlar. Bu telefon numaraları, bir cep telefonu operatörünün sağladığı 530’lu ya da 540’lı kodların yanı sıra belirlenmiş ilk 3 rakamdan sonra son 4 rakamı rastgele sıralar. Ayrıca çeşitli dijital platformlardan sızan kullanıcı verilerini toplu halde satan diğer siber suçlulardan da binlerce kişinin telefon numarasını içeren listeleri de kullanırlar. Telefon numarası listeleri hazırlandıktan sonra SMiShing yemlerini yaymak için toplu metin mesajlaşma hizmetlerini kullanırlar. İnternette "toplu SMS yazılımı" için yapılacak basit bir arama ile toplu mesajlaşmayı kolaylaştıran çok sayıda düşük maliyetli programa ulaşılabilir.

Çoğu insanın kısa mesajlara e-postalardan daha fazla güvenmesi nedeniyle SMiShing saldırıları çok etkili sonuçlar verir. Ayrıca bilgisayar üzerinden erişilen e-postaların aksine kısa mesajlar bağlantı önizlemesine izin vermez. Bu da metinlerin içine gömülü bağlantılara tıklamayı daha riskli hale getirir. Bağlantılar ya veri çalmaya yönelik kötü niyetli web sitelerine yönlendirir ya da cihazınızdaki her tuş vuruşunu kaydederek kişisel bilgilerin çalınmasını kolaylaştıran keylogger uygulamalarının indirilmesini sağlar. Alternatif olarak, bazı SMiShing metinleri alıcıları belirli numaraları aramaları için kandırabilir ve bu numaralar arandığında kurbanın telefon faturasına yüklü ücretler yansıyabilir.

SMiShing saldırılarından korunmak için ne yapmak gerekir?

Kendinizi SMiShing'e karşı korumanın ilk adımı tehdidin farkına varmaktır. Siber suçlular genellikle kurbanın bu dolandırıcılıkların nasıl işlediğini anlamamasından faydalanır.

Alıcının kısa mesajlarına olan güveninden ve SMS yoluyla gönderilen bağlantıları görüntüleme merakından faydalanırlar. SMiShing'in nasıl çalıştığını anlayarak olası dolandırıcılıkları tespit edebilir ve kendinizi bunlara karşı koruyabilirsiniz.

SMiShing mesajları sıklıkla bankalar, kamu şirketleri ve hatta devlet kurumları gibi tanıdık, saygın kuruluşları taklit edecek şekilde hazırlanır. Genellikle bir aciliyet hissi uyandırarak alıcıyı hızlı hareket etmeye zorlar ve inceleme için çok az zaman bırakır veya hiç zaman bırakmazlar. Bu mesajlar sizi hesabınızdaki şüpheli bir hareket, bekleyen bir ödeme gibi konularda sahte uyarılar içerebilir veya gerçek olamayacak kadar iyi görünen fırsatlar sunabilir. Bir bağlantıya tıklamanızı, belirli bir numarayı aramanızı veya kişisel bilgilerinizi vermenizi isteyen her türlü SMS mesajını şüpheyle karşılamanız gerekir.

SMiShing mesajları nasıl anlaşılır?

Bir SMiShing dolandırıcılığını fark etmek çoğu zaman gözlem becerilerinize ve uyarı işaretlerini tespit etme yeteneğinize bağlıdır. Yaygın işaretlerden biri kötü dilbilgisi ve yazım hatalarıdır. Her zaman olmasa da birçok SMiShing dolandırıcılığında saygın kurumlardan gelen profesyonel mesajlarda göremeyeceğiniz yazım hataları bulunur.

Bir başka işaret de gelen mesajı talep etmemiş olmanızdır. İletişimi siz başlatmadıysanız veya sözde göndericiden bir mesaj beklemiyorsanız duruma şüpheyle yaklaşmalısınız. Ayrıca saygın kuruluşlar hassas bilgiler için genellikle SMS yerine daha güvenli iletişim yöntemlerini kullanırlar.

Resmi bir kurumdan gelen mesajlar normal on haneli bir telefon numarası yerine genellikle kısa kodlu bir numaradan gelir. Ayrıca mesajda adınız yerine genel bir selamlama kullanılmış olması da şüpheli bir duruma işarettir.

Son olarak eğer bir teklif gerçek olamayacak kadar iyi görünüyorsa muhtemelen öyledir. Gelen mesajların tuzak olup olmadığını anlamak biraz da önsezilerinize bağlıdır.

Bu işaretler bazen gözden kaçabilir ancak tetikte olmak ve olağandışı mesajları incelemek için zaman ayırmak sizi SMiShing kurbanı olmaktan kurtarabilir.

Psikolojik manipülasyona dikkat

SMiShing saldırılarında bireyleri hassas bilgilerini ifşa etmeleri veya istemedikleri eylemlerde bulunmaları için kandırmak amacıyla insan psikolojisini ve güvenini istismar edici yöntemler kullanılır. Bu tur dolandırıcılıklara kanmayacak kadar zeki insanlar bile psikolojik manipülasyonun son derece zorlayıcı olması halinde savunmasız hale gelebilir.

SMiShing saldırılarında korku, merak ve aciliyet gibi duygulardan yararlanan bir dizi sosyal mühendislik tekniği kullanılır. Genellikle güvenilir kurum ve kişiler taklit edilir veya alıcıların gardını düşürmek ve güven oluşturmak için kişisel bilgiler kullanılır. Duygusal manipülasyon ve heyecan ya da öfke gibi duygusal tetikleyicilerin kullanılması bu saldırıların etkisini daha da artırır. Bu psikolojik taktiklerin tanınması ve anlaşılması, bireylerin ve kuruluşların SMS oltalama saldırılarına karşı savunmalarını güçlendirmeleri için çok önemlidir.

SMiShing saldırılarına karşı alınacak basit önlemler

· Bilinmeyen numaralardan gelen kısa mesajlara karşı her zaman şüpheyle yaklaşın. Bu mesajların içine yerleştirilmiş bağlantılara tıklamayın. Bu bağlantılar genellikle verilerinizi çalmak için tasarlanmış kötü amaçlı web sitelerine yönlendirir veya keylogger gibi zararlı yazılımların indirilmesini tetikler.

· Kişisel bilgilerinizi isteyen kısa mesajlara yanıt vermeyin. Mesaj güvenilir bir kuruluştan geliyor gibi görünse bile yanıt vermeden önce resmi müşteri hizmetleri hattından doğrulayın.

· Aciliyet hissi yaratan veya korku uyandıran kısa mesajlara karşı dikkatli olun. SMiShing mesajları genellikle acil eylemi teşvik etmek için duyguları manipüle edecek şekilde kurgulanır. Örneğin, sözde bankanızdan sizi bir güvenlik ihlali veya yetkisiz işlem konusunda uyaran bir mesaj aldığınızda paniğe kapılıp verilen bağlantıya tıklamak yerine resmi müşteri hizmetleri numarasından bankanızla iletişime geçmek için birkaç dakikanızı ayırın.

· Kapsamlı bir mobil güvenlik uygulaması kullanın. Bu uygulamalar kısa mesaj filtreleme, antivirüs, web koruması ve hırsızlığa karşı önlemler gibi bir dizi özellik sağlar.