Selfie avı: Kimlik doğrulamadan önce bir daha düşünün

Ağustos 22, 2019

Bazı çevrimiçi hizmetler, kayıt sırasında kimlik kartınızın göründüğü bir selfie yükleyerek kimliğinizi doğrulamanızı ister. Bu, sizin siz olduğunuzu kanıtlamanın kolay bir yoludur. Uzak bir ofise gidip sırada beklemeniz gerekmez. Yalnızca bir fotoğraf çekip yüklemeniz ve hesabınız bir yönetici tarafından onaylanana kadar kısa bir süre beklemeniz yeterlidir.

Ne yazık ki, selfie’lerinizle ilgilenen sadece meşru web siteleri değil. Kimlik avcıları da bu selfie’lerle yakından ilgileniyor. Bu dolandırıcılığın nasıl işlediğini, suçluların neden kimlik kartlı fotoğraflarınızın peşinde olduğunu ve oltaya gelmemenin yollarını açıklıyoruz.

Kimlik doğrulama

Bugünlerde yaygın görülen senaryo, “ekstra güvenlik” (veya başka bir sebep) nedeniyle kimliğinizi doğrulamanız gerektiğini söyleyen bir banka, ödeme sistemi ya da sosyal ağ e-postasıyla başlıyor.

Bağlantıya tıkladığınızda, hesabınızın kimlik doğrulama bilgileri, ödeme kartı bilgileriniz, adresiniz, telefon numaranız ve başka bilgilerinizin yanı sıra net bir şekilde görünen bir kimlik kartı ya da başka bir belge ile çekilmiş selfie’nizi yüklemenizi isteyen, form içeren bir sayfaya yönlendiriliyorsunuz. Bu noktada durup düşünmeniz gerekiyor: Kimlik kartlı selfie’nizi yüklemek gerçekten iyi bir fikir mi? Dolandırıcı da olabilirler.

Ödeme sistemi ve banka gibi davranan dolandırıcılar, belge içeren bir selfie yüklemenizi istiyor

Dolandırıcılar neden kimlik kartlı selfie’lerinizi istiyor

Yukarıda değindiğimiz gibi, bazı çevrimiçi hizmetler kayıt için kimlik kartlı bir fotoğraf ister. Bu selfie’yi dolandırıcılara gönderirseniz kara para aklamak için sizin adınıza hesap açabilirler (örneğin kripto para alım satım sitelerinde). Bunun sonucunda kanunen başınız belaya girebilir. Hiç hoş değil.

Kimlik kartlı selfie’niz, kara borsada yalnızca taranmış bir kimlik kartından çok daha fazla para eder. Hedeflerine ulaşan dolandırıcılar, fotoğrafınızı yüksek karla satabilir; alıcılar da sizin isminizi istedikleri gibi kullanabilir.

Tipik çevrimiçi dolandırıcılık işaretleri

Neyse ki çevrimiçi dolandırcılık, en ufak ayrıntıyı bile kusursuz hale getirmeye çalışan titiz tiplerin alanı değil. Kimlik avı e-postasını ve bağlantının yönlendirdiği web sitesini yakından incelediğinizde neredeyse her seferinde birçok şüpheli unsuru ortaya çıkarabilirsiniz.

1. Hatalar ve yazım yanlışları

E-postanın ve veri girişi formunun düzgün bir dille yazılmamış olma olasılığı yüksektir. Büyük kuruluşların resmi web siteleri ve e-postaları, gramer hatalarıyla ve yazım yanlışlarıyla dolu olur mu?

2. Şüpheli gönderici adresi

Bu tür mesajlar çoğunlukla ücretsiz e-posta hizmetlerine kayıtlı ya da e-postada adı geçen şirketle hiçbir ilgisi olmayan başka şirketlere ait adreslerden gelir.

3. Farklı alan adı

Gönderenin adresi gerçek gibi görünse de, kimlik avı formunu barındıran site büyük olasılıkla sahte veya alakasız bir alandadır. Adres bazen çok benzer (fakat yine de farklı); bazen de bambaşka olabilir. Örneğin güya LinkedIn’den gelen bir mesaj, kullanıcıları nedense Dropbox’a fotoğraf yüklemeye davet edebilir.

LinkedIn neden Dropbox’a fotoğraf yüklemenizi istesin? Bunu yapanlar dolandırıcılardan başkası değil

4. Aşırı derecede kısa süre verilmesi

Bu e-postaları gönderenler genelde alıcıyı telaşa sokmak için ellerinden geleni yapar. Örneğin, bağlantının süresinin 24 saat içinde dolacağını söylerler. Acele hissi birçok kişinin düşünmeden hareket etmesine sebep olduğu için dolandırıcılar bu tekniğe sık sık başvurur. Öte yandan saygın kuruluşlar durduk yere sizi acele ettirmezler.

5. Zaten verdiğiniz bilgileri isteme

İstenen bilgilerin en azından bir kısmı zaten kayıt sırasında verdiğiniz bilgilerse (örneğin, e-posta adresi veya telefon numarası) daha da dikkatli olun. Bankalarda kimliğiniz zaten hesabı açtığınız sırada doğrulanır. Neden ne olduğu belirsiz bir “ekstra güvenlik” için tekrar doğrulansın ki?

6. Teklif yerine talep

Birçok kaynak, hakkınızda bilgi almanın karşılığında çeşitli ileri seviye özellikler teklif edebilir; bunlara güvenlikle ilgili özellikler de dahildir. Fakat bunu e-posta yoluyla değil, web sitesindeki kişisel hesabınız üzerinden yaparlar. Üstelik bunlar genelde reddedebileceğiniz tekliflerdir. Öte yandan dolandırıcılık e-postalarındaki bağlantılara tıkladığınızda açılan formlarda, selfie yüklemekten başka bir seçeneğiniz yokmuş gibi yalnızca tek bir buton bulunur.

7. Resmi web sitesinde bununla ilgili bilgi bulunmaması

Gerçekten uzun süredir kullandığınız bir hizmette kimliğinizi doğrulamanız gerekebilir. Fakat bu durum kural değil, istisnadır; hizmetin web sitesinde neler olup bittiğine dair bilgi yer almalıdır ve kolayca google’lanabilir olmalıdır.

Kimlik kartlı selfie’lerinizi bol keseden dağıtmayın

Dolandırıcıların kimliğinizi çalmasını önlemek için veri taleplerine tedbirli yaklaşın. Özellikle de işin içinde belgeler varsa.

  • Bir süredir kullanmakta olduğunuz hizmetlerden gelen kimlik doğrulama taleplerine şüpheyle bakın. Belirli bir mesajı dikkate alıp almamakta kararsız kalırsanız şirketin resmi web sitesinde konuyla ilgili bilgi bulunup bulunmadığına bakın.
  • Metnin niteliğine dikkat edin. Gerçek kurumsal iletişim metinlerinde gramer hatalarının, eksik kelimelerin ya da yazım yanlışlarının çok nadir olduğunu unutmayın.
  • Mesajın nereden geldiğini ve bağlantının nereye yönlendirdiğini kontrol edin. Şirketler resmi alan adlarıyla e-posta gönderir. Herhangi bir istisnai durumda web sitesinde konuyla ilgili bir açıklama bulunur. Anketler, oturum açma formları ve diğer resmi sayfalar, çoğunlukla resmi kaynaklarda yer alır.
  • Bilgi sağlamak için süre kısıtlaması gibi sınırlamaların olması, sizin için tehlike çanlarını çalmalıdır. Süreyi kaçırmak, verilerinizi siber suçlulara göndermekten daha iyidir.
  • Şüpheye düşerseniz müşteri hizmetlerini arayın. Fakat mesajda verilen telefon numarasını değil, resmi web sitesinde ya da kayıt doğrulama e-postasında yer alan numarayı kullanın.
  • Kimlik avına ve çevrimiçi dolandırıcılığa karşı koruyan güvenilir bir antivirüs programı kullanın.