Oltalama ve spam: 2025 yılının en çılgın kampanyaları

Her yıl dolandırıcılar insanları kandırmak için yeni yöntemler geliştiriyor ve 2025 yılı da bu konuda bir istisna değildi. Geçtiğimiz yıl boyunca, kimlik avı koruması sistemimiz 554 milyondan fazla kimlik avı bağlantısı girişimini engellerken, E-posta Antivirüsümüz yaklaşık 145 milyon kötü amaçlı eki engelledi. Üstelik, dünya çapında gönderilen tüm e-postaların neredeyse %45’i spam çıktı. Aşağıda, geçen yılın en etkileyici kimlik avı ve spam planlarını ayrıntılı olarak ele alıyoruz. Daha ayrıntılı bilgi için Securelist’te yayınlanan 2025 Yılında Spam ve Kimlik Avı raporunun tamamını okuyabilirsiniz.

Eğlencesine kimlik avı

Müzik severler ve sinemaseverler, 2025 yılında dolandırıcıların başlıca hedefleri oldu. Kötü niyetli kişiler, sahte bilet satış siteleri ve popüler yayın hizmetlerinin sahte versiyonlarını oluşturmak için her türlü çabayı gösterdiler.

Bu sahte toplama sitelerinde, kullanıcılara büyük konserlere “ücretsiz” biletler sunuluyordu. Tuzak ne miydi? Sadece küçük bir “işlem ücreti” veya “nakliye ücreti” ödemeniz gerekiyordu. Doğal olarak, elinize geçen tek şey, zor kazandığınız paranın dolandırıcıların cebine gitmesiydi.

Ücretsiz Lady Gaga biletleri mi? Böyle bir şey anca fare kapanında olur

Akış hizmetlerinde, işler şu şekilde işliyordu: Kullanıcılar, Spotify kimlik bilgilerini girerek Spotify çalma listelerini YouTube’a aktarmak gibi cazip bir teklif alıyorlardı. Alternatif olarak, hayranlar bir listede en sevdikleri sanatçıya oy vermeye davet edildiler; bu, çoğu hayranın kaçırmak istemeyeceği bir fırsattı. Meşruiyet katmak için dolandırıcılar Google ve Spotify gibi büyük isimleri kullanıyordu. Kimlik avı formu, Facebook, Instagram veya e-posta gibi birden fazla platformu aynı anda hedef aldı ve kullanıcıların oy vermek için kimlik bilgilerini girerek hesaplarını devretmelerini istedi.

Ücretsiz Lady Gaga biletleri mi? Böyle bir şey anca fare kapanında olur

Brezilya’da dolandırıcılar bir adım daha ileri gitti: Kullanıcılara, sözde Spotify ortak hizmetinde şarkıları dinleyip derecelendirerek para kazanma fırsatı sundular. Kayıt sırasında, kullanıcılar Pix (Brezilya anlık ödeme sistemi) için kimlik bilgilerini girmek ve ardından “kimliklerini doğrulamak” için 19,9 Brezilya reali (yaklaşık 4 dolar) tutarında tek seferlik bir “doğrulama ödemesi” yapmak zorundaydılar. Bu ücret, elbette, vaat edilen “potansiyel kazançların” sadece bir kısmıydı. Ödeme formu son derece gerçekçi görünüyordu ve ek kişisel veriler talep ediyordu. Bu veriler muhtemelen gelecekteki saldırılar için toplanacaktı.

Bu dolandırıcılık, Spotify derecelendirmelerini ve çalma sayılarını artırmak için bir hizmet gibi görünüyordu, ancak “kazanmaya” başlamak için önce ödeme yapmanız gerekiyordu.

“Kültürel buluşma” planı özellikle yaratıcı bir fikir olarak ortaya çıktı. Eşleştirme ve arkadaşlık uygulamalarında kısa bir sohbetin ardından, yeni “aşık adayları” kurbanı bir tiyatroya veya sinemaya davet ediyor ve bilet satın almak için bir bağlantı gönderiyordu. “Ödeme” tamamlandıktan sonra, hem tarih hem de bilet satış sitesi ortadan kalkıyordu. Son zamanlarda popülerliği artan sürükleyici kaçış odalarının biletlerini satmak için de benzer bir taktik kullanıldı; sayfa tasarımları, kullanıcının gardını düşürmek için gerçek siteleri taklit ediyordu.

Dolandırıcılar, tanınmış bir Rus bilet satış hizmetinin web sitesini kopyaladı.

Mesajlaşma uygulamaları aracılığıyla kimlik avı

Telegram ve WhatsApp hesaplarının çalınması, yılın en yaygın tehditlerinden biri haline geldi. Dolandırıcılar, kimlik avını standart sohbet uygulaması etkinlikleri olarak gizleme sanatında ustalaşmış ve coğrafi erişimlerini önemli ölçüde genişletmişlerdir.

Telegram’da ücretsiz Premium abonelikler en büyük cazibe unsuru olmaya devam etti. Bu kimlik avı sayfaları daha önce sadece Rusça ve İngilizce olarak görülürken, 2025 yılında diğer dillere de büyük ölçüde yayıldı. Kurbanlar, genellikle bir arkadaşının ele geçirilmiş hesabından, “hediye” teklif eden bir mesaj alıyordu. Bunu etkinleştirmek için, kullanıcı saldırganın sitesinde Telegram hesabına giriş yapmak zorundaydı ve bu da hemen başka bir ele geçirilmiş hesaba yönlendiriyordu.

Bir başka yaygın yöntem ise ünlülerin hediye dağıtımıydı. NFT hediye kampanyası kılığına girmiş bir saldırı, Telegram Mini Uygulaması üzerinden gerçekleştirildiği için dikkat çekti. Ortalama bir kullanıcı için, kötü amaçlı bir Mini Uygulamayı tespit etmek, şüpheli bir harici URL’yi tanımlamaktan çok daha zordur.

Dolandırıcılar, sahte Khabib Nurmagomedov NFT hediye kampanyası için hem Rusça hem de İngilizce olarak aynı anda kimlik avı tuzağı kurdular. Ancak, Rusça metinde, metni oluşturan yapay zekadan “Daha cesur, resmi veya esprili seçeneklere mi ihtiyacınız var?” sorusunu çıkarmayı unutmuşlar https://www.kaspersky.com/blog/spam-and-phishing-2025/55295/. Bu da işin aceleye getirildiğini ve düzenlemenin tamamen eksik olduğunu gösteriyor.

Son olarak, klasik arkadaşım için oy ver tarzı mesaj dolandırıcılığı, 2025 yılında “şehrin en iyi diş hekimi” veya “en iyi yöneticisi” için oy vermeye yönelik mesajları da içerecek şekilde gelişti. Ne yazık ki, bunlar sadece hesap ele geçirme amaçlı tuzaklardı.

WhatsApp hesaplarını ele geçirmek için kullanılan bir başka akıllı yöntem Çin’de tespit edildi. Bu yöntemde, kimlik avı sayfaları gerçek WhatsApp arabirimini mükemmel bir şekilde taklit ediyordu. Mağdurlara, bazı “yasadışı faaliyetler” nedeniyle “ek doğrulama” işleminden geçmeleri gerektiği söylendi ve tahmin edebileceğiniz gibi, bu işlem sonunda hesapları çalındı.

Kurbanlardan, bir telefon numarası giriş formuna yönlendirildikten sonra, yetkilendirme kodlarını girmeleri istendi.

Devlet Hizmetlerini Taklit Etme

Devlet kurumlarının mesajlarını ve portallarını taklit eden kimlik avı saldırıları bu türün “klasik örnekleri” arasındadır, ancak 2025 yılında dolandırıcılar bu şablona bazı yeni yöntemler eklediler.

Rusya’da, devlet hizmetleri kullanıcılarını hedef alan telefonla kimlik avı saldırıları hız kazandı. Mağdurlar, hesaplarına yetkisiz giriş yapıldığına dair e-postalar aldılar ve “güvenlik kontrolü” için belirli bir numarayı aramaları istendi. E-postaların gerçek gibi görünmesi için, IP adresleri, cihaz modelleri ve sözde oturum açma zaman damgaları gibi sahte teknik ayrıntılarla doldurulmuştu. Dolandırıcılar ayrıca sahte kredi onay bildirimleri de gönderdiler: Alıcılar kredi başvurusu yapmamışlarsa (ki yapmamışlardı), sahte bir destek ekibini aramaları isteniyordu. Panik halindeki kurban bir “operatöre” ulaştığında, sosyal mühendislik devreye girdi.

Brezilya’da saldırganlar, sahte devlet portalları oluşturarak vergi mükellefi numaralarını (CPF numaraları) ele geçirdiler. Bu kimlik numarası devlet hizmetlerine, ulusal veri tabanlarına ve kişisel belgelere erişim için anahtar rolünde olduğundan, ele geçirilen bir CPF kimlik hırsızlığına giden en hızlı yoldu.

Şaşırtıcı derecede yüksek kaliteli sahte Brezilya hükümeti portalı

Norveç’te dolandırıcılar, ehliyetlerini yenilemek isteyen kişileri hedef aldı. Norveç Karayolları İdaresi’ni taklit eden bir site, plaka numaraları, tam isimler, adresler ve telefon numaralarından her bir sakine atanan benzersiz kişisel kimlik numaralarına kadar her türlü kişisel veriyi topladı. Üstüne üstlük, sürücülerden 1200 NOK (125 ABD dolarından fazla) tutarında “ehliyet yenileme ücreti” ödemeleri istendi. Dolandırıcılar kişisel veriler, kredi kartı ayrıntıları ve nakit parayla kaçtılar. Gerçek anlamda üçlü kombo hareketi!

Genel olarak, sürücüler cazip bir hedeftir: Açıkça paraları ve arabaları vardır ve bunları kaybetme korkusu yaşarlar. İngiltere merkezli dolandırıcılar, belirtilmemiş bir “yaptırım”dan kaçınmak için gecikmiş araç vergisini acilen ödemeleri gerektiğini belirten talepler göndererek bu korkuyu suistimal ettiler. Bu “hemen harekete geçin!” baskısı, kurbanın dikkatini şüpheli bir URL veya düzgün olmayan biçimlendirmeden uzaklaştırmak için tasarlanmış klasik bir kimlik avı taktiğidir.

Dolandırıcılar, İngilizlere kötü bir şeyin olmasını önlemek için sözde gecikmiş araç vergilerini “derhal” ödemeleri için baskı yaptılar.

Kimliğinizi ödünç alabilir miyiz, lütfen?

2025 yılında, Müşterini Tanı (KYC) kontrollerini konu alan kimlik avı saldırılarında bir artış gördük. Güvenliği artırmak için, birçok hizmet artık kullanıcıları biyometrik veriler ve resmi kimlikler aracılığıyla doğrulamaktadır. Dolandırıcılar, bu kontrolleri uygulayan popüler hizmetlerin sayfalarını taklit ederek bu verileri toplamayı öğrenmişlerdir.

Bu sahte Vivid Money sayfasında, dolandırıcılar kurban hakkındaki inanılmaz derecede ayrıntılı bilgileri sistematik olarak topladılar.

Bu saldırıları diğerlerinden ayıran özellik, standart kişisel bilgilerin yanı sıra, kimlik kartlarının veya kurbanın yüzünün fotoğraflarını (bazen farklı açılardan) talep etmeleridir. Bu tür tam profiller daha sonra karanlık web pazarlarında satılabilir veya kimlik hırsızlığı için kullanılabilir. Bu süreci, Kimlik avı kullanılarak çalınan verilere ne olur? başlıklı yazımızda ayrıntılı olarak ele aldık.

Yapay zeka dolandırıcıları

Doğal olarak, dolandırıcılar yapay zeka patlamasını kaçırmak istemediler. ChatGPT büyük bir cazibe haline geldi ve dolandırıcılar sahte ChatGPT Plus abonelik ödeme sayfaları oluşturarak sosyal medyada viral olmanızı garanti eden “benzersiz komutlar” sundu.

Bu, orijinal OpenAI ödeme sayfasının neredeyse piksel mükemmelliğinde bir kopyasıdır.

“Yapay zeka ile para kazanma” planı özellikle alaycıydı. Dolandırıcılar, ChatGPT tarafından yapıldığı iddia edilen bahislerden pasif gelir elde etme imkanı sundu: Bot tüm zor işi yaparken, kullanıcı sadece paranın gelmesini izleyecekti. Kulağa rüya gibi geliyor değil mi? Ancak bu fırsatı “yakalamak” için hızlı hareket etmek gerekiyordu. Bu kolay para kaybetme yöntemine özel fiyat, sayfaya girdiğiniz andan itibaren sadece 15 dakika geçerliydi, bu da kurbanlara iki kez düşünmek için zaman bırakmadı.

14,99 €’yu kaybetmek için tam olarak 15 dakikanız var! Bundan sonra, 39,99 € kaybetmiş olursunuz.

Genel olarak, dolandırıcılar yapay zekayı agresif bir şekilde benimsiyorlar. Deepfake teknolojisini kullanarak, yüksek kaliteli web sitesi tasarımını otomatikleştiriyor ve e-posta kampanyaları için özenle hazırlanmış metinler üretiyorlar. Mağdurlarla yapılan canlı görüşmeler bile, daha karmaşık planların bir parçası haline geliyor. Bu konunun ayrıntılarını, Kimlik avcıları ve dolandırıcılar yapay zekayı nasıl kullanıyor? başlıklı yazımızda ele aldık.

Tuzaklı iş ilanları

İş arayan kişiler, kötü niyetli kişilerin başlıca hedefidir. Büyük markalarda yüksek maaşlı uzaktan çalışma pozisyonları vaat eden kimlik avcıları, başvuru sahiplerinin kişisel verilerini topladılar ve bazen küçük “belge işleme ücretleri” veya “komisyonlar” için onları sıkıştırdılar.

Amazon’da uzaktan çalışmak için “ilk gününüzde 1000 $”. Evet, tabii.

Daha ileri düzeyde kurgularda, “iş bulma ajansı” kimlik avı siteleri, kayıt sırasında kullanıcının Telegram hesabına bağlı telefon numarasını ister. Bu kurguda, “kayıt” işlemini tamamlamak için kurbanın, aslında Telegram yetkilendirme kodu olan bir “onay kodu” girmesi gerekiyordu. Giriş yaptıktan sonra, site başvuru sahibinden daha fazla profil ayrıntısı talep etmeye devam etti. Bu, başvuru sahibinin telefonundaki yeni giriş bildirimini fark etmesini engellemek için açıkça bir dikkat dağıtma taktiğiydi. “Kullanıcıyı doğrulamak” için kurbana 24 saat beklemesi söylendi, böylece zaten kapıdan içeri girmiş olan dolandırıcılar Telegram hesabını kalıcı olarak ele geçirmek için yeterli zamana sahip oldular.

Hype bir yalandır (ama çok ikna edici bir yalan)

Her zamanki gibi, 2025 yılında da dolandırıcılar her trend olan manşeti hemen fırsat bilip, baş döndürücü bir hızla e-posta saldırı kampanyaları başlattılar.

Örneğin, ABD Başkanı tarafından $TRUMP meme coinlerinin piyasaya sürülmesinin ardından, “Trump Meme Coin” ve “Trump Digital Trading Cards” tarafından ücretsiz NFT’ler vaat eden dolandırıcılık saldırıları ortaya çıktı. Daha önce meme coinlerin nasıl çalıştığını ve bunlarda nasıl para kaybetmeyeceğinizi ayrıntılı olarak açıklamıştık.

iPhone 17 Pro piyasaya çıkar çıkmaz, sayısız sahte anketin ödülü haline geldi. “Kazandıktan” sonra, kullanıcıların sadece iletişim bilgilerini girmeleri ve kargo ücretini ödemeleri gerekiyordu. Bu banka ayrıntıları girildikten sonra, “kazanan” sadece nakliye ücretini değil, hesabındaki her kuruşu kaybetme riskine giriyordu.

Ozempic dalgasını fırsat bilen dolandırıcılar, sahte ilaç versiyonları veya gerçek eczacıların hiç duymadığı şüpheli “alternatifler” ile posta kutularını doldurdu.

BLACKPINK dünya turu sırasında, spam gönderenler “grubun kullandığı gibi scooter valizleri” reklamına yöneldi.

2025 yazında Jeff Bezos’un düğünü bile “Nijeryalı” e-posta dolandırıcılıklarının malzemesi oldu. Kullanıcılar, Bezos’un kendisi veya eski eşi MacKenzie Scott’tan geldiği iddia edilen mesajlar aldı. E-postalar, hayırseverlik adına veya Amazon’dan “tazminat” olarak büyük meblağlar vaat ediyordu.

Nasıl güvende kalabilirsiniz?

Gördüğünüz gibi, dolandırıcılar sizi paranızdan ve kişisel verilerinizden ayırmak, hatta tüm kimliğinizi çalmak için yeni yöntemler icat etmek konusunda sınır tanımıyorlar. Bunlar, 2025 yılına ait en çılgın örneklerden sadece birkaçı. Securelist’te, kimlik avı ve spam tehditlerinin tam analizine göz atabilirsiniz. Bu arada, mağdur olmamanız için birkaç ipucu verelim. Bunları arkadaşlarınız ve ailenizle, özellikle çocuklarla, gençlerle ve yaşlı akrabalarınızla paylaşmayı unutmayın. Bu gruplar genellikle dolandırıcıların hedef tahtasındaki ana hedeflerdir.

1. Herhangi bir veri girmeden önce URL’yi kontrol edin. Sayfa mükemmel görünse bile, adres çubuğu oyunu ele verebilir.
2. Şüpheli mesajlardaki bağlantıları, tanıdığınız birinden gelse bile, tıklamayın. Mesaj gönderen tanıdıklarınızın hesapları kolaylıkla ele geçirilmiş olabilir.
3. Doğrulama kodlarını asla kimseyle paylaşmayın. Bu kodlar, dijital hayatınızın anahtarlarıdır.
4. Mümkün olan her yerde iki faktörlü kimlik doğrulamayı etkinleştirin. Bu, bilgisayar korsanları için önemli bir ek engel oluşturur.
5. “İnanılmaz derecede iyi” tekliflere şüpheyle yaklaşın. Ücretsiz iPhone’lar, kolay para ve yabancılardan gelen hediyeler neredeyse her zaman bir tuzaktır. Hatırlatma olarak, Bir kimlik avı e-postası alırsanız ne yapmalısınız? başlıklı yazımızı inceleyin.
6. Tüm cihazlarınıza sağlam bir koruma yükleyin. Kaspersky Premium, siz tıklamaya fırsat bulamadan, kimlik avı sitelerini, kötü amaçlı ekleri ve spam mesajlarını otomatik olarak engeller. Ayrıca, Kaspersky for Android uygulamamız, herhangi bir uygulamadan gelen herhangi bir mesajdaki kötü amaçlı bağlantıları tespit edip etkisiz hale getirebilen üç aşamalı Kimlik Avı Koruması sistemine sahiptir. Bu konu hakkında daha fazla bilgiyi, Kaspersky for Android’de yeni bir kimlik avı güvenlik katmanı başlıklı yazımızda bulabilirsiniz.