Çoğu insan telefon numarasını paylaşırken ikinci bir şey düşünmez; oysa bir düşününce, telefon numaranız sizi hedef almak isteyenler için çok iyi bir başlangıç noktasıdır. Bankacılık işlemlerinde, iki faktörlü doğrulama kodları almakta ve sosyal medyaya giriş yaparken bile kullanırsınız.
“Telefon numaramla biri bana ne yapabilir?” diye merak ediyorsanız, yanıt nüanslıdır. Numaranız saldırganlara kapı aralar ama doğru önlemleriniz varsa tek başına felaket anlamına gelmez.
Saldırganlar sadece bir telefon numarasıyla cihazınıza erişemezler. Ancak numara, bir veri sızıntısından ya da kamuya açık kayıtlardan elde edilmiş başka bilgilerle bir araya gelirse risk artar. Numaranızı oltalama kampanyasında, hesap ele geçirmede kullanabilirler; en kötü senaryoda ise kimlik hırsızlığına yol açabilir.
Bilmeniz gerekenler:
- Tek başına bir telefon numarası doğrudan cihazınızı hackleyemez.
- Dolandırıcılar telefon numaralarını oltalama, taklit ve hesap sıfırlama girişimleri için kullanır.
- En ciddi risk, SIM takasıdır; bu, giriş kodlarının ele geçirilmesine izin verir.
- Numaranız başka sızdırılmış kişisel verilerle birleştiğinde risk artar.
- Beklenmedik hizmet kesintileri veya giriş uyarıları sorun işareti olabilir.
- Güçlü kimlik doğrulama ve taşıyıcı korumaları riski önemli ölçüde azaltır.
Dolandırıcılar telefon numaranızla neler yapabilir?
Telefon numaranızı ele geçiren dolandırıcılar oltalama amaçlı kısa mesajlar gönderebilir, arayan kimliğini (ID) taklit edebilir ve hesaplarınızda parola sıfırlama denemeleri yapabilir. Çoğu durumda telefon numaranız, sizi dolandırmak için kullanılan daha geniş bir stratejinin sadece bir parçasıdır. Burada dikkat edilmesi gereken nokta: bu saldırıların hiçbiri cihazınıza fiziksel erişim gerektirmez. Başlamak için numaranız yeterlidir.
Dolandırıcıların başvurduğu yaygın taktiklerin en bilineni smishingdir. Bunlar, bankalar, kargo firmaları ve devlet kurumları gibi sık uğradığınız kuruluşların adına gönderilen SMS tabanlı oltalama mesajlarıdır. Mesajlarda genellikle bilgilerinizi doldurmanızı isteyen bir formun bulunduğu bir bağlantı veya sizi sahte bir destek hattını aramaya yönlendiren bir talep bulunur. Bu kısa mesajlar resmi kaynaklardan geliyormuş gibi görünür; bu yüzden insanlar ikinci bir düşünmeden yanıt verirler.
Bazı durumlarda numaranız parola sıfırlamayı tetiklemek için kullanılabilir. Çevrimiçi hizmetler, sıfırlama talep edildiğinde bir defaya mahsus kodu genellikle SMS ile gönderir. Eğer saldırgan sizin e-posta adresinizi de biliyorsa, sıfırlamayı başlatıp o kodu ele geçirmek veya sosyal mühendislikle sizden almak için girişimde bulunabilir.
Dolandırıcılar sadece numaramla hesaplarıma erişebilir mi?
Tek başına telefon numarası genellikle hesaplarınıza doğrudan erişmek için yeterli değildir. Bir saldırının başarılı olması için en az bir başka bilgi parçasına — e-posta adresiniz veya sızdırılmış bir şifre gibi — ihtiyaçları olur.
Asıl zafiyet parola sıfırlama sürecindedir. Kayıtlı olduğunuz bir hizmet, yalnızca SMS tabanlı doğrulamayı hesap kurtarma seçeneği olarak kullanıyorsa ve saldırgan kısa mesajlarınızı alabiliyorsa, hesabınıza erişebilir. Bu durum genellikle saldırganın SIM takası veya cihazınızdaki zararlı yazılım yoluyla mesajlarınıza erişmesiyle gerçekleşir.
Birçok şirket hassas işlemler için artık SMS kullanımından uzaklaşıyor çünkü bu yöntem sık sık hedef alınabiliyor. Kripto para sahipleri, gazeteciler ve daha birçok kişinin dahil olduğu yüksek profilli hesap ele geçirme vakaları belgelenmiş durumda.
Telefon Dolandırıcılarına Karşı Korunun
Kaspersky Premium, veri sızıntılarını izlemeye, şüpheli hesap etkinliklerini tespit etmeye ve SIM takası kaynaklı hesap ele geçirmelerine karşı korumayı güçlendirmeye yardımcı olur.
Kaspersky Premium'u Ücretsiz DeneyinDolandırıcılar sizi taklit edebilir veya rehberinizdekileri hedef alabilir mi?
Evet; arayan kimliği (ID) taklidi sayesinde saldırganlar sizin numaranızdan geliyormuş gibi arama yapabilir veya kısa mesaj gönderebilir. Özellikle yapay zeka teknolojisinin ilerlemesiyle bu yöntem daha yaygın hale geldi. Bu teknoloji kolay erişilebilir, neredeyse maliyetsiz ve kullanımı basittir.
Bir spam gönderici numaranızı taklit ettiğinde, rehberinizdeki kişileri arayıp acil para transferleri talep edebilir, sahte ödeme bağlantıları gönderebilir veya doğrulama kodları isteyebilir. Bu saldırıların başarılı olmasının nedeni açıktır: rehberde güvenilir bir isim görünce insanlar talebi yerine getirme eğilimindedir.
Numaranızın taklit edildiğini öğrenir öğrenmez rehberinizdekilere haber verin. Cihazınızdan gönderdiğiniz bir grup mesajı veya kontrolünüzdeki bir e-posta kanalı gibi güvendiğiniz bir iletişim yolunu kullanın ve olayı taşıyıcınıza bildirin.
Numaram kimlik hırsızlığı için kullanılabilir mi?
Tek başına bir telefon numarası kimlik hırsızlığı için yeterli değildir. Ancak tam adınız, doğum tarihiniz ya da Sosyal Güvenlik numaranız gibi diğer kişisel tanımlayıcı bilgiler (PII) ile birleştiğinde sorun olur. Saldırganın iki veya daha fazla veri noktasına sahip olması halinde, isim adına kredi kartı hesabı açma, sahte vergi beyannameleri verme veya finansal hesaplara erişme gibi eylemler gerçekleştirebilir.
Son kullanıcılar için zorlayıcı olan nokta, bilgilerinizin ne kadarının zaten erişilebilir olduğunun bilinmemesidir. Milyonlarca telefon numarasının, müşteri isimlerinin, adreslerin ve hesap bilgileriyle birlikte sızdığı büyük ölçekli veri ihlalleri sık sık yaşanır.
Bu kayıtlar karanlık ağda satışa çıkabilir ve saldırganlar bunları bir veri tabanının parçası olarak satın alabilir. Bu nedenle birçok şirket telefon numaralarını hassas veri olarak değerlendirir; numara diğer kişisel verilerle birlikte kullanıldığında bilgi hassasiyeti dramatik şekilde artar. Ve çoğu durumda bu açıklama sizin hatanızdan kaynaklanmaz.
Dolandırıcılar telefon numaranızı ilk etapta nasıl elde ediyor?
Dolandırıcılar telefon numaralarını veri ihlallerinden, kişi arama sitelerinden, oltalama formlarından ve aktif hatları tespit eden otomatik arama sistemlerinden elde eder. Unutmayın ki numaranızın ele geçirilmesi ile şüpheli etkinlik fark etmeniz arasında sıklıkla uzun bir zaman, bazen yıllar vardır.
Dolandırıcıların telefon numaranızı nasıl elde ettiğini merak ediyorsanız, çoğu zaman cevap bu kaynaklardan birine dayanır.
Dolandırıcıların kullandığı diğer bir kaynak ise kamu kayıtlarıdır. Mahkeme evrakları, seçmen kayıtları ve gayrimenkul kayıtları genellikle telefon numaralarını içerir ve birçok yargı alanında çevrimiçi olarak serbestçe erişilebilir. Garanti kayıt kartı doldurmak veya bir mağaza sadakat programına katılmak numaranızın sonrasında pazarlama veri tabanlarına girmesine ve bu veri tabanlarının sızdırılmasına veya tekrar satılmasına yol açabilir.
Veri ihlalleri ve veri aracılarının rolü nedir?
Telefon numaralarının sızdırılmasında en büyük kaynak veri ihlalleridir; veri aracıları ise sızıntılardan elde edilen bilgileri daha geniş çapta erişilebilir hale getirerek durumu kötüleştirir.
Bir şirket ihlal yaşadığında, müşteri kayıtları genellikle günler içinde karanlık ağ forumlarında ve pazaryerlerinde ortaya çıkar. Saldırganlar buradan bu kayıtları mevcut veri tabanlarıyla çapraz sorgulayarak bir kişinin profiline dair giderek daha tamamlayıcı bilgiler bir araya getirir.
Whitepages, Spokeo ve BeenVerified gibi veri aracısı hizmetleri, kamuya açık ve ticari verileri toplayıp aranabilir bir veri tabanına dönüştürerek veri ihlallerinin etkisini artırır. Ardından küçük bir ücret karşılığında herkes sizin telefon numaranızı arayıp o numarayla ilişkili isim, adres ve diğer kişisel ayrıntıları öğrenebilir. Bu sitelerden bilgilerinizin kaldırılması mümkün olsa da, her aracıyı bireysel olarak e-posta ile rahatsız etmeyi ve çıkış (opt-out) talebi göndermeyi gerektirir.
Telefon numaranızın ele geçirildiğini nasıl anlarsınız?
Telefon numaranızın ele geçirildiğine dair işaretler arasında aniden hücresel hizmeti kaybetmek veya talep etmediğiniz parola sıfırlama mesajları almak bulunur. Diğer belirtiler ise siz yapmadığınız hesap değişikliklerine dair bildirimler ve rehberinizdeki kişilerinize sizin numaranızdan şüpheli mesajlar geldiğine dair bildirimlerdir.
Kısa bir süre içinde bu tür olayların bir küme halinde oluşmasına dikkat edin. Tek bir spam arama endişe nedeni değildir. Gerçek tehlike; cihazınıza ve SIM kartınıza fiziksel olarak hasar gelmemişken tamamen sinyal kaybı yaşamanız ve aynı anda siz başlatmadığınız giriş uyarıları veya kimlik doğrulama istekleri almanızdır. Bu desen tipik olarak bir SIM takasına işaret eder.
Şüpheli bir şey fark ederseniz, taşıyıcı hesabınızda yetkisiz düzenlemeler olup olmadığını hızlıca kontrol edin. Farklı bir telefondan arayın veya bir mağazaya gidin. Ardından e-posta, banka ve sosyal medya hesaplarınıza giriş yapıp sizin yapmadığınız değişiklikleri kontrol edin.
SIM takası nedir ve neden en büyük tehdit?
SIM takası, dolandırıcının mobil taşıyıcınızı ikna ederek telefon numaranızı kontrol ettikleri bir SIM karta aktarmasıyla gerçekleşen bir saldırıdır. Bu, saldırganın numaranıza gelen tüm aramaları ve kısa mesajları ele geçirmesine olanak tanır. SMS tabanlı iki faktörlü doğrulamaların güvenlik mekanizmasını tamamen atladığı için telefon numarası kaynaklı en ciddi tehdittir.
Bir SIM takası başarılı olursa, saldırgan telefonunuza gönderilen her SMS doğrulama kodunu alabilir. E-posta ve bankacılık için tek kullanımlık parolalardan kripto borsası doğrulamalarına ve sosyal medya erişimine kadar pek çok durumda bu kodlar kullanılabilir.
E-posta hesabınız ele geçirilirse zarar hızla büyüyebilir; çünkü saldırgan onlarca diğer hizmet için parola sıfırlama başlatabilir. Kullanıcılara yardımcı olmak amacıyla FCC'nin SIM takası dolandırıcılığı rehberi, taşıyıcı düzeyinde korumalar, bildirim adımları, nasıl çalıştığı ve nelere dikkat edilmesi gerektiği konusunda bilgiler sunar.
Bir SIM takası nasıl çalışır?
Bir SIM takasının başarılı olması için saldırgan önce hedef hakkında kişisel bilgiler toplar, ardından sizin kimliğinizi taklit edip taşıyıcıyla iletişime geçerek numaranızı transfer ettirir.
Saldırgan, isim, adres, hesap numarası, önceki veri ihlallerinden elde edilen Sosyal Güvenlik numarasının son dört hanesi gibi bilgileri toplar. Ardından taşıyıcının çevrimiçi portalı veya destek hattı üzerinden SIM takasını başlatır. Elinde bu bilgiler olduğu için doğrulama sürecini başarıyla geçer ve transfer onaylanır.
Bazı durumlarda saldırılar doğrudan taşıyıcı çalışanlarını rüşvet veya sosyal mühendislikle kandırmayı da içerir. Port-out dolandırıcılığı olarak adlandırılan bir SIM takası varyantı benzer şekilde çalışır, ancak numarayı farklı bir taşıyıcıya aktarır.
Dolandırıcılar, SMS mesajlarını yönlendiren her saldırının, SMS doğrulama kodlarına dayanan tüm hesapların güvenliğini anında atlaması nedeniyle SIM takaslarını tercih eder.
Birisi telefon numaramı biliyorsa endişelenmeli miyim?
Birisi telefon numaranızı biliyorsa bunun hemen endişe kaynağı olması gerekmez. Muhtemelen spam aramalar ve ara sıra oltalama kısa mesajlarıyla karşılaşırsınız; tek başına bunlar hesaplarınızın veya kimliğinizin tehlikede olduğu anlamına gelmez.
Numaranızı e-posta, bankacılık veya diğer hesaplar için SMS tabanlı hesap kurtarma amaçlı kullanıyorsanız risk daha yüksektir. Ayrıca telefon numaranız başka kişisel verilerle bir veri ihlalinde açığa çıktıysa risk artar. Bir telefon numarası korsanı e-posta adresinizi ve sızdırılmış bir şifrenizi de ele geçirmişse, sadece sosyal medyada bulmuş birinden çok daha fazla imkana sahip olur.
Normal spam ile ciddi tehdit arasındaki fark nedir?
Normal spam, binlerce numaraya aynı anda gönderilen otomatik aramalar, telepazarlama ve genel aldatmaca mesajlarından oluşan karalama yaklaşımıdır. Bunlar rahatsız edici olsa da genellikle tehlikeli değildir; alınması gereken tek önlemler engelleme ve bildirimdir.
Buna karşılık ciddi tehditler genellikle hedeflenmiş mesajlardır: gerçek adınızı içeren, bankanız veya yakın zamanda yaptığınız işlemler hakkında bilgiler veren ve gönderenin elinde sadece numaranızdan fazlası olduğunu düşündüren iletiler. Tekrarlı parola sıfırlama kodları, birinin aktif olarak hesaplarınıza erişmeye çalıştığının işaretidir. Bir SIM takası durumunda telefonunuz aniden “Servis Yok” gösterebilir.
Bir dolandırıcı telefon numaramı ele geçirdiyse ne yapmalıyım?
Bir dolandırıcının telefon numaranızı ele geçirdiğini düşünüyorsanız, derhal taşıyıcı hesabınızı kilitlemeli, en önemli hesaplarınızın parolalarını değiştirmeli ve kimlik doğrulama yöntemlerinizi yükseltmelisiniz. Olayı ayrıca bildirmeniz gerekir.
Bunların hepsi mümkün olduğunca hızlı yapılmalıdır; çünkü bir SIM takası ile tam hesap ele geçirme arasındaki süre sadece birkaç dakika olabilir. Dolandırıcı telefon numaranızı ele geçirdiğinde ne yapacağınızı bilmek hız meselesidir.
Telefon numaranızı bir korsanın eline geçtiğinden emin değilseniz, taşıyıcı hesabınızı güvenceye almakla başlayın. Farklı bir telefonu (sabit hat ya da bir aile üyesinin telefonu) kullanın veya fiziksel bir mağazayı ziyaret edip derhal SIM değişiklikleri ve port-out talepleri için hesap üzerinde bir kilit (freeze) uygulanmasını isteyin.
Hesabınız güvende olduktan sonra önce e-posta hesaplarınızı kontrol edin (çünkü diğer tüm hesapların sıfırlamalarını da kontrol edebilirler), sonra banka hesaplarınızı, ardından sosyal medya hesaplarınızı kontrol edin. Kimlik hırsızlığı kurbanı olduğunuzdan şüpheleniyorsanız, üç kredi bürosunda (Equifax, Experian, TransUnion) kredi dondurma başlatın ve IdentityTheft.gov üzerinden bir ihbar kaydı oluşturun.
Raporu oluştururken her şeyi olabildiğince ayrıntılı belgeleyin. Ekran görüntüleri, zaman damgaları ve taşıyıcıyla yaptığınız görüşmelere ait referans numaralarını dahil edin; ileride sahte işlemleri itiraz etmeniz gerekebilir.
Taşıyıcı hesabınızı nasıl güvene alırsınız?
Taşıyıcı hesabınızı güvene almak için bir SIM PIN belirlemeli, güçlü ve benzersiz bir hesap parolası oluşturmalı ve numara transferi korumalarını etkinleştirmelisiniz.
SIM PIN, SIM kartınızın yeni bir cihazda kullanılmadan önce girilmesi gereken bir koddur. Bunu telefonunuzun ayarlarından veya destek hattını arayarak etkinleştirebilirsiniz. Ayrıca faturalandırma için giriş yaptığınız taşıyıcı hesabınızın da SIM PIN'den farklı, güçlü bir parola ile korunması gerekir.
Son olarak çoğu taşıyıcı, yetkisiz transferleri engellemek için numara kilidi veya port dondurma seçeneği sunar. Bu ayarları çevrimiçi hesabınızdan etkinleştirebilirsiniz. Mobil güvenlikle ilgili kapsamlı bir çerçeve için NIST'in mobil cihaz güvenliği önerileri faydalı bir rehber sunar.
Çevrimiçi hesaplarınızı nasıl güvene alırsınız?
SMS tabanlı iki faktörlü doğrulamayı uygulama tabanlı veya donanım tabanlı alternatiflerle değiştirin. Google Authenticator, Microsoft Authenticator veya Authy gibi bir kimlik doğrulayıcı uygulama kullanarak cihazınızda zaman tabanlı kodlar üretin; bu, hesaplarınızı SIM takası saldırılarına karşı bağışık hale getirir.
Daha güçlü koruma için bir YubiKey gibi donanım güvenlik anahtarı kullanabilirsiniz. Bu anahtarlar, oturum açmayı yetkilendirmek için fiziksel anahtarın sahipliğini gerektirdiğinden uzaktan hesap ele geçirmeyi imkânsız kılar.
Parolaları tekrar kullanmak hesaplarınızı daha savunmasız kılar; çünkü kullandığınız bir web sitesine saldırı olursa saldırgan o parolayı başka sitelerde de deneyecektir. Bu riski azaltmak için her hesap için benzersiz parolalar oluşturup saklayan bir parola yöneticisi kullanın.
Daha güçlü koruma için, SMS yerine uygulama tabanlı veya donanım tabanlı yöntemlerle çok faktörlü kimlik doğrulama kurun. Bu yaklaşım doğrulama kodlarınızı telefon numaranıza değil cihazınıza bağlar ve saldırganların bu kodları ele geçirmesini önemli ölçüde zorlaştırır.
Telefon numaranızı uzun vadede nasıl korursunuz?
Telefon numaranızı uzun vadede korumanın hedefi, numaranızın nerede açığa çıktığını azaltmak ve güvenlikteki rolünü en aza indirmektir. Ne yazık ki bu tek seferlik bir işlem değildir; yılda birkaç kez yapmanız gereken bir uygulama olabilir.
Önce numaranızı çevrimiçi listelendiği yerlerden kaldırın. Bu, sosyal medya hesaplarınız ve iş rehberleri dahil olmak üzere birçok yeri kapsar. Ayrıca veri aracı sitelerinden çıkış (opt-out) talebi göndermeniz veya DeleteMe gibi bir hizmet kullanmanız gerekebilir.
Ardından telefon numaranızı kurtarma için kullanan hesaplarınızın listesini çıkarın ve bunları uygulama tabanlı kimlik doğrulamaya taşıyın.
Ek güvenlik için, yemek teslimatı uygulamaları ve perakende hesapları için ön ödemeli bir SIM veya bir VoIP hizmetiyle ikincil bir numara edinmeyi düşünebilirsiniz. Bu numara ele geçirilirse kolayca değiştirebileceğiniz bir numara olur.
Platform varsayılanlarının güncellemeler sonrası değişebileceğini unutmayın; gizlilik ayarlarınızı düzenli olarak gözden geçirin. Bir zamanlar gizli olan bir profil alanı sessizce herkese açık hale gelebilir. Telefon numaranızdan hangi bilgilerin elde edilebileceğini bilmek, hangi ayrıntıları kilitleyip hangilerini tamamen kaldırmanız gerektiğine karar vermeyi kolaylaştırır. Bu işlem her çeyrekte yalnızca 10 dakika alır ama ileride büyük temizleme işlerinden sizi kurtarır. Telefon numaranız dahil kişisel bilgilerinizin sızıntılarını izlemek için Kaspersky Premium gibi kapsamlı bir güvenlik çözümü kullanmayı düşünebilirsiniz.
İlgili makaleler:
- SIM takası saldırılarını etkin şekilde nasıl önlersiniz?
- Mobil Dolandırıcılıklardan Nasıl Korunursunuz?
- Smishing Saldırılarının Riskleri Nelerdir?
- Mobil Telefon Güvenliğinizi Bugün Nasıl Artırabilirsiniz?
Önerilen ürünler:
SSS
Telefon numaramla konumum izlenebilir mi?
Hayır; telefon numarası yoluyla konum takibi, taşıyıcı düzeyinde altyapıya erişim veya cihazınıza casus yazılım kurulmasını gerektirir. Konum takibi, kural olarak mahkeme celbiyle kolluk kuvvetleriyle sınırlıdır. Telefon numarasına dayalı takip sunduğunu iddia eden web siteleri neredeyse her zaman oltalama tuzakları ya da dolandırıcılıktır.
Telefon numaramla banka hesabıma erişilebilir mi?
Tek başına bir telefon numarası banka hesabınıza erişmek için yeterli değildir. Ancak başka kişisel bilgilerle birleşirse, bir SIM takası yürütmek için kullanılabilir. Bu, saldırganın SMS doğrulama kodlarını ele geçirip hesaplarınıza potansiyel olarak erişmesine izin verebilir.
Kimlik hırsızlığından sonra telefon numaramı değiştirmeli miyim?
Hayır; kimlik hırsızlığından sonra telefon numaranızı değiştirmek yalnızca bir SIM takası ya da taciz mağduruysanız mantıklıdır. Çoğu zafiyet, taşıyıcı hesabınızı güvenceye alarak, kimlik doğrulamayı yükselterek ve kredi dondurma yaparak çözülür. FTC'nin kimlik hırsızlığından kurtarma adımları karar vermenize yardımcı olabilir.
