Smishing, SMS kimlik avı olarak da bilinen, mobil kısa mesaj üzerinden gerçekleştirilen bir kimlik avı siber güvenlik saldırısı türüdür.
Kimlik avının bir çeşidi olarak, kurbanlar kılık değiştirmiş bir saldırgana hassas bilgiler vermeleri için kandırılır. SMS kimlik avı, kötü amaçlı yazılımlar veya dolandırıcılık web siteleri tarafından desteklenebilir. Veri tabanlı mobil mesajlaşma uygulamaları gibi SMS dışı kanallar da dahil olmak üzere birçok mobil metin mesajlaşma platformunda meydana gelir.
Smishing'in tanımından da anlaşılacağı üzere, bu terim "SMS" (kısa mesaj hizmetleri, daha çok mesajlaşma olarak bilinir) ve"phishing" yani "kimlik avı" terimlerini bir araya getirmektedir Smishing'i daha ayrıntılı tanımlamak gerekirse, teknik istismarlardan ziyade insanların güvenini istismar etmeye dayanan bir tür sosyal mühendislik saldırısı olarak kategorize edilir.
Siber suçlular kimlik avı yaptıklarında, alıcıyı kötü niyetli bir bağlantıya tıklaması için kandırmayı amaçlayan sahte e-postalar gönderirler. Smishing'de, e-posta yerine kısa mesajlar kullanılır.
Özünde, bu siber suçlular kişisel verilerinizi çalar ve daha sonra bunları dolandırıcılık veya diğer siber suçları işlemek için kullanabilirler. Genellikle bu, para çalmayı da içerir - genellikle sizin, ancak bazen şirketinizin parasını da.
Siber suçlular bu verileri çalmak için genellikle iki yöntemden birini kullanır:
Smishing metin mesajları genellikle bankanızdan geldiğini iddia ederek sizden hesap veya kart şifreniz gibi kişisel veya finansal bilgilerinizi ister. Bu bilgileri vermek, hırsızlara banka bakiyenizin anahtarlarını vermekle eşdeğerdir.
Giderek daha fazla insan kişisel akıllı telefonlarını iş için kullandıkça (BYOD veya "kendi cihazını getir" olarak adlandırılan bir eğilim), smishing bir tüketici tehdidi olduğu kadar bir iş tehdidi haline geliyor. Bu nedenle, smishing'in kötü niyetli kısa mesajların önde gelen biçimi haline gelmesi şaşırtıcı olmamalıdır.
Mobil cihazlara yönelik siber suçlar, tıpkı mobil cihaz kullanımı gibi artıyor. Mesajlaşmanın akıllı telefonların en yaygın kullanımı olmasının yanı sıra, birkaç başka faktör de bunu özellikle sinsi bir güvenlik tehdidi haline getirmektedir. Daha açıklayıcı olmak için smishing saldırılarının nasıl çalıştığını inceleyelim.
Aldatma ve dolandırıcılık, her türlü SMS kimlik avı saldırısının temel bileşenleridir. Saldırgan güvenebileceğiniz bir kimliğe büründüğünden, isteklerine boyun eğme olasılığınız daha yüksektir.
Sosyal mühendislik ilkeleri, smishing saldırganlarının bir kurbanın karar verme sürecini manipüle etmesine olanak tanır. Bu aldatmacanın itici faktörleri üç yönlüdür:
Saldırganlar bu yöntemleri kullanarak alıcının harekete geçmesini sağlayacak mesajlar yazarlar.
Saldırganlar tipik olarak alıcının kısa mesaj içindeki bir URL bağlantısını açmasını ister ve bu bağlantıyı açtıktan sonra özel bilgilerini ifşa etmelerini isteyen bir kimlik avı aracına yönlendirilirler. Bu kimlik avı aracı genellikle sahte bir kimlikle görünen bir web sitesi veya uygulama şeklinde gelir.
Hedefler çeşitli şekillerde seçilir, ancak genellikle bir kuruluşa veya bölgesel bir konuma bağlılıkları temel alınır. Belirli bir kurumun çalışanları veya müşterileri, mobil ağ aboneleri, üniversite öğrencileri ve hatta belirli bir bölgenin sakinleri hedef olabilir.
Bir saldırganın kullandığı kılık değiştirme genellikle erişmek istediği kurumla ilgilidir. Ancak, kimliğinizi veya finansal bilgilerinizi ele geçirmelerine yardımcı olacak herhangi bir maske de olabilir.
Spoofing, yani sahte aramalar olarak bilinen bir yöntem kullanarak, bir saldırgan gerçek telefon numarasını bir tuzağın arkasına gizleyebilir. Smishing saldırganları, saldırının kaynağını daha da maskelemek için "kullan-at telefonlar" (ucuz, tek kullanımlık ön ödemeli telefonlar) da kullanabilirler. Saldırganların, numaralarını gizlemenin bir başka yolu olarak email-to-text servislerini kullandıkları bilinmektedir.
Adım adım ilerleyen bir saldırgan, saldırısını birkaç temel aşamada gerçekleştirecektir:
Bir saldırganın smishing planı, hedefledikleri hırsızlığı gerçekleştirmek için özel bilgilerinizi kullandıktan sonra başarılı olur. Bu hedef, doğrudan bir banka hesabından çalmak, yasa dışı olarak kredi kartları açmak için kimlik sahtekarlığı yapmak veya özel kurumsal verileri sızdırmak olabilir, ancak bunlarla sınırlı değildir.
Daha önce de belirtildiği gibi, smishing saldırıları hem geleneksel kısa mesaj hem de SMS dışı mesajlaşma uygulamaları aracılığıyla gerçekleştirilmektedir. Ancak SMS kimlik avı saldırıları, aldatıcı yapıları nedeniyle öncelikle kesintisiz ve fark edilmeden yayılır.
Smishing aldatmacası, kullanıcıların kısa mesaj güvenliği konusunda yanlış bir güvene sahip olmaları nedeniyle artmaktadır.
Öncelikle, çoğu insan e-posta dolandırıcılığının risklerini biliyor. Muhtemelen "Merhaba, bu bağlantıya göz atın" diyen genel e-postalardan şüphelenmeyi öğrenmişsinizdir Gerçek bir kişisel mesajın olmaması, e-posta spam dolandırıcılığının önemli bir tehlike işareti olma eğilimindedir.
İnsanlar telefonlarının başındayken daha az dikkatli oluyorlar. Birçok kişi akıllı telefonlarının bilgisayarlardan daha güvenli olduğunu varsayıyor. Ancak akıllı telefon güvenliğinin sınırlamaları vardır ve her zaman doğrudan smishing'e karşı koruma sağlayamaz.
Kullanılan araç ne olursa olsun, bu planların başarıya ulaşması için güveninizin ve muhakeme yeteneğinizin zayıflamasından başka çok az şeye ihtiyaç vardır. Sonuç olarak, smishing, kısa mesaj özelliği olan herhangi bir mobil cihaza saldırabilir.
Android cihazlar pazarın çoğunluğu tarafından kullanılan platform ve kötü amaçlı metin mesajları için ideal bir hedef olsa da, iOS cihazlar da eşit derecede tehlike altındadır. Apple'ın iOS mobil teknolojisi güvenlik konusunda iyi bir üne sahiptir, ancak hiçbir mobil işletim sistemi tek başına sizi kimlik avı tarzı saldırılardan koruyamaz. Güvende olunduğuna dair gereksiz güven, platformdan bağımsız olarak kullanıcıları özellikle savunmasız bırakabilir.
Bir başka risk faktörü de akıllı telefonunuzu hareket halindeyken, genellikle dikkatiniz dağınıkken veya aceleniz varken kullanmanızdır. Bu, banka bilgilerinizi veya bir kuponu kullanmanızı isteyen bir mesaj aldığınızda gardınızı düşürme ve düşünmeden yanıt verme olasılığınızın daha yüksek olduğu anlamına gelir.
Her kimlik avı saldırısı benzer yöntemler kullanırken, sunum önemli ölçüde farklılık gösterebilir. Saldırganlar bu SMS saldırılarını taze tutmak için çok çeşitli kimlikler ve araçlar kullanabilir.
Ne yazık ki, bu saldırıların bitmek bilmeyen yeniden icadı nedeniyle smishing türlerinin kapsamlı bir listesini yapmak neredeyse imkansızdır. Birkaç yerleşik dolandırıcılık öncülünü kullanarak, kurban olmadan önce bir smishing saldırısını tespit etmenize yardımcı olacak özellikleri ortaya çıkarabiliriz.
İşte smishing saldırılarının bazı yaygın öncülleri:
COVID-19 smishing dolandırıcılıkları , COVID-19 salgınının etkilerin azaltılması için hükümet, sağlık ve finans kuruluşları tarafından tasarlanan meşru yardım programlarına dayanmaktadır.
Saldırganlar bu planları kurbanların sağlık ve maddi korkularını manipüle ederek dolandırıcılık yapmak için kullanmışlardır. Uyarı işaretleri şunları içerebilir:
Finansal hizmetler smishing saldırıları, finansal kurumlardan gelen bildirimler olarak maskelenmektedir. Neredeyse herkes bankacılık ve kredi kartı hizmetlerini kullanıyor, bu da onları hem genel hem de kuruma özel mesajlara karşı duyarlı hale getiriyor. Krediler ve yatırımlar da bu kategorideki yaygın araçlardır.
Bir saldırgan, finansal dolandırıcılık yapmak için ideal bir kılık değiştirme için bir banka veya başka bir finans kurumu gibi davranır. Bir finansal hizmetler smishing dolandırıcılığının özellikleri arasında hesabınızın kilidini açmak için acil bir talep, şüpheli hesap etkinliğini doğrulamanızın istenmesi ve daha fazlası yer alabilir.
Hediye dolandırıcılığı, genellikle saygın bir perakendeciden veya başka bir şirketten ücretsiz hizmet veya ürün vaadi anlamına gelir. Bunlar hediye çekilişleri, alışveriş ödülleri veya diğer ücretsiz teklifler olabilir. Bir saldırgan "bedava" fikrini öne sürerek heyecanınızı yükselttiğinde, bu daha hızlı harekete geçmenizi sağlamak için bir mantıklı düşünmeyi geçersiz kılma işlevi görür. Bu saldırının işaretleri arasında sınırlı süreli teklifler veya ücretsiz bir hediye kartı için özel fırsatlar yer alabilir.
Onay smishing saldırıları, bir hizmet için yakın zamanda yapılan bir satın alma işleminin veya faturalandırma faturasının sahte bir şekilde onaylanmasını içerir. Merak duygunuzu manipüle etmek için bir takip bağlantısı verilebilir veya istenmeyen suçlamalardan korkmanızı tetiklemek için hemen harekete geçmenizi isteyebilir. Bu dolandırıcılığın kanıtı, sipariş onay metinleri dizisi veya bir işletme adının bulunmaması olabilir.
Müşteri desteği smishing saldırganları, bir sorunu çözmenize yardımcı olmak için güvenilir bir şirketin destek temsilcisi gibi davranır. Apple, Google ve Amazon gibi yüksek kullanımlı teknoloji ve e-ticaret şirketleri bu yöntemde saldırganlar için etkili kılıklardır.
Tipik olarak, saldırgan hesabınızda bir hata olduğunu iddia eder ve bunu çözmeniz için size adımlar sunar. Talep, sahte bir giriş sayfası kullanmak kadar basit olabilirken, daha karmaşık planlar parolanızı sıfırlamak için gerçek bir hesap kurtarma kodu sağlamanızı isteyebilir. Destek tabanlı bir smishing şemasının uyarıları arasında faturalandırma, hesap erişimi, olağan dışı etkinlik veya son müşteri şikayetinizin çözülmesi ile ilgili bir sorun yer alır.
SMS'in cep telefonu olan neredeyse herkes tarafından kullanılabilir olması nedeniyle, smishing saldırılarının küresel olarak gerçekleştiği bilinmektedir. İşte dikkat etmeniz gereken bazı smishing saldırı örnekleri.
Eylül 2020'de, ücretsiz bir iPhone 12 için kredi kartı bilgilerini vermeleri için insanları kandıran bir smishing kampanyası ortaya çıktı.
Şema, kısa mesajın bir paket teslimatının yanlış bir adrese gönderildiğini iddia ettiği bir sipariş onayı öncülünü kullanıyordu. Metin içi URL bağlantısı, hedefleri Apple sohbet robotu gibi görünen bir kimlik avı aracına yönlendiriyordu. Araç, erken erişim deneme programının bir parçası olarak ücretsiz iPhone 12'lerini talep etmek için kurbanı bir süreç boyunca yönlendiriyor, ancak kaçınılmaz olarak küçük bir nakliye ücretini karşılamak için kredi kartı bilgilerini istiyordu.
Eylül 2020'de, sahte bir USPS ve FedEx paket teslim SMS dolandırıcılığı raporları dolaşmaya başladı. Bu smishing saldırısı, çeşitli hizmetler için hesap kimlik bilgilerinizi veya kredi kartı bilgilerinizi çalmaya çalışabilir.
Mesajlarda, paketin teslim edilmediği ya da yanlış teslim edildiği iddia ediliyor ve FedEx ya da USPS hediye anketi gibi görünen bir web sitesi kimlik avı aracına bağlantı veriliyor. Bu kimlik avı sitelerinin öncülleri farklılık gösterse de, birçoğunun Google gibi hizmetler için hesap girişlerini toplamaya çalıştığı tespit edilmiştir.
Nisan 2020'de Better Business Bureau, ABD hükümetini taklit eden kişilerin, bağlantılı bir web sitesi aracılığıyla insanlardan zorunlu bir COVID-19 testine girmelerini isteyen kısa mesajlar gönderdiğine dair raporlarda bir artış gözlemledi.
Elbette, COVID-19 için çevrimiçi bir test olmadığı için birçok kişi bu dolandırıcılığı anında fark etti. Bununla birlikte, pandemi korkularını avlamak halkı mağdur etmek için etkili bir yöntem olduğundan, bu smishing saldırılarının öncülü kolayca gelişebilir.
İyi haber şu ki bu saldırıların potansiyel sonuçlarına karşı korunmak kolaydır. Hiçbir şey yapmayarak kendinizi güvende tutabilirsiniz. Özünde, saldırılar yalnızca yemi yutarsanız hasar verebilir.
Bununla birlikte, kısa mesajın birçok perakendeci ve kurumun size ulaşması için meşru bir araç olduğunu unutmayın. Tüm mesajlar göz ardı edilmemelidir, ancak ne olursa olsun güvenli bir şekilde hareket etmelisiniz.
Bu saldırılara karşı kendinizi korumanıza yardımcı olacak akılda tutulması gereken birkaç şey vardır.
E-posta kimlik avında olduğu gibi, smishing'in de bir dolandırıcılık suçu teşkil ettiğini unutmayın. Kurbanı bir bağlantıya tıklayarak veya bilgi vererek işbirliği yapması için kandırmayı amaçlar. Bu saldırılara karşı en basit koruma hiçbir şey yapmamaktır. Eğer yanıt vermezseniz, kötü niyetli bir mesaj hiçbir şey yapamaz.
Smishing saldırıları kurnazdır ve sizi çoktan mağdur etmiş olabilir, bu nedenle bir kurtarma planınızın olması gerekir.
Başarılı bir smishing girişiminin zararlarını sınırlamak için bu önemli adımları atın:
Bu adımların her biri, bir smishing saldırısından sonra korunmanız için önemli bir ağırlığa sahiptir. Bununla birlikte, bir saldırıyı bildirmek yalnızca sizin iyileşmenize yardımcı olmakla kalmaz, aynı zamanda başkalarının da mağdur olmasını önler.
İlgili Bağlantılar: