Kimlik avı dolandırıcılığı günümüzde en yaygın siber saldırı türlerinden biri olarak görülüyor. Genellikle kullanıcıların şifreleri, kredi kartı bilgileri, kimlik bilgileri gibi gizli bilgilere ulaşmak amacıyla yapılan kimlik avının çeşitli türleri bulunuyor. Sesli iletişim ortamları üzerinden gerçekleşen kimlik avı türü ise sesli kimlik avı (voice phishing) olarak adlandırılıyor. Tüketici Konfederasyonu (TÜKONFED) Bankacılık Komisyonu Başkanı Hüseyin Ölmez, sesli kimlik avı ile ilgili finansal tüketicilere yönelik açıklamalarda bulundu. Ölmez, Phishing’in, saldırganların (dolandırıcıların) kullanıcıları kandırarak şifre, kredi kartı bilgileri, kimlik verileri veya hesap erişimi gibi hassas bilgileri ele geçirmeye çalıştığı bir sosyal mühendislik saldırısı olduğunu söyledi. Ölmez, “Amaç kullanıcıyı ‘acil’, ‘hesabınız kapatılacak’, ‘ödemeniz reddedildi’ gibi mesajlarla paniğe sürükleyip yanlış yönlendirmektir” diye belirtti.
Duygusal manipülasyon
“Dolandırıcılık tescilsiz inovasyonu en geniş uğraşı alanı haline gelmiştir” diyen Ölmez, dolandırıcıların bu sistemle amaçlarını şöyle açıkladı: “Genellikle; hedeflerinin, gereksinmelerini ve zaaflarını kullanırlar. Kişisel verilerin hukuka aykırı şekilde dolandırıcıların eline geçirilmesi sonucu; hedeflerinin, hızlı ve düşünmeden tepki vermesine yol açacak duyguları tetiklemeye çalışırlar. En çok kullanılan duygusal manipülasyon yöntemleri; ‘hesabınızdan terör gruplarına para aktarıldı; şifreniz ele geçirildi, hakkınızda şikayet var; ikramiye kazandınız’ gibi korkutan ve endişeye düşüren, insanlar duygusal baskı altındayken düşünme ve doğrulama süreçleri zayıflatan manipülasyon araçlarını kullanırlar. Saldırganlar bunu kullanarak kişinin yanlış bir bağlantıya tıklamasını, bilgi paylaşmasını veya para göndermesini sağlamaya çalışır. Bir başka yöntem ise, hedefinin banka ve kişisel verilerini ele geçiren dolandırıcı, hedefine telefon ederek; banka verilerini de belirtip güven sağlayarak, banka şifrelerini ele geçirmeye çalışmasıdır, maalesef çok fazla sonuca da ulaşmışlardır.”
‘Virüs programı kullanın’
Başkan Ölmez, phishing avında dolandırıcıların kişilere hangi mecralardan ulaştığı hakkında şu bilgileri verdi: “Genellikle; sahte e-postalar, sahte web siteleri, sahte SMS (smishing), sahte telefon aramaları (vishing), sosyal medya mesajları gibi yöntemlerle yapılır.” Ölmez, phishing saldırılarına karşı alınabilecek önlemleri ise şöyle açıkladı: “İnternet veya cep (mobil) bankacılığı kullanıyorsak; cep telefonumuzda ve bilgisayarlarımızda etkin bir virüs programı mutlaka olmalıdır (Bazı bankalar ücretsiz virüs programı vermektedir.) Tüm bankalar, uygulamalardan karşılaştıkları, dolandırıcılık olaylarına karşı, müşterilerini, e-posta ve kısa mesajla ve bankamatiklerdeki açıklamalar ile bilgilendirmekte, alınması gereken önlemleri de söylemektedir. Bu bilgilere göre eksik uygulamamız varsa; tamamlamamız gerekmektedir. Kartlarımızı ve eğer ‘unuturuz’ diye şifreyi bir kenara yazdıysak çok iyi muhafaza etmeliyiz (Kartlarla şifreyi yazdığımız kağıdı, aynı yerde saklamamalıyız.) Kolayca ulaşılabilecek şifre belirlememeliyiz. Kendinizin bile, düşünemediğiniz bir şifre bulmalısınız. Örneğin, iliniz, ilçeniz veya sizinle ilintili bir kavramı şifre olarak saptamamalısınız.”
‘Alışverişte sanal kart kullanın’
“İnternet üzerinden yapacağınız hiçbir alışverişte kart şifresi istenmediğini bilmeliyiz, istenirse vermemeliyiz. İnternet bankacılığı hesabı şifrenizi de bankanın istemeyeceğini bilerek, kimseye vermeyiniz.İnternet bankacılığı yaptığınız, bilgisayar veya diğer mobil araçlarınıza, e-posta yolu ile sosyal medya hesaplarınıza Doğrudan mesaj olarak hatta bazı kurumların adıyla da gelen linkler ve genellikle ‘Zip’ (Sıkıştırılmış dosya) ekleri kesinlikle açmayınız. Bu şekilde gelen postalarda verilen linkleri de kesinlikle açmayınız. Bunlar genellikle ‘Trojan’ denilen virüs olabilir. Trojan ile cep telefonunuzu veya bilgisayarınızı hackleyip, ele geçirmekte tüm bankacılık uygulamasına geçtiğinizde bilgilerinizi dolandırıcılara aktarmaktadır. Bu şekilde yapılan ve halen sosyal medyada tartışılan dolandırıcılık işlemleri, genellikle cep telefonu veya bilgisayarda yapılacak işlemlerin görülmemesi için, gece saatlerinde yapılmaktadır. Bu nedenle yatarken cep telefonlarınızı kapatın veya en azından internet bağlantılarını kapatın. İnternet alışverişlerinizde mümkünse kapıda ödeme yöntemini seçmelisiniz.İnternet alışverişlerinizde, kredi kartınıza bağlı, Sanal Kart çıkararak onu kullanınız, bu kartın limitini alışverişinizden hemen sonra sıfırlamalısınız (Bazı bankalar limiti zamana bağlı açmakta ve zaman dolduğunda kapatmaktadır.) Sanal kartınızın dışındaki kartlarınız internet alışverişine kapatınız.”
‘Mutlaka web adresini kendiniz yazın’
“Tehlikeli yöntemlerden biri, ‘Mail Order’ uygulaması genellikle taksitli ödeme sistemidir. Bu sistemde, kart bilgileriniz ve ödeme taahhüdünüz bir belgeye yazılmakta (Bazen kart fotoğrafı da istenmektedir.) Islak imzanız alınmaktadır. Dolandırıcıların kullandığı teknoloji ile bu bilgileri, bir başka ödeme emrine aktarmaları çok zor değildir. Bankanızdan mutlaka; mevduat hesabı ve kredi kartlarında yapılan işlemleri e-posta ve kısa mesajla bildirmesini isteyiniz. İnternet bankacılığı yaparken mutlaka bankanın web adresini kendiniz yazın, sosyal medyada görülen pek çok yanıltıcı banka reklamlarındaki linkleri tıklamayınız (Bu linkler trojan içermektedir.) İnternet bankacılığı yaptığınız; bilgisayar, cep telefonu gibi cihazları onarıma vermeniz veya bir başkasına vermeniz durumunda; internet bankacılığı hesabınız kapatın, telefon, bilgisayar ve tablet üzerindeki banka kısa yollarını siliniz; yeni cihazınızda, ilk şifrenizi değiştiriniz.”
Şifreyi yazarken dikkat!
“Mümkünse şifrelerinizi, bankanın belirttiği zaman kadar değil daha kısa zamanda değiştiriniz. İş ilişkiniz olmayan; tanımadığınız kişilere banka hesap numarası, IBAN numarası; müşteri numaranızı kesinlikle vermeyiniz. Hesaplarınızı, kredi kartınızı internet bankacılığı üzerinden günlük kontrol ediniz. Hesaplarınızı gereksinmeniz olmadığı zamanda, internet işlemlerine kapatın, gereksinmeniz olduğunda açın ve alışverişten sonra hemen tekrar kapatın. İnternet alışverişlerinizi, sanal kart ile yapın. Ay sonunda ekstrenizle, harcamalarınızı karşılaştırınız. İnternet bankacılığınızı çok kişinin kullandığı veya başkasının bilgisayarı ve cep telefonu üzerinden yapmayınız.Yapmak zorunda kalırsanız, sayfayı kapattıktan sonra; ‘geçmiş’ kayıtlarını da mutlaka siliniz.Bankamatiklerde işlem yaparken; bankaların kullandığı kameraların dışında bir cihaz olup olmadığına, kartın giriş ve çıkışında zorlama olup olmadığına dikkat ediniz, şüphe duyduğunuz konuda bankanızı uyarınız ve işlemi kesiniz. En önemlisi şifrenizi yazarken, başkalarının çıplak göz veya kamerayla görmesini engelleyiniz.”
‘Bankalar yeterli önlem almıyor’
Bankaların phishing konusunda yeterli önlemleri almadığını savunan Ölmez, bu durumun dolandırıcıları cesaretlendirdiğini söyledi. Yargıtay’ın, bankaların online bankacılık sistemlerini güvenli hale getirmesine yönelik birçok kararı olduğunu hatırlatan Ölmez, bankaların özellikle şüpheli işlem bildirimlerini güçlendirmeleri ve dolandırıcılık durumlarında suç duyurusunda bulunmalarının zorunlu hale getirilmesi gerektiğini vurguladı. Ölmez, bazı bankaların virüs programı sağlaması ve arama yaptıklarında müşterilere SMS ile bilgi vermesi gibi uygulamaların yaygınlaştırılması gerektiğini ifade ederek, “Bankaların, müşterilerinin güvenliğini sağlama konusunda daha aktif rol üstlenmesi şarttır” dedi.
