“Vishing” (voice phishing – sesli oltalama), kişileri telefon aramaları veya sesli iletişim yoluyla kandırarak banka hesap bilgileri, giriş şifreleri veya kişisel veri gibi hassas bilgileri elde etmeye çalışan bir sosyal mühendislik saldırısı türüdür.
İçindekiler
Kimlik avı (phishing) e-postaları daha yaygın olarak bilinse de, vishing saldırıları giderek artıyor ve çoğu zaman fark edilmeden gerçekleşebiliyor. Dijital kanalları hedefleyen diğer siber saldırıların aksine, vishing doğrudan ses etkileşimi yoluyla insan güvenini manipüle ederek dolandırıcılar için güçlü bir araç haline getirir.
Vishing saldırıları, planlarını ikna edici hale getirmek için manipülasyon tekniklerinin bir kombinasyonuna dayanır. İşte en çok kullanılan taktiklerden bazıları:
Saldırgan, yaptığı aramayı haklı gösterebilmek için genellikle gerçek dışı bir hikaye veya bahane uydurur. Örneğin, saldırgan kendisini mağdurun bankasından biri gibi tanıtıp, hesabında şüpheli bir işlem olduğunu iddia edebilir. Mağdurun düşünmeden yanıt vermesi ve hassas bilgilerinden vazgeçmesi için, mazeretlerinde bir aciliyet hissi yaratmaya çalışacaklardır.
Saldırganlar, arayan kimlik bilgilerini, arama meşru bir kaynaktan geliyormuş gibi görünmesi için manipüle eder. Bu, hedefin savunmalarını azaltmak ve arayana güvenme olasılıklarını artırmak için yapılır.
Vishing’deki en etkili tekniklerden biri, aciliyet duygusu yaratmaktır. Saldırganlar, sahtekarlığı veya finansal kaybı önlemek için derhal harekete geçilmesi gerektiğini iddia edebilir ve kurbana eleştirel düşünmeye veya arayanın kimliğini doğrulamaya zaman ayırmadan harekete geçmesi için baskı yapabilir.
Saldırganlar genellikle iyi bilinen teknoloji şirketlerinden gelen bir Müşteri Desteği çalışanı gibi davranır ve kurbanın bilgisayarının tehlikeye girdiğini iddia eder. Kurbanları, genellikle veri hırsızlığına veya finansal kayba yol açan sahte onarımlar için uzaktan erişim veya ödeme yapmaya ikna ederler.
Bu sahtekarlıklarda, dolandırıcılar banka temsilcilerini taklit ederek kurbanın hesabında şüpheli faaliyet iddiasında bulunur. Saldırgan, hesabın güvenliğini sağlama kisvesi altında parolalar veya PIN'ler gibi hassas bilgileri ister ve bu da finansal verilere yetkisiz erişimle sonuçlanır.
Teslimat sahtekarlıkları, bir paketle ilgili bir sorun olduğunu iddia eden bir teslimat hizmetinden geliyormuş gibi davranan saldırganları içerir. Kurbandan sorunu çözmek için kişisel veya ödeme bilgileri vermesi istenir ve bu bilgiler dolandırıcıların dolandırıcılık için kullanır.
Hesap numaraları veya parolalar gibi kişisel bilgileri isteyen beklenmedik bir arama alırsanız, bu bir tehlike işaretidir. Meşru kuruluşlar genellikle önceden doğrulama olmadan telefon üzerinden hassas veriler talep etmez.
Kimlik avı dolandırıcıları genellikle bir aciliyet hissi yaratır ve hesabınızın askıya alınması veya para kaybı gibi olumsuz bir şeyi önlemek için derhal harekete geçilmesi gerektiğini iddia eder. Doğrulamadan hızlı kararlar almanız için size baskı yapan arayanlara karşı dikkatli olun.
Sosyal Güvenlik numaranız veya oturum açma kimlik bilgileriniz gibi kişisel bilgileri onaylamanızı isteyen aramalara, özellikle de aramayı beklemiyorsanız, dikkat edin. Meşru kuruluşlar genellikle alternatif doğrulama süreçlerine izin verir.
Kişisel bilgi isteyen talep edilmemiş bir arama alırsanız, her zaman resmi kanalları aracılığıyla kuruluşla doğrudan iletişime geçerek arayanın kimliğini doğrulayın. Sahte olabileceği için yalnızca arayan kimliğine güvenmeyin.
Hesap numaraları, parolalar veya PIN'ler gibi kişisel bilgileri telefonda paylaşmaktan kaçının. Meşru kuruluşlar, bu bilgileri asla istenmeden yapılan bir aramada istemeyecektir.
İşletmeler, çalışanları için düzenli siber güvenlik eğitimi gerçekleştirmelidir, böylece vishing girişimlerini nasıl tanıyacaklarını öğrenebilir ve şüpheli çağrıları bildirmek için bir protokol oluşturabilirler.
İstenmeyen aramaları filtreleyen arama engelleme uygulamalarını veya hizmetlerini kullanmayı düşünün. İşletmeler, özellikle hassas bilgiler söz konusu olduğunda arayanların kimliğini doğrulamak için sesli kimlik doğrulama araçlarını kullanabilir.
Trend Vision One™ E-posta ve İş Birliği Güvenliği, e-posta ve iş birliği platformlarını hedef alan gelişmiş tehditlere karşı sektörde öncü bir koruma sağlar. Yapay zeka destekli tehdit tespiti ve dinamik kum havuzu analizi ile kimlik avı, iş e-posta güvenliği (BEC), fidye yazılımı ve diğer hedefli saldırıları durdurur.
Gönderici kimliğini doğrulayarak, URL'leri ve ekleri gerçek zamanlı olarak tarayarak ve nesiller arası tehdit savunma tekniklerinden yararlanarak bulut tabanlı iletişim kanallarınızda kapsamlı görünürlük ve kontrol sağlar.