“Vishing” (voice phishing – sesli oltalama), kişileri telefon aramaları veya sesli iletişim yoluyla kandırarak banka hesap bilgileri, giriş şifreleri veya kişisel veri gibi hassas bilgileri elde etmeye çalışan bir sosyal mühendislik saldırısı türüdür.
İçindekiler
Vishing’i anlama
Kimlik avı (phishing) e-postaları daha yaygın olarak bilinse de, vishing saldırıları giderek artıyor ve çoğu zaman fark edilmeden gerçekleşebiliyor. Dijital kanalları hedefleyen diğer siber saldırıların aksine, vishing doğrudan ses etkileşimi yoluyla insan güvenini manipüle ederek dolandırıcılar için güçlü bir araç haline getirir.
Vishing saldırılarında kullanılan yaygın teknikler
Vishing saldırıları, planlarını ikna edici hale getirmek için manipülasyon tekniklerinin bir kombinasyonuna dayanır. İşte en çok kullanılan taktiklerden bazıları:
Pretexting
Saldırgan, yaptığı aramayı haklı gösterebilmek için genellikle gerçek dışı bir hikaye veya bahane uydurur. Örneğin, saldırgan kendisini mağdurun bankasından biri gibi tanıtıp, hesabında şüpheli bir işlem olduğunu iddia edebilir. Mağdurun düşünmeden yanıt vermesi ve hassas bilgilerinden vazgeçmesi için, mazeretlerinde bir aciliyet hissi yaratmaya çalışacaklardır.
Arayan Kimliği Sahtekarlığı
Saldırganlar, arayan kimlik bilgilerini, arama meşru bir kaynaktan geliyormuş gibi görünmesi için manipüle eder. Bu, hedefin savunmalarını azaltmak ve arayana güvenme olasılıklarını artırmak için yapılır.
Acil Durum Taktikleri
Vishing’deki en etkili tekniklerden biri, aciliyet duygusu yaratmaktır. Saldırganlar, sahtekarlığı veya finansal kaybı önlemek için derhal harekete geçilmesi gerektiğini iddia edebilir ve kurbana eleştirel düşünmeye veya arayanın kimliğini doğrulamaya zaman ayırmadan harekete geçmesi için baskı yapabilir.
Gerçek dünyadan vishing dolandırıcılığı örnekleri
Teknik destek sahtekarlıkları
Saldırganlar genellikle iyi bilinen teknoloji şirketlerinden gelen bir Müşteri Desteği çalışanı gibi davranır ve kurbanın bilgisayarının tehlikeye girdiğini iddia eder. Kurbanları, genellikle veri hırsızlığına veya finansal kayba yol açan sahte onarımlar için uzaktan erişim veya ödeme yapmaya ikna ederler.
Banka kimliği dolandırıcılığı
Bu sahtekarlıklarda, dolandırıcılar banka temsilcilerini taklit ederek kurbanın hesabında şüpheli faaliyet iddiasında bulunur. Saldırgan, hesabın güvenliğini sağlama kisvesi altında parolalar veya PIN'ler gibi hassas bilgileri ister ve bu da finansal verilere yetkisiz erişimle sonuçlanır.
Teslimat sahtekarlıkları
Teslimat sahtekarlıkları, bir paketle ilgili bir sorun olduğunu iddia eden bir teslimat hizmetinden geliyormuş gibi davranan saldırganları içerir. Kurbandan sorunu çözmek için kişisel veya ödeme bilgileri vermesi istenir ve bu bilgiler dolandırıcıların dolandırıcılık için kullanır.
İşletmeler ve bireyler için vishing riskleri
Bireyler için riskler
- Kimlik Hırsızlığı ve Yetkisiz Hesap Erişimi: Saldırganlar, finansal hesapların kontrolünü ele geçirmek, potansiyel olarak fonları boşaltmak veya hassas verilere erişmek için çalınan kişisel bilgileri kullanabilir.
- Finansal Dolandırıcılık: Suçlular, doğrudan para çalabilir veya kurbanın bilgilerini yeni hesaplar açmak, kredi başvurusunda bulunmak veya kendi adlarına hileli satın alımlar yapmak için kullanabilir.
- Karanlık Web Satışları: Gizliliği ihlal edilmiş kişisel veriler karanlık ağda satılabilir ve diğer suçluların çeşitli yasa dışı faaliyetler için kurbanın kimliğini istismar etmesine olanak tanır.
İşletmeler için riskler
- Veri İhlalleri: Çalışanları hedefleyen kimlik avı saldırıları, müşteri bilgilerinin, özel verilerin ve gizli iletişimlerin ihlal edilmesine yol açarak yaygın güvenlik sorunları yaratabilir.
- Düzenleyici ve Yasal Sonuçlar: Finans, sağlık hizmetleri ve teknoloji gibi sektörlerde, ihlaller ağır yasal para cezalarına, etkilenen taraflardan gelen davalara ve rekabet avantajı kaybına neden olabilir.
- Müşteri Güveninin Kaybı: Vishing'in neden olduğu bir veri ihlali, bir şirketin itibarına ciddi şekilde zarar vererek müşteri sadakatinin kaybına ve uzun vadeli finansal kayıplara yol açabilir.
Bir vishing saldırısı ile hedef aldığınızı gösteren işaretler
- Bir Vishing saldırısını tanıyabilmek bunu önleyebilir! Dikkat etmeniz gereken bazı uyarı işaretleri şunlardır:
Hassas bilgi isteyen istenmeyen aramalar
Hesap numaraları veya parolalar gibi kişisel bilgileri isteyen beklenmedik bir arama alırsanız, bu bir tehlike işaretidir. Meşru kuruluşlar genellikle önceden doğrulama olmadan telefon üzerinden hassas veriler talep etmez.
Hızlı hareket etme baskısı
Kimlik avı dolandırıcıları genellikle bir aciliyet hissi yaratır ve hesabınızın askıya alınması veya para kaybı gibi olumsuz bir şeyi önlemek için derhal harekete geçilmesi gerektiğini iddia eder. Doğrulamadan hızlı kararlar almanız için size baskı yapan arayanlara karşı dikkatli olun.
Önceden bildirimde bulunmaksızın kişisel veri talepleri
Sosyal Güvenlik numaranız veya oturum açma kimlik bilgileriniz gibi kişisel bilgileri onaylamanızı isteyen aramalara, özellikle de aramayı beklemiyorsanız, dikkat edin. Meşru kuruluşlar genellikle alternatif doğrulama süreçlerine izin verir.
Vishing saldırıları nasıl önlenir
- Kimlik avı saldırılarına karşı korunmak ve etkilerini azaltmak için şu en iyi uygulamalardan bazılarını göz önünde bulundurabilirsiniz:
İstenmeyen aramalara karşı şüpheci olun
Kişisel bilgi isteyen talep edilmemiş bir arama alırsanız, her zaman resmi kanalları aracılığıyla kuruluşla doğrudan iletişime geçerek arayanın kimliğini doğrulayın. Sahte olabileceği için yalnızca arayan kimliğine güvenmeyin.
Hassas bilgileri asla telefonda paylaşmayın
Hesap numaraları, parolalar veya PIN'ler gibi kişisel bilgileri telefonda paylaşmaktan kaçının. Meşru kuruluşlar, bu bilgileri asla istenmeden yapılan bir aramada istemeyecektir.
Çalışan eğitimi
İşletmeler, çalışanları için düzenli siber güvenlik eğitimi gerçekleştirmelidir, böylece vishing girişimlerini nasıl tanıyacaklarını öğrenebilir ve şüpheli çağrıları bildirmek için bir protokol oluşturabilirler.
Arama engelleme ve kimlik doğrulama araçları
İstenmeyen aramaları filtreleyen arama engelleme uygulamalarını veya hizmetlerini kullanmayı düşünün. İşletmeler, özellikle hassas bilgiler söz konusu olduğunda arayanların kimliğini doğrulamak için sesli kimlik doğrulama araçlarını kullanabilir.
Trend Micro e-posta güvenliği çözümü
Trend Vision One™ E-posta ve İş Birliği Güvenliği, e-posta ve iş birliği platformlarını hedef alan gelişmiş tehditlere karşı sektörde öncü bir koruma sağlar. Yapay zeka destekli tehdit tespiti ve dinamik kum havuzu analizi ile kimlik avı, iş e-posta güvenliği (BEC), fidye yazılımı ve diğer hedefli saldırıları durdurur.
Gönderici kimliğini doğrulayarak, URL'leri ve ekleri gerçek zamanlı olarak tarayarak ve nesiller arası tehdit savunma tekniklerinden yararlanarak bulut tabanlı iletişim kanallarınızda kapsamlı görünürlük ve kontrol sağlar.