Phishing (oltalama) saldırıları

‘Phishing (oltalama)’ para yada bilgi erişimi sahibi kişileri, çeşitli sahte arama ve e-postalar ile aldatarak kendi sahte sistemine çekme ve kişilerin bilgilerine erişerek maddi yarar sağlama faaliyetlerinin genel adıdır. Hizmet talep eden kişileri, hizmete çekme görünümü ile dolandırmanın, e-posta, sesli arama, sesli yanıt, sms onay, özel bağlantı tıklama mesajları (direct messaging) şeklinde, dolandırılmak istenen kişinin mali, eğitim, sosyo-kültürel durumuna ve talep ettiği hizmete göre değişiklik gösteren yöntemleri vardır.

• Vishing (Voice Phishing)

‘Vishing’ (Voice Phishing) Oltalama saldırısı, sesli arama yaparak aranılan kişiden daha kolay bilgi alınmasını hedefler ve yurt dışı internet servis sağlayıcılardan (proxy) faydalanarak mağdura, arayan olarak istedikleri kurumun/hizmetin numarasını gösterir. Müşterilerin hesap numaraları, kredi kartı bilgileri ve bunun gibi kişisel bilgilerini elde etmek için e-postalar gönderir ve bu e-posta içeriklerinde çeşitli telefon numaraları vererek mağdurun bu telefon numaralarını aramasını sağlar. Bu sahte telefon numaraları arandığında mağdurun karşısına dolandırıcının daha önceden hazırladığı, çağrı merkezini taklit eden banka sesli yanıt sistemi çıkmakta ve devamında istenen kişisel bilgilere erişerek müşteri hesapları boşaltılmaktadır.

Phishing (oltalama), bilişim dolandırıcılığı yapan saldırganların yemleme şeklinde kimlik avı yaparak hedef kişiye hediye, indirim veya benzeri cezbedici sahte iletiler gönderilerek veyahut hesaplarının tehdit altında olduğu yanıltması ile parola, kimlik bilgisi veyahut benzeri verilerini çalmaya çalışmasına verilen genel isimdir.

Phishing saldırıları genel olarak kullanıcı hesap numaralarını, kullanıcı şifre ve parolalarını, internet bankacılığı kullanıcı kodu ve şifrelerini, kredi kartı numaralarını hedeflemektedir. Pek çok fiil birleşimi ile oluşabilen oltalama halleri, mağdurun sahip olduğu maddi varlığın türüne, mağdurun eğitim/biliş durumuna veyahut mesleki pozisyonuna göre çeşitlilik göstermektedir.

Oltalama saldırıları çeşitlilik arz ettiğinden, kullanılan yönteme ve erişilen bilginin niteliğine göre yapılacak önleme, geri alma, zarar giderme yolları değişmektedir.

Ücretsiz Phishing sitelerinde, cazip bir ürün veya hizmet ücretsiz olarak sunulmakta, bedava virüs taraması, antivirüs güncellemesi vaadi ile çekilen mağdurun hizmet koşulu olarak kurulması sağlanan korsan yazılımlar aracılığı ile kişisel bilgisayara yüklü pek çok kişisel bilgi ve kayıt kopyalanarak yazılım sahibinin arşivine kaydedilmektedir.

Oltalama Aşamaları

‘Vishing’ (Voice Phishing) denilen ses ile aldatma yönteminde, aranılan kişiden ses kaydının  hızlı bilgi akışı sayesinde diğer yöntemlerden daha kolay bilgi alınmasını hedeflemektedir. Burada dolandırıcılar teknolojik imkân olarak, yurt dışı internet servis sağlayıcılardan (proxy) faydalanarak aranılan kişiye, arayan olarak aldatıcılığı yüksek ve istediği numarayı göstermesi kullanılmaktadır. Sesli görüşme esnasında müşterilerin hesap numaraları, kredi kartı bilgileri ve benzeri kişisel bilgilerini elde etmeye yönelik gönderilen e-postalar ve bu e-postaların içeriklerinde verilen çeşitli linkler ve telefon numaralarına yönlendirmeler yapılır.

Bu sahte telefon numaraları mağdur tarafından arandığında dolandırıcının daha önceden hazırladığı banka sesli yanıt sistemini ve dahi çağrı merkezini taklit eden bir sistem mağduru karşılamaktadır ve bu sayede tesis edilen güvenle mağdur kişisel bilgilerini paylaşabilmektedir. Devamı kişisel bilgilerin niteliğine göre kimlik avı, sahte banka kartı ve onam kullanımı şeklinde fiiller ile maddi yarar elde etme olarak ilerlemektedir.

• Ceo Phishing

‘CEO Phishing’ (Yönetici Kimliğine Bürünme Yoluyla Dolandırıcılık) türünde, bir şirketin Yönetim Kurulu Başkanı, Genel Müdür veya üst düzey yöneticisinden geliyormuş görünümündeki e-posta ile, şirket finans ekibine, bir üçüncü şahsa acilen bir ödeme yapılması talep edilmekte, ve hatta e-postanın gönderilmesini takiben mağdur telefonla aranarak ikna edilebilmektedir.

Bu ve benzeri temel tedbirlere uyulması durumunda dahi, karmaşık ve çok adımlı dolandırıcılık fiillerine bireysel olarak karşı koymak son derece zor olabilir. Hatta kullanıcının iradesi ve yetkisi dışında gelişen fiiller de dolandırıcılığı kaçınılmaz yapabilir. Bu gibi durumlarda, şüpheli işlem tespiti, ödemenin yapıldığı kuruma işlem itirazı ve dahi yetkilendirildikleri kurumlara şikayetleri, tüketici işlemleri boyutunda mücadelesi ve dolandırıcılık fiili şüphesinin tespiti halinde cezai soruşturma ve kovuşturma aşamalarını yetkin bir şekilde takip edecek avukatlardan hukuki destek alınmalıdır.