Dolandırıcılar sanal alemde v'olta' atıyor

Bankalararası Kart Merkezi Genel Müdürü Canko, "Sahtekârların en çok başvurduğu sosyal mühendislik yöntemlerinden biri oltalamadır. Çok cazip fiyatlarla teklif edilen ürün, hizmet ve kampanyalar gerçek değildir." dedi.

Bankalararası Kart Merkezi (BKM) Genel Müdürü Soner Canko, sosyal mühendislik ve oltalamanın yeni dolandırıcılık türleri olduğunu belirterek, "Sosyal medya platformlarında, internette ya da e-posta aracılığıyla bedava veya çok cazip fiyatlarla teklif edilen ürün, hizmet ve kampanyalar gerçek değildir." dedi.

Soner Canko, AA muhabirine yaptığı değerlendirmede, ödeme alışkanlıklarındaki değişimin, eski dolandırıcılık türlerinin yerini sosyal mühendislik gibi yeni siber dolandırıcılık türlerinin almasına sebep olduğunu söyledi.

Dolandırıcılık türleri değişse de konuyla ilgili yeterli bilgisi olmayan ve gerekli önlemleri almayan kişilerin dolandırıcıların kurbanı olmaya devam ettiğini belirten Canko, bir ağa, cihaza ya da kişisel hesaba ulaşmak isteyen dolandırıcıların, amaçlarına ulaşmak için pek çok yöntemi kullandığını anlattı.

Canko, artan dolandırıcılık olaylarına karşı kullanıcıları dikkatli olmaları konusunda uyaran BKM'nin hem kişilerin hem de kurumların bu tehditlerden korunması için sosyal mühendisliğin ve oltalamanın ne olduğunu, saldırı yollarını ve bu saldırılardan korunma yöntemlerini çeşitli platformlarda paylaştığını anımsattı.

BKM tarafından bilgi güvenliğiyle ilgili farkındalığı artırmak amacıyla hayata geçirilen www.bilgiguvende.com adresinden de bu konuda en güncel bilgilere ulaşılabildiğini ifade eden Canko, "Sosyal mühendislik, sahtekârların hile ve kurnazlıkla yönlendirme, etki altına alma ve kandırma gibi yöntemler kullanarak insanlardan aldıkları/çaldıkları kişisel bilgileri kendi çıkarları için kullanmalarına verilen genel isimdir. Güvenliğimizi artırmak için en önemli yol, farklı saldırı türlerinin neler olduğunu anlamaktan geçiyor. Sahtekârların en çok başvurduğu sosyal mühendislik yöntemlerinden biri oltalamadır." diye konuştu.

"Sahtekârlar, 'takipçi sayını artırma' ya da 'profiline kimler baktı' uygulamalarını kullanıyor"

Soner Canko, oltalamanın (phishing), genellikle 3 farklı yolla yapıldığını belirtti. Bu yollardan birinde sahtekârların internet aramalarında çıkan sonuçlarda, bankaların gerçek sitelerine benzeyen ancak aslında sahte olan internet sitesi bağlantılarının ilk sıralarda çıkmalarını sağladığını ifade eden Canko, bir diğer yolda ise kullanıcılara bankalar, kamu kurumları ya da kargo firmalarından gönderilmiş gibi gözüken e-postalar yollandığını ve kullanıcılardan bu e-postaların içindeki bağlantılara tıklamasının istendiğini anlattı.

Arama sonuçlarındaki ve e-postalardaki bu bağlantılara tıklayanları kendi hazırladıkları sahte internet sitelerine yönlendirdiklerini söyleyen Canko, sahte internet sitelerinde kredi kartı veya hesap bilgilerini giren kullanıcıların bilgilerini ele geçirdiklerini ve bu sayede kullanıcı hesaplarından yüklü miktarlarda para çekebildiklerini dile getirdi.

Canko, son zamanlarda sosyal medyada "takipçi sayını artırmak ya da profiline kimlerin baktığını görmek istiyorsan bu uygulamayı indir" diyen uygulamalar gördüklerini söyledi.

Sahtekârların bu uygulamaları indiren kullanıcıların şifre ve hesap bilgilerini ele geçirdiklerini vurgulayan Canko, şöyle devam etti:

"Ele geçirdikleri bu hesapların isimlerini değiştiriyorlar ve bu hesapları banka ya da kamu kurumlarının hesaplarıymış gibi gösteriyorlar. Daha sonra bu hesaplardan kredi kartları için ödenen aidatların geri alınabileceği, ödenen vergi borçlarına ait bazı geri ödemeler yapılacağı, ödemesi gecikmiş vergi borcu ya da trafik cezası olduğu gibi reklamlar veriyorlar. Sosyal medya hesaplarında bu reklamları gören kullanıcılar bu reklamların içindeki bağlantıya tıkladıklarında karşılarına bankanın ya da kamu kurumunun sahte internet sitesi çıkıyor. Bu ekranda kredi kartı veya hesap bilgilerini girdikleri anda sahtekârlar sayfaya bağlananların kart ve hesap bilgilerini ele geçiriyorlar ve böylece kullanıcı hesaplarından para çekerek bu kişileri dolandırıyorlar."

"Kaynak siteye doğrudan bağlanılmalı"

BKM Genel Müdürü Canko, sosyal medya platformlarında, internette ya da e-posta aracılığıyla bedava veya çok cazip fiyatlarla teklif edilen ürün, hizmet ve kampanyaların gerçek olmadığını vurguladı.

Teklif edilen ürün ya da hizmetin çok hızlı tükendiğini ve çok az zaman kaldığını, bu nedenle hemen karar verilmesi gerektiğini söyleyen reklam ve tekliflere özellikle dikkat edilmesi gerektiğinin altını çizen Canko, "bilgilerinizi güncellemezseniz hesabınız bloke edilecektir" gibi bir uyarı içeren e-posta ya da kısa mesajlara da dikkat edilmesi gerektiğini söyledi.

Canko, en küçük bir şüphede reklam, e-posta ya da kısa mesajla gelen bağlantı adresine değil, kaynak siteye doğrudan bağlanılması gerektiğini uyarısında bulundu.

Bu tarz sahtekârlık yöntemlerinde bağlantı adresi olarak gönderilen adreslerin sahte adresler olduğuna işaret eden Canko, "Bu adresler ya asıl adresten tamamen farklıdır ya da asıl adrese çok benzer ancak bir veya iki harfi yanlış yazılmıştır." dedi.

"Dikkat edelim, kontrol edelim, şüphelenelim"

Soner Canko, dolandırıcıların ve sahtekârların ağına düşmemek için e-postalarda dikkat edilmesi gereken noktaları söyledi.

"Gönderen kişiyi tanıyor musun? İş hayatında ya da sosyal hayatında daha önce sana e-posta göndermiş mi ya da sen ona e-posta göndermiş misin? Bunları kontrol etmelisin." diyen Canko, e-posta gönderen bilgisi alanında şüpheli bir internet adı veya adresinin yazıp yazmadığına dikkat edilmesi gerektiğini vurguladı.

Canko, şöyle devam etti:

"E-postanın gönderilen alanında sadece benim adresim mi var yoksa başka adresler de var mı, kontrol etmeliyim. Başka adresler varsa bu adresleri tanıyıp tanımadığımı kontrol etmeliyim. E-postanın konusu alanında yazan bilgiler ile mesaj alanında yazan bilgiler birbirleriyle uyuşuyor mu, kontrol etmeliyim.E-postanın konusu alanındaki bilgiler 'RE:' ile mi başlıyor yani benim gönderdiğim bir e-postaya yazılan bir cevap şeklinde gönderilmiş olarak mı gözüküyor, kontrol etmeliyim. Eğer öyle ise benim daha önce hiç e-posta göndermediğim birinden gelen bir cevap mı kontrol etmeliyim. Benim hiç e-posta göndermediğim bir adresten gelen bir cevap ise bu e-postadan şüphelenmeliyim. E-postada ekli dosyanın benimle bir ilgisi var mı, kontrol etmeliyim. Ekli dosyanın e-postanın konusuyla alakalı bir dosya olup olmadığına dikkat etmeliyim.

Ekli dosyanın uzantısı .docx, .xls, .xslx, .pdf, .jpeg, .png gibi bilinen uzantılardan farklı bir uzantıya mı sahip, kontrol etmeliyim. .exe uzantılı dosyalara özellikle dikkat etmeliyim. E-postanın açıklamasında benden olumsuz bir durumu engellemek ya da bir ürün kazanmak için bağlanmamı istediği bir adres var mı, kontrol etmeliyim. Mesaj içeriğinde yazım hataları var mı, kontrol etmeliyim. E-posta benim ya da bir tanıdığımın tehlikede olduğunu veya benim ya da bir tanıdığım hakkında uygunsuz içeriğe sahip olduğunu söylüyorsa, bundan şüphelenmeliyim."

"Şifreleri düzenli ve kısa aralıklarla değiştirmeliyiz"

Soner Canko, internet tarayıcısı ayarlarının sahtekârlık sitelerini açmayı engelleyecek şekilde düzenlenmiş olması gerektiğini söyledi.

Bunun için internet tarayıcılarının ayarlar menülerindeki güvenlik ayarlarından güvenli tarama özelliğinin aktif hale getirilmesi gerektiğini ifade eden Canko, şüphelenilen sitelerin ilgili sosyal medya platformlarına ya da ilgili banka veya kamu kurumlarına bildirmesi gerektiğini dile getirdi.

Canko, banka adresi izlenimi verilerek açılmış sahte siteler için erişim yasağı koydurulması amacıyla gerekli tüm yasal girişimlerde bulunulmasının önem arz ettiğinin altını çizdi.

Sosyal medya ve internette dikkat edilmesi gerekenlere ilişkin Canko, şu değerlendirmelerde bulundu:

"Eğer bağlanılması istenen bir adres var ise önce adresin üzerine gelinmeli ve adrese tıklamadan görünen adres kontrol edilmeli. Bir bankanın sitesinin başında 'http' olmaz, 'https' olur ve alan adı '.com' değil, '.com.tr' olacaktır. Bu küçük detaylar, kullanıcıların dolandırılmasının önüne geçebilir. Bankalar hesabınızda sorun olduğunu, hesabınızın ele geçirildiğini söyleyerek sizden telefonla veya e-posta ile kart veya hesap bilgilerinizi istemez. Aynı şekilde ödül kazandığınızı veya bir çekilişe katılmanız için gerekli olduğunu söyleyerek kart ya da hesap bilgilerinizi istemez.

Kullanıcılar bir bankanın resmi sosyal medya hesabının nasıl olduğunu ve resmi sitenin kopyalarından nasıl ayırt edileceğini bilmelidirler. Büyük sosyal medya mecralarındaki hesapların yanında bulunan mavi tik, hesabın onaylandığını ve o kuruma ait olduğunu gösterir. Takipçi hesaplarını kontrol etmek de önemli. Türkiye'deki bankaların hepsinin sosyal medya hesaplarında yüksek sayıda takipçisi bulunuyor. Sitelere bağlanmak için kullandığımız şifreleri düzenli ve kısa aralıklarla değiştirmeliyiz ve aynı şifreyi birden fazla site için kullanmamalıyız. Olası bir dolandırıcılık durumuyla karşı karşıya olduğumuzu düşünüyorsak, bankamızı hemen aramalı ve durumla ilgili bilgilendirme yapmalıyız. Mobil cihazlarımıza yüklediğimiz uygulamaları yalnızca orijinal uygulama mağazalarından indirmeliyiz."

AA