Vishing nedir? Tanım, yöntemler ve en iyi önleme uygulamaları

Vishing nedir?

Vishing, kötü niyetli bir varlığın kurbanla telefonla iletişime geçtiği ve gizli verileri elde etmek, para çekmek veya başka bir şekilde bireye zarar vermek için sosyal mühendislik uygulamaları yoluyla kurbanın güvenini kazanmaya çalıştığı bir siber güvenlik saldırısı olarak tanımlanmaktadır.

Bu aslında sesli medya aracılığıyla gerçekleştirilen bir tür oltalama saldırısıdır, bu nedenle vishing saldırısı olarak adlandırılır.

Vishing saldırı mekanizması

Vishing genellikle acil veya rahatsız edici bir telefon görüşmesi şeklini alır. Örneğin, arayan kişi kurbanın hesabının ele geçirildiğini ve kimliğini doğrulamak veya hesabı yeniden açmak için bir PIN numarasına ihtiyaç duyduklarını iddia edebilir.

Ayrıca, İç Gelir Servisi (IRS) veya Sosyal Güvenlik İdaresi gibi bir devlet kurumu adına aradıklarını iddia edebilirler. Hatta mağdurun para borcu olduğu veya bir yarışma kazandığı konusunda ısrar edebilirler.

Bunların hepsi "vishing" vakalarıdır (tartışıldığı gibi, bir telefon dolandırıcılığını belirtmek için "ses" ve "phishing" kelimelerini karıştıran bir ifade). Oltalama, siber suçluların insanları kandırarak para, kişisel veri ya da gizli bilgileri ele geçirme çabalarını tanımlamak için kullanılan bir terimdir. Benzer şekilde, e-posta ve kısa mesaj veya metin mesajlaşma sistemleri ("smishing") de dolandırıcılık yapmak için kullanılabilir.

Vishing, suçluların kurbanların telefonlarını kullanarak kişiye zarar verecek veya bir şekilde faile fayda sağlayacak bilgileri elde ettikleri bir siber suçtur.

Siber dolandırıcılar, kurbanları kişisel verileri ve hatta banka hesaplarına veya ticari sırlara erişim sağlamaya ikna etmek için sofistike sosyal mühendislik teknikleri kullanır. Smishing ve phishing gibi, vishing de kurbanları arayanın taleplerini kabul etmenin uygun yanıt olduğuna ikna etmeye odaklanır. Arayanlar genellikle devlet yetkilileri, vergi dairesi, kurbanın finans kurumu veya polis gibi davranır.

Bu taktiğin başarısı etkili bir sosyal mühendisliğe, yani ikna edici bir etki yaratmak için bir kişinin psikolojisinden yararlanmaya bağlıdır. Vishing failleri, mağdurların istenen bilgileri vermek zorunda olduklarını hissetmelerini sağlamak için tehditler veya olumlu ikna yöntemleri kullanırlar. Mağdurlar ayrıca, doğru şekilde geri aramazlarsa kovuşturmaya uğrama veya banka hesaplarının dondurulma riskiyle karşı karşıya olduklarını söyleyen tehdit edici sesli mesajlar da alabilirler.

Vishing nasıl çalışır?

Kimlik avı saldırganları, kurbanları bir telefon aramasının güvenilir bir işletmeden veya yerel mahalle kodundan geldiğine inandırmak için genellikle arayan kimliği sahteciliğini kullanır.

Mağdurları verilerini paylaşmaları konusunda kandırmak için genellikle güvenilir kuruluşlar gibi davranırlar. Örneğin, bir banka veya kredi kartı kurumu yöneticisi, bir alacaklı veya bir IRS ajanı gibi davranabilirler. Bu dolandırıcılar, hedeflenen kurban telefonu açtığında bir aciliyet hissi yaratarak duygularını sömürür ve taleplere yanıt vermeye zorlar.

Vishing birçok şekilde olabilir, ancak amaç her zaman aynıdır: kurbanı, parasal kazanç elde etmek veya kimlik hırsızlığı gibi başka suçlar işlemek için kişisel bilgilerini ifşa etmesi için kandırmak.

Bu saldırıların ikna edici olabilmesinin nedenlerinden biri, dolandırıcıların vishing girişimlerini meşru göstermek için başka kaynaklardan elde ettikleri kişisel bilgileri kullanabilmeleridir.

En yaygın oltalama türleri

1. Wardialing

2. VoIP tabanlı saldırılar

3. Arayan kimliği sahteciliği

4. Konteynerlerde çöp toplama

1. Wardialing

Wardialing, genellikle güvenlik ve BT altyapısındaki açıkları keşfetmek için çok sayıda telefon numarasını otomatik olarak hızlı bir şekilde arka arkaya aramak için çeşitli teknolojiler kullanır.

Bilgisayar korsanları güvenli olmayan modemleri bulmak için genellikle "wardialer" veya "demon dialer" olarak bilinen wardialing araçlarını kullanırlar. Çok az zaman alır

Dolandırıcı modemlere bağlı numaraların listesini bulursa bunu yapmak için.

2. VoIP tabanlı saldırılar

Ses ve multimedya içeriğinin İnternet bağlantısı üzerinden aktarılması İnternet Protokolü Üzerinden Ses (VoIP) olarak bilinir. Kullanıcılar bilgisayarları, akıllı telefonları, VoIP telefonları gibi diğer dijital platformlar ve Web Gerçek Zamanlı İletişim (WebRTC) özellikli siteler aracılığıyla VoIP kullanarak sesli arama yapabilirler.

VoIP, genellikle geleneksel telefon sistemlerinde görülmeyen ek yetenekler içerdiğinden hem bireyler hem de işletmeler için faydalı bir teknolojidir. İşletmeler için iletişimi birleştirmenin bir yolu olarak da yararlıdır.

Ne yazık ki VoIP, dolandırıcı kişiler tarafından oltalama saldırıları başlatmak için istismar edilebilmektedir. Saldırgan bir alan adı kaydeder ve kuruluşun ağ giriş sayfasına benzeyen oltalama sayfaları oluşturur. Sonuç olarak, tehdit aktörü tarafından başlatılan VoIP aramaları aynı ağdan kaynaklanıyor gibi görünür. Buna ek olarak, VoIP genellikle çok faktörlü kimlik doğrulama gerektirdiğinden, arayan kişi kurbandan sahte sayfayı ziyaret etmesini ve bilgilerini paylaşmasını isteyebilir.

3. Arayan kimliği sahteciliği

Spoofing, bir arayanın kimliğini gizlemek için gelen arama ekranına gönderilen bilgileri kasıtlı olarak tahrif etmesiyle ortaya çıkar. Dolandırıcılar, arayan kimliğinin yerel bir numaradan geliyormuş gibi görünmesini sağlamak veya kurbanın zaten güvendiği bir şirketi veya devlet kurumunu taklit etmek için genellikle "komşu yanıltma" tekniğini kullanır.

Böyle bir çağrı cevaplanırsa, saldırgan dolandırıcılık faaliyetlerinde kullanılabilecek fonları veya kritik verileri çalmaya çalışır. Dolandırıcılık senaryoları, arayanın meşru olduğu inancını daha da güçlendirdiğinden, arayan kimliği sahteciliği saldırılarının önemli bir parçasıdır.

4. Konteynerlerde çöp toplama

Bankalara, şirket binalarına ve diğer kurumlara ait hem fiziksel hem de dijital çöp kutularını karıştırmak, vishing kurbanlarının iletişim bilgilerini toplamanın kolay ve popüler bir yoludur.

Suçlular, parçalanmış belgelerden, atılmış depolama aygıtlarından, eski takvimlerden, fotokopilerden vb. konu odaklı bir spear-phishing saldırısı gerçekleştirmek için yeterli bilgi toplayabilir.

Kimlik Avı Saldırılarını Önleme: 2022 için Sekiz En İyi Uygulama

Bir kişi bir vishing saldırısının kurbanı olduğunda, etkilerini tersine çevirmek ve zararları telafi etmek zordur. Kolluk kuvvetleri suçluyu tespit etse bile, zararların karşılanması oldukça zordur. Bu nedenle, aşağıdaki en iyi uygulamaları takip ederek vishing saldırılarını önlemek için proaktif adımlar atmak çok önemlidir:

Kimlik avını önlemek için iyi uygulamalar

1. Bir VPN bağlantınız olsun

Sanal özel ağ (VPN), İnternet üzerinden paylaşılan bilgileri korur ve dolandırıcıların iletişim bilgilerinizi ele geçirmesini zorlaştırır.

VPN ağ trafiğini şifreler ve IP adresini maskeleyen bir VPN sunucusuna ulaşmadan önce güvenli bir tünelden geçirir. Sonuç olarak, tehdit aktörleri konumunuzu bilmeyecek ve sosyal mühendislik saldırıları gerçekleştirmeyi zorlaştıracaktır. Hedeflenen kurban, aramanın meşru olup olmadığını kontrol etmek için arayan kişiye konumunu sorabilir.

2. "Acil" çağrılar için tetikte olun. 

Bir arayan kişi aciliyet hissi yaratıyorsa, bunu kırmızı bayrak olarak değerlendirmelisiniz. Örneğin, ziyaretçiler kurbanı banka bilgilerini vermemesi veya ödenmemiş bir faturayı hemen ödememesi halinde olumsuz sonuçlar doğabileceğine ikna etmeye çalışabilir.

Telefonu kapatabilir ya da arayan kişinin iletişim bilgilerini isteyebilir ve daha sonra tekrar arayacağınızı söyleyebilirsiniz. Eğer bu bir dolandırıcılıksa, arayan kişi genellikle daha fazla baskı uygulayacak veya telefonu kapatacaktır.

3. Robocall engelleme araçlarını kullanın 

Halk arasında çağrı filtreleri olarak bilinen robocall engelleme araçları, otomatik çağrıları tespit eden bilgisayar programlarıdır. Eğer üçüncü taraf bir kuruluş arama tekniklerini kullanmışsa, robocall engelleyici bunu tespit edecek ve derhal engelleyecektir.

4. İç süreçlerin uygulanması

Kurumun genel numarası çaldığında telefonu kim açar? Telefon kolayca yanlış çalışanın eline geçebilir mi?

Telefonun bir kullanıcıdan diğerine geçmesi karışıklık yaratabilir ve kuruluştaki çalışanların aramanın diğer ucunda kimin olduğunu gözden kaçırmasına neden olabilir.

Kötüleri iyilerden ayırmak için özel bir resepsiyon görevlisi işe almak gerektiğinde faydalı olabilir ve tüm çalışanların başka birine aktarıldığında kimin aradığını kontrol etmesini sağlayabilir.

Bir diğer seçenek de alıcının telefonu teslim etmeden önce başka bir resmi kanal aracılığıyla doğrudan "talep eden" ile teyitleştiği bir süreç oluşturmaktır.

5. Tüm cihazların çok faktörlü kimlik doğrulamasına sahip olduğundan emin olun.

Yüksek güvenlikli parolalar kullanmak çok iyidir, ancak çok faktörlü kimlik doğrulama, hesabınızın tek bir parola ile ele geçirilememesini sağlayan ekstra güvenlik katmanları sağlar.

Google, tehditlere karşı gelişmiş bir güvenlik katmanı sağlamak ve böylece ele geçirilen hesap sayısını 50% azaltmak için çok faktörlü kimlik doğrulamanın 2021 yılına kadar 150 milyon kullanıcı için zorunlu olacağını duyurdu.

Sonuç

Kimlik avı kuruluşunuz için büyük bir endişe kaynağı olmayabilir, ancak olmalıdır. Şirketiniz ve iş arkadaşlarınız ne kadar akıllı veya yetenekli olursa olsun, sosyal mühendislik taktikleri herkesi hazırlıksız yakalayacak kadar güçlüdür.

Artık oltalama hakkında bilgi sahibi olduğunuza göre, bu bilgileri çalışanlarınızla paylaşmanız önemlidir.

Arayan kişiyi sorgulamanın ve bilgileri resmi kanallardan biriyle doğrulamanın, güvenli veri ile siber olay veya veri ihlali riski arasındaki fark olabileceğini bilmelerini sağlayın.