Her gün onlarca hatta yüzlerce kişi ve durumda iletişimde olabiliyoruz. Tabii bunların hepsi yalnızca sözlü ve yüz yüze iletişimden ibaret değil. Aynı zamanda yazılı olarak da birçok kişi, kurum ve olay karşısında iletişim halinde olmamız gerekmektedir. Peki, SMS özelinde günde kaç defa bildirim alıyorsunuz? Aldığınız her SMS’e yanıt veriyor musunuz? Yanıt vermekten de öte her gelen yazılı bildirim neticesinde aksiyon alıyor musunuz? Eğer yanıtınız ‘evet’ ise ne yazık ki smishing kurbanı olmanız da yüksek ihtimal dahilindedir.
İletişim kanallarının çokluğu açısından hat safhada olduğumuz ve her an herkesle etkileşimde olabildiğimiz günümüz dünyasında, sosyal mecralarda olduğu gibi sms özelinde gelen mesajlara karşı da dikkat gardımızı düşürmemek gerek. Neden mi? Çünkü bu vasıta ile birçok kişi maddi ve manevi olmak üzere büyük zararlara uğrayabilmektedir. Nasıl mı? Bunun yanıtını smishing’de bulabilirsiniz. Bu konuyu daha detaylı bir şekilde analiz etmek için gelin, smishing nedir sorusu ile keşfetmeye başlayalım.
Smishing Nedir?
“Kargonuzu teslim almak için adresinizi güncellemeniz gerekmektedir. Aksi takdirde geri iadesi gerçekleştirilecektir. Bilgilerinizi güncellemek için bağlantıyı tıklayınız [LİNK].” Bu linke tıklayacak mısınız? Belki de gerçekten bir kargo bekliyor olabilirsiniz. Ancak! Göndericisini doğrulamadığınız hiçbir linke tıklamamanız gerektiğini aklınızdan çıkarmamalısınız. Bu verdiğim bir smishing örneğiydi.
Smishing, SMS ve phishing kelimelerinin entegrasyonundan ortaya çıkmış bir terimdir. Kötü niyetli kişiler, sizin kişisel ve finansal verilerinizi elde etmek için bu yöntemi kullanmaktadır. Peki, neden SMS? Çünkü oltalama saldırılarının birçoğu mail yolu ile yapılmaktadır. Pektabii bu durum da insanlar hangi mailin zararlı hangisinin doğrulanmamış olduğunu, en azından böyle bir saldırının gelebileceği hususunda daha bilinçliler. Bununla birlikte çoğu vatandaş, kendi şahsi numarasına gelen bir mesaj olduğunda, “benim numaramı bulabildiğine göre bu bilgiyi gerçekten ben vermiş olabilirim” düşüncesine kapılıyor. Ya da ilgili kurumlar tarafından numarasının paylaşıldığını. Fakat asıl gerçek çok daha farklı olabiliyor. Özellikle verilerimizin bu denli ortalıkta dolaştığı bu karmaşık atmosferde, isteyen herkes, sizin numaranıza ulaşabilmektedir. Bu anlamda tarafınıza ulaşan SMS’lerin doğruluğunu teyit etmeden hiçbir şekilde aksiyon almamalısınız. Aksi takdirde sonuçlarının sizin için hüsran olması işten bile değildir.
Smishing Nasıl Çalışır?
Tarafınıza güvenilir bir kaynaktan gelmiş gibi görünen bir SMS aldığınızı varsayalım(Kuvvetle muhtemel gerçekten böyle bir mesaj almışsınızdır). Burada bankanız tarafından size geri ödemenin yapılacağından bahsediliyor olabilir. Anlık bir heyecan ile(ne de olsa işin için para var, değil mi) SMS içindeki linke tıkladınız… Sonra ne mi olacak? Cihazınıza bir casus yazılım yüklemiş olabilirsiniz. Belki de ikinci aşamada karşınıza çıkan sitede sorulan kişisel verilerinizi dolduracaksınız. Bu sayede yine siber suçluların, bilgilerinizi ele geçirmesi için adım atmış olacaksınız.
Buradaki kritik anahtar kelimeler, güven ve aciliyet duygusunun harekete geçirilmesi. Tıpkı manipüle edici sosyal mühendislik çalışmalarında olduğu gibi.
Smishing Ataklarından Korunma Yöntemleri Nelerdir?
Bu tür saldırılardan kendinizi muhafaza etmek için uygulayabilecekleriniz aslında aşikardır. Ancak bu noktada bahsetmem gereken ek birkaç madde daha bulunmaktadır. Bunları birlikte liste halinde derleyelim.
- Herhangi bir kurum sizden TC kimlik numaranızı veya banka bilgilerinizi SMS üzerinden ister mi? Bu sorunun yanıtını bilinçli bir şekilde düşünerek adım atın. Çünkü istemezler, isteyemezler.
- Tarafınıza SMS ile gelen mesaj içeriğindeki bağlantı gerçekten güvenli mi? O linke tıklamanız gerekiyor mu, neden tıklamanız gereksin?
- İki adımlı doğrulama(2FA) ile hesaplarınızın güvenliğine ek bir koruma katmanı ekleyebilirsiniz. Bu sayede parolanız ele geçirilse dahi hesabınıza erişilebilmesi için ek bir doğrulama metodu gerekmektedir.
- Aldığınız şüpheli bir SMS mi var? Bunu ilgili kurumlara raporlayabilirsiniz. Bunlar 112, E-Devlet üzerinden tiss.ticaret.gov.tr(Ticaret Bakanlığı Ticari Elektronik İleti Şikâyet Sistemi) olabilmektedir.
- Smishing atakları yalnızca kişileri değil aynı zamanda şirketleri de hedef alabilmektedir. Bundan dolayı çalışanın bilinçlendirilmesi ve eğitim alması hususunda gerekli hassasiyetin gösterilmesi gerekir.
- Tarafınıza resmi bir kurumdan gelmiş gibi görünen bir SMS ve içerisinde bağlantı var. Bu bağlantıya sms üzerinden tıklamak yerine ilgili kurumun web sitesine tarayıcınızdan erişebilirsiniz. Böylece gerçekten ilgili bağlantıda belirtilen bir sayfanın var olup olmadığını teyit edebilirsiniz.
- Kısaltılmış linklere tıklamadan önce 2 kez düşünün. Bu linkler, kötü amaçlı web sayfalarının da uzantılarını kısaltıp, değiştirebildiği için adımlarınızı dikkatli atmalısınız.
Peki, siz bugüne değin herhangi bir smishing atağına maruz kaldınız mı? Konuyla ilgili görüş ve fikirlerinizi yorumlar kısmından belirtebilirsiniz. Bir sonraki içeriğimde görüşmek üzere, sağlıkla ve güvenle kalın.