Ödeme Sistemleri ve Fraud Uzmanı Bülent Bulut, Fintechtime Nisan sayısı için yazdı “Sesli Kimlik Avı Dolandırıcılığı (Voice Phishing): Siber Tehditlerin Yeni Yüzü”.
Sesli kimlik avı dolandırıcılığı, kısaca “vishing” olarak da bilinir ve sesli iletişim araçlarını kullanarak kişilerin duygularını manipüle ederek gizli bilgilerini ele geçirmeyi amaçlayan bir siber saldırı türüdür. Bu yazımda, sesli kimlik avı dolandırıcılığının ne olduğunu, nasıl çalıştığını ve bu tür saldırılara karşı alınabilecek önlemleri ele alacağız.
Sesli Kimlik Avı Dolandırıcılığı (Voice Phishing): Siber Tehditlerin Yeni Yüzü!
Günümüzde teknolojinin hızla ilerlemesiyle birlikte, siber suçlar da gelişmekte ve çeşitlenmektedir. Bu suçlardan biri olan “sesli kimlik avı dolandırıcılığı” veya popüler adıyla “voice phishing”, insanların güvenini kazanarak hassas bilgilerini ele geçirmeyi amaçlayan sofistike bir taktiktir. Bu yazımda, sesli kimlik avı dolandırıcılığının ne olduğunu, nasıl çalıştığını ve bu tür saldırılara karşı alınabilecek önlemleri ele alacağız.
Sesli Kimlik Avı Dolandırıcılığı Nedir?
Sesli kimlik avı dolandırıcılığı, kısaca “vishing” olarak da bilinir ve sesli iletişim araçlarını kullanarak kişilerin duygularını manipüle ederek gizli bilgilerini ele geçirmeyi amaçlayan bir siber saldırı türüdür. Saldırganlar, telefon görüşmeleri, sesli mesajlar veya diğer sesli iletişim araçları aracılığıyla kurbanlarına ulaşır ve onları kandırmaya çalışır. Bu saldırılar, basit insan taklidi yapanlardan karmaşık otomatik robocall’lara kadar değişen yöntemler kullanılarak gerçekleştirilebilir. Dolandırıcılar, aldatmacalarını geliştirmek için yasal telefon numaralarını taklit edebilen “çağrı sahteciliği” de kullanabilirler. Vishing’in en son versiyonu ise deepfake aramalar olarak bilinir. Bu aramalarda, dolandırıcılar yapay zekâ araçlarını kullanarak belirli bir kişinin sesini taklit ederek daha da inandırıcı bir dolandırıcılık girişimi gerçekleştirirler.
Vishing Saldırıları Nasıl Gerçekleşir?
Vishing saldırılarında, saldırganlar genellikle gerçek bir kurum veya şirket gibi davranarak kurbanlarına ulaşırlar. Örneğin, banka çalışanı gibi görünerek, kurbanların banka bilgilerini veya diğer hassas bilgilerini talep ederler. Bazı durumlarda, acil bir durum olduğunu iddia eden sahte sesli mesajlar bırakarak kurbanları manipüle etmeye çalışırlar ve bunun için yapay zeka destekli aramaları kullanırlar.Bir sahtekarla konuşup konuşmadığınızı anlamak zor olsa da, bir yapay zeka ses dolandırıcılığı ile karşı karşıya olduğunuzu size söyleyebilecek birçok işaret vardır.
Örnek olarak sevdiğiniz kişinin sesini yalnızca kısa bir süre “duyarsınız”. Dolandırıcılar, klonlanmış bir sesi ne kadar uzun süre kullanırlarsa, farkına varma olasılığınızın o kadar yüksek olacağını bilirler. Çoğu durumda, aile üyenizi veya arkadaşınızı- genellikle perişan bir tonda veya ağlayarak- durumu açıklarken veya “Başım belada” veya “Her şeyi berbat ettim” derken sadece kısa bir süre duyarsınız.
Basit sorulara cevap veremezler. Dolandırıcılar bir sesi klonlayabilirler, ancak bir kişinin anılarını veya kişiliğini klonlayamazlar. Arayan kişi size doğru cevaplar veremiyorsa veya basit sorular sorduğunuzda tereddüt ediyorsa, bunlar tehlike işaretleridir.
Bilinmeyen bir numaradan aranıyorsunuz. Çoğu yapay zeka ses dolandırıcılığı, tanımadığınız bir numaradan gelen istenmeyen bir aramayla başlar. Bu aramalarda son zamanlarda benim de başıma gelen sizi arayan numaralar hiç konuşmadan sessinizi kayıt altına alarak yapay zeka ile işlemektedir. Bu nedenle bilmediğiniz bir numaradan gelen aramalarda karşı taraf konuşmadan siz konuşmaya başlamayın. Sonrasında bir kişiye ulaştığınızda muhtemelen
aramayı hızla başka biri devralır. Dolandırıcılar, avukat veya kolluk kuvveti gibi davranan başka bir kişiye aktarmadan önce genellikle klonlanmış sesi kullanarak aramayı devam ettirir. Bu arama sonucunda en çok kullandıkları yaygın yöntemler şunlardır;
Sahte banka veya kamu kurumu yetkilileri: Dolandırıcılar, bankadan veya kamu kurumundan aradıklarını ve bir sorun olduğunu veya acil bir işlem yapılması gerektiğini söylerler.
Teknik destek dolandırıcılığı: Dolandırıcılar, bilgisayarınızda veya internet bağlantınızda bir sorun olduğunu ve düzeltmek için sizden ücret talep ettiklerini söylerler.
Acil durum dolandırıcılığı: Dolandırıcılar, bir aile üyenizin veya yakın arkadaşınızın acil bir duruma düştüğünü ve paraya ihtiyacı olduğunu söylerler.
Dolandırıcılar, vishing aramalarında kullanmak üzere bir kişinin sesini “klonlamak” için yalnızca üç saniyelik sese ihtiyaç duyuyorlar ve daha da kötüsü, yapay zeka ses dolandırıcılığı kurbanlarının %77’si parasını kaybediyor.
Vishing Saldırılarında Yeni Trend Son zamanlarda çıkan bir habere göre, TikTok üzerinden kişiler telesekreter sesi ile arkadaşlarını arayıp hesaplarından yüklü miktarlarda para çekileceğini söyleyerek şaka yapma yoluna gitmektedir. Uzmanlar ise bu durumun vishing olduğunu ve siber suçluların hali hazırda bu yöntemi sıklıkla kullandıklarını ifade etmektedir.
Sahte TikTok uygulamalarından güncel olaylarla ilintili olmak üzere birçok yöntem ile TikTok üzerinden dolandırıcılık her gün artmaktadır. Sadece TikTok üzerinden birçok kişinin dolandırıldığı ve güncel olaylarla ilintili olarak davranıldığı tespit edilmiştir. Bu nedenle birçok alanda yapay zeka özellikle kötü kişiler tarafından kullanıldığında çok kötü sonuçlar doğurabilmektedir.
Vishing Saldırılarına Karşı Nasıl Korunabilirsiniz?
Vishing saldırılarından korunmak için:
- Bilinmeyen numaralardan gelen aramalara cevap vermeyin.
- Arayan kişi güvenilir bir kurumdan olduğunu söylüyorsa, aramayı sonlandırın ve kurumun resmi telefon numarasını arayarak teyit edin.
- Asla telefonla veya internet üzerinden kişisel bilgilerinizi vermeyin.
- Bankanız, kredi kartı şirketiniz veya kamu kurumları sizden asla telefonla veya internet üzerinden şifrenizi veya diğer kişisel bilgilerinizi istemez.
- Eğer bir vishing saldırısına maruz kaldığınızı düşünüyorsanız, durumu derhal bankanıza, kredi kartı şirketinize veya ilgili kamu kurumuna bildirin.
Vishing Saldırılarına Karşı Dikkat Edilmesi Gerekenler:
- Telefonunuza gelen aramaların kimlik bilgilerini kontrol edin.
- Acil bir durum olduğunu söyleyen kişilere karşı temkinli olun.
- Arayan kişi size baskı yapıyorsa veya aceleye getirmeye çalışıyorsa, aramayı sonlandırın.
- Bilgisayarınızda veya telefonunuzda güncel bir antivirüs programı kullanın.
- Kişisel bilgilerinizi içeren belgeleri ve dosyaları şifreleyin.
- Aileniz ve arkadaşlarınızla vishing saldırıları hakkında konuşun ve onları da bu tür saldırılara karşı bilinçlendirin.