mobil banka hesabına uzaktan erişilip soyulmak
dikkatsiz olunduğu taktirde, çok basit ve eski yöntemlerle bile başa gelebilen olaydır.
ülkemizdeki dolandırıcılık olayları o kadar arttı ki, liseliler bile dolandırıcılığa hevesleniyor ve hack forumlarında cirit atıyorlar. kolay para her zaman tatlı gelir insana, fakat başta liseliler olmak üzere çoğu insan nitelikli dolandırıcılığın ve bilişim suçlarının hayatlarını nasıl karartabileceğinin farkında değiller.
büyük ihtimalle liseli ya da amatör bir hacker'in yapmaya çalıştığı dolandırıcılık girişimini
şu görsel ile anlatayım. öncelikle; instagram, facebook vb platformlarda bu gibi kredi reklamlarıyla sponsorlu gönderi oluşturulur ve kurban avına çıkılır. bu kredi reklamıyla genellikle kredi puanı düşük olan ve kredi çekemeyen kişiler hedeflenir, ya da
şu şekilde çekiliş, hediye vb görseller hazırlanarak sanki o bankanın müşterilerine özel bir kampanya varmış gibi yapılır. buradaki görsellerin amacı, hedef kişiyi ilgili phishing yani oltalama sitesine çekmektir.
olur da hedef kişi o görsellere inanır ve girerse, karşısına
şu şekilde bir ekran çıkar. bu ekranın amacı, hedef kişinin mobil bankacılık bilgilerini ele geçirmektir. ilgili görselde de görüntüleyeceğiniz üzere, sanki bir bankanın mobil bankacılık giriş ekranıymış gibi her şey doğru gözükmektedir, fakat adres çubuğunda ilgili bankanın resmi adresi yerine bambaşka bir adres yazmaktadır. ayrıca alttaki "parolamı unuttum" kısmında bir hata yapılmış ve sadece "mı unuttum" yazmaktadır, bunların hepsi küçük detaylar, normalde direkt domain'den işi çözmeniz gerekir, daha doğrusu instagram ya da herhangi bir platformda bu tarz reklamlara hiç tıklamamanız gerekir.
buradaki amaç; hedef kişinin tc kimlik numarasını ve mobil bankacılık şifresini o kutucuklara yazmasıdır, eğer hedef kişi o bilgileri doğru bile doldursa sistem "şu bilginiz hatalı" vs şeklinde bir uyarı verecektir, çünkü o sitenin ilgili bankanın sunucularıyla ya da veritabanlarıyla resmi bir bağlantısı yoktur, ilgili site tamamen dolandırıcılık ve veri toplama üzerine açılmış bir sitedir. hedef kişi o bilgileri doldurursa, o bilgiler siteyi açan dolandırıcının eline geçmiş olacak ve planın bir sonraki adımı başlayacaktır yani
sosyal mühendislik aşaması.
ilgili dolandırıcı bilgileri elde ettikten sonra, hedef kişinin mobil bankacılığına giriş yapmaya çalışacak ve farklı bir cihazdan giriş yapmaya çalıştığı için gerçek müşteriye iletilen sms doğrulama şifresini almak için aşağıdaki yöntemleri denemeye başlayacak.
1) müşteriyi arayıp "efendim kredi başvurusunda bulunmuşsunuz ve başvurunuz onaylanmış, kredinizi verebilmemiz çin size gelen sms şifresini söylemeniz gerekmektedir" vs der.
2) müşteriye "krediniz onaylandı ama son bir detay kaldı, gerekli detayı halledebilmem içinsms şifresine ihtiyacım var" vs gibi şeyler söyler.
3) çok daha kurnaz bir yöntem olarak, onu koruyup kollayan kişi gibi davranır, yani "efendim birisi bankacılık hesabınıza giriş yapmaya çalışıyor, hiç tc kimlik ve şifrenizi başka bir yere yazdınız mı ?" vs şeklinde bir soru sorar, müşteri "aaaaaaaa onlar dolandırıcı mıymış ? kredi kampanyanıza katıldım ben" vs der, bunun üzerine müşteri temsilcisi gibi davranan kişi "merak etmeyin ve endişelenmeyin, şimdi hep birlikte hesabınızı güvenli hale getireceğiz" vs diyerek, adım adım bir şeyler yaptırır ve en son "son olarak size bir şifre göndereceğim, bu şifre sayesinde hesabınız tamamen güvende olacak" vs der.
4) eskisi gibi sms şifresini direkt söylemesini istemek yerine, gerçekten tuşlamalı bir ekrana aktarabilir ve oraya tuşladığınız her şey, dolandırıcıya anlık olarak iletilir. kart bilgileri, şifreniz vb bilgileri öğrenmek amaçlı yapılıyor bu dolandırıcılık.
kurban seçilen müşteri, bir şekilde o sms şifresini veriyor ve dolandırıcı / hacker kişisi hesaba erişim sağlayabiliyor. bu gibi yöntemlerden korunmanız için temel düzeyde dikkat yeterli olmaktadır. eğer bu gibi dolandırıcılıklardan korunmak ve temel düzeyde nelere dikkat etmeniz gerektiğini merak ediyorsanız, ilgili entry'lerimi okuyabilirsiniz.
(bkz:
yeni nesil dolandırıcılık yöntemleri/@pegassi)
(bkz:
bilgisayar güvenliği/@pegassi)
(bkz:
mobil banka hesabına uzaktan erişilip soyulmak/@pegassi)
