Skip to main content

Siber Güvenlik

12 Mart 2025

 

Sosyal mühendislik dolandırıcılıklarını ve siber tehditleri belirleme rehberiniz

Phishing, vishing, smishing, quishing, zishing? Siber dolandırıcılık türleri giderek artıyor. İşte bilmeniz gerekenler.

Dianna Delling

Contributor

Teknoloji, iletişimden alışverişe ve çevrimiçi bankacılığa kadar günlük faaliyetleri sonsuz derecede kolaylaştırdı. Güvenlik alanındaki gelişmeler de dijital yaşamlarımızı her zamankinden daha güvenli hale getiriyor. Yine de suçlular her zaman bir giriş yolu ararlar ve korunması çok zor olan bir güvenlik açığı vardır: insan duyguları.

Federal Ticaret Komisyonu'nun bu hafta yayınladığı bir rapora göre, sadece ABD'de tüketiciler 2024 yılında dolandırıcılık nedeniyle 12,5 milyar dolardan fazla para kaybetti - 2023 yılına göre 25% artış. Tüketiciler en çok parayı 5,7 milyon dolarla yatırımcı dolandırıcılığından kaybettiklerini bildirirken, sahtekar dolandırıcılığı en çok bildirilen dolandırıcılık türü olmaya devam etti. E-posta, dolandırıcıların kurbanlarına ulaştığı en yaygın yol olmaya devam ederken, onu telefon aramaları ve kısa mesajlar izledi. 

Dolandırıcılık

/frôd/ - isim

  1. aldatma, hile
  2. göründüğü gibi olmayan bir kişi

 

Mastercard'ın kurumsal güvenlik eğitimi ve farkındalık müdürü Donna Mattingly, "Siber suçlular kurbanlarını kandırmak için genellikle korku, merak, sempati veya gurur gibi insani duygulardan yararlanırlar," diyor. Sosyal mühendislik dolandırıcılığı para çalmak, kötü amaçlı yazılım (malware) yüklemek, içeriden bilgi almak için iş ağlarına erişmek veya tüm bilgisayar ağlarını çökertmek için kullanılabilir. Dolandırıcıların neyin peşinde olduklarını görmek zor olabilir, çünkü planları inanılmaz derecede karmaşık hale gelmiştir.

Ayrıca daha ikna edici hale geldiler. Siber dolandırıcılar, kurbanlarını kandırmak için sahte web siteleri kurar ve ayrıntılı sahte kimlikler oluşturur. Ve artık yanıltıcı e-postalar, telefon görüşmeleri (gen AI sevdiklerinizin seslerini taklit edebilir), sahte olduklarını fark etmenin neredeyse imkansız olduğu çok karmaşık görüntüler ve videolar (deepfakes olarak bilinir) oluşturmak için üretken AI teknolojilerini kullanıyorlar.

Hong Kong'da yakın zamanda yaşanan bir olayda da görüldüğü üzere, tedbirli olmak üzere eğitilmiş insanlar bile kandırılabilir. Burada, çok uluslu bir finans şirketi, bir çalışanının kandırılarak şirket fonlarını bir suç hesabına aktarması sonucu 25,6 milyon dolar kaybetmiştir. Şirketin CFO'su da dahil olmak üzere iş arkadaşları gibi görünen ve ses çıkaran, ancak aslında bilgisayar tarafından oluşturulmuş sahtekarlar olan kişilerle yapılan sahte bir video konferans görüşmesi ile kandırılmıştı.

Kendinizi siber suçlardan korumak için, ne tür dolandırıcılıkların olduğunu bilmek faydalı olacaktır, böylece onları atlatabilirsiniz.

Sosyal mühendislik nedir?

Sosyal mühendislik, bir başkasının davranışını etkilemek için aldatma ve duygusal manipülasyonun kullanılmasıdır. Dijital dünyada siber suçlular, insanları gizli bilgileri ifşa etmeleri veya kendilerine ya da işverenlerine mali açıdan zarar verebilecek eylemlerde bulunmaları için kandırmak amacıyla sosyal mühendislik taktiklerini kullanırlar.

Bu tür siber dolandırıcılıklar, insanları nakit para vermeye veya elektronik olarak para göndermeye ikna etmeyi içerebilir. Dolandırıcılar bunları ayrıca sosyal güvenlik numaraları, kredi kartı numaraları veya oturum açma bilgileri gibi kişisel bilgileri elde etmek için kullanırlar, böylece daha sonra para çalabilir, dolandırıcılık yapabilir veya diğer suçlulara satabilirler.

Sosyal mühendislik dolandırıcılıkları, veri veya fikri mülkiyet çalmak, virüs veya fidye yazılımı (kullanıcılar fidye ödeyene kadar dosyaları kilitleyen zararlı yazılım) yüklemek veya işleri durma noktasına getiren sistem arızalarına neden olmak için kişisel bilgisayarınıza veya kurumsal bilgisayar ağınıza erişmeye çalışıyor olabilir.

Hedefleri arasında seçimleri etkilemek veya finansal piyasaları manipüle etmek bile olabilir. Siber suçlular, insanları yatırım yapmaları için kandıran sahte haberleri, basın bültenlerini veya hisse senedi performans grafiklerini e-posta ile gönderebilir veya yayınlayabilir.

Sosyal mühendislik dolandırıcılığının neden bu kadar çok çeşidi var?

Sosyal mühendislik dolandırıcılığının birçok türü vardır çünkü suçlular her zaman kurbanların olduğu yere giderler. Bizler iletişim ve bağlantı kurmanın yeni yollarını buldukça, kötü niyetli kişiler de duygusal hassasiyetlerimizi avlamak için yeni kanallara uygun planlar geliştiriyor.

Kimlik avı nedir?

Oltalama, alıcıları para göndermeye veya gizli bilgileri ifşa etmeye ikna etmek için sahte e-postalara dayanan bir sosyal mühendislik taktiğidir.

1990'larda Afrika kraliyet ailesinden olduğunu iddia eden bir kişinin acil mali yardım talebinde bulunduğu "Nijerya prensi" e-postalarını hatırlıyor musunuz? Şimdi bu önermeye gülebiliriz, ancak bu yaygın dolandırıcılık, kimlik avının en eski ve en temel örneklerinden biriydi. O ilk günlerden bu yana, kimlik avı dolandırıcılıklarının sayısı ve karmaşıklığı artmıştır.

Kimlik avı e-postasının uyarı işaretleri nelerdir?

Kimlik avı e-postasının uyarı işaretleri korku, panik veya diğer güçlü tepkilere neden olan mesajlardır. Finansal acil durumlar, hesabınızda "olağandışı faaliyetler" tespit edilmesi veya ödenmemiş faturalar gibi acil durumları sunarak tehditkâr görünürler veya acil eylemde bulunmaya zorlarlar.

Amaç insanları korkutarak, sağlıklı düşünmeye vakit bulamadan yanıt vermelerini sağlamaktır. Birçok oltalama e-postası alıcılardan bir bağlantıya tıklamalarını veya bir eki indirmelerini ister, ancak her ikisini de yapmak kötü niyetli bir web sitesine bağlanmak, bir bilgisayar virüsünü tetiklemek veya tehlikeli bir yazılımı indirmek gibi istenmeyen sonuçlara yol açabilir.

Bir kimlik avı bağlantısına tıkladıysanız ne yapmalısınız?

Bir kimlik avı bağlantısına tıkladıysanız, bilgisayarınızın veya cihazınızın internet bağlantısını kesin. Bu, kötü amaçlı indirmeleri kesintiye uğratabilir veya başlamalarını engelleyebilir. Güvenilir bir güvenlik yazılımı kullanarak sisteminizi tarayın ve bir virüs veya kötü amaçlı yazılım tespit edilirse talimatları izleyin.

Sahte bir web sitesini ziyaret ederken hesaplarınızdan birine kullanıcı adı ve şifre yazdıysanız, yasal siteye gidin ve bunları hemen değiştirin. Size finansal olarak zarar vermek için kullanılabilecek bilgileri ifşa etmiş olma ihtimaliniz varsa, nasıl devam edeceğinize dair talimatlar için bankanızla iletişime geçin.

Kredi bürolarının bulunduğu bir ülkede yaşıyorsanız, onlarla iletişime geçmek iyi bir fikirdir. ABD'de üç büyük kredi bürosu dosyanızı şüpheli faaliyetlere karşı izleyebilir. Ayrıca  kredi dosyanızı ücretsiz olarak"dondurmanıza" ve "çözmenize" izin vereceklerdir. Son olarak, siber dolandırıcılığı veya sahtekarlığı ilgili makamlara bildirin ve arkadaşlarınıza ve iş arkadaşlarınıza dolandırıcılıktan bahsedin, böylece sizin hatanızı tekrarlamak için yem olmazlar.

Spear phishing nedir?

Mızrakla oltalama, hedefli ve daha kişiselleştirilmiş bir oltalama biçimidir. Dolandırıcılar iletişime geçmeden önce araştırma yaparlar, böylece size isminizle hitap edebilir veya bir şirketi ya da tanıdığınız bir kişiyi temsil ettiklerini iddia edebilirler.

Genellikle sosyal medyadan çok fazla ayrıntı elde edebilirler, bu nedenle paylaşımlarınızın görünürlüğünü sınırlamak için sosyal medya sitelerinde gizlilik ayarlarını kullanmayı düşünün.

Balina avı saldırısı nedir?

Balina avcılığı, doğrudan şirket yöneticilerini veya diğer yüksek rütbeli kişileri hedef alan hedefli bir oltalama saldırısıdır. Başka bir deyişle, bir kuruluştaki büyük balıklar ("balinalar").

Vishing nedir?

Vishing, e-posta yerine telefon aramalarını veya sesli posta mesajlarını kullanan bir kimlik avı türüdür.

Smishing nedir?

Smishing, potansiyel kurbanları SMS (kısa mesaj) yoluyla hedef alan bir başka oltalama türüdür.

Quishing nedir?

Quishing, dolandırıcıların insanları kendilerini kötü niyetli bir web sitesine götüren sahte bir QR kodunu taramaya ikna ettiği ve burada gizli bilgileri vermeye veya zararlı yazılım indirmeye ikna edilebilecekleri bir kimlik avı türüdür.

Zishing nedir?

Zishing, video konferans görüşmelerinde gerçekleşen ve kurbanları kandırmak için deepfake teknolojisini kullanan bir oltalama tekniğidir. "z" Zoom anlamına gelir, ancak herhangi bir platformda gerçekleşebilir.

Fener oltalama saldırısı nedir?

Olta oltalama, bir işletme veya hizmet hakkında şikayette bulunan sosyal medya kullanıcılarını hedef alır. Dolandırıcılar sahte sosyal medya profilleri oluşturmakta ve daha sonra yardım etmek isteyen bir müşteri hizmetleri temsilcisi gibi davranarak orijinal posterle iletişime geçmektedir. Kişisel bilgilerinizi isteyecek ve bunları suç faaliyetlerinde kullanacaklardır.

E-posta sahteciliği nedir?

E-posta sahteciliği, dolandırıcıların e-posta adreslerini veya görünen adlarını gizleyerek kimliklerini gizlemeleri, böylece e-postaların alıcının tanıdığı birinden geliyormuş gibi görünmesidir. Bazen dolandırıcılar o kadar yakın e-posta hesapları kullanırlar ki - belki sadece bir harf farkla - alıcılar tutarsızlıkları fark edemezler.

Kurumsal e-posta gizliliği nasıl çalışır?

İş e-postalarının ele geçirilmesi, siber suçluların kurumsal bir e-posta sistemine girerek lider konumundaki birinden geliyormuş gibi görünen e-postalar oluşturmasıdır. E-postalar, diğer çalışanları ayrıcalıklı finansal bilgileri ifşa etmeye veya sahte hesaplara para gönderen ödeme transferlerini yetkilendirmeye ikna etmek için hazırlanmıştır.

Korku yazılımı saldırısı nedir?

Bir scareware saldırısı, bilgisayar kullanıcılarını kötü amaçlı yazılım yüklemeleri veya virüs bulaşmış dosyaları açmaları için korkutur. Bir kullanıcı, bilgisayarına tehlikeli bir virüs bulaştığına dair yanlış uyarı veren bir açılır bildirim alabilir. Daha sonra sahte yazılım satın almaları ya da bilgisayarın kilidini açmak için para göndermeleri isteniyor.

Romantizm veya bal küpü dolandırıcılığı nedir?

Romantizm veya bal küpü dolandırıcılığı, suçluların arkadaşlık uygulamaları ve web sitelerinde veya sosyal medya platformlarında gerçekçi profiller oluşturması ve potansiyel kurbanlara romantik bir ilgi gösteriyormuş gibi davranmasıdır. Bir ilişki vaadinde bulunarak para isterler, sahte yatırım veya kripto para planları uygularlar veya finansal hesaplara erişmek için kişisel bilgilerinizi talep ederler.

Romantik dolandırıcılar genellikle konuşmalar başladıktan kısa bir süre sonra metinlere veya e-postalara bir hamle önererek arkadaşlık sitesi güvenlik önlemlerini aşmaya çalışırlar.

Dolandırıldıktan sonra ne yapmalıyım?

Dolandırıldıysanız, bankanızla ve finansal hesaplarınızı yöneten diğer işletmelerle iletişime geçin ve neler olduğunu onlara bildirin. Kullanıcı adlarını ve parolaları değiştirin ve dijital etkileşimler için çok faktörlü kimlik doğrulamayı etkinleştirin. Suçu bildirerek gelecekteki mağdurlara yardımcı olun.

Çoğu ülkede siber dolandırıcılık ve sahtekarlıklarla ilgilenen merkezi bir otorite vardır. ABD'de, Federal Ticaret Komisyonu ile web sitesi üzerinden veya 877-IDTHEFT (438-4338) numaralı telefonu arayarak iletişime geçin. Europol, bireysel raporlama web sitelerine sahip üye devletlerin bir listesine sahiptir. 

Bu haber ilk olarak 7 Mart 2024 tarihinde yayınlanmış ve FTC'den alınan yeni istatistiklerle güncellenmiştir.  

Dolandırıcılığı önleme

Kendinizi, ailenizi ve işinizi koruyun

 

 

Dijital etkileşimlerimizi korumak ve dolandırıcılıkları önlemek için basit adımlar vardır. ABD Siber Güvenlik ve Altyapı Ajansı'nın bu ipuçlarına göz atın.

 

 

 

Daha fazla bilgi