SMS TUZAKLARINA DİKKAT: SMISHING NEDİR?

“Merhabalar! Ben Mike, 758 milyon dolar değerinde ‘Mega Milyoner İkramiyesi’ni kazanan kişi! Size ödülümün bir kısmını vermek istiyorum!” şeklinde başlayan ve daha sonra bu “gayeyi” gerçekleştirmek amacıyla sizden her türlü kişisel bilgilerinizi talep eden “too good to be true” (gerçek olmak için fazla iyi) e-posta ve türevleriyle muhakkak hepimiz bir noktada karşılaşmışızdır. İşte bu gerçek olmak için fazla iyi olan dolandırma yöntemine verilen isim “phishing”.

Smishing nedir, sorusunun cevabını vermeden önce kısaca verdiğimiz örnekte de belirttiğimiz üzere phishing (oltalama), dolandırıcıların web site, sosyal medya, çok kullanıcılı oyunlar veya e-mail aracılığıyla kişi, kurum ya da kuruluşları taklit ederek ilgili kişinin kişisel bilgilerinin çalınması üzerine kurulmuş bir sosyal mühendislik saldırı türüdür. İşte bu phishing isimli dolandırıcılık türünün SMS (Kısa mesaj servisleri) ile gerçekleştirilen yöntemine, iki terimin birleşiminden türetilmiş “smishing” adı veriliyor.

Smishing ile dolandırıcılar tarafından, gayrimeşru yollarla elde edilen telefon numaralarına kişi, kurum ya da kuruluşları taklit ederek kredi kartı bilgilerini güncellenmesi, “kura” yoluyla kazanılmış ücretsiz hediye çekinin temin edilebilmesi ve benzeri amaçlarla ya da “ilgili işlemin tamamlanabilmesi” amacıyla kişisel bilgilerin paylaşılacağı sahte URL (web adresi ) ya da bir telefon numarasının mevcut olduğu bir kısa mesaj gönderilir. Bazen de aşağıdaki görsel görüldüğü üzere “sarı sarı yazılı para”nın paylaşılabilmesi amacıyla mesajı gönderen kişilerle mesajın gönderildiği numaradan iletişime geçilmesi talep edilir.

Nasıl Korunabilirim?

Bu saldırı yönteminden korunmak için öncelikle size gelen mesajın bir kurum ya da kuruluştan gelip gelmediğine bakmamız gerekiyor. Böyle bir durumda ilgili kuruluştan geldiği iddia edilen mesaj bizden herhangi bir şekilde bilgi talep ediyor ya da bu amaçla bir internet sitesine yönlendiriyorsa bu durumda öncelikle ilgili kurum ya da kuruluşun bizzat sizin tarafından edinilmiş ve güvenli olduğundan emin olduğunuz telefon numarası ile iletişime geçin ve gelen mesaj hakkında bilgi edinin. Eğer şüpheli mesaj, tanımadığınız bir kişiden geliyorsa, bu durumda mesajı yollayan kişi sizden, şüpheli bir şekilde herhangi bir sebeple kendisiyle iletişime geçmenizi ya da kişisel bilgilerinizi onunla paylaşmasını talep ederse ebeveynlerimizin küçüklüğümüzde söylediği “yabancıların verdiği şekeri sakın alma” ilkesine uygun hareket etmek suretiyle bu talebi görmezden gelip numarayı engelleyerek potansiyel bir siber saldırıyı bertaraf edebiliriz.