Yılbaşı Öncesi Dikkat Edilmesi Gereken 5 Hediye Kartı Dolandırıcılığı Yöntemi

ESET, yaklaşan yılbaşı alışverişlerini göz önüne alarak online alışverişte dikkat edilmesi gerekenler hakkında bilgilendirmelerde bulundu. Özellikle popülerliği artan hediye kartlarına dikkat çekerek siber suçluların kullanabileceği yöntemleri inceledi.

Yılın bu zamanında hepimiz hediye alıp vermek için online alışveriş yapıyoruz. Hediye kartları giderek popülerliği artan bir seçenek olduğundan bu yılbaşı döneminde hediye kartı alıp verebilirsiniz. Hediye kartlarının önümüzdeki yıllarda küresel piyasada oldukça büyük bir paya sahip olacağı ve 2027 yılına geldiğimizde 2 trilyon $’lık dev bir pazara dönüşeceği düşünülüyor. Hediye kartlarının popülerliği, yalnızca hediye kartlarına odaklanan bir yeraltı sektörü oluşturan siber suçluların ve online dolandırıcıların da gözünden kaçmıyor. Bazı dolandırıcılar, kullanıcıları kandırıp hassas kişisel ve finansal bilgileri paylaşmalarını sağlamak için kartları kullanıyor. Bazı durumlarda ise dolandırıcılar hediye kartları ile ödeme isteyen resmi görevlilerin kılığına giriyor. Dolandırıcılığın türü ne olursa olsun, bu yılbaşı döneminde online güvenliğiniz için bu taktikler hakkında fikir sahibi olmalısınız.

Hediye kartları, dolandırıcılar arasında neden popüler?

Hediye kartlarının siber suçlular arasında popüler olmasının nedenleri, tüketiciler arasında popüler olmasının nedenleriyle aynı. Hediye kartları geniş bir yelpazede ürün ve hizmet almak için kullanılabilen, neredeyse her yerde bulunan mağazalarda geçerli paradır. Birkaç madde ile özetlendiğinde;

• Tüketicilerin hediye kartlarını online olarak veya mağazadan satın alması kolaydır.
• Birçok perakendeci ve büyük firma şu an çeşitli şekillerde hediye kartı sunuyor.
• Satın alan kişi açısından sıradan ödeme kartlarından daha az korumaya sahip.
• Aynı nakit para gibi karttaki bakiye sonra erdiğinde, kart da işlevini kaybeder
• Dolandırıcının ödeme için bir banka hesabı belirtmesine gerek yoktur; yalnızca hediye kartı PIN kodu/kod yeterlidir.

Geçtiğimiz günlerde yaşanılan bir olayda, bir tehdit aktörü neredeyse 38 milyon $ değerindeki 900.000 hediye kartını bir karanlık ağ sitesinde sattı. Bu kartlar, Cardpool adındaki çevrimiçi indirimli kart dükkanından çalındı ve AirBnB, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target ve Walmart dahil olmak üzere binlerce markada kullanılabiliyordu.

Dikkat edilmesi gereken başlıca 5 saldırı taktiği

Bir “memur” tehditkar bir biçimde para ister

• Bu taktikte dolandırıcılar bir hükümet yetkilisinin, bir hizmet sağlayıcının veya başka bir kuruluşun resmi yetkilisi kılığına bürünür. Ödenmemiş vergiler veya yüklü miktarda bir fatura tutarı gibi ödemelerle kurbanı tehdit eder ve ödemenin acil olduğunu belirtirler. Bu durum, kurbanı karar verme sürecinde aceleye getirmek için tasarlanan klasik bir sosyal mühendislik örneğidir.
• Dolandırıcı bir kimlik hırsızlığı e-postası veya mesajı, hatta bir telefon araması (“sesli kimlik avı” olarak da bilinir) yoluyla kurbana ulaşabilir. Ödemenin hediye kartıyla yapılması istenir ve dolandırıcı ödeme için kullanılmasını istediği kart türünü özellikle belirtir. Bunlar dikkat etmeniz gereken ipuçlarıdır. Gerçek hiçbir şirket veya hükümet hediye kartı yoluyla ödeme kabul etmez.

Botlar, bakiyenizi çalar

• Bazen kötü amaçlı kişiler doğrudan hesabınızı hedef alır ve hediye kartını veren kişi yoluyla dijital olarak hesabınıza ulaşır. Bunu nasıl yaparlar? Kart bakiyelerindeki ve kart numaralarındaki bilgilere ulaşmak için perakendecilerin ve diğer kuruluşların bankayla ilgili BT sistemlerine sızmak için otomatik botları kullanırlar. Bu bilgiler sayesinde, kartın resmi sahibiymiş gibi kartı kullanabilirler. Araştırmaya göre yalnızca Amerika’da 15 milyar $ değerinde kullanılmamış hediye kartı ve kredi bulunduğunu göz önüne aldığımızda bu durum suistimale açık bir alandır.

Mağazadaki kartlara dışarıdan müdahale etme

• Dolandırıcılar yalnızca çevrimiçi ortamda çalışmaz. Dolandırıcıların kullandığı diğer bir teknik ise hediye kartların bulunduğu veya satıldığı mağazaları ziyaret edip numaraları/gizli PIN kodlarını çalmaktır. Bazen PIN kodlarını bir etiketle kapatmak gibi yöntemlerle yaptıklarını gizlemeye çalışırlar. Karta bağlı olarak, kartı çevrimiçi olarak kullanmadan veya mağazada kullanmak üzere kartı kopyalamadan önce, kurbanın kaydolup karta para yüklemek için çevrimiçi olmasını bekleyebilirler.

Ödül kazandınız!

• Diğer bir dolandırıcılık kategorisinde, hediye kartını kullanarak bir ücret ödemesi için kullanıcıyı kandırmak amacıyla bir ödül vaadinde bulunulur. Dolandırıcıdan gelen doğrulanmamış bir ileti, kurbana büyük bir ödül kazandığını söyler ancak bu ödülü almak için kurbanın küçük bir ödeme yapılması gerekir. Bu ödül, arabadan tatile kadar her şey olabilir. Tabii ki aslında ortada böyle bir ödül yoktur.

Verilerinizi çalmak için kimlik avı denemeleri

• Hediye kartları, kullanıcıları kandırıp kişisel bilgilerini paylaşmalarını sağlamak için kullanılabilir. Bu durum, klasik bir kimlik avı saldırısına benzer. Alıcıya e-posta, mesaj veya sosyal medya yoluyla ulaşılarak büyük bir hediye kartı bakiyesi teklif edilir. Bu hediye kartını alabilmek için alıcının bazı kişisel ve büyük ihtimalle finansal bilgileri paylaşması gereklidir. Sonrasında dolandırıcılar bu bilgileri karanlık ağda satabilir veya kimlik dolandırıcılıklarında kullanabilir.

Hediye kartı dolandırıcılıklarından nasıl korunabilirsiniz?

Hediye kartı dolandırıcılıkları ile mücadelenin büyük bir kısmı, kullanıcıların farkındalıklarının artmasıdır. ESET uzmanlarının paylaştığı ipuçları, online ortamda güvenlik konusunda size büyük ölçüde yardımcı olabilir:

• Hediye kartlarını kilitli kutularda bulunduran perakendecilerden kart satın alın
• Hediye kartlarını çevrimiçi olarak satın alıyorsanız indirim mağazaları yerine doğrudan perakende satıcılardan satın alın
• PIN kodu özelliği bulunan hediye kartlarını satın alın
• Şüpheci olun; unutmayın bir teklif gerçek olamayacak kadar iyiyse büyük olasılıkla gerçek değildir.
• Hiçbir şirketin veya hükümet yetkilisinin hediye kartıyla ödeme istemeyeceğini unutmayın
• İstenmeyen bir şekilde çevrimiçi olarak sizinle iletişime geçen kişilerle kişisel ve finansal bilgilerinizi asla paylaşmayın
• Kartları mümkün olduğunca kısa süre içerisinde kullanın
• Kartı alır almaz kart bakiyesini iki kere kontrol edin

Kötü amaçlı kişilerin, çalınan verileri paraya dönüştürmek için sürekli olarak yeni yollar aradığını aklınızdan çıkarmayın. Tehlikeler bunlarla sınırlı değil. Ancak bir yerden başlamalısınız.