Türkiye’de de mobil ödeme kaynaklı dolandırıcılıkların sayısı artış gösterirken mağdur kişilerin başvuracakları yer yok gibi duruyor. İletişim yetersizliği için çalabilecekleri kapı sadece 4G sağlayıcıların kendi oluşturdukları destek-şikayet platformları. Ama bunların da her zaman çözüm bulamadığını kaydedelim.
Dolandırıcılıkların servis sağlayıcıların tam olarak ne şekilde bilgisi dahilinde olduğu uzun zamandır tartışılıuor. Ama yine aynı iletişim yetersizliği nedeniyle bunu tam olarak öğrenemiyoruz. Bunun gibi dolandırıcılık faaliyetlerini soruşturacak, basınla bu konuda koordineli bir şekilde ‘teyitli bilgi’ odaklı çalışacak departmanlara ihtiyaç var. ‘Gazeteci insiyatifi’ kullanarak, bu tarz dolandırma eylemlerinin izini sürdük. Bunların ucunda genellikle Çinli hacker’ların geliştirdiği bir saldırı tekniği ortaya çıkıyor: “Smishing Attack”. Tamamiyle mobil saldırılar için geliştirilmiş, temelini “Swearing Trojan” denen bir malware yazılım oluşturuyor. Aslında oldukça eski bir yöntem ancak APK’ların indirilme oranlarının artmasıyla ve kaynağı belirsiz uygulamaların kullanımlarının artması nedeniyle tekrar popülerleşen bir yöntem.
Bunun için 3 farklı yöntem var:
- Kullanıcı, daha önce herhangi bir yerde güvenliği düşük ortak ağa bağlanmalı
- Kullanıcı, çevredeki herhangi bir sahte baz istasyonuna bağlanmış olmalı
- Kullanıcı, uygulama mağazalarından APK indirmiş olmalı.
Türkiye açısından 1ç ve 3. yöntem daha akla yatkın geliyor. Bu 3 yöntemin yanısıra, bu tarz dolandırıcılık için gereken ortalama kuluçka süresi de oldukça ilginç: yaklaşık 6 ay ile 1 yıl arasında bir kuluçka süresi var. Bu kuluçka süresi boyunca kişiye gelen mesajlardan telefon numarası ve operatörü anlaşılıyor. Ardından bu operatör adına çeşitli “push” mesajlar iletiliyor.
Bu tarz saldırılara hiç hedef olmamak için telefonunuzu resmi de olsa herhangi bir push mesaj almamış olması gerekiyor. Hedef olabilmek içinse linklere tıklayın veya tıklamayın, herhangi bir push mesaj almanız yeterli. Ne yazık ki, push’ların sahtelerini veya gerçeğini tespit edebilmek güç veya imkansız. Operatörünüzün size attığı mesajlar, sizin güvenliğinizi gittikçe azaltıyor bu doğrultuda. Kuluçka dönemi tamamlandığında ise çeşitli mesajlarla sizi ‘operatör servisi’ kullanmanıza dair ikna ediyorlar ve eğer mobil ödeme opsiyonunuz açıkçsa dolandırıcılık somutlaşmış oluyor.
Bununla ilgili en net çalışmayı Tencent isimli firma yürüttü ve onların bulgularına göre, isim.(nokta)rakam şeklinde mail adresleriyle çalışıyorlar. Bu tarzla daha önce çok sayıda mobil bankacılık hedef alındı.Şu bir gerçek ki; bu tarz dolandırıcılık faaliyetleri oldu-bitti konusu değil. Bu kişiler daha önce bir şekilde APK veya Wi-Fi formuyla mobil cihazınızla tanışmış olmalı, en az 6 ay boyunca size çeşitli mesajlar atmış olmalı bir şekilde resmiyetine güvendiğiniz mesajdaki linki tıklamış olmanız süreci sadece hızlandırabilir ancak bu bir şart değil. Asıl sorun, PlayStore’dan veya diğer mağazalardan indirdiğiniz uygulamalarla birlikte çalışmaya başlayan çeşitli trojan’lar.
Çeşitli siber güvenlik haberlerinde ‘kullanıcı bilgisinden’ sürekli söz ediyoruz ancak bu yöntemle birlikte dolandırıcılık konusunun gittikçe tespit edilemez hale geldiği görülüyor. Bununla ilgili kesinlikle ‘teyitli bilgi’ sağlayabilme adına firmaların departman olarak basın ile ilişki kurması gerekiyor ve kullanıcıların bilgilendirilmesi doğrultusunda ‘bekleme süresinin’ aza indirgenmesi gerekiyor.
Son olarak hatırlatalım; kullanıcı olarak siz de kendi güvenliğinize dikkat edin. Mobil mesajlardan da rahatsız iseniz, bu mesajların sonunda “B” ile başlayan numara, o mesajın size hangi işortağından geldiğini belirten koddur. Bu kod ile ilgili mobil operatöre şikayet ederseniz, daha çabuk çözüm bulabilirsiniz. O işortağı bir şekilde sizin numaranızı kaydetmiş ve devamlı gönderiyor demektir.