Genel BakışSiber saldırganların denediği en yaygın yollardan biri, sizi e-posta saldırılarıyla (genellikle oltalama olarak adlandırılır) veya telefon görüşmeleriyle kandırmaya çalışmaktır. Ne var ki, teknoloji ilerlemeye devam ettikçe her zaman kötü niyetli kişiler sizi kandırmak için kısa mesajlaşma, iMessage/Facetime, WhatsApp, Slack veya Skype gibi yeni mesajlaşma teknolojilerini denemektedirler. Bu ortak saldırılardan kendinizi korumak ve tespit etmek/durdurmak için bazı basit adımlar bulunmaktadır.

Mesajlaşma Saldırıları Nelerdir?M esajlaşma saldırıları (Smishing olarak da adlandırılır, Phishing teriminden türetilmiştir) siber saldırganların size ulaşmak ve yapmamanız gereken bir eylemi yapmak için sizi kandırmak üzere SMS veya mesajlaşma teknolojilerini kullanmalarıdır. Belki de kötü amaçlı bir bağlantıyı tıklamanız için sizi kandırmak veya bankacılık bilgilerinizi alabilmek için bir telefon numarasını aramanızı sağlamak isterler. Geleneksel oltalama e-posta saldırılarında olduğu gibi, kötü niyetli kişiler genellikle sizi harekete geçirmek için duygularınızla oynarlar. Ne var ki, mesajlaşma saldırılarını bu kadar tehlikeli kılan şey, genellikle e-postadan çok daha gayrı resmi veya kişisel hissettirmeleridir ve bu da kurban olma olasılığınızı yükseltir. Buna ek olarak, mesajlaşma saldırılarında yanlış veya şüpheli bir şeyler olduğunu almak için daha az bilgi ve daha az ipucu vardır. Garip veya şüpheli görünen bir ileti aldığınızda, kendinize bu mesajın mantıklı olup olmadığını sorun. Bu mesajı neden alıyorum? Bir saldırının en yaygın ipuçlarından bazıları şunlardır.

Sizi harekete geçmeye zorlayan muazzam bir aciliyet duygusu.

Bu ileti, kişisel bilgileri, parolaları veya erişmemesi gereken diğer hassas bilgileri mi istiyor?

İ leti gerçek olamayacak kadar doğru mu görünüyor? Hayır, piyangoyu kazanmadınız, özellikle de hiç k atılmadığınız bir piyangoyu.

B ir iş arkadaşınızın veya arkadaşınızın hesabından veya telefon numarasından gelmiş gibi görünüp, ancak kullandığı dil ve ifadelerin hiç de öyle görünmediği bir mesaj. Hesapları bir saldırgan tarafından ele geçirilmiş veya saldırgan onlar gibi davranarak, sizi kandırmak suretiyle bir eylemde bulunmanızı sağlamaya çalışıyor olabilir.

Eğer yoğun bir şekilde tepki verme hissi uyandıran bir mesaj alırsanız, bir süre bekleyin, sakinleşin ve cevap v ermeden önce düşünmek için kendinize bir şans verin.

Sizin Için Aylık Güvenlik Farkındalık Bülteni

OUCH! | Aralık 2019

www.sans.org/security-awareness

Mesajlaşma / Mesaj Oltalama Saldırıları

OUCH! | Şubat, 2018Bazen kötü niyetli kişiler saldırılarında e-posta ve bunun yanında mesaj gönderme yöntemini birlikte kullanırlar. Örneğin, hediye kartı dolandırıcılığı bu şekilde yapılabilir. Bir siber saldırgan size bir arkadaşınız veya iş arkadaşınız gibi davranarak acil bir e-posta gönderir, sonra cep telefonu numaranızı ister. Daha sonra sürekli olarak metin mesajları göndererek hediye kartı satın almanız için size baskı yapabilirler. Bir kez satın aldıktan sonra, saldırganlar kartların arkalarındaki kodu kazımanızı ve kodların bir resmini onlara geri göndermenizi sağlarlar. Başka bir yaygın saldırı şeklinde sizi bir video veya resme "göz atmak" için acele ettirir ("buna inanamayacaksınız!"). Merak duygunuza hitap eder. İleti tanıdığınız birinden geliyormuş gibi görünüyorsa, harekete geçmeden önce doğrulamak için telefon ile o kişiyi arayın.

Eğer resmi bir kuruluştan sizi alarm durumuna geçiren bir ileti alırsanız, doğrudan iletişime geçerek onlara danışın. Örneğin, banka hesabınız veya kredi kartınızla ilgili bir sorun olduğunu belirten bir kısa mesaj alırsanız, doğrudan web sitesini ziyaret ederek veya banka / kredi kartınızın arkasında bulunan telefon numarasını arayarak banka veya kredi kartınızı veren kuruluşa başvurun. Vergi borcu veya adli suçlar gibi konular için devlet kuruluşlarının kısa mesaj yoluyla sizinle iletişim kurmayacağını unutmayın.

Mesaj saldırıları söz konusu olduğunda, en iyi savunma kendinizsiniz.

Türkçe ÇevirisiS elma Süloğlu, ODTÜ Bilgisayar Mühendisliğinde doktorasını tamamlamış olup Hawaii Üniversitesinde yazılım mimarileri ve y azılım güvenliği üzerinde doktora sonrası araştırma yapmaktadır.

Sema Yüce, Türkiye’nin önde gelen kurumsal şirketlerinde ve özellikle bilişim, finans, telekomünikasyon, sigortacılık, sanayi, perakendecilik gibi sektörlerde; bilgi güvenliği, uyum, BT yönetişim/strateji, risk yönetimi, iş sürekliliği, hizmet yönetimi, altyapı hizmetleri, yazılım geliştirme ve program/proje yönetimi alanlarında yönetici ve danışman olarak 19 yılı aşkın süre görev yaptıktan s onra, Truth ISC (www.truth-isc.uk) adıyla kurduğu Türkiye ve İngiltere’de faaliyet gösteren danışmanlık şirketinde hizmet vermeye devam etmektedir.

OUCH! SANS Security Awareness tarafından yayınlanır ve Creative Commons BY-NC-ND 4.0 lisansı ile dağıtılır. Satmadığınız veya değiştirmediğiniz sürece bu bülteni paylaşabilir veya dağıtabilirsiniz. Yayın Kurulu: Walt Scrivens, Phil Hoffman, Alan Waggoner, Cheryl Conley

www.sans.org/security-awareness© SANS Institute 2019

Konuk EditörJen Fox Sosyal Mühendislik DEF CON 23 siyah rozet sahibidir ve Domino's şirketinde bir Güvenlik

P rogramı Uzmanı olarak güvenlik farkındalığı eğitimi sağlar. Jen Fox' u Twitter üzerinde @j_fox

h esabından takip edebilirsiniz.

KaynaklarSosyal Mühendislik: http://www.sans.org/u/XAQOltalama Saldırılarını Durdurmak: http://www.sans.org/u/XAVTelefon Dolandırıcılığı: http://www.sans.org/u/XB0Sahte metin mesajlarını bildirmek: https://www.consumer.ftc.gov/articles/0350-text-message-spam