Smishing, SMS Phishing kelimesinin kısaltması olup siber suçluların kimlik avı saldırıları yapmak için kısa mesajları kullandıkları bir dolandırıcılık yöntemidir. Bu saldırılarda saldırganlar SMS yoluyla kurbanlarına sahte mesajlar göndererek onları kişisel bilgilerini paylaşmaya veya kötü amaçlı yazılımları cihazlarına yüklemeye ikna etmeye çalışırlar.
Bankalar, devlet kurumları ya da popüler şirketler gibi güvenilir kaynaklardan geliyormuş izlenimi veren bu mesajlar kullanıcıları kandırarak hassas bilgilerini ele geçirmeyi hedefler.
Smishing saldırılarında kullanılan mesajlar aciliyet vurgusu yaparak kurbanları hızlı hareket etmeye zorlar. Örneğin bir banka hesabınızın kilitlendiği veya acil bir ödemenin yapılması gerektiği şeklinde sahte bildirimlerden oluşur. Kurbanlar bu mesajlara tıklayıp sahte bir web sitesine yönlendirildiğinde
- Kullanıcı adı,
- Şifre
- Kredi kartı
Gibi kişisel verilerini girmeye teşvik edilir. Bazı durumlarda ise kötü amaçlı bir yazılımı indirip yüklemeleri istenir. Bu yazılımlar cihazın kontrolünü ele geçirme kişisel verilere erişim sağlama ya da cihazı tamamen kilitleme gibi tehlikeli sonuçlar doğurur.
Smishing saldırıları, yaygın bir dolandırıcılık yöntemi haline geldiği için kullanıcıların bu tür mesajlara karşı dikkatli olması gerekir. Güvenilir görünen kaynaklardan gelen mesajlarda dahi verilen bağlantılara tıklamadan önce dikkatli olunmalı ve mümkünse direkt olarak ilgili kurum ya da şirketin resmi web sitesi ziyaret edilmelidir. Ayrıca şüpheli mesajlar alındığında bunları spam olarak işaretlemek ve yetkili mercilere bildirmek de güvenlik açısından önem taşır.
SMS Pishing (Smishing) Nedir?
Smishing adını “SMS” (kısa mesaj hizmetleri) ve “phishing” (kimlik avı) terimlerinin birleşiminden alır ve siber suçluların mesajlaşma yoluyla gerçekleştirdiği bir kimlik avı saldırısıdır. Bu saldırı türü teknik istismarlardan ziyade insanların güvenini kötüye kullanarak onları yanıltmayı hedefler.
Temel amacı kurbanı bir bağlantıya tıklamaya veya kişisel bilgilerini paylaşmaya ikna etmektir. Smishing, sosyal mühendislik saldırıları kategorisinde yer alır çünkü insanların güvenini manipüle ederek onları harekete geçmeye zorlar.
Siber suçlular smishing yöntemini kullandıklarında acil bir durum veya önemli bir uyarı hissi uyandıran mesajlar gönderirler. Mesajlar alıcının bir bankadan kamu kurumundan ya da güvenilir bir hizmet sağlayıcıdan geldiği izlenimini verir.
Örneğin “Hesabınızda şüpheli bir işlem tespit edildi bu bağlantıya tıklayarak doğrulama yapın” gibi bir içerik kullanılır. Bu tür mesajlar alıcıları hızla harekete geçirmeye ve bilinçsizce kötü amaçlı bir bağlantıya tıklamaya yönlendirmek için tasarlanır.
SMS Pishing Saldırı Türleri
Smishing kısa mesaj kullanılarak yapılan bir kimlik avı saldırısıdır ve SMS Phishing olarak da bilinir. Bu dolandırıcılık yönteminde siber suçlular kullanıcıları hassas bilgilerini paylaşmaları ya da cihazlarına kötü amaçlı yazılımlar yüklemeleri için ikna etmeye çalışır.
Smishing saldırıları, güvenilir bir kurumdan veya şirketten geliyormuş gibi görünen sahte mesajlarla gerçekleştirilir ve bu mesajlarda kullanıcıların dikkatini çekmek için aciliyet vurgusu yapılır.
Smishing saldırıları birçok farklı şekilde karşımıza çıkar, ancak en yaygın örnekler şunlardır:
- Sahte banka veya kredi kartı mesajları:
- Saldırganlar bir banka ya da kredi kartı şirketinden geldiğini iddia eden sahte mesajlar gönderirler.
- Mesajda hesabınızda bir sorun olduğu ya da şüpheli bir işlem gerçekleştiği belirtilir.
- Sorunu çözmek ya da hesabınızı doğrulamak için bir bağlantıya tıklamanız istenir. Tıkladığınızda sahte bir web sitesine yönlendirilir ve kişisel ya da finansal bilgilerinizi girmeniz istenir.
- Sahte paket teslimatı mesajları:
- Bu tür mesajlarda bir kargo firması tarafından gönderilmiş gibi görünen sahte bildirimler yer alır.
- Paketinizin teslimatında bir sorun olduğu ya da yolda olduğu belirtilir.
- Teslimatı takip etmek veya yeniden planlamak için verilen bağlantıya tıklamanız istenir. Bu da kişisel bilgilerinizi çalmak amacıyla oluşturulmuş bir sahte siteye yönlendirir.
- Sahte fatura veya bildirim mesajları:
- Saldırganlar kamu kurumlarından veya hizmet sağlayıcılardan geldiği iddia edilen mesajlar gönderirler.
- Fatura ödemeniz gerektiği ya da bir hizmetle ilgili sorun olduğu bildirilir.
- Sorunu çözmek veya ödeme yapmak için bir bağlantıya tıklamanız istenir. Bu bağlantı da sizi kişisel bilgilerinizi ele geçirmeye çalışan sahte bir siteye yönlendirir.
- Sahte ödül veya kazanç mesajları:
- Bu tür mesajlarda bir yarışma ya da ödül kazandığınız iddia edilir.
- Ödülü almak için verilen bağlantıya tıklamanız ya da bir numarayı aramanız istenir. Bu da sizi kimlik avı saldırısına yönlendiren bir girişimdir.
SMS Pishing Saldırılarından Nasıl Uzak Durulur?
Smishing saldırılarından korunmak için dikkatli olmak ve bazı temel önlemleri almak büyük önem taşır. Bilinmeyen numaralardan gelen mesajlar siber saldırganların kullandığı bir yöntemdir. Bu tür mesajlarda yer alan şüpheli bağlantıları açmak veya bilinmeyen numaraları aramak kişisel bilgilerinizi ele vermenize yol açar.
Kişisel bilgilerinizi koruyun
Bankalar ve diğer hassas bilgilerle işlem yapan kuruluşlar hiçbir zaman SMS yoluyla şifre veya kişisel bilgiler talep etmezler. Böyle bir istekle karşılaştığınızda mesajın doğruluğunu mutlaka ilgili kurumla doğrudan iletişime geçerek kontrol edin. Özellikle SMS’lerde verilen bağlantılara tıklamadan önce mesajın güvenilirliğinden emin olun.
Uygulama güvenliğine dikkat edin
Telefonunuza sadece güvenilir kaynaklardan uygulama yüklemek cihazınızı zararlı yazılımlara karşı korumanın önemli bir adımıdır. Bilinmeyen kaynaklardan gelen yazılımlar cihazınıza zarar verir ya da kişisel bilgilerinizi çalar. Uygulamaları resmi mağazalardan indirmeniz bu riskleri önemli ölçüde azaltır.
Antimalware ve güvenlik yazılımları kullanın
Antimalware ve kimlik avı karşıtı yazılımlar sizi sahte web siteleri ve diğer tehditlerden korur. Bu tür yazılımların en güncel versiyonlarını kullanarak cihazınıza yönelik siber saldırılara karşı ekstra bir koruma katmanı eklemiş olursunuz.
Telefonunuzu güncel tutun
Telefonunuzun işletim sistemini ve uygulamalarını düzenli olarak güncellemek yeni tehditlere karşı koruma sağlar. Güvenlik güncellemeleri bilinen açıkları kapatarak cihazınızı daha güvenli hale getirir.
Şüpheli durumları yetkililere bildirin
Bir smishing saldırısı ile karşı karşıya kaldığınızı düşündüğünüzde durumu yetkililere bildirin. Bu saldırganların engellenmesine yardımcı olur ve başkalarının da aynı tehditle karşılaşmasını önler.
SMS Pishing (Smishing) Nasıl Çalışır?
Smishing saldırıları, insanları kandırmak için psikolojik manipülasyon yöntemlerini kullandıkları için sosyal mühendislik saldırıları arasında yer alır. Bu saldırılar bir aciliyet duygusu yaratmayı hedefler ve kurbanların hızlıca harekete geçmesini sağlamaya çalışır.
Örneğin smishing mesajları “hemen harekete geçmezseniz hesabınız risk altında” veya “yasal işlem başlatılacak” gibi tehdit içeren ifadeleri kapsar. Bu tür mesajlar kullanıcının korkuya kapılıp aceleyle yanlış bir adım atmasına ve kötü amaçlı bir bağlantıya tıklamasına neden olur. Bu psikolojik baskı saldırının başarısına katkı sağlar.
Siber suçlular SMS Pishing saldırıları için genellikle telefon numaralarını çeşitli yollarla elde ederler. Bunların başında web üzerindeki veri ihlalleri gelir. Bir kullanıcı çevrimiçi bir perakende sitesine veya başka bir platforma kaydolduğunda kişisel bilgilerini paylaşır. Bu bilgiler arasında telefon numarası e-posta adresi ve hatta bazı durumlarda adres bilgileri yer alır.
Eğer bu siteler siber suçlular tarafından hacklenirse kullanıcıların kişisel bilgileri ele geçirilir. Bu veriler dark web üzerinden satılarak diğer siber suçluların erişimine açılır. Bir kullanıcının telefon numarası bu yolla elde edilir ve smishing saldırılarının hedefi haline gelir.