Bankalararası Kart Merkezi Genel Müdürü: Sahtekârların en çok başvurduğu yöntemlerinden biri oltalamadır

Bankalararası Kart Merkezi (BKM) Genel Müdürü Soner Canko, sosyal mühendislik ve oltalamanın yeni dolandırıcılık türleri olduÄŸunu belirterek, "Sosyal medya platformlarında, internette ya da e-posta aracılığıyla bedava veya çok cazip fiyatlarla teklif edilen ürün, hizmet ve kampanyalar gerçek deÄŸildir." dedi.

Soner Canko, AA muhabirine yaptığı deÄŸerlendirmede, ödeme alışkanlıklarındaki deÄŸiÅŸimin, eski dolandırıcılık türlerinin yerini sosyal mühendislik gibi yeni siber dolandırıcılık türlerinin almasına sebep olduÄŸunu söyledi.

Dolandırıcılık türleri deÄŸiÅŸse de konuyla ilgili yeterli bilgisi olmayan ve gerekli önlemleri almayan kiÅŸilerin dolandırıcıların kurbanı olmaya devam ettiÄŸini belirten Canko, bir aÄŸa, cihaza ya da kiÅŸisel hesaba ulaÅŸmak isteyen dolandırıcıların, amaçlarına ulaÅŸmak için pek çok yöntemi kullandığını anlattı.

Canko, artan dolandırıcılık olaylarına karşı kullanıcıları dikkatli olmaları konusunda uyaran BKM'nin hem kiÅŸilerin hem de kurumların bu tehditlerden korunması için sosyal mühendisliÄŸin ve oltalamanın ne olduÄŸunu, saldırı yollarını ve bu saldırılardan korunma yöntemlerini çeÅŸitli platformlarda paylaÅŸtığını anımsattı.

BKM tarafından bilgi güvenliÄŸiyle ilgili farkındalığı artırmak amacıyla hayata geçirilen www.bilgiguvende.com adresinden de bu konuda en güncel bilgilere ulaşılabildiÄŸini ifade eden Canko, "Sosyal mühendislik, sahtekârların hile ve kurnazlıkla yönlendirme, etki altına alma ve kandırma gibi yöntemler kullanarak insanlardan aldıkları/çaldıkları kiÅŸisel bilgileri kendi çıkarları için kullanmalarına verilen genel isimdir. GüvenliÄŸimizi artırmak için en önemli yol, farklı saldırı türlerinin neler olduÄŸunu anlamaktan geçiyor. Sahtekârların en çok baÅŸvurduÄŸu sosyal mühendislik yöntemlerinden biri oltalamadır." diye konuÅŸtu.

"Sahtekârlar, 'takipçi sayını artırma' ya da 'profiline kimler baktı' uygulamalarını kullanıyor"

Soner Canko, oltalamanın (phishing), genellikle 3 farklı yolla yapıldığını belirtti. Bu yollardan birinde sahtekârların internet aramalarında çıkan sonuçlarda, bankaların gerçek sitelerine benzeyen ancak aslında sahte olan internet sitesi baÄŸlantılarının ilk sıralarda çıkmalarını saÄŸladığını ifade eden Canko, bir diÄŸer yolda ise kullanıcılara bankalar, kamu kurumları ya da kargo firmalarından gönderilmiÅŸ gibi gözüken e-postalar yollandığını ve kullanıcılardan bu e-postaların içindeki baÄŸlantılara tıklamasının istendiÄŸini anlattı.

Arama sonuçlarındaki ve e-postalardaki bu baÄŸlantılara tıklayanları kendi hazırladıkları sahte internet sitelerine yönlendirdiklerini söyleyen Canko, sahte internet sitelerinde kredi kartı veya hesap bilgilerini giren kullanıcıların bilgilerini ele geçirdiklerini ve bu sayede kullanıcı hesaplarından yüklü miktarlarda para çekebildiklerini dile getirdi.

Canko, son zamanlarda sosyal medyada "takipçi sayını artırmak ya da profiline kimlerin baktığını görmek istiyorsan bu uygulamayı indir" diyen uygulamalar gördüklerini söyledi.

Sahtekârların bu uygulamaları indiren kullanıcıların ÅŸifre ve hesap bilgilerini ele geçirdiklerini vurgulayan Canko, ÅŸöyle devam etti:

"Ele geçirdikleri bu hesapların isimlerini deÄŸiÅŸtiriyorlar ve bu hesapları banka ya da kamu kurumlarının hesaplarıymış gibi gösteriyorlar. Daha sonra bu hesaplardan kredi kartları için ödenen aidatların geri alınabileceÄŸi, ödenen vergi borçlarına ait bazı geri ödemeler yapılacağı, ödemesi gecikmiÅŸ vergi borcu ya da trafik cezası olduÄŸu gibi reklamlar veriyorlar. Sosyal medya hesaplarında bu reklamları gören kullanıcılar bu reklamların içindeki baÄŸlantıya tıkladıklarında karşılarına bankanın ya da kamu kurumunun sahte internet sitesi çıkıyor. Bu ekranda kredi kartı veya hesap bilgilerini girdikleri anda sahtekârlar sayfaya baÄŸlananların kart ve hesap bilgilerini ele geçiriyorlar ve böylece kullanıcı hesaplarından para çekerek bu kiÅŸileri dolandırıyorlar."

"Kaynak siteye doğrudan bağlanılmalı"

BKM Genel Müdürü Canko, sosyal medya platformlarında, internette ya da e-posta aracılığıyla bedava veya çok cazip fiyatlarla teklif edilen ürün, hizmet ve kampanyaların gerçek olmadığını vurguladı.

Teklif edilen ürün ya da hizmetin çok hızlı tükendiÄŸini ve çok az zaman kaldığını, bu nedenle hemen karar verilmesi gerektiÄŸini söyleyen reklam ve tekliflere özellikle dikkat edilmesi gerektiÄŸinin altını çizen Canko, "bilgilerinizi güncellemezseniz hesabınız bloke edilecektir" gibi bir uyarı içeren e-posta ya da kısa mesajlara da dikkat edilmesi gerektiÄŸini söyledi.

Canko, en küçük bir ÅŸüphede reklam, e-posta ya da kısa mesajla gelen baÄŸlantı adresine deÄŸil, kaynak siteye doÄŸrudan baÄŸlanılması gerektiÄŸini uyarısında bulundu.

Bu tarz sahtekârlık yöntemlerinde baÄŸlantı adresi olarak gönderilen adreslerin sahte adresler olduÄŸuna iÅŸaret eden Canko, "Bu adresler ya asıl adresten tamamen farklıdır ya da asıl adrese çok benzer ancak bir veya iki harfi yanlış yazılmıştır." dedi.

"Dikkat edelim, kontrol edelim, ÅŸüphelenelim"

Soner Canko, dolandırıcıların ve sahtekârların ağına düÅŸmemek için e-postalarda dikkat edilmesi gereken noktaları söyledi.

"Gönderen kiÅŸiyi tanıyor musun? Ä°ÅŸ hayatında ya da sosyal hayatında daha önce sana e-posta göndermiÅŸ mi ya da sen ona e-posta göndermiÅŸ misin? Bunları kontrol etmelisin." diyen Canko, e-posta gönderen bilgisi alanında ÅŸüpheli bir internet adı veya adresinin yazıp yazmadığına dikkat edilmesi gerektiÄŸini vurguladı.

Canko, ÅŸöyle devam etti:

"E-postanın gönderilen alanında sadece benim adresim mi var yoksa baÅŸka adresler de var mı, kontrol etmeliyim. BaÅŸka adresler varsa bu adresleri tanıyıp tanımadığımı kontrol etmeliyim. E-postanın konusu alanında yazan bilgiler ile mesaj alanında yazan bilgiler birbirleriyle uyuÅŸuyor mu, kontrol etmeliyim.E-postanın konusu alanındaki bilgiler 'RE:' ile mi baÅŸlıyor yani benim gönderdiÄŸim bir e-postaya yazılan bir cevap ÅŸeklinde gönderilmiÅŸ olarak mı gözüküyor, kontrol etmeliyim. EÄŸer öyle ise benim daha önce hiç e-posta göndermediÄŸim birinden gelen bir cevap mı kontrol etmeliyim. Benim hiç e-posta göndermediÄŸim bir adresten gelen bir cevap ise bu e-postadan ÅŸüphelenmeliyim. E-postada ekli dosyanın benimle bir ilgisi var mı, kontrol etmeliyim. Ekli dosyanın e-postanın konusuyla alakalı bir dosya olup olmadığına dikkat etmeliyim.

Ekli dosyanın uzantısı .docx, .xls, .xslx, .pdf, .jpeg, .png gibi bilinen uzantılardan farklı bir uzantıya mı sahip, kontrol etmeliyim. .exe uzantılı dosyalara özellikle dikkat etmeliyim. E-postanın açıklamasında benden olumsuz bir durumu engellemek ya da bir ürün kazanmak için baÄŸlanmamı istediÄŸi bir adres var mı, kontrol etmeliyim. Mesaj içeriÄŸinde yazım hataları var mı, kontrol etmeliyim. E-posta benim ya da bir tanıdığımın tehlikede olduÄŸunu veya benim ya da bir tanıdığım hakkında uygunsuz içeriÄŸe sahip olduÄŸunu söylüyorsa, bundan ÅŸüphelenmeliyim."

"Åžifreleri düzenli ve kısa aralıklarla deÄŸiÅŸtirmeliyiz"

Soner Canko, internet tarayıcısı ayarlarının sahtekârlık sitelerini açmayı engelleyecek ÅŸekilde düzenlenmiÅŸ olması gerektiÄŸini söyledi.

Bunun için internet tarayıcılarının ayarlar menülerindeki güvenlik ayarlarından güvenli tarama özelliÄŸinin aktif hale getirilmesi gerektiÄŸini ifade eden Canko, ÅŸüphelenilen sitelerin ilgili sosyal medya platformlarına ya da ilgili banka veya kamu kurumlarına bildirmesi gerektiÄŸini dile getirdi.

Canko, banka adresi izlenimi verilerek açılmış sahte siteler için eriÅŸim yasağı koydurulması amacıyla gerekli tüm yasal giriÅŸimlerde bulunulmasının önem arz ettiÄŸinin altını çizdi.

Sosyal medya ve internette dikkat edilmesi gerekenlere iliÅŸkin Canko, ÅŸu deÄŸerlendirmelerde bulundu:

"EÄŸer baÄŸlanılması istenen bir adres var ise önce adresin üzerine gelinmeli ve adrese tıklamadan görünen adres kontrol edilmeli. Bir bankanın sitesinin başında 'http' olmaz, 'https' olur ve alan adı '.com' deÄŸil, '.com.tr' olacaktır. Bu küçük detaylar, kullanıcıların dolandırılmasının önüne geçebilir. Bankalar hesabınızda sorun olduÄŸunu, hesabınızın ele geçirildiÄŸini söyleyerek sizden telefonla veya e-posta ile kart veya hesap bilgilerinizi istemez. Aynı ÅŸekilde ödül kazandığınızı veya bir çekiliÅŸe katılmanız için gerekli olduÄŸunu söyleyerek kart ya da hesap bilgilerinizi istemez.

Kullanıcılar bir bankanın resmi sosyal medya hesabının nasıl olduÄŸunu ve resmi sitenin kopyalarından nasıl ayırt edileceÄŸini bilmelidirler. Büyük sosyal medya mecralarındaki hesapların yanında bulunan mavi tik, hesabın onaylandığını ve o kuruma ait olduÄŸunu gösterir. Takipçi hesaplarını kontrol etmek de önemli. Türkiye'deki bankaların hepsinin sosyal medya hesaplarında yüksek sayıda takipçisi bulunuyor. Sitelere baÄŸlanmak için kullandığımız ÅŸifreleri düzenli ve kısa aralıklarla deÄŸiÅŸtirmeliyiz ve aynı ÅŸifreyi birden fazla site için kullanmamalıyız. Olası bir dolandırıcılık durumuyla karşı karşıya olduÄŸumuzu düÅŸünüyorsak, bankamızı hemen aramalı ve durumla ilgili bilgilendirme yapmalıyız. Mobil cihazlarımıza yüklediÄŸimiz uygulamaları yalnızca orijinal uygulama maÄŸazalarından indirmeliyiz."