Avrupa Polisi (Europol), yaşlı İspanyol vatandaşlarını hedef alan sosyal mühendislik taktikleri ve fiziksel tehditlerle birlikte ses dolandırıcılığı (vishing) ile bağlantılı olarak 54 kişinin tutuklandığını duyurdu.
Suçlular banka çalışanları gibi davranarak önce hedeflerini aradılar ve kişisel bilgilerini aldılar. Suç ortakları daha sonra kurbanları evlerinde fiziksel olarak hedef aldılar ve ödeme, kredi kartları, kişisel eşyalar ve mücevher talep ettiler.
“Bu suç sürecinin son adımı olarak, failler çalıntı kartları ATM’lerden para çekmek veya pahalı alışverişler yapmak için kullandılar, banka bilgileri ise sözde hesap ele geçirme eylemleri için kötüye kullanıldı.” Europol raporu not edildi.
Ajans, suç faaliyetinin 2,7 milyon dolarlık zarara yol açtığını belirtti.
“Bu vishing saldırısında göze çarpan şey kullanılan benzersiz yaklaşımdır,” diyor BforeAI’nin tehdit istihbarat lideri Abu Qureshi. “Saldırganlar kurbanın adresini fiziksel olarak ziyaret ediyor ve fiziksel verileri teslim etmeleri için onları kandırıyor.”
Geleneksel olarak dolandırıcılıkların yalnızca dijital varlıklarla sınırlı olduğunu, örneğin internet üzerinden şifre veya kredi kartı bilgilerinin çalınması gibi eylemlerde bulunulduğunu anlatan Prof.
“Bu fiziksel unsur, siber suçluların kurbanlarını istismar etmek için ne kadar ileri gidebileceklerini göstererek yeni bir karmaşıklık ve tehlike katmanı ekliyor,” diyor. “Dijital ve fiziksel taktiklerin birleşimi bu operasyonu özellikle endişe verici hale getiriyor.”
Yüz yüze sosyal mühendislik taktikleri, etkileşimde hedef kişiye karşı güven oluşturan ve şüpheciliği azaltan kişisel etkileşim katmanı ekleyerek vishing saldırılarının etkinliğini artırır.
Kureyşi, “Saldırganlar, meşru temsilciler gibi davranmak veya aciliyet duygusu yaratmak gibi sosyal mühendislik tekniklerini kullandıklarında, hedeflerini daha da etkili bir şekilde yönlendirebilirler” diyor.
Çarpıcı Ölçek, Sofistikelik
SlashNext E-posta Güvenliği’nin saha teknoloji sorumlusu (CTO) Stephen Kowski, vishing operasyonunun ölçeğini ve karmaşıklığını ve ardından gelen etkisizleştirmeyi “çarpıcı” olarak nitelendirirken, çok sayıda ülkede onlarca tutuklama ve milyonlarca dolarlık kayıp yaşandığını söyledi.
“Çağrı merkezlerinin kullanımı ve banka personelinin taklit edilmesi, vishing taktiklerinin nasıl daha ikna edici ve hedefli hale geldiğini gösteriyor,” diyor. “Gelişmiş sesli AI ve bir dizi sahtecilik teknolojisi, bu saldırıların kurbanlar tarafından tespit edilmesini giderek daha da zorlaştırdı.”
“Eski okul”u şöyle açıkladı: vishing yöntemleri yeniden canlanıyor çünkü insan psikolojisini ve güvenini şu şekillerde kullanıyorlar: teknik savunmalar önlemek için mücadele ediyor.
Kowski, “E-posta güvenliği geliştikçe saldırganlar, kurbanların gardını düşürebileceği ses kanallarına yöneliyor” diyor.
Uzaktan çalışmaya geçişin, çalışanları hedef alan sesli uyarı dolandırıcılıkları için de yeni fırsatlar yarattığını sözlerine ekledi.
Finansal kayıplar, veri ihlalleri ve tehlikeye atılan müşteri bilgileri başlıca endişelerden ve olası sonuçlardan bazılarıdır; olaylar ayrıca bir şirketin itibarına zarar verebilir ve müşteri güvenini aşındırmak.
Kureyşi, “Ayrıca, işletmeler bu nitelikteki bir sosyal mühendislik saldırısının kurbanı oldukları takdirde düzenleyici para cezaları ve yasal yaptırımlarla karşı karşıya kalabilirler” diyor.
Son aylarda güvenlik teşkilatlarının kendileri de hedef alındı; bunlara vishing dolandırıcılığı da dahildi. Siber saldırganlar, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) yetkililerini taklit etti.
Kowski, kuruluşların gerçekçi vishing simülasyonlarını içeren düzenli güvenlik farkındalık eğitimleri uygulamasını öneriyor.
“Gelişmiş ses tehdidi algılama ve otomatik çağrı tarama teknolojilerinin kullanılması, savunmasız kullanıcıların kötü amaçlı aramalardan korunmasına da yardımcı olabilir,” diyor. “Çalışanların, herhangi bir sonuç korkusu olmadan şüpheli aramaları bildirmekten rahat hissedebilecekleri bir kültür yaratmak kritik önem taşıyor.”