Gerçek Hayattaki Bir Vishing Saldırısının İçinde


Her şey Salı günü saat 10.30 sıralarında bilinmeyen bir cep telefonu numarasından gelen telefon görüşmesiyle başladı. Evde bilgisayarımda çalışıyordum ve genellikle tanımadığım insanlardan gelen telefonlara cevap vermiyordum. Bazı nedenlerden dolayı yaptığım işi bırakıp o çağrıyı kabul etmeye karar verdim.

Bu, önümüzdeki dört saat içinde yapacağım bir dizi hatanın ilkiydi; bu sırada bir olayın kurbanı olmuştum. Dilekveya sesli kimlik avı kampanyası. Bu zorlu sürecin sonunda, banka hesabımdan ve Bitcoin cinsinden dolandırıcılara yaklaşık 5.000 Euro (EUR) tutarında fon aktarmıştım. Bankam transferlerin çoğunu iptal edebildi; ancak saldırganların Bitcoin cüzdanına gönderdiğim 1.000 €'yu (EUR) kaybettim.

Uzmanlar, saldırganların kullandığı taktikleri bilme veya dolandırıcılığı tespit etme konusunda ne kadar uzmanlığa sahip olduğunuzun bir önemi olmadığını söylüyor. Saldırganların başarısının anahtarı teknolojiden daha eski bir şeydir; çünkü bu, bizi insan yapan şeyin, yani duygularımızın manipüle edilmesinde yatmaktadır.

Trend Micro'nun siber güvenlik danışmanı Richard Werner, “Teknoloji odaklı olduğumuz için bu dolandırıcılık taktiklerinin aslında eski olduğunu, İnternet dolandırıcılıklarından bile önce geldiğini ve kanıtlanmış olduğunu unutuyoruz” diyor. “Duygularla çalışırlar. Bizi doğru ruh haline soktuklarında ve öfkeyi ya da korkuyu tetiklediklerinde tüm tavsiyeleri unuturuz. Bu durumlarda sağduyumuzu kaybederiz ve işte tam bu noktada [attackers] bizi al.”

Sonuç olarak, 20 yıllık bir BT siber güvenliği uzmanı olan Werner'in yaptığı gibi, bir siber güvenlik uzmanı bile bir dolandırıcılığa kanabilir. Tam da makinesindeki işletim sisteminin düzgün çalışmamasıyla uğraşırken, e-postasına Windows desteği temalı bir mesaj içeren bir kimlik avı e-postası geldi. Şans eseri, bu, riskli bir kaynaktan değil, şirketindeki dahili bir kaynaktan gelen bir kimlik avı eğitimi çalışmasıydı.

Ancak çalışan eğitimi için kimlik avı alıştırmaları yazan biri olarak Werner, BT departmanından insan kaynaklarına kadar herkesin, doğru koşullar altında kendilerini dolandırıcılığa açık hale getiren bir tetikleyiciye sahip olduğunu biliyor.

Kırmızı bayraklar

Beni tuzağa düşüren dolandırıcılık şu sıralar yaygın olarak yapılan avlama tuzaklarından biriydi tüm dünyayı kasıp kavuruyor. Her yerde kırmızı bayraklar çalmasına rağmen saldırganlarla üç saatten fazla telefonda kaldım ve beni manipüle etmelerine izin verdim.

“İnsanların sesli arama yoluyla dolandırıldığını gösteren işaretlere bakmak söz konusu olduğunda, kişinin kendine sorması gereken asıl soru, bunun kendileriyle iletişime geçilecek olağan bir yöntem olup olmadığı, hattın diğer ucundaki kişinin bu soruyu sorup sormadığıdır. Sıra dışı bir şey yapmaları konusunda bir aciliyet duygusu var mı ve bu güçlü bir duygusal tepkiyi tetikliyor mu?” KnowBe4 güvenlik firmasının önde gelen güvenlik farkındalığı savunucusu Javvad Malik diyor. “Eğer öyleyse, o zaman büyük olasılıkla bir dolandırıcılıktır.”

Benim dolandırıcılığım en başından beri bu özelliklerin hepsini taşıyordu. Aramayı cevapladığımda, otomatik bir mesaj bana ulusal kimlik kartımın (Portekiz'de ikamet ediyorum) suç faaliyetlerinde kullanıldığını ve hakkında tutuklama emri çıkarıldığını bildirdi. Daha fazla bilgi istersem 1'e basmalıydım. Werner'e göre bu, telefonu kapatacağıma dair ilk işaretim olmalıydı.

Malik, “Teknolojiyle ilgisi olan hiçbir şeye güvenilemez” diyor. Bu durumda otomatik bir mesajın beni uyarması gerekirdi. Yakında tutuklanabileceğimin duyurulması karşısında hem paniğe kapıldım hem de merak ederek yemi yuttum.

Kendisini Lizbon'daki Portekiz GNR'sinde (Ulusal Cumhuriyet Muhafızları) görevli Marco Jose olarak tanımlayan bir adama transfer edildim. Bana rozet numarası olduğunu iddia ettiği şeyi verdi ve ardından kimliğimin kara para aklama ve uyuşturucu kaçakçılığıyla bağlantılı olarak kullanıldığını söyledi. Sorularına görev bilinciyle cevap verdim, kendimle ilgili bilgileri verdim çünkü bir polis memuruyla konuştuğumu sanıyordum.

Kurulum

Marco, polisin Lizbon'da bir eve baskın düzenlediğini ve benim adıma açılan çok sayıda banka hesabına ilişkin belgeler bulduğunu söyledi. Ayrıca polisin davayla bağlantılı olarak benim adıma kiralanmış terk edilmiş bir araba bulduğunu ve bunun için vaka numarasını verdiğini söyledi.

Onun söylediklerini yazarken aklımda sorular uçuşuyor, zihinsel alarm zilleri çalıyordu. Her ne kadar mantıksal olarak hikâyesinin boşluklarla dolu olduğunu bilsem de, o noktada duygularım uçup gidiyordu.

Kolluk kuvvetlerinin bana telefonla ulaşması, telefonu kapatmamı sağlamalıydı. Bir arkadaşımın ve eski GNR memurunun daha sonra bana söylediği gibi, şüpheli olarak benimle gerçekten ilgilenselerdi benimle şahsen konuşmaya gelirlerdi.

Gerçekten de, emniyet teşkilatı olduğunu iddia eden bir kişi birisiyle temasa geçerse yapılacak en iyi şey, tekrar arayacağını söylemek ve telefonu kapatmaktır. Werner, ajansın iletişim bilgilerine bakın (ve arayanın verdiği numaraya güvenmeyin), tavsiyesinde bulunuyor.

Bunun yerine Marco'nun sözünü kesemeyeceğim kadar hızlı konuşmaya devam etmesine izin verdim. Masum olduğumu bilmesine rağmen kanunun gözünde suç faaliyetine karıştığımı, çünkü benim adımın ve pasaportumun bunu gerçekleştirmek için kullanıldığını söyledi.

Davayı yöneten ve suçluları yakalamaya çalışan uluslararası yetkililerdeki meslektaşıyla konuşarak ismimi temize çıkarabilirdim, ancak bunun için soruşturmaya onun talimat verdiği şekilde yardım etmem ve talimatlarını dikkatle takip etmem gerekirdi. Marco'nun çağrıyı Uluslararası Adalet Divanı için çalıştığını iddia eden Dobra Volska'ya aktarmasına izin verdim.

Bu tür bir zorlamanın beni bir şeylerin yanlış olduğu konusunda uyarması gerektiğinden, burada başka bir yanlış adım attım. Ancak korkum beni yendi ve iki banka hesabımdaki mütevazı miktardaki paraya kadar tüm varlıklarımı kaybetme düşüncesiyle paniğe kapıldım. Ben de devam ettim.

Yakın

Marco kurulumu yönetirken Dobra daha yakındı.

Dobra'nın görevi, 45 dakika içinde yetkililerin benim adıma iddia edilen suçlarla bağlantılı tüm banka hesaplarına el koyacağını, ancak bu eylemin aynı zamanda meşru hesaplarımı da etkileyeceğini vurgulamaktı. “Zor kazanılan” fonlarımı güvence altına almak amacıyla, tüm varlıklarım için “güvenli bir dijital kasa” oluşturmayı teklif etti. Hükümetin kasayı yalnızca hesaplara el koymak için gereken süre boyunca kontrol edeceği ve paramın hemen sonra bana iade edileceği konusunda bana güvence verildi.

Sonraki birkaç saat içinde dizüstü bilgisayar ekranımı paylaşmak, banka havaleleri yapmak ve Bitcoin satın almak için MoonPay adlı uygulama da dahil olmak üzere çeşitli uygulamaları indirmek de dahil olmak üzere bu kadının bana yapmamı söylediği her şeyi yaptım. Kripto para birimini suçluların kontrol ettiği bir cüzdana aktardım.

KnowBe4'ten Malik'in söylediği gibi bu aciliyet, dolandırıldığıma dair bir başka ipucu, ancak bunu fark edemeyecek kadar çılgına dönmüştüm.

Malik, “Dolandırıcılık, aciliyet duygusu aşılanarak sonlandırılıyor” diyor. “Mağdurun hemen harekete geçmesini gerektiriyor ve bunu yaparak, mağdurun içinden çıkması gittikçe zorlaşan bir tünel görüşü duygusu yaratabilir.”

Werner, bu tünel vizyonunun, mağdurun çaresizce istese bile bu durumdan çıkamamasına neden olduğunu söylüyor. Düşünmem gerektiğini düşünerek Dobra'dan beklemesini istedim; zamanımızın olmadığını, hemen harekete geçmemiz gerektiğini ve eğer söylediklerini yapmazsam hesaplarıma el konulacağını yineledi.

İki kez onun söylediği kişi olup olmadığının doğrulanmasını istedim. Her iki seferde de beni kapattı ve “meslektaşı” beni Lahey'deki Uluslararası Adalet Divanı'nın gerçek numarasından aradı; telefon numarasının sahte olduğu açıktı. Ben soru sormaya devam edip düşünmeye zaman ayırdıkça Dobra'nın sesi yükselmeye ve ısrarcılaşmaya başladı. Bir noktada bana karşı o kadar şiddetli tehditler savurdu ki gözyaşlarına boğuldum.

Werner, “Telefondaki kişi, kim olduğunu doğrulamak veya derinlemesine düşünmek için zamana ihtiyacınız olduğunu anlamıyorsa, bu bir tehlike işaretidir” diye uyarıyor. “İyi niyetli olan herkes, 'Acele etmeyin, bir sonraki polis karakoluna gidin, bankanızı arayın' der ve başka bir işlem yapmadan önce size zaman tanır.

Mağduru izole edin

Dobra ayrıca olup bitenleri kimseye -arkadaşlarıma veya sevdiklerime bile- anlatmamam konusunda beni uyardı çünkü bu, bir şekilde onların da benim işlediğim iddia edilen suçlara karışmış olabileceği anlamına geliyordu. Daha da kötüsü, dolandırıcılığın içinde olabilirler.

Bu çile sırasında uzun zamandır birlikte olduğum erkek arkadaşıma mesaj attım ama herhangi bir ayrıntı vermedim. Az önce kimlik hırsızlığının kurbanı olduğumu ve bunun bir kabusa dönüştüğünü söyledim. Dobra beni kimseyle konuşmamam konusunda uyardığında ona mesaj atmayı bıraktım. Daha sonra, eğer ona olup biteni anlatmış olsaydım, bana telefonu hemen kapatmamı söyleyeceğini belirtti.

Werner, içgüdülerimi takip edip erkek arkadaşımla konuşmaya devam etseydim, bu dolandırıcılıktan para kaybetmeden kurtulabilirdim diyor.

“Bir saldırının ortasında önemli olan durumdan hemen çıkmaktır” diyor. “Ne söylersen söyle, bir cevapları olacak. Yani yapabiliyorsan, durumu durdurmalı, bu durumdan kurtulmalı ve güvendiğin birini işin içine dahil etmeye çalışmalısın.”

Oyun Oynamak Utanç Yok

Hikayemin pek çok kısmı, saatlerce süren vişne çilesine benziyor. yakın zamanda New York Times muhabiri Charlotte Cowles'ı tuzağa düşürdü, suçlulardan birinin kullandığı bir Mercedes'in arka koltuğuna 50.000 dolar nakit koydu.

Kandırıldığım için daha sonra hissettiği, ruhumu parçalayan utanç hakkında yazıyor; bu, benim de dolandırıldığım günlerde yaşadığım bir şey. Daha iyisini bilmem gerekirken bu kadar aptalca bir şey yaptığım için birkaç günümü kendime kızarak geçirdim. Hikayemi arkadaşlarımla ve tanıdıklarımla paylaştıktan sonra artık pek çok mağdurun olduğunu biliyorum.

Werner'in, bir siber suç dolandırıcılığına veya başka türde bir dolandırıcılığa kanan herkesi rahatlatacak sözleri vardı.

“Yaşananlardan utanmayın” diyor. “Bunlar [cybercriminals] çok organizeler. Karşı tarafta nasıl davranacağınızı ve bu durumdan kurtulmak için nasıl hareket edeceğinizi çok iyi biliyorlar.”

Siber güvenlik uzmanlarından bu terimi hiç duymamış kişilere kadar herkes için temel tavsiye Dilek Uzmanlar, dolandırıcıların oynadığı psikolojik oyunların size karşı kullanılamaması için en başından itibaren etkileşime girmekten kaçınmaya çalışmak olduğunu söylüyor. Birisi şüpheli veya kafa karıştırıcı görünen bir çağrı alırsa, arayan kişinin hikayesine cevap vermeden veya inanmadan önce önce bazı sorular sorun.

İnsanları benim görmezden geldiğim tüm tehlike işaretlerini tespit etmeleri konusunda eğitmek, onlara şüpheli bir telefon çağrısı aldıklarında veya beklenmedik bir çevrimiçi etkinlikle karşılaştıklarında derhal kurumsal güvenlik ekibinden biriyle iletişime geçmelerini tavsiye etmek gibi, uzlaşma tuzağına düşmekten kaçınmalarına da yardımcı olabilir.

Malik, “Güvenlik ekiplerinin ihtiyaç duyulduğunda müdahale edebilmesi için çalışanlara şüpheli telefon çağrılarını veya diğer etkinlikleri bildirmeleri için kolay ve güvenilir yöntemlerin sağlanması önemlidir” diyor.





Source link