Bir smishing (SMS kimlik avı) kampanyası, iMessage kullanıcılarını hedef alıyor ve onları Apple’ın yerleşik kimlik avı korumasını atlatacak şekilde sosyal mühendislik yapmaya çalışıyor.
Aylardır iMessage kullanıcıları, kimlik avcılarının bu korumayı nasıl aşmaya çalıştıklarına dair örnekleri çevrimiçi olarak yayınlıyor. BleepingComputer’daki dostlarımıza göre kampanya artık ilgi görüyor.
Şu şekilde çalışır: Normal koşullar altında iMessage, kullanıcıyı yanlışlıkla tıklamaya karşı korumak için bilinmeyen gönderenlerden gelen iletilerdeki tüm bağlantıları devre dışı bırakır. Ancak bir kullanıcı bir mesaja yanıt verirse veya göndereni kişi listesine eklerse bağlantılar etkinleştirilir ve kişinin bağlantıya tıklamasına olanak sağlanır.
Mesajların metni, kimlik avcılarının kullanmayı sevdiği tüm varyasyonlarda gelir:
Ama hepsinin sonu şuna benzer:
“(Lütfen E yanıtını verin, ardından SMS’ten çıkın, SMS aktivasyon bağlantısını yeniden açın veya bağlantıyı Safari’de açmak için kopyalayın)”
Y (veya aslında herhangi bir şey) ile yanıt vermek, bağlantıları etkinleştirecek ve iMessage’in yerleşik kimlik avı korumasını kapatacaktır. Bağlantıya tıklamak, alıcıyı kimlik avcısının aklındaki kötü amaçlı web sitesine yönlendirecektir. Kullanıcı yalnızca “Y” yanıtını verip ardından bağlantıyı takip etmemeye karar verse bile (çünkü bağlantı biraz yanlış görünüyor), kimlik avcıları daha fazla saldırı için olası bir hedef bulduğunu bilecek.
Chrome tarayıcısı için de benzer talimatların bulunduğunu bilmek önemlidir:
“1 ile yanıtlayın, SMS mesajından çıkın ve SMS aktivasyon bağlantısını yeniden açın veya açmak için bağlantıyı Google Chrome’a kopyalayın.)”
Smashing dolandırıcılıklarından nasıl kaçınılır
- Yalnızca “Y” veya “1” olsa bile şüpheli mesajlara asla yanıt vermeyin. Kimlik avcılarına canlı bir numaraya sahip olduklarını söyleyecek ve sizi daha fazla denemeyle bombalayacaklar.
- Asla bilmediğiniz bir numarayı Kişilerinize eklemeyin; bu, iMessage korumasını da devre dışı bırakacaktır.
- Herhangi bir mesajın gerçek bir anlaşma olduğunu varsaymayın. Sizden bir şey yapmanız istenirse, güvendiğiniz bilinen bir yöntemle doğrudan şirketle iletişime geçin. Sahte olduğu ortaya çıkarsa, bunu hemen orada onlara bildirebilmelisiniz.
- Arama yapılmaması gerekenler listesinin veya spam raporlama hizmetinin olduğu bir yerde yaşıyorsanız, bu hizmetten tam anlamıyla yararlanın. Sahte mesajları ve numaraları bildirin.
- Mobil cihazınızda sizin haberiniz olmadan bir tür “güvenli” mesaj kimliği zaten etkinleştirilmiş olabilir. Telefon modellerindeki seçeneklerin çok farklı olması nedeniyle burada özel tavsiyelerde bulunmak zordur, ancak Seçenekler / Güvenlik / Güvenlik / Gizlilik menüleri başlamak için iyi bir yerdir.
- Tıklamadan önce bağlantıyı kontrol edin veya tarayıcınıza kopyalayın. Tam olarak olmasını beklediğiniz şey bu mu? Dolandırıcılar sıklıkla yazım hatası tekniklerini kullanır (örneğin evri[.]meşru evri yerine üst[.]com veya meşru görünmesi için alt alan adını kullanan bir bağlantı üretiyorlar (örneğin usps.com-track.infoam)[.]xyz). Gerçek görünmüyorsa üzerine tıklamayın.
- Bir mesaj gerçek olamayacak kadar iyi (ya da kötü) geliyorsa muhtemelen öyledir.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.