Smith, dolandırıcılığı bildiren kişileri bulmak ve daha sonra yayınladığı URL’leri bulmak için Reddit ve diğer çevrimiçi kaynakları taradı. Smith, Smishing Triad’ın araçlarını çalıştıran web sitelerinden bazılarının günde binlerce kişinin kişisel bilgilerini topladığını söylüyor. Web siteleri, diğer ayrıntıların yanı sıra, kişilerin adlarını, adreslerini, ödeme kartı numaralarını ve güvenlik kodlarını, telefon numaralarını, doğum tarihlerini ve banka web sitelerini talep ediyordu. Bu düzeydeki bilgiler, bir dolandırıcının kredi kartlarıyla çevrimiçi alışveriş yapmasına olanak tanıyabilir. Smith, karısının kartını hemen iptal ettiğini ancak dolandırıcıların yine de kartı kullanmaya çalıştığını, örneğin Uber ile kullanmaya çalıştığını fark ettiğini söylüyor. Araştırmacı, bir web sitesinden veri topladığını ve birkaç saat sonra geri döndüğünde yalnızca yüzlerce yeni kayıt bulduğunu söylüyor.
Araştırmacı, ilk blog yazılarını gördükten sonra kendisiyle iletişime geçen bir bankaya ayrıntıları verdi. Smith bankanın adını vermeyi reddetti. Ayrıca olayları FBI’a bildirdi ve daha sonra Amerika Birleşik Devletleri Posta Teftiş Servisi’ne (USPIS) bilgi verdi.
USPIS’te ulusal kamu bilgilendirme görevlisi olan Michael Martel, Smith tarafından sağlanan bilgilerin devam eden bir USPIS soruşturmasının parçası olarak kullanıldığını ve kurumun belirli ayrıntılar hakkında yorum yapamayacağını söylüyor. Martel, USPS paket teslimat dolandırıcılıklarını tespit etme ve bildirme konusunda tavsiyelere işaret ederek, “USPIS, Amerikan halkını korumak, kurbanları tespit etmek ve tüm bunların arkasındaki kötü niyetli aktörlere adalet sağlamak için bu tür bilgileri halihazırda aktif olarak takip ediyor” diyor.
Smith, başlangıçta araştırmasını kamuoyuna açıklamaktan çekindiğini söylüyor çünkü bu tür “geri hackleme” “gri bir alana” giriyor: Bu, ABD’de kapsamlı bir bilgisayar suçları yasası olan Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası’nı ihlal ediyor olabilir, ancak bunu yabancı suçlulara karşı yapıyor. Kesinlikle ilk veya son yapan kişi olmadığı bir şey.
Çoklu Çatallar
Smishing Triad çok üretkendir. Çince konuşan grup, dolandırıcılıklarında posta hizmetlerini yem olarak kullanmasının yanı sıra, Resecurity’nin baş operasyon görevlisi Shawn Loveland’a göre ABD, Avrupa, Hindistan, Pakistan ve Birleşik Arap Emirlikleri’ndeki çevrimiçi bankacılık, e-ticaret ve ödeme sistemlerini hedef aldı. Resecurity, grubu sürekli olarak takip ediyor.
Resecurity’nin araştırmasına göre Smishing Triad günlük 50.000 ila 100.000 mesaj gönderiyor. Dolandırıcılık mesajları SMS veya Apple’ın iMessage’ı kullanılarak gönderiliyor, ikincisi şifreli. Loveland, Triad’ın iki ayrı gruptan oluştuğunu söylüyor: Smishing kitini oluşturan, satan ve sürdüren bir Çinli hacker’ın yönettiği küçük bir ekip ve dolandırıcılık aracını satın alan ikinci bir grup insan. (Kitteki bir arka kapı, yaratıcının kiti kullanan yöneticilerin ayrıntılarına erişmesine olanak tanıyor, diyor Smith bir blog yazısında.)
Loveland, operasyon hakkında “Çok olgunca” diyor. Grup, dolandırıcılık kitini Telegram’da aylık 200 dolarlık bir abonelik karşılığında satıyor ve bu, dolandırıcıların taklit etmeye çalıştığı organizasyonu gösterecek şekilde özelleştirilebiliyor. Loveland, “Baş aktör, Çince iletişim kuran Çinliler” diyor. “Çince web sitelerini veya kullanıcılarını hackliyor gibi görünmüyorlar.” (Telegram’daki ana irtibat kişisiyle yapılan iletişimde, kişi Smith’e bilgisayar bilimi öğrencisi olduğunu iddia etti.)
Smishing kiti için nispeten düşük aylık abonelik ücreti, dolandırıcıların topladığı kredi kartı bilgilerinin sayısı göz önüne alındığında, bunu kullananların önemli karlar elde etme olasılığının yüksek olduğu anlamına geliyor. Loveland, insanlara anında bildirim gönderen kısa mesajların kullanılmasının, kötü amaçlı bağlantılar içeren e-postalar göndermeye kıyasla daha doğrudan ve daha başarılı bir kimlik avı yolu olduğunu söylüyor.
Sonuç olarak, smishing son yıllarda artışta. Ancak bazı belirgin işaretler var: Tanımadığınız bir numaradan veya e-postadan bir mesaj alırsanız; tıklanacak bir bağlantı içeriyorsa; ve acilen bir şey yapmanızı istiyorsa, şüphelenmelisiniz.