SIM değişikliği dolandırıcılığı tehlike saçıyor!
Güney Afrika’nın Cape Town şehrinde düzenlenen Kaspersky Lab Cyber Security Weekend etkinliğinde, Kaspersky Lab uzmanları tüm dünyada giderek popüler hale gelen mobil ödeme yöntemleri ile bu teknolojinin beraberinde getirdiği riskleri anlattı. Uzmanlar özellikle Afrika ve çevresinde sıkça görülen SIM değişikliği dolandırıcılığına odaklandı. Bu saldırı türü, Güney Afrika Bankacılık Risk Bilgilendirme Merkezi (SABRIC) verilerine göre geçtiğimiz yıl Güney Afrika’da iki kattan fazla arttı.
Abone olOperatörün, telefon numaranızı suçluların kontrolündeki bir SIM
kartına aktarmaya ikna edilmesine SIM değişikliği dolandırıcılığı
adı veriliyor. Bazı durumlarda, operatörlerde çalışan
kişilerin de suçlularla birlikte hareket ettiğine rastlanabiliyor.
Gelen SMS mesajlarını farklı bir yere aktaran dolandırıcılar;
finansal hizmetler, sosyal ağlar, web e-posta servisleri ve anlık
mesajlaşma uygulamaları gibi yerlerdeki hesaplarınızı koruyan metin
tabanlı iki faktörlü kimlik doğrulama kontrollerini kolaylıkla
aşabiliyor. Operatörün, telefon numaranızı suçluların
kontrolündeki bir SIM kartına aktarmaya ikna edilmesine SIM
değişikliği dolandırıcılığı adı veriliyor. Bazı durumlarda,
operatörlerde çalışan kişilerin de suçlularla birlikte hareket
ettiğine rastlanabiliyor. Gelen SMS mesajlarını farklı bir yere
aktaran dolandırıcılar; finansal hizmetler, sosyal ağlar, web
e-posta servisleri ve anlık mesajlaşma uygulamaları gibi yerlerdeki
hesaplarınızı koruyan metin tabanlı iki faktörlü kimlik doğrulama
kontrollerini kolaylıkla aşabiliyor.
Mobil ödeme yöntemleri çoğu Afrika ülkesinde kullanılıyor. Yapılan
araştırmaya göre, 2017 sonunda Sahra Altı Afrika bölgesinde 135
farklı mobil para hizmetinin toplam 122 milyon aktif hesabı
bulunuyordu. Mobil cihazlar üzerinden ödeme yöntemlerinin sağladığı
kolaylık tartışılamaz olsa da Kaspersky Lab’ın yaptığı araştırma,
mobil ödeme ve bankacılık sisteminin başta SIM değişikliği
dolandırıcılığı olmak üzere geniş bir saldırı dalgası altında
olduğunu gösteriyor. İnsanlar bu saldırılar sonucunda maddi
kayıplar yaşıyor. Bu tür saldırılar yalnızca kimlik bilgilerini
veya SMS ile gönderilmiş tek kullanımlık parolaları çalmak için
değil, ayrıca kurbanları maddi zarara uğratmak veya finansal
hizmetlerdeki hesapları sıfırlamak için de kullanılabiliyor.
Böylece dolandırıcılar bankaların yanı sıra finansal teknoloji
sağlayıcıları ve kredi birliklerindeki hesaplara da erişebiliyor.
Dolandırıcılar bu yöntemi WhatsApp ile para çalmak için de
kullanıyor. Yeni bir telefona mesajları yükledikten sonra listedeki
kişilerle iletişim kurarak acil bir durum için para
isteyebiliyorlar.
Kaspersky Lab Kıdemli Güvenlik Araştırmacısı Fabio Assolini,
“Finansal erişim hizmetlerinin gelişmesiyle siber suçlular ve
dolandırıcılara yepyeni fırsatlar doğuyor. Mobil telefonların
kullanışlı yapısından yararlanan suçlular iki faktörlü kimlik
doğrulama sürecini suistimal ediyor. SIM değiştirme ile yapılan
dolandırıcılıklar Afrika ve Orta Doğu bölgesini etkisine alarak
Güney Afrika, Türkiye ve BAE gibi ülkelerde yaygınlaşıyor. Mozambik
gibi ülkeler bu sorunu ilk elden yaşadı. Saldırıların ardından
Mozambik’te bankalar ve mobil operatörlerin aldığı önlem, bence
herkesin ders alması ve diğer bölgelerin de araştırıp uygulaması
gereken bir çözüm sunuyor. Diğer her şeyin yanında geleceğin mobil
ödeme yöntemleri için de kullanılabilecek bu çözüm cebimizdeki
telefonların cebimizdeki düşmanlara dönüşmesini engelleyebilecek
bir yol sunuyor” dedi.
Saldırılar nedeniyle oluşan zarar ülkeden ülkeye değişiyor. Bazı
yerlerde çok uç örneklere rastlamak da mümkün. Örneğin Birleşik
Arap Emirlikleri’nde bir kişinin yaklaşık 1 milyon dolar kaybettiği
belirlendi. Güney Afrika’da ise bir kurban 20.000 dolar zararının
olduğunu söyledi. Assolini, “Dolandırıcılar kurban başına ortalama
2500-3000 dolar arasında para çalabiliyor. SIM değişikliği yapmanın
suçlulara maliyeti ise 10 ila 40 dolar oluyor” dedi.
Giderek büyüyen mobil dijital yaşantıyı ve ödeme yöntemlerini
korumak için Kaspersky Lab şu temel adımların atılmasını tavsiye
ediyor:
• Ödemelerde kimlik doğrulama için ses ve SMS yöntemlerinden
kaçınılmalı
- Google Authenticator gibi mobil uygulamalardaki tek kullanımlık
parolalar veya fiziksel aygıtlar kullanılmalı.
• Biyometrik veriler
- Fiziksel özelliklerden daha iyi bir kimlik doğrulama yöntemi
yoktur. Sesli kimlik doğrulama seçeneğinin ise daha fazla
incelenmesi gerekiyor.
• Otomatik bir ‘Numaranız devre dışı bırakılacaktır’ mesajı - SIM
değiştirme talebi olduğunda bu mesaj paylaşılmalıdır. Sahte bir
talep olduğunda bu mesaj kullanıcının durumu daha hızlı rapor
etmesine yardımcı olur.
• WhatsApp’ta iki faktörlü kimlik doğrulamayı etkinleştirme
- WhatsApp hesabının çalınma ihtimalini düşürmek için cihazınızda
altı haneli bir PIN ile iki faktörlü kimlik doğrulamayı
etkinleştirmek kritik önem taşır. Kullanıcı böylece cihazda yeni
bir güvenlik katmanına sahip olur.