Yemleme ( “phishing”) Hazırlayanlar
Yüklə 0,54 Mb. Pdf görüntüsü
|
|
1.A
Ģama; S iber saldırganlar, yemleme amacıyla hedef aldıkları kiĢileri, belli bir sahte telefon numarasını aramaya teĢvik edebilecekleri ikna edici unsurlar içeren ĠDEP’ler, kısa mesajlar (Short Messaging Service – SMS) veya çokluortam mesajları (Multimedia Messaging Service - MMS) hazırlamaktadırlar. Ayrıca, hedef alınan kiĢilerin facebook ve benzeri sosyal paylaĢım sitelerinde kendi istekleriyle yayımladıkları, herkes tarafından ulaĢılabilir olan kiĢisel bilgilerini kullanmak suretiyle, hazırlamıĢ oldukları e-postaları veya kısa mesajları kiĢiye özel hale getirerek, inandırıcılıklarını arttırmaktadırlar. 2.A Ģama; S iber saldırganlar, ilk aĢamada hazırladıkları e-postaları Ġnternet Servis Sağlayıcıları (ĠSS) aracılığıyla veya SMS veya MMS’leri telefon hizmeti sağlayan iĢletmeciler aracılığıyla hedef aldıkları kiĢilere göndermektedirler. SMS kullanılarak yapılan yemleme 9 Ollmann, G., 2007, “Vishing Rehberi”, IBM, s. 3 10 “smishing” olarak nitelendirilmektedir. 3.A Ģama; Y emlemeye hedef olan kiĢiler, güvenilir olduğunu varsaydıkları bir kaynaktan geldiğini düĢündükleri e-posta, SMS veya MMS’leri okumakta ve söz konusu e-posta veya mesajlara inananlar kendilerine verilen sahte telefon numarasını aramaktadırlar. Siber saldırganlar, bu saldırılar için genellikle ücretsiz olarak bilinen 800 veya 444 ile baĢlayan numaraları seçmektedirler. 4.A Ģama; S iber saldırganlar tarafından kendilerine iletilen telefon numarasını arayan müĢteriler, birkaç farklı Ģekilde dolandırılmaktadır. Bunlardan biri, aranan tarafta bulunan otomatik çağrı sistemi tarafından sorulan banka hesap numarası, kredi kartı numarası, sosyal güvenlik numarası, herhangi bir gruba üyelik kullanıcı adı, Ģifre, anne kızlık soyadı ve benzeri kiĢisel bilgilerin siber saldırganlarca ele geçirilmesi ve çıkar amaçlı kullanılmasıdır. Telefon görüĢmesi sırasında saldırıya hedef olan kiĢilerin seslerini veya bastıkları telefon tuĢlarını otomatik olarak tanıyan ve sayısal ortama aktaran teknolojiler de kullanılabilmektedir. Diğeri, mezkûr numara arandıkça, arayandan yüklü miktarda ücret alınması ve bu ücretlerin aranana ödenmesidir. Ayrıca, ilk üç aĢamadan geçmeden, hedef alınan kiĢiler doğrudan aranarak canlı telefon görüĢmesi esnasında da kiĢisel bilgileri ele geçirilebilmekte veya faturalarına yüksek ücretler tahakkuk ettirilebilmektedir. ġekil 2.4’ te Ġnternet üzerinden çalıĢan uluslararası bir ödeme sisteminin müĢterilerini hedef alan bir “vishing” saldırısına ait e-posta görüntülenmektedir. |