Dolandırıcılıkları tespit etme konusunda keskin bir gözünüz olabilir ancak dolandırıcılar, tespit edilmekten kaçınmak için güvenilir sistemleri silah haline getirmenin yeni yollarını buluyor. Örneğin, tehdit aktörleri iki faktörlü kimlik doğrulama (2FA) kodlarını ele geçirmek ve iCloud hesaplarına erişim sağlamak için gerçek Apple destek biletleri oluşturuyor.
Medium'da bir güvenlik araştırmacısı ve yazılım ürün yöneticisi Eric Moret tarafından ayrıntılı olarak açıklanan şema, sosyal mühendislik taktiklerinin tehlike işaretlerini bilenleri bile kandırmaya yetecek kadar korku ve kafa karışıklığı yaratabileceğini gösteriyor. (Bir mali tavsiye köşe yazarının 50.000 dolarını dolandıran para transferi dolandırıcılığı başka bir örnektir.)
Dolandırıcılar Apple'ın destek sisteminden nasıl yararlanıyor?
Apple destek dolandırıcılığı, Apple'dan gelen 2FA kodunu içeren bir kısa mesajla başladı ve ardından cihazlar arasında birisinin Moret'in hesabına giriş yapmaya çalıştığını belirten doğrulama bildirimleri geldi. Daha sonra Apple'dan başka bir 2FA kodu içeren otomatik bir çağrı aldı. Mesaj beş haneli bir kısa koddan ve çağrı ücretsiz bir numaradan gönderilmişti; bunların her ikisi de yasal işletmeler tarafından kullanılıyor ve mutlaka bir dolandırıcılığın tehlike işareti sayılmaz.
Ancak bir sonraki arama Atlanta merkezli 404 telefon numarasından geldi. Arayan kişi Apple Destek'ten olduğunu iddia etti, Moret'in hesabının saldırı altında olduğunu belirtti ve kendisine destek bildirimi açacakları konusunda güvence verdi. 25 dakika süren bir takip görüşmesi sırasında Moret, e-posta yoluyla gerçek bir Apple Destek vaka onayı aldı (herkesin başka birinin adına Apple destek bildirimi oluşturabileceği ortaya çıktı) ve iCloud şifresini sıfırlaması için yönlendirildi.
Daha sonra kendisine bu kez 404 numaralı numaradan SMS yoluyla bileti kapatması için bir bağlantı gönderildi. Moret tıkladıktan sonra gerçek bir Apple sayfasını taklit eden bir kimlik avı web sitesine yönlendirildi (URL temyiz-apple idi)[dot]com), kısa süre önce kısa mesaj yoluyla aldığı 6 haneli 2FA kodunu girmesi istendi. Daha sonra gelen kutusuna gelen bir e-posta, iCloud hesabına giriş yapmak için bilinmeyen bir Mac mini'nin kullanıldığı konusunda onu uyardı; telefondaki temsilci bunun “güvenlik sürecinin bir parçası olarak beklendiğini” ve “standart prosedür” olduğunu söyledi.
Moret daha sonra yetkisiz cihazı kapatmak için iCloud şifresini hemen yeniden sıfırladı.
Geriye dönüp bakıldığında işaretleri görmek kolay olabilir: acil bir güvenlik sorunuyla ilgili istenmeyen çağrı, 404 numarası, gerçek bir Apple alt alanı olmayan kimlik avı bağlantısı, kimlik doğrulama kodu talebi. Ancak gerçek bir vaka numarası ve apple.com alan adlarından gelen resmi e-postaları içeren Apple destek bildirimi, yeterli güvenilirliği ve birden fazla 2FA bildiriminin işe yaraması için yeterli aciliyeti sağladı.
Şu ana kadar ne düşünüyorsun?
Sosyal mühendisliğin sorunu da bu. Mantık ve akıldan daha güçlü olan duygu ve içgüdüleri manipüle ederek çıkarımıza olmayan eylemlere yol açar.
Nasıl güvende kalınır?
Her zaman olduğu gibi, gerçek güvenlik uyarıları almış olsanız veya meşru bir vaka numarasına sahip olsalar bile, bir güvenlik veya hesap sorunuyla ilgili olarak sizi arayan, mesaj atan veya e-posta gönderen herkese karşı dikkatli olmalısınız. Bu istenmeyen arayanlar tarafından istendiğinde bağlantılara tıklamayın, kimlik bilgilerini girmeyin veya kod vermeyin. Ne kadar sakin ve kendinden emin görünürse görünsün, telefondaki hiç kimsenin güvencesini kabul etmeyin.
Endişeniz varsa, güvenilir iletişim bilgilerini kullanarak doğrudan iletişime geçmeli veya destek bildirimlerini kendiniz açmalısınız. Bilgisayar korsanları bunların yasal görünmesini sağlamak için hileler yapabileceğinden URL'leri ve alt alan adlarını her zaman dikkatli bir şekilde kontrol edin.
Ayrıca, hesaplarınızı güvende tutmak için yalnızca 2FA'yı etkinleştirmenin yeterli olmadığını bilin. Bazı formlara (açıkçası) kolayca kimlik avı yapılabilir; bu nedenle mümkünse kodlar yerine donanım anahtarı veya WebAuthn kimlik bilgileri (biyometri ve geçiş anahtarları) gibi çok faktörlü bir kimlik doğrulama yöntemi kullanmalısınız.
Bir yanıt yazın