İsviçreli Binlerce Kişinin Aldığı Şüpheli SMS Mesajlarının Arkasındaki Gerçekler

İsviçre’deki binlerce kişinin aldığı şaşırtıcı Posta SMS’lerinin arkasında, „Roaming Mantis“ adlı suç çetesi tarafından yapılan sahte balık avı SMS’leri bulunuyor. Bu kriminal grup, Swisscom ve diğer operatörlerin SMS filtrelerini atlatmak için yeni bir hile geliştirdi.

Öncelikle Phishing ‚Balık Avı‘ ya da ‚oltalama‘ denilen dolandırıcılık türü nedir?

Dolandırıcıların rastgele kullanıcı hesaplarına e-mail gönderdikleri bir çevrimiçi saldırı türüdür. E-postalar, bilinen web sitelerinden veya kullanıcının bankasından, kredi kartı şirketinden, e-posta veya internet hizmeti sağlayıcısından gönderilmiş gibi gözükür.

1. Dolandırıcılar neyi amaçlıyor?
2. Bu mesajlar kimden geliyor? Suçlular kim?
3. Mesajı almak veya okumak tehlikeli mi?
4. Mesajdaki bağlantıyı açmak tehlikeli mi?
5. Balık avı mesajlarını tanımak için ipuçları nelerdir?
6. Niçin bu iddia edilen Posta SMS’lerini bu kadar çok insan alıyor?
7. Neden mobil iletişim sağlayıcıları bu istenmeyen mesajları filtrelemiyor?
8. Şüpheli bir mesaj aldığımda ne yapmalıyım?
9. Suçlular telefon numaramı nereden buluyor?
10. Neden pek çok kişi tuzağa düşmese de, büyük çaplı balık avı saldırıları karlı oluyor?
11. Suçluların büyük ölçüde metin mesajları göndermesi nasıl mümkün oluyor?
12. Yetkililer ve iletişim sağlayıcıları ne yapıyor?
13. İstenmeyen SMS’lerle mi yaşamak zorundayız?
14. Sahtekarlar için tatil hafta sonu yok. Gece gündüz boş durmuyor harıl harıl yeni hilelerle kurban arıyorlar. Şu anda devam eden Smishing kampanyasında (SMS ile balık avı) metin mesajları Devlet Posta Schweizer Post adıyla gönderiliyor. Örnek mesajlar şöyle görünüyor:

1. Adresin eksik olduğu için gönderinin teslim edilemediği iddia ediliyor. Dolandırıcıların sahte Posta mesajında bu şekilde ifade ediliyor. Link, Posta web sitesinin mükemmel bir kopyasına yönlendiriyor. Orada adresinizi, e-posta adresinizi ve telefon numaranızı güncellemeniz isteniyor. Yeniden teslimat için 0.27 İsviçre Frankı hizmet ücreti alınacağı belirtiliyor. Bu ücreti çevrimiçi olarak kolayca kredi kartıyla ödeyebilirsiniz.

Sahte Posta SMS’leri
Gerçek Devlet Postası paketleriniz ya da Online Spiarişleriniz için asla e-posta, SMS veya telefonla şifre veya kredi kartı bilgileri istemez. Ekran görüntüsü:

Gerçek Post, asla e-posta, SMS veya telefon aracılığıyla şifre veya kredi kartı bilgisi istemez.

Suçlular, kişisel bilgilerin yanı sıra kredi kartı bilgilerine de göz dikmiş durumda; bu bilgileri dolanrıcıılıkla elde etmek istiyorlar. Zürih Kanton Polisi, „Veriler genellikle alışverişlerde kullanılıyor, ancak abonelik tuzakları için de kullanılabilir“ diyor.

Bu mesajlar kimden geliyor? Suçlular kim?

Roaming Mantis adıyla bilinen bu kampanyaların arkasındaki suçlular, özellikle 2019’dan bu yana Asya ülkelerinin yanı sıra çeşitli Avrupa ülkelerini de hedefleyen bir Asya kökenli grup. Daniel Stirnimann, İsviçre İnternet adreslerinin işletilmesi ve güvenliğinden sorumlu olan Switch Vakfı’ndan bir güvenlik uzmanı olarak bunu belirtiyor.

Bu grup, 2019’un Haziran ayında İsviçre Postası adına Apple kimlik bilgisi avı (phishing) operasyonu düzenledi. Suçlular, elde ettikleri Apple kullanıcı verileriyle özellikle iTunes kuponları satın aldılar.

„Kasım 2022’den beri Roaming Mantis’i İsviçre’de neredeyse hiç görmüyoruz,“ diyor Stirnimann. Bunun büyük ölçüde, Swisscom’un Mart 2022’de bir SMS filtresi tanıtmasından kaynaklandığını belirtiyor. Sunrise ve Salt da ardından geldi.

Yaklaşık olarak Ağustos 2023’ten bu yana Roaming Mantis’in İsviçre’de tekrar aktif olduğunu, o zamandan beri özellikle kredi kartı avı (phishing) ile uğraştıklarını belirtiyor. Suçluların, SMS filtresini nasıl atlattıklarını, cevaplar 6 ve 7’de göreceğimizi ifade ediyor.

Mesajı açmak tehlikeli mi?

İlgili uzmanlara göre, bu tür mesajların alınması veya okunması genellikle tehlikeli değildir. Bununla birlikte, mesajda bulunan bağlantıya tıklamanın veya verilen talimatları izlemenin riskli olabileceği konusunda uyarıda bulunuluyor. Dolandırıcılar, genellikle bu tür mesajlarda kişisel bilgileri ve kredi kartı bilgilerini çalmak için tasarlanmış sahte web sitelerine yönlendirme yaparlar. Bu nedenle, alınan bir mesajın güvenilir olup olmadığını değerlendirmek ve şüpheli bir durumda dikkatli olmak önemlidir.

Bununla birlikte, mesajlara verilen yanıtların ya da içerdikleri bağlantıların tehlikeli olabileceği konusunda dikkatli olunmalıdır. Bu tür dolandırıcılık girişimlerine karşı dikkatli olmak ve mesajları gönderenin kimliğini doğrulamak önemlidir.

Bu tür mesajların gönderenlerinin kimlik bilgilerini sahte olabileceği unutulmamalıdır. Dolayısıyla, alınan herhangi bir mesajın güvenilirliğini doğrulamak için, resmi iletişim kanallarını kullanmak ve şüpheli bir durumda ilgili yetkililere başvurmak önemlidir. Bu tür dolandırıcılık girişimlerine karşı genel olarak dikkatli olmak ve kişisel bilgilerinizi korumak için en iyi uygulamaları takip etmek önemlidir.

Linki tıklamak tehlikeli mi?

Şimdiye kadar, bu sahte SMS’lerin açılmasının veya okunmasının tehlikeli olmadığı belirtiliyor. Ancak, içerdiği şüpheli bağlantıları tıklamaktan kaçınmanız gerektiği vurgulanıyor. Özellikle 2019’da aynı dolandırıcıların Android kullanıcılarını zararlı bir uygulama indirmeye teşvik etmeye çalıştığı hatırlatılıyor. Bu tür bir indirme başarılı olduğunda, kişisel veriler çalınmış ve mobil cihazlar daha fazla dolandırıcılık amaçlı kullanılmıştır.

Bu nedenle, güvenilmeyen bağlantılar veya uygulamalar hakkında dikkatli olmak önemlidir. Herhangi bir şüpheli mesaj veya bağlantı aldığınızda, onları açmadan önce güvendiğiniz bir kaynaktan doğrulamak iyi bir uygulama olabilir.

Oltalama yani Pfishing olduğunu nasıl anlarız ?

Tobias Lang, İsviçre Postası’nın sözcüsü, şu açıklamayı yapıyor:

„+84 ile başlayan numara bir Posta numarasını işaret etmiyor ve bitly.ws/ bağlantısı Posta ile hiçbir ilişkisi bulunmuyor.“ Metin mesajındaki bağlantı chpost24.top/ch adresine yönlendiriyor. „Bu ne güvenli bir bağlantıdır (https:// eksik) ne de bir Posta web sitesidir. Gömülü bağlantının post.ch, poste.ch, posta.ch veya swisspost.ch veya swisspost.com ile bitmediği görülerek tanımlanabilir.“

„0.27 CHF’lik ödeme miktarı da şüphelidir.“ Bu, birçok kişinin düşünmeden ödeme yapmasını ve kredi kartı bilgilerini girmesini sağlamak için bilinçli olarak düşük seçilmiştir.

Bu örnekte, şüpheli gönderici +84 olan SMS’in muhtemelen Roaming Mantis adlı suç örgütünün başka bir kurbanının enfekte bir akıllı telefonundan geldiği düşünülmektedir. Bu kişi muhtemelen telefonunun phishing dolandırıcılığı için kullanıldığını bilmiyor.

Ancak, dolandırıcılar her zaman işleri kolaylaştırmazlar: phishing SMS’lerde gönderenin adı web araçları kullanılarak sahte yapılabilir – mesajların daha inandırıcı görünmesi sağlanır.

Önemli Not: Genel olarak sözcü Lang , „Posta asla müşterilerinden e-posta, SMS veya telefon aracılığıyla şifreler veya kredi kartı bilgileri gibi kişisel güvenlik ögelerini istemez,“ diye vurguluyor.

1. örneğin +84 numarasından anlaşılabileceği gibi, bu mükemmel Almanca metin de Devlet Postanesinden değil.
2. Güvensiz Bağlantılar: Mesajda paylaşılan bağlantılar genellikle güvenilmez ve sahte web sitelerine yönlendirebilir. Gerçek kurumlar genellikle resmi web sitelerinden bağlantılar paylaşır.
3. Dil ve Yazım Hataları: Phishing mesajları genellikle dil ve yazım hataları içerir. Profesyonel kuruluşlar genellikle yazım ve dil konusunda daha dikkatli olurlar.
4. Baskı ve Tehdit: Phishing mesajları sıklıkla acil bir eylem gerektiren veya tehdit içeren ifadeler içerir. Gerçek bir kuruluş, size hemen yanıt vermenizi veya özel bilgilerinizi paylaşmanızı istemez.
5. Kişisel Bilgi Talebi: Sahte mesajlar genellikle kişisel veya finansal bilgilerinizi isteyen bağlantılar içerir. Güvenilir bir kuruluş, hassas bilgilerinizi e-posta veya SMS yoluyla istemez.
6. Bilinmeyen Göndericiler: Mesaj gönderenin tanınmayan bir e-posta adresi veya numarası olması bir uyarı işareti olabilir. Güvenilir kuruluşlar genellikle tanınabilir iletişim bilgileri kullan

Hile girişimleri genellikle kısa süre sınırlamaları veya keskin bir S (ß) ile belirginleşir. Suçlular, paketin geri gönderileceğini belirterek, kurbanlarını sıkıştırmak için genellikle 12 saat içinde hareket etmelerini talep ederler.

Dolandırıcılar, İsviçre’deki SMS Filtrelerini Atlamak için Yöntem Değiştiriyor

İsviçre’deki mobil operatörlerin SMS filtrelerinden kaçmak için bazı suçlular, taktiklerini değiştirmeye başladı. Swisscom, Sunrise ve Salt gibi operatörler, sahtekâr phishing SMS’lerini engellemek için SMS filtreleri kullanıyor. Ancak, suçlular artık bu filtreleri aşmak için farklı bir yol buldular.

Swisscom basın sözcüsüne göre, SMS içindeki bağlantılar otomatik olarak tehlikeli URL’lerin bir karaliste ile karşılaştırılıyor ve tehlikeli bağlantılar engelleniyor. Bu sayede, kullanıcılar potansiyel olarak zararlı bağlantılara tıklamaktan korunuyorlar. Ancak, suçlular artık bu tür filtrelemeyi atlayacak yöntemler geliştirdiler.

Özellikle, suçlular SMS yerine Android’de RCS mesajları ve iPhone’da iMessage kullanarak mesajlar gönderiyorlar. Bu modern iletişim yöntemleri, Swisscom ve diğer mobil operatörler tarafından filtrelenmiyor. Dolayısıyla, suçlular bu yeni yöntemlerle filtrelemeden kaçarak daha fazla kişiye ulaşmayı hedefliyorlar.

Güvenlik uzmanı Daniel Stirnimann’a göre, suçluların bu yeni taktikleri, İsviçre’nin bu iletişim protokollerini desteklemesine ve buna karşın bir spam filtresinin bulunmamasına dayanıyor. Bu durum, suçluların daha etkili bir şekilde phishing saldırıları gerçekleştirmelerine olanak tanıyor.

Swisscom ve diğer operatörler, bu yeni tehdide karşı önlemler almak için çaba gösteriyorlar. Ancak, kullanıcıların da dikkatli olmaları ve bilinmeyen bağlantılara tıklamamaları önemli.

RCS Sohbeti SMS’nin Yerini Alıyor: Swisscom ve Diğerlerinin SMS Spam Filtreleri iMessage, WhatsApp veya RCS Mesajlarını Engelleyemiyor

Swisscom ve diğer İsviçre mobil operatörlerinin SMS spam filtreleri, iMessage, WhatsApp veya RCS mesajlarını engelleyemiyor. En büyük İsviçre mobil operatörü, „RCS ve iMessage gibi metin mesajlarını, aynı zamanda WhatsApp ve diğerlerini Swisscom filtreleyemez. Bu yalnızca ilgili hizmet sağlayıcılar tarafından yapılabilir“ diyor. Swisscom, topu Google, Apple ve Meta’ya atıyor.

Eski, şifrelenmemiş SMS mesajlarından farklı olarak, mobil operatörler şifreli WhatsApp veya iMessage mesajlarının içeriğini görmüyor ve bu nedenle engelleyemiyorlar. İçerik, dolayısıyla Apple, Meta vb. chat uygulaması tarafından cihazdaki son kullanıcıda ancak phishing olarak analiz edilebilir.

Google, dolandırıcı chat mesajlarını doğrudan akıllı telefonda engellemeye çalışıyor. Bu, mağdur kişiler tarafından olabildiğince hızlı bir şekilde bildirildiğinde daha iyi çalışır.

Google’ın Messages Uygulaması, Şüpheli RCS Mesajlarını Tanımaya ve Doğrudan Spam Klasörüne Taşımaya Çalışıyor

Google’ın Messages uygulaması, şüpheli RCS mesajlarını cihazda tanımaya ve doğrudan spam klasörüne taşımaya çalışıyor. Dolayısıyla, Google ve Apple, şifreli mesajlarla da phishing’e karşı güçsüz kalıyor. Önemli olan, sohbet uygulamalarının bir spam koruması içermesidir. „Genellikle şüpheli mesajları işaretleyip geri bildirebilirsiniz“ diyor Stirnimann.

RCS mesajları, adeta SMS’nin yerini alan iletişim teknolojisi, uçtan uca şifrelemenin varsayılan olarak „devre dışı“ olduğunu belirtiyor güvenlik uzmanı. „Burada, düşünüyorum ki, hem Apple, hem de Google ve mobil sağlayıcılar, spam RCS mesajlarını cihaza ulaşmadan önce engellemek için bir şeyler yapabilirler“ diyor. Ancak Swisscom, RCS’yi artık desteklemediğini belirtiyor ve ekliyor: „Bu nedenle, trafiği göremiyoruz ve dolayısıyla filtreleyemiyoruz. Bu nedenle, şu anda böyle bir filtre çözümü için planlarımız yok.“

Şüpheli Bir Mesaj Aldığınızda Ne Yapmalısınız?

Posta, öncelikle gönderenin telefon numarasının mantıklı olup olmadığını, dilin doğru olup olmadığını ve geçerli bir gönderen adının görünüp görünmediğini dikkatlice kontrol etmenizi önerir. Özellikle, üzerine tıklamadan önce bağlantıları kesinlikle kontrol etmeniz önemlidir. Güvenlik uzmanı Stirnimann bu konuda bir tavsiye sunar:

„Şüpheli bir mesaj aldığınızda yapabileceğiniz basit bir ipucu, önce hiçbir şey yapmamak ve mesaj üzerinde en az 24 saat beklemektir. Çoğu phishing sitesinin 24 saat içinde engelleneceği tahmin edilir. Alternatif olarak, etkilenen kişilerin şirkete telefonla ulaşıp mesajın gerçekliğini sormasıdır.“

Daha güvenli olmak isteyenler, paket takibi yapmak için Posta veya ilgili kurye servisinin web sitesini doğrudan tarayıcıda açmalı ve paketin durumunu kontrol etmelidir.

Bunun yerine, alınan bir bağlantıyı CheckShortURL web sitesiyle test edebilirsiniz. Bu, genellikle kriptik kısa bağlantıya tıklarsanız sizi nereye yönlendireceğini gösterir. Bir dolandırıcılık girişimi, gömülü bağlantının post.ch adresine değil, chpost24.top/ch gibi web sitelerine yönlendirmesinden anlaşılabilir.

Phishing Siteleri, URL haricinde oldukça profesyonel görünüyor.

En küçük şüphede bile, „Bu tür SMS’lerin alıcıları, içerdikleri bağlantıyı tıklamamalı ve asla uzaktan erişim yazılımı yüklemeye yönelik taleplere uymamalıdır,“ diyor Federal Siber Güvenlik Dairesi (BACS).

Posta, bir mesajın şüpheli görünmesi durumunda, müşteri hizmetlerine (İletişim Merkezi 0848 888 888) başvurmayı veya Posta’nın web sitesinde bilgi edinmeyi öneriyor.

Ayrıca, Phishing sitelerinin daha hızlı bir şekilde kapatılabilmesi için ulusal Siber Güvenlik Merkezi’ne bir bildirimde bulunmanın yardımcı olacağını belirtiyorlar (reports@antiphishing.ch).

Oltalama yöntemiyle kurulan tuzağı nasıl anlarız ?