Vishing “voice phishing” yani ses + kimlik avı olarak tanımlanmaktadır. Ses aldatmacasının kullanımı ile kişilerin özel bilgilerini elde etmeye yönelik hedefli saldırılardır. Korku, acele hareket etme gibi durumları kullanıp kişilerin duygularını manipüle ederek gerçekleştirilen sosyal mühendislik türüdür. Saldırgan kişi hedef seçtiği kişiyi telefon numarasından aramakta banka numarası, ev adresi gibi gelecek zaman içinde kullanmak üzere özel bilgileri elde etmeye çalışmaktadır. Vishing türündeki saldırılar whatsapp, skype gibi ip üzerinden ses teknoloji ile gerçekleşmektedir.

Peki, vishing nasıl çalışmaktadır?

Hedefli saldırılarda saldırgan kişi hedef kişiyi aramakta ve gerçek şirket ya da devlet kurumu gibi bir kurumdan arıyormuş gibi yapmaktadır. İki çeşit vishing türü olmakla birlikte birincisinde; dolandırıcı kişi, görüşme esnasında kendi ihtiyaç duyduğu kadar bilgiyi alan gerçek bir kişi olmaktadır. İkinci türde ise bilinmeyen bir numara aracılığıyla aciliyetli bir durum olduğunu ve en kısa zamanda dönüş yapılmasına yönelik bir sesli mesaj bırakılabilmektedir. Aranılan numaraya geri dönüş yapıldığı takdirde ise bir robot sesi kişiye rehberlik edebilmektedir. Bu da bilgilerin bilgisayar korsanına iletiliyor olduğunu gösterebilmektedir.
Teknoloji öyle bir noktaya gelmiştir ki yapay zekâ ve deepfake teknolojileri ile birlikte hedefli saldırılar daha karışık ve içinden çıkılamaz hale dönüşmüştür. Vishing saldırılarında da aynı durum söz konusu olabilmekte tanınan bir kişinin kimliğine bürünülmesi ya da sesinin ve vücut hareketlerinin taklit edilebilmesi mümkün olabilmektedir.

Vishing Saldırılarında Yeni Trend

Son zamanlarda çıkan bir habere göre, TikTok üzerinden kişiler telesekreter sesi ile arkadaşlarını arayıp hesaplarından yüklü miktarlarda para çekileceğini söyleyerek şaka yapma yoluna gitmektedir. Uzmanlar ise bu durumun vishing olduğunu ve siber suçluların hali hazırda bu yöntemi sıklıkla kullandıklarını ifade etmektedir. Görüldüğü gibi vishing oldukça sık kullanılan bir yöntem olmakla birlikte Kaspersky uzmanları yaklaşık 350 bin vishing e-postası tespit edildiğini ve e-postalarda kurbanların bir numarayı arayarak işlemin iptal edilmesini talep ettikleri ifade etmektedir. Özellikle Haziran ayında e-postaların daha da arttığına dikkat çekilmektedir.
TikTok kullanıcıları da daha önceden sahte bir e-posta gönderilmemesi ya da kurbanlarından herhangi bir şey çalmamaları koşuluyla benzer bir senaryo ile hareket etmekte, telesekreter aracılığıyla arama gerçekleştirmektedir. Kendilerini bir çevrimiçi mağazanın müşteri hizmetlerinden temsilci gibi tanıtarak bir para miktarı belirtip sipariş aldıklarını söyleyip onay istemektedir. Hedef seçilen kurbanın verdiği cevap önemsenmeksizin telesekreter teşekkür ederek siparişin onaylandığını söylemektedir. Kişiler telesekreterin yanlış anladığını düşünerek paranın hesaplarından çekileceği düşüncesiyle paniklemekte ve şaka olduğunun farkında olamamaktadır. TikTok üzerinde bu şakaların yapıldığı çok sayıda video yer almaktadır. Bu videolar izlendiğinde nasıl olup da böyle bir durumla karşılaşıldığında inanılır diye düşünen çok sayıda insan olabilir fakat günlük yaşamda insanın dalgın olduğu ya da kafasının bir başka yerde olduğu durumlar sıklıkla olabilmektedir. Anlık durumu değerlendirememe, hazırlıksız yakalanma gibi durumlar kişilerde paniğe yol açabilmektedir.

Vishing Saldırılarına Karşı Alınabilecek Önlemler

• Bilinmeyen numaralardan gelen aramalar açılmamalı, bilinmeyen numaralardan gelen SMS’ler direkt silinmelidir.
• Bilinmeyen numaralardan gelen aramaya yanıt verilmişse karşıdaki kişinin ne söylediği iyice dinlenmeli ve bilgiler teyit edilmelidir. Telefonun diğer tarafındaki kişi eğer bankadan aradığını ifade ediyor ise ilgili banka aranmalı ve bilgiler teyit edilmelidir.
• Arayan kişinin numarası ya da iletilen geri arama numarası dolandırıcılığın bir parçası olabilmektedir. Geri aramak için verilen numarayı kullanmak yerine, kişiyi aradığını iddia eden yerin telefon numarasına ulaşılmalı ve arama öyle yapılmalıdır.
• Telefonun diğer ucundaki yabancı kişi ile herhangi bir kişisel bilgi paylaşılmamalıdır.
• Kişisel cihazlara uzaktan erişim sağlanmak istendiğinde kabul edilmemelidir.
• Çevrimiçi olası tehdit ve tehlikelere karşı bilinçli hareket edebilmek için bu konularda edinilen bilgiler güncel tutulmalıdır.
• Çevrimiçi tehditlere karşı kişinin kendi farkındalığının olmasının yanı sıra yakınlarının da farkındalığının olması kendilerini koruyabilmeleri adına önemlidir. Bu sebeple onların da bilgilerinin güncel tutulması ve bilinçli olmaları desteklenmelidir.