Doğum tarihlerinin ve sosyal güvenlik numaralarının (SSN’ler) sızdırılması veya hacklenmesi tehlikelidir çünkü bu bilgiler bir kişinin kimliğinin doğrulanması açısından kritik öneme sahiptir. Birinin doğum tarihine ve SSN’sine erişim sayesinde kötü niyetli aktörler kimlik hırsızlığı yapabilir. Bu gerçekleştiğinde, tehdit aktörleri kredi başvurusunda bulunabilir, banka hesaplarınızı boşaltabilir veya mağdurun adına hizmet alabilir; bu da mali kayba, kredi notlarının zarar görmesine ve daha fazlasına yol açabilir.
O yüzden bir dahaki sefere bara gittiğinizde, birkaç bira içtiğinizde lütfen şunu söylemeyin: “Hey, 2021’de AT&T müşterisiydim” ve on saniye sonra, “Koca bir Bitcoin’im var kardeşim, ne kadar havalı!?” bir grup tamamen yabancıya.
Aslında kimseye mali durumunuzla ilgili hiçbir şey söylemeyin. Bob senin amcan.
SIM değiştirme, eSIM değiştirme
Paranoyak olmayalım ama hayatımıza ne kadar çok teknoloji dahil edersek, kötü niyetli kişilerin bizden çalabileceği seçenekler de o kadar artar. Artık mobil ağlara, internet erişimine, elektriğe ve modern yaşamın diğer tüm güzelliklerine sahip olmayı ve bunları kullanmayı sevdiğimiz için, işleri halletmemiz ve önlem almamız gerekecek.
Her iyi savunma stratejisi, düşmanınızın saldırı stratejisini anlamakla başlar. Başka bir deyişle önlem alabilmek için neler olduğunu anlamamız gerekecek.
Suçlular, kimlik hırsızlığı yoluyla sizmiş gibi davranarak SIM takası olarak bilinen bir eyleme girişebilirler.
SIM takas dolandırıcılığı, suçluların bir operatörü kandırarak kurbanın telefon numarasını dolandırıcının elindeki bir SIM karta aktarması için kandırdığı bir tür kimlik hırsızlığıdır. Saldırgan bunu yaparak kurbanın telefon çağrıları, kısa mesajları ve bankacılık veya sosyal medya hesapları için iki faktörlü kimlik doğrulama (2FA) gibi telefon tabanlı kimlik doğrulamasına dayanan güvenli hizmetlere potansiyel erişim üzerinde kontrol sahibi olur.
Bu, suçlunun güvenlik önlemlerini atlamasına ve kişisel bilgilere erişmesine olanak tanır; özünde, tüm aramalar ve mesajlar, kurban gibi davranabilen suçluya gider ve ardından banka hesabını boşaltma işlemine devam eder.
Bir ek not: Bu kimliğe bürünmelerden kaçının yapay zeka ve onun büyülü yetenekleri tarafından desteklendiğini merak ediyorum. İç çekmek…
Peki eSIM dolandırıcılığı nedir? Temelde SIM takasıyla aynı şeydir, yalnızca daha kolaydır.
Bunun nedeni, eSIM’in (veya yerleşik SIM), fiziksel bir SIM kart kullanmanıza gerek kalmadan bir hücresel planı etkinleştirmenize olanak tanıyan geleneksel SIM kartın dijital bir versiyonu olmasıdır. Kötü oyuncular için daha uygundur çünkü taşıyıcının ofisine yürümek zorunda kalmazlar. Artık her şey dijital.
eSIM, akıllı telefon, akıllı saat veya tablet gibi doğrudan cihazınıza yerleşiktir. Bu, cihazınıza önceden yüklenmiş olan küçük bir çiptir ve onu takmanıza veya değiştirmenize gerek yoktur. Etkinleştirmek için genellikle mobil operatörünüz tarafından sağlanan QR kodunu tararsınız. Bu işlem, SIM kartların fiziksel olarak değiştirilmesine gerek kalmadan cihazınızı mobil hesabınıza bağlar.
Genel olarak eSIM teknolojisi kolaylık, esneklik ve verimlilik sunarak mobil hizmetlerinizi doğrudan cihazınızdan yönetmenizi kolaylaştırır.
Siber güvenlik firması FACCT, “2023 sonbaharından bu yana FACCT Dolandırıcılık Koruması analistleri, yalnızca bir finansal kuruluştaki çevrimiçi hizmetlerdeki müşterilerin kişisel hesaplarına erişmeye yönelik yüzden fazla girişimde bulundu” diyor.
SIM takas dolandırıcılıkları 2024’te artıyor
Ne yazık ki SIM/eSIM takas dolandırıcılığı olgusuyla ilgili sadece 2024 yılında pek çok örnek var.
Daha geçen hafta beş kişilik bir ailenin Cricket Wireless hesabı ele geçirildi ve ailenin finansal uygulamalarından para çalındı.
Ancak Chicago banliyölerinden Mike, eşi ve ailesinin Amazon, sosyal medya, yatırım ve kripto para hesaplarına erişimi engellendi. Bilgisayar korsanları telefonun içeriğinde yetkisiz değişiklikler yapmayı, uygulamalar eklemeyi ve iletişim bilgilerini değiştirmeyi başardı. Ayrıca aile, kripto para biriminde 1.200 dolar, Apple Cash ve Hediye Kartlarında 2.000 dolar kaybetti ve yetkisiz banka transferlerini kıl payı engelledi.
Şubat ayında bir T-Mobile abonesi, operatöründen bir e-posta aldı. İçinde numarasındaki SIM değişikliğinin tamamlandığı belirtildi. Sorun şu ki böyle bir işlemi hiç talep etmemişti… iPhone’undaki eSIM’in artık aktif olmadığını keşfetti.
T mobil kullanıcıyı durum hakkında bilgilendirdi: bir kişi bir T mobil Mağdurun evinden çok da uzakta olmayan bir mağazada, yeni bir SIM kart almak için kurbanın kimliğine bürünülüyor. Suçlunun cihazında kullanılmış. ile bir görüşme sırasında T mobilkurban bankasından dolandırıcılık uyarıları aldı ve bu uyarılar büyük mağazalardan lüks ürünler satın alma girişimlerini engelledi.
Kontrolü tekrar ele geçirmek için mağdurun bizzat bir ziyarete gitmesi gerekti. T mobil Bir çalışanın hırsızı mesaj yoluyla uyarmadan SIM’i değiştirdiği mağaza.
Bu tür SIM takas dolandırıcılıkları çoğunlukla operatör çalışanları tarafından gerçekleştiriliyor. Örneğin New Jersey’deki bir telekomünikasyon şirketinin eski yöneticisi komplo suçlamalarını kabul etti Bir suç ortağının müşteri hesaplarını hacklemesine olanak tanıyan yetkisiz SIM takasları gerçekleştirmek amacıyla para kabul etmek. Yetkisiz numara taşıma işlemini gerçekleştiren suçlu, SIM takası başına 1.000 $ Bitcoin’in yanı sıra kurbanların cihazlarına yasa dışı erişimden elde edilen kârın belirsiz bir yüzdesini aldı.
Şimdi, tam ve mutlak desteğimi açıklamanın ve duyurmanın zamanı geldi. sert bu tür eylemlere ilişkin cezalar.
Ocak ayında Sharon Hussey, SIM takas dolandırıcılığı nedeniyle iki faktörlü kimlik doğrulama (2FA) kullanmasına rağmen 17.000 dolar kaybetti. Sahte bir telefon satın alma işlemine ve banka hesabının iletişim bilgilerinde yapılan değişikliklere karşı uyarıldı ancak bunların hiçbiri kendisi tarafından başlatılmadı. Bir hırsızın SIM kartını yeni bir telefonla değiştirmesinin ardından 2FA kodlarını alamaması, telefon hizmetinin kesilmesine ve Bank of America hesabından 17.000 doların çalınmasına yol açtı.
Dolandırıcılık, hırsızın bir Verizon mağazasını Hussey’in numarasıyla yeni bir telefonu etkinleştirmeye ikna etmesini ve Hussey’in 2FA korumalı hesapları üzerinde kontrol sahibi olmasını içeriyordu. Durum daha da kötüleşti çünkü Hussey’in 2FA’ya güvenmesi, istemeden de olsa hırsızın hesaplarına daha kolay erişmesini sağladı. Başlangıçta reddettikten sonra Bank of America, çalınan 17.000 doları iade etti ve bu, özellikle güvenlik için 2FA’ya bağımlı kullanıcılar için SIM takasının tehlikelerine dikkat çekti.
2FA (İki Faktörlü Kimlik Doğrulama) sınırlamaları
İki Faktörlü Kimlik Doğrulama (2FA), ikinci bir kimlik doğrulama biçimi gerektirerek güvenlikte önemli bir artış sağlar ve parola ele geçirilse bile yetkisiz hesaba erişimi çok daha zorlaştırır.
Ancak 2FA’nın dezavantajları da yok değil. Bazı kullanıcılar ekstra oturum açma adımını sakıncalı bulmaktadır ve cihazın kaybolması veya kullanılamaması durumunda kimlik doğrulama için cihazlara güvenmek sorunlu olabilir. SMS tabanlı 2FA, SIM değişimine ve müdahaleye karşı hassastır ve bu da güvenlik avantajlarını zayıflatabilir. 2FA’nın teknik uygulaması, kuruluşlar için daha fazla altyapı ve kullanıcı eğitimi gerektiren zorluklar doğurmaktadır.
İki Faktörlü Kimlik Doğrulamanın (2FA) Artıları:
- Arttırılmış güvenlik: 2FA, ikinci bir kimlik doğrulama biçimi gerektirerek, yetkisiz kullanıcıların şifrenizi bilseler bile hesaplarınıza erişmesini önemli ölçüde zorlaştırır.
- Dolandırıcılık riskinin azalması: 2FA, saldırganların erişim sağlamak için çalıntı oturum açma bilgilerinden daha fazlasına ihtiyaç duyması nedeniyle kimlik hırsızlığı ve dolandırıcılık olasılığını büyük ölçüde azaltabilir.
- Esnek seçenekler: 2FA, ikinci faktör için kısa mesajlar, kimlik doğrulama uygulamaları ve donanım belirteçleri dahil olmak üzere çeşitli yöntemler sunarak kullanıcıların kendilerine en uygun olanı seçmesine olanak tanır.
İki Faktörlü Kimlik Doğrulamanın (2FA) Eksileri:
- Güvenlik Açığı: SMS tabanlı 2FA, SIM değiştirme saldırılarına veya müdahaleye karşı savunmasız olabilir ve saldırganların bu güvenlik önlemini atlamasına olanak tanıyabilir.
- Rahatsızlık: Bazı kullanıcılar, oturum açma sürecine ekstra bir adım kattığı için 2FA yöntemlerini, özellikle de SMS veya uygulama bildirimlerini zahmetli veya zaman alıcı buluyor.
- Cihazlara bağımlılık: Telefon veya jeton kullanan 2FA yöntemleri, cihazın kaybolması, hasar görmesi veya hemen erişilememesi durumunda sorun yaratabilir.
FCC ne diyor
Artan SIM değiştirme ve port dolandırıcılığı tehdidine yanıt olarak Federal İletişim Komisyonu (FCC), Temmuz ayından itibaren tüketicinin korunmasını geliştirmek için yeni önlemler uygulamaya koydu. Bu değişiklikler, bir telefon numarasının yeni bir cihaza veya operatöre taşınmadan önce mobil servis sağlayıcılarının kimliği iyice doğrulamasını gerektiriyor. Ek olarak kurallar, kullanıcıların SIM kartlarını değiştirmeye veya numaralarını taşımaya yönelik herhangi bir girişimde anında bilgilendirilmelerini mümkün kılacak.
Kendinizi SIM takas dolandırıcılığından nasıl korursunuz?
Kendinizi SIM takas dolandırıcılığından korumak karmaşık bir konudur. Bu bir sanat biçimi, isterseniz. Dikkat, farkındalık ve proaktif güvenlik önlemleri almanın bir kombinasyonunu içerir:
- Sosyal medya paylaşımlarınızı kontrol edin: Hayatınızın her yönünü çevrimiçi olarak paylaşmayın. Yapma. Kişisel bilgilerinizi sosyal medyada paylaşırken dikkatli olun. Dolandırıcılar genellikle ikna edici bir şekilde kurbanların kimliğine bürünmek için kişisel ayrıntıları toplar.
- Güçlü, benzersiz şifreler kullanın: Bunu daha önce duymuşsunuzdur ama… Tüm hesaplarınız için, özellikle de e-posta ve mobil operatör hesabınız için güçlü, benzersiz şifreler kullanın ve bunları düzenli olarak değiştirin.
- Çok Faktörlü Kimlik Doğrulamayı (MFA) Etkinleştir: Ek bir güvenlik katmanı için kimlik doğrulama uygulamaları veya donanım belirteçleri gibi SMS’e dayanmayan MFA seçeneklerini kullanın.
- Mobil hesabınızı güvence altına alın: Hesabınızda değişiklik yapmak için sağlanması gereken benzersiz bir PIN veya şifre gibi ek güvenlik önlemleri ayarlamak için mobil operatörünüzle iletişime geçin.
- Hesaplarınıza göz kulak olun: Bu genellikle ihmal edilir. Yetkisiz faaliyetlere karşı bankanızı ve diğer hassas hesaplarınızı düzenli olarak kontrol edin. Dolandırıcılığın erken tespiti hasarı sınırlayabilir. Bunu söyledikten sonra dikkatli olun Neresi hesaplarınızı kontrol edeceksiniz. Kimin aradığını asla bilemezsin.
- Kimlik avı dolandırıcılıklarına kanmayın: Kişisel bilgilerinizi almaya çalışan veya sizi güvenlikle ilgili eylemler gerçekleştirmeye teşvik eden istenmeyen çağrılara, e-postalara veya mesajlara karşı dikkatli olun.
- Derhal operatörle iletişime geçin: Telefonunuzun hizmeti aniden kesilirse veya arama yapamıyorsanız (veya mesaj gönderemiyorsanız), olası SIM değiştirme sahtekarlığını kontrol etmek için hemen operatörünüzle iletişime geçin.
- Çift kontrol: Operatörünüzün temsilcisi gibi davranan birinden kısa mesaj alabilirsiniz. Bu nedenle, başka bir iletişim hattı üzerinden gelen her iletişimi iki kez kontrol etmek çok önemlidir. Bir operatör size değişiklikler hakkında mesaj atıyorsa, hiçbir şey yapmayın ve bunun doğru olup olmadığını onaylamak için onu arayın (mesaj atmayın!). Telefonunuz ele geçirilirse gelen iletişimler kötü niyetli aktörlerden gelebilir.
%100 güvenli sistem (veya telefon) diye bir şey yoktur. Ama dolandırıcıların işini kolaylaştırmayalım! Önlem alalım.