Smishing muhtemelen duyduğum bir siber güvenlik saldırısı için en sevimli isim, ancak onu daha az tehlikeli yapmıyor. SMS mesajlaşması ve kimlik avının bu karışımı hakkında yeterince konuşmadığımız veya insanları bunu nasıl tanıyacakları ve buna nasıl yanıt verecekleri konusunda eğitmediğimiz açık.
Son birkaç aydır, “uzun zamandır kayıp olan arkadaş veya tanıdık” başlığı altında değerlendirilebilecek çok sayıda saldırgan smishing saldırısının hedefi oldum.
Bu sosyal mühendislik kimlik avı girişimleri, iPhone 15 Pro Max cihazımda standart yeşil baloncuklu SMS yoluyla çeşitli bilinmeyen telefon numaralarından geliyor ve genellikle kısa, arkadaşça ve meraklı bir mesajla geliyor.
Mia, Diana ve Alyssa gibi isimlerle geliyorlar. Genellikle daha önce tanıştığımızı iddia ediyorlar. Mia bana adres defterinde numaramı bulduğunu söyledi, bu da bir etkinlikte tanıştığımızı ve iletişim bilgilerimizi paylaştığımızı ima ediyor. İşimde çok sayıda insanla tanışıyorum ama nadiren telefon numaramı veriyorum. Aslında, kartvizit bile taşımıyorum. İnsanlara beni Google’da aramalarını söylüyorum ve benimle nasıl iletişime geçeceklerini hemen anlıyorlar.
Bazen bu sümüklüler sanki bir koridorda birbirimize çarpmışız gibi davranıyorlar ve aşırı nezaketten dolayı kendilerini tanıtıp adımı öğrenmek istiyorlar. Bana “Benim adım Diana. Senin adın ne?” diye mesaj atan Diana’nın yaklaşımı buydu.
Seni gelirken görüyorum
Dolandırıcılık tespit uyarı sistemim muhtemelen çoğu insandan daha yüksek ayarlanmıştır, bu yüzden bu tür cazibelere kanmam. Bununla birlikte, ne istediklerinden (banka hesabı ve sosyal güvenlik numaralarım dahil kişisel bilgilerim) çok, bunu nasıl elde etmeyi planladıklarıyla ilgileniyorum.
Yine de, rahatsızlık seviyem o kadar yüksek ki, daha fazla iletişim için kapıyı açık bırakacak şekilde nadiren cevap veriyorum. Diana’ya, “Bana mesaj attın. Bilmiyorsan, konuşacak hiçbir şeyimiz yok.” diye cevap verdim.
Cesaretini kaybetmeyen Diana, bana kendisinin de bilmediğini söyleyerek şöyle yazdı: “Adres defterimi karıştırırken bu numarayı gördüm. [as one does, I guess]ama üzerinde isim yoktu. Daha önce iş görüşmelerimiz oldu mu?”
Hala huysuz bir moddayken, “Hiçbir fikrim yok. Kim olduğunuzu bilmiyorum.” diye cevapladım. Bu, en iyi kısma yol açtı: Diana’nın “Artık kim olduğumu biliyorsunuz.” mesajıyla birlikte bir fotoğrafı.
Bunun özellikle komik yanı, bu insanlardan herhangi birini yeterince uzağa astığınızda, hepsinin bazı açılardan çarpıcı biçimde benzer görüntüler sunacak olmasıdır: Hepsi, tamamen sıradan ortamlarda uygun şekilde giyinmiş genç Asyalı kadınları göstermektedir.
Asyalı kökenli bir kadının görüntüsü, yapay zeka tarafından oluşturulmuş bir kafaya sahip gerçek bir kişinin, tanımlanamayan ve dikkatlice kırpılmış bir konumda oturmasının bir kombinasyonu gibi görünüyor. Bununla ilgili özellikle komik olan şey, bu insanlardan herhangi birini yeterince uzağa asarsanız, hepsinin bazı açılardan çarpıcı biçimde benzer görüntüler sunacak olmasıdır: hepsi tamamen sıradan ortamlarda genç, uygun şekilde giyinmiş Asyalı kadınları gösterir.
Diana’ya, “Hayır, bir şey çağrıştırmıyor.” diye cevap verdim. Ancak Diana, amansızdı: “Adın ne? Belki benimle bir fotoğraf paylaşabilirsin.” Cevap vermediğimde, Diana bir “Merhaba.” gönderdi. Günler sonra, başka bir smisher’ın bana gönderdiği bir fotoğrafla cevap verdim. Diana biraz zaman aldı ama sonunda Çinli gibi göründüğümü söyledi ve bana “güzel bir hanımefendi” dedi.
Sonunda, Çince olarak WeChat kişisi olarak eklememi istedi. Oyaladığım bir diğer alaycı da sonunda bir fotoğrafımı görmek isterken Çince konuşmaya başladı.
Büyüyen bir sorun
Tüm bunlar komik görünse de, bu insanlarla etkileşime girmenin oldukça ciddi riskleri var. 2022’de yapılan bir FTC araştırması, metin tabanlı SPAM metin saldırıları 330 milyon dolarlık kayba neden oldu. Doğal olarak, bu sayının şimdi çok daha büyük olması muhtemeldir. Sahte bankalardan, sahte Sosyal Güvenlikten, sahte FBI’dan ve sahte Aamzon’dan gelen spam metinleri, sizi aramanızı isteyen telefon numaraları ve takip etmenizi istedikleri bağlantılar nedeniyle fark edilmesi daha kolay olsa da, bu yeni “bağlantı smishes’leri” daha şeytani ve nihayetinde tehlikeli olabilir. İnsanların yalnızlığı, hatalı hafızaları, nezaketleri ve bağlantı ihtiyaçlarıyla oynuyorlar.
Tüm bu smish saldırılarının kadınlardan geldiği ve görüntülerin genç ve nispeten çekici insanlara ait olduğu gerçeğini fark ettim. Neredeyse bir tür catfishing. Eğer biri sizi gerçekten Diana, Mia veya Alyssa ile bağ kurmaya ikna edebilirse, yakında faturalarını ödemelerine yardımcı olmak için onlara para gönderebilir ve ikiniz de uzak gelecekte bir noktada “yüz yüze görüşmek” için planlar yapabilirsiniz.
Ne yapmalıyım?
Hücresel hizmet şirketleri bazı istenmeyen e-postaları engellemenize yardımcı olabilir ve Verizon’un da belirttiği gibi, milyarlarca spam metnini otomatik olarak engelle onları görmeden önce bile. Yine de, bu tür smishing aktivitelerini engellemede daha az etkili görünüyorlar. ABD’de, ayrıca bunları Federal Ticaret Komisyonu’na bildirinancak çoğunlukla geçici veya sahte telefon numaraları kullandıkları için FTC’nin yapabileceği pek bir şey yok. Yani bu size kalmış.
Gerçek bir arkadaş veya rastgele bana ulaşan bir kişi ile bu saldırganlardan biri arasındaki farkı söylemenin her zaman kolay olmadığını anlıyorum. Alyssa benimle iletişime geçtiğinde, ilk mesajı şakacı bir “Ben kimim tahmin et😆” idi.
“Hiçbir fikrim yok,” diye cevapladım, acaba adres defterimde adını yazmadığım bir arkadaşım mıydı diye merak ederek.
“Ben Alyssa, beni unuttun mu?”
Bu beni duraklattı. Uzun zamandır sohbet etmediğim bir Alyssa tanıyorum. O olabilir mi?
“Alyssa mı? Alyssa kim?” diye sordum. (Bu dolandırıcılıkların bir diğer belirgin işareti de Çin’in başkenti Pekin’in dışında bir bodrum katında oturan orta yaşlı, şişman adamın mükemmel mesaj yanıtını bulmasının ne kadar sürdüğüdür).
Bu ve benzeri dolandırıcılık girişimlerinde en iyi hareket tarzı, etkileşimi en aza indirmektir.
Sonunda bir sonraki mesaj, bir buketin yanında oturan genç bir Asyalı kadının fotoğrafıyla geldi, “Daha önce resepsiyonda numaralarımızı değiş tokuş etmiştik. Beni unuttun mu?”
Dolandırıcının umudu, yakın zamanda katıldığım bir etkinliği hatırlamam ve daha sonra kiminle konuştuğumu ve bunlardan birinin “Alyssa” olup olmadığını hatırlamaya çalışarak beynimi patlatmamdır.
Bu ve diğer dolandırıcılık girişimleri gibi durumlarda, en iyi eylem yolu etkileşimi en aza indirmektir. Sizi tanıyorlarsa, bunu sizin için açıkça belli ederler; aksi takdirde, dolandırıcı her türlü kişisel ayrıntıyı ifşa etmeniz için elinden geleni yaptığından, konuşmanın her bir parçası önemli bilgilerden yoksun olacaktır. İçlerinden biri, sanki ev adresimi verecekmişim gibi nerede yaşadığımı sordu.
Yapabileceğiniz diğer eylem, telefon numarasının yanındaki bilgi düğmesine tıklamak ve arayanı engellemektir. Bu, konuşmayı veya en azından o konuşmayı anında sonlandıracaktır. Ne yazık ki, muhtemelen başka benzer smishing girişimleri de alacaksınız. Size söyleyebileceğim tek şey, etkileşim kurmama ve arama engelleme konusunda tekrar tekrar durmanız ve belki de arkadaşlarınıza ve akrabalarınıza da aynısını yapmalarını söylemenizdir.