gelin size siber güvenlikle arası iyi olan biri olarak akbank müşterilerinin nasıl dolandırıldığını tane tane anlatayım. 

şimdi, öncelikle phishing (oltalama) yöntemi nedir? çok kısa bahsedeyim, çünkü gerekiyor. dolandırıcılarımız/hackerlarımız, bilindik şirketlerin/firmaların website tasarımlarını birebir şekilde kopyalarlar, yani sitenin aynısını yaparlar. genellikle otel, tatil köyü vb sitelerin birebir aynısı yapılır ve siz o sitelere ödeme yaptığınızı zannederken, aslında dolandırıcı tarafından hazırlanmış web sitesine giriş yapmış olur ve onun belirlediği iban adresine ödeme yapmış olursunuz. bu yöntem genellikle sahibinden'in "param güvende" olayı için kullanılıyor.

hacker kişisi, sahibinden'in param güvende yazılımını/scriptini kullanarak kendisine bir site açar ve bu site sahibinden'in domainine/linkine çok benzer. yalandan bir tane ürün yükler ve bunu facebook gruplarında paylaşır, ürünü satın almak isteyen kişiyi sosyal mühendislik becerilerini kullanarak ödemeyi param güvende ile yapması için ikna eder, ürünü satın almak isteyen kişi ödemeyi sahibinden'e yaptığını zannederken aslında dolandırıcının iban adresine yapmış olur, ondan sonra dolandırıcıyı ara ki bulasın, soğuk su içmeyi gerektirir.

phishing olayını anlattığıma göre, akbank olayına devam ediyoruz. instagram'da dolaşan masum akbank müşterisinin karşısına şöyle bir reklam çıkıyor:

domain(alan adı) gibi şeylerden anlamayan ve gündemi pek takip etmeyen masum müşteri, "aaaa bu ne ? bir umuttur yaşamak, dur başvurayım şuna" diyor ve ilgili başvuru butonuna tıklıyor:

tıkladıktan sonra kendisini bu şekilde bir ekran karşılıyor, yani akbank mobil uygulamasının birebir aynı tasarımı, fakat bir sorun var ve bu aslında akbank'ın resmi domain adresi değil, çünkü yukarıda da göreceğimiz üzere ak-656556665.cloud diye sahte bir domain var:

peki masum ve internetten pek anlamayan müşterimiz, domain vb işlerden anlar mı? anlamaz. ne yapıyor? oraya akbank mobil uygulamasına giriş yaparken kullandığı tüm bilgileri yazıyor ve tc kimlik numarasıyla, mobil bankacılık şifresi o siteyi açan kişiye iletilmiş oluyor. "e peki sms şifre gelmesi gerekiyor, dolandırıcı nasıl ulaşacak ona?" dediğinizi duyar gibiyim, açıklayayım.

dolandırıcımız sonraki adıma geçiyor, yani sosyal mühendislik aşamasına. genellikle bu tarz dolandırıcılılar yapan kişiler öylesine ikna kabiliyeti yüksek kişiler olur ki, sizi arayıp olmayan arabanız için paspas takımı bile satmayı başarabilir, öyle bir tatlı dil ve ikna kabiliyetinden bahsediyorum. akbank müşterisinin tc kimliği ve şifresi elinde olan dolandırıcımız, müşterinin hesabına girebilmek için sms şifreye ihtiyaç duymaktadır ve bunun için müşteriyi arar ve sosyal mühendislik becerilerini konuşturmaya başlar, bu togg araba çekilişi senaryosunda muhtemelen 3 konu üzerinden ilerlerler:

1) müşteriyi arayıp "efendim araba çekilişimize katılmışsınız, çekilişe tam anlamıyla katılımınızı sağlamamız için size gelen sms şifresini söylemeniz gerekmektedir" vs der.

2) müşteriye "çekilişi kazandınız, gerekli tanımlamaları yapmak için sms şifresine ihtiyacım var" vs gibi şeyler söyler.

3) çok daha kurnaz bir yöntem olarak, onu koruyup kollayan kişi gibi davranır, yani "efendim birisi bankacılık hesabınıza giriş yapmaya çalışıyor, hiç tc kimlik ve şifrenizi başka bir yere yazdınız mı ?" vs şeklinde bir soru sorar, müşteri "aaaaaaaa onlar dolandırıcı mıymış ? togg çekilişine katıldım ben" vs der, bunun üzerine müşteri temsilcisi gibi davranan kişi "merak etmeyin ve endişelenmeyin, şimdi hep birlikte hesabınızı güvenli hale getireceğiz" vs diyerek, adım adım bir şeyler yaptırır ve en son "son olarak size bir şifre göndereceğim, bu şifre sayesinde hesabınız tamamen güvende olacak" vs der.

sonuç ne peki ? kurban seçilen müşteri, bir şekilde o sms şifresini veriyor ve dolandırıcı / hacker kişisi hesaba erişim sağlayabiliyor. bakın bu mobil bankacılık olaylarının %99'u bu şekilde dolandırılıyor. bir de uyurken dolandırılanlar var, o biraz daha farklı bir konu.