Telefon numarası dolandırıcılığı! Aradığınız kişi ben miyim?

Mütevazı telefon numaranız düşündüğünüzden daha değerlidir. Numaranızın yanlış ellere nasıl geçebileceği ve telefon numarası dolandırıcılığı için alınabilecek önlemleri burada bulabilirsiniz.

Birinin parasını anonim olarak dolandırmanın en kolay yollarından biri ne olabilir?  

Kredi kartı verilerini çalmak mı, belki de dijital olarak sömürmek veya hassas kişisel bilgilerin bulunduğu bir veri tabanına girilmek? Her ne kadar bu yöntemler etkili olsa da çok masraflı olabilir ve biraz teknik beceri de gerektirebilir.  

Sahte web siteleri aracılığıyla ödeme bilgilerini çalmaya ne dersiniz? Bu gerçekten mümkün olabilir. Ancak yasal web sitelerini (ve “haberi yaymak” için e-posta adreslerini) taklitlerinden ayırma becerilerine sahip kişiler için değil. Bu tür hilelerin aramızdaki güvenlik meraklıları tarafından zamanında fark edilmesi veya güvenlik kontrolleri tarafından engellenmesi ihtimali de yüksektir. 

Bunun yerine kötü niyetli aktörler, sofistike sosyal mühendislik taktiklerine dayanan ve işletilmesi çok az maliyetli olan yüksek ölçeklenebilir operasyonlara yöneliyor. Sesli oltalama (vishing) ve mesaj dolandırıcılığı (smishing) kullanan bu operasyonlar, milyarlarca dolar değerinde bir dolandırıcılık çağrı merkezi endüstrisine dönüşmüştür. 

Yeni başlayanlar için bu hileler çok fazla uzmanlık veya teknik beceri gerektirmeyebilir. Ayrıca tek bir kişi (genellikle insan kaçakçılığı mağduru) aynı anda birden fazla farkında olmayan kurbanı çeşitli dolandırıcılık türleriyle tuzağa düşürebilir. Bunlar genellikle domuz kasaplığı, kripto para dolandırıcılığı, aşk dolandırıcılığı ve teknik destek dolandırıcılığını içerir ve her biri ilgi çekici bir hikaye anlatır ve aslında bizi insan yapan duygularımızdan vurmaya çalışır. 

Alo? Bu şey açık mı? 

Bankanızdan sizi arayıp hesabınızın ihlal edildiğini ve paranızı güvende tutmak için hassas bilgilerinizi onlarla paylaşmanız gerektiğini bildiren bir telefon aldığınızı düşünün. Banka çalışanının sesindeki aciliyet, hassas bilgilerinizi paylaşmanız için gerçekten de yeterli olabilir. Sorun şu ki bu kişi bankanızdan olmayabilir ya da hiç var olmayabilir. Ayrıca hiç garipsemediğiniz ama uydurma bir ses de olabilir. 

Bu artık çok aşina olduğumuz bir durum ve son yıllarda yaşanan ibretlik hikayeler de oldukça fazla. 2019’da bir CEO, ana şirketinin şefinin ikna edici bir ses deepfake’i ile yaklaşık 250.000 ABD Doları dolandırıldı. Benzer şekilde, 2024 yılında bir finans çalışanı deepfake video görüşmesi yoluyla kandırılmış ve bu durum çalıştığı firmaya 25 milyon ABD dolarına mal olmuştur. 

Yapay zekâ, deepfake 

Modern yapay zekâ ses klonlama ve çeviri yetenekleriyle oltalama ve smishing her zamankinden daha kolay hale geldi. Nitekim ESET Global Siber Güvenlik Danışmanı Jake Moore, herhangi birinin (iyi tanıdığınız biri de dahil olmak üzere) başka birinin inandırıcı bir deepfake versiyonunu oluşturmasının ne kadar kolay olduğunu gösterdi. Görmek ve duymak da artık yeterli değil.  

Yapay zekâ, veri toplamak, sıkıcı görevleri otomatikleştirmek ve erişimlerini küreselleştirmek için çok yönlü bir araç olarak hizmet ederek yeni düşmanlar için giriş engelini azaltıyor. Sonuç olarak yapay zekâ tarafından üretilen sesler ve metinler kullanılarak kimlik avı muhtemelen daha yaygın hale gelecektir. 

Bu bağlamda Enea tarafından kısa süre önce yayımlanan bir raporda, ChatGPT’nin Kasım 2022’de piyasaya sürülmesinden bu yana kimlik avı dolandırıcılığında %1.265’lik bir artış kaydedildi ve büyük dil modellerinin bu tür kötü niyetli operasyonları beslemeye yardımcı olma potansiyeline dikkat çekildi. 

Adın ne, telefon numarası doğru mu? 

Consumer Reports’un 2022 tarihli araştırmasının da gösterdiği gibi, insanlar gizlilik konusunda eskisinden daha bilinçli hale geliyor. Ankete katılanların %75’i hem kimlik tespiti hem de reklamcılık için değerli bir kaynak olan telefon numaraları da dahil olmak üzere çevrimiçi olarak toplanan verilerinin gizliliği konusunda en azından biraz endişe duyuyor.   

Ancak artık Sarı Sayfalar çağını geride bıraktığımıza göre, telefon numaraları ve reklamcılık arasındaki bu bağlantı nasıl işliyor, birlikte bakalım.  

Şu açıklayıcı örneği ele alalım: Bir beyzbol hayranı özel bir uygulamanın ödeme bölümüne bilet ekledi ancak satın alma işlemini tamamlamadı. Yine de uygulamayı kapattıktan kısa bir süre sonra biletlerde indirim teklif eden bir telefon aldı. Uygulamaya telefon numarasını verdiğini hatırlamadığı için doğal olarak şaşkındı. O zaman uygulama numarasını nereden bulmuştu?  

Cevap: İzleme yoluyla! Bazı izleyiciler bir web sayfasından belirli bilgileri toplayabilir yani siz bir forma telefon numaranızı girdikten sonra, bir izleyici bunu tespit edip saklayarak genellikle kişiselleştirilmiş içerik ve deneyim olarak adlandırılan şeyi yaratabilir. “Veri simsarlığı” olarak bilinen bir iş modeli var ve kötü haber şu ki verilerin kamuya açık hale gelmesi için bir ihlal de gerekmiyor. 

Telefon numarası takibi, veri simsarları ve sızıntılar 

Veri simsarları, bilgilerinizi başkalarına satmadan önce kamuya açık kaynaklardan (devlet lisansları/kayıtları), ticari kaynaklardan (kredi kartı sağlayıcıları veya mağazalar gibi iş ortakları) ve çevrimiçi etkinliklerinizi (sosyal medyadaki etkinlikler, reklam tıklamaları vb.) izleyerek kişisel bilgilerinizi toplar. 

Yine de aklınızdaki soru şu olabilir: Dolandırıcılar başkalarının telefon numaralarını nasıl elde edebilir? 

Doğal olarak, kişisel bilgilerinizi ne kadar çok şirket, site ve uygulama ile paylaşırsanız kişisel “pazarlama profiliniz” o kadar ayrıntılı olur. Bu aynı zamanda veri sızıntılarına maruz kalma riskinizi de artırır çünkü veri aracılarının kendileri de güvenlik olayları yaşayabilir. Bir veri aracısı, bilgilerinizi muhtemelen kötü aktörler de dahil olmak üzere başkalarına da satabilir. 

Ancak veri aracıları veya onları etkileyen ihlaller, dolandırıcılar için tek telefon numarası kaynağı değildir. İşte dolandırıcıların telefon numaranızı ele geçirebileceği diğer bazı yollar:

• Halka açık kaynaklar: Sosyal medya siteleri veya çevrimiçi iş piyasaları, telefon numaranızı bağlantı kurmak için bir araç olarak gösterebilir. Gizlilik ayarlarınızın doğru yapılmaması veya sosyal medya profilinizde telefon numaranızı ifşa etmenin sonuçlarının farkında olmamanız durumunda, numaranız bir yapay zekâ web kazıyıcısı da dahil olmak üzere herkes tarafından kullanılabilir. 

• Çalınan hesaplar: Çeşitli çevrimiçi hizmetler, kimliğinizi doğrulamak, sipariş vermek veya bir kimlik doğrulama faktörü olarak hizmet etmek için telefon numaranızı gerektirir. Hesaplarınız zayıf parolalar nedeniyle zorlandığında veya çevrimiçi sağlayıcılarınızdan biri veri ihlaline uğradığında numaranız da kolayca sızabilir. 

• Otomatik arayanlar: Otomatik arayanlar rastgele numaraları arar ve aramayı yanıtladığınız anda bir dolandırıcılığın hedefi olabilirsiniz. Bazen bu otomatik arayanlar sadece numaranın kullanımda olduğunu teyit etmek için ararlar, böylece numaranız bir hedef listesine eklenebilir. 

• Posta: Son teslimatlarınızı kontrol edin. Bunların üzerinde genellikle adresiniz görünür ancak bazı durumlarda e-posta adresiniz veya telefon numaranız da yazılı olabilir. Ya birisi teslimatlarınızdan birini çaldıysa ya da geri dönüşüm yığınınızı karıştırdıysa? Veri sızıntılarının genellikle aynı bilgileri içerdiği düşünüldüğünde bu çok tehlikeli olabilir ve daha fazla istismara zemin hazırlayabilir. 

Telefon numaralarını etkileyen geniş çaplı bir ihlal örneği olarak, AT&T kısa bir süre önce milyonlarca müşterinin 2022 ortalarından sonlarına kadar olan arama ve kısa mesaj kayıtlarının büyük bir veri sızıntısında açığa çıktığını açıkladı. Şirketin neredeyse tüm müşterileri ve hücre ağını kullanan kişilerin numaraları, arama süreleri ve arama etkileşimlerinin sayısı açığa çıktı. CNN tarafından bildirildiği üzere, arama ve metin içeriklerinin ihlal edilen veriler arasında olmadığı iddia edilse de müşteri isimleri ve numaraları hala kolayca ilişkilendirilebilir. 

Suçun, kötü niyetli bir aktörün eriştiği üçüncü taraf bir bulut platformuna ait olduğu bildirildi. Ancak tesadüfe bakın ki aynı platform son yıllarda kendisiyle bağlantılı birçok büyük sızıntı vakasına sahne olmuştu. 

Telefon numarası dolandırıcılığı konusunda ne yapabilirsiniz? 

Peki, kendinizi ve numaranızı nasıl koruyabilirsiniz? İşte birkaç ipucu: 

• Kimlik avına karşı dikkatli olun. Yabancı numaralardan gelen istenmeyen mesajlara/aramalara asla cevap vermeyin, e-postalarınızdaki/mesajlarınızdaki rastgele bağlantılara tıklamayın ve görünüşte acil bir duruma tepki vermeden önce soğukkanlı olmayı ve düşünmeyi unutmayın. 

• Servis sağlayıcınıza SIM güvenlik önlemlerini sorun. Örneğin, SIM takasına karşı koruma sağlamak için kart kilidi seçeneği veya çağrı yönlendirme gibi dolandırıcılıkları önlemek için ek hesap güvenliği katmanları olabilir. 

• Hesaplarınızı iki faktörlü kimlik doğrulama ile koruyun. İdeal olarak SMS tabanlı doğrulama yerine özel güvenlik anahtarları, uygulamalar veya biyometri kullanın. SMS doğrulaması, saldırganlar tarafından daha kolay ele geçirilebilir. Aynı şeyi servis sağlayıcı hesapları için de yapın. 

• Bir web sitesine telefon numaranızı vermeden önce iki kez düşünün. Çeşitli uygulamalarınız için ek bir kurtarma seçeneği olarak kullanmak faydalı olsa da ikincil e-postalar/kimlik doğrulayıcılar gibi diğer yöntemler daha güvenli bir alternatif sunabilir.  

• Çevrimiçi alışverişler için normal telefon numaranızı kullanmayın. Ön ödemeli bir SIM kart veya bir VoIP hizmeti kullanmayı düşünün. 

• Arama filtreleme özelliğine sahip bir mobil güvenlik çözümü kullanın. Web tarayıcınızdaki üçüncü taraf çerezlerinin engellendiğinden emin olun ve gizliliği artıran diğer araç ve teknolojileri keşfedin. 

Giderek daha fazla çevrimiçi kayıt tutmaya dayanan bir dünyada, numaranızın üçüncü bir tarafça bir yerlerde saklanmaması ihtimali düşüktür. AT&T sızıntısının da gösterdiği gibi, kendi operatörünüzün güvenliğine güvenmek de oldukça sorunludur. Yine de bu, sürekli bir paranoya halinde kalmanız gerektiği anlamına gelmez. 

Öte yandan uygun siber hijyene bağlı kalmanın ve çevrimiçi verilerinizin farkında olmanın önemini unutmayın. Özellikle de bu yeni yapay zekâ destekli (altında) dünyanın etkileri göz önünde bulundurulduğunda ihtiyatlı olmak hala çok önemli.