23 Ağustos 2014 Cumartesi

DUYURU : LÜTFEN DİKKAT /// Telefon Dolandırıcılığı Yöntemi ve VOIP Web üzerinden Arama Yazılımları

 

Bu yazımda son zamanlarda sıklıkla rastladığım ve birçok habere konu olan "telefon dolandırıcılığı" ya da diğer bir adı ile "sosyal mühendislik" ile yapılan dolandırma yöntemlerinin detaylarına değineceğim. Bu dolandırıcılık hikâyelerinin temeline baktığımızda standart bir sosyal mühendislik kullanıldığını görüyoruz. Kullanıcılar önce korku, ardından "güven" verilerek tuzağa düşürülür.

Telefon dolandırıcılığını kısaca özetleyecek olursak eğer; kurbanlara ait bilgiler internet üzerinden toplanır. Bu toplanan bilgiler cep telefonu, e-mail adresi, adı, soyadı varsa kızlık soyadı gibi kişisel bilgilerden oluşmaktadır.

Hemen ardından bu bilgiler kullanılarak senaryo oluşturulur. "Terör örgütüne yardım ettiniz. Ancak şu kadar ödeme yaparsanız sizi bu durumdan kurtarabiliriz", "Adınıza sahte kredi kartı açılmış ve bu kredi kartından terör örgütüne yardım gitmiş. Bunu yapanları yakalayabilmemiz için hesabınızdan bize para gönderip hesabın hareket görmesini sağlamalısınız" gibi bir senaryo oluşturulur.

1.     Bu senaryo dâhilinde kurban önce korkutulur. (Banka hesabınızdan terör örgütlerine yardım gidiyor) Ardından güven verilerek sosyal mühendislik gerçekleştirilir. Kendilerine güven için resmi bir kurum olarak iletişime geçtiklerini söyleyerek söze başlarlar. (Ör: Sizi polis karakolundan arıyoruz)

2.     İşlemin daha ikna edici olabilmesi için ise güzel bir telefon numarasına ihtiyaç var. Bu noktada istediğimiz telefon numarasından arayabilmek için VOIP (İnternet üzerinden telefon numarası arayabilen programlar) yazılımlarından faydalanacağız.

1. İnternet üzerinde birçok veri bilinçli ya da bilinçsiz bir şekilde herkese açık durumdadır. Saldırganlar/Dolandırıcılar kişisel verilerimizi birçok yöntem ile elde edebilmektedirler. Bu yöntemler arasında en çok kullanılanı ise kişisel bilgilerimizi girdiğimiz sitelerin / e-ticaret yazılımlarının hacklenmesi ile elde edilir. Güvenliği tam olarak sağlanmamış herhangi bir siteye yahut e-ticaret sistemine üye olduk. Üyelik sırasında bizden talep etmiş olduklarını kişisel verilerimiz (ad, soyad, cep telefonu, mail vb.) veri tabanlarında tutulur. Bu veri tabanlarına sızılması durumunda kişisel verilerimiz üçüncü şahısların eline geçmiş olacaktır.

 

(Genelde sistemlerini test ettirmeyen birçok platformda açık bulunabilir). Ya da kişisel bilgilerimizi herhangi bir iş için toplayan kurum/kuruluş farkında olmadan bu bilgileri internete açtığında verilerimiz saldırganların eline geçmiş olacaktır. Saldırgan elde ettiği verileri kullanarak kullanıcı dolandırmaya çalışır.


Bu makaleyi hazırlarken kurumların farkında olmadan kişisel bilgileri internete açtıklarını gösteriyor olacağım.



Resim-01

 

Resim-02

Google üzerinden birkaç basit arama işlemi gerçekleştirdikten sonra Resim-01 ve Resim-02'deki bilgileri elde ettim. Resim-01'e bakacak olursak, doğum tarihi, ad, soyad, meslek, meslek, unvan, ev telefonu, cep telefonu, mail hatta ve hatta anne kızlık soyadının da yer aldığını görüyoruz. Resim-02'de de benzer bilgiler mevcut.

 

Bir saldırgan/dolandırıcı da benzer yöntem ile çok basit bir şekilde Google arama üzerinden bu kişisel verileri ele geçirebilir.

2. Saldırgan senaryosunu oluşturduktan sonra elde ettiği verilerdeki kişileri tek tek arayarak saldırısını denemeye çalışır.

3. Senaryo dâhilinde kurban önce korkutulur ve hemen ardından güven verilerek saldırının başarıya ulaşması sağlanır. (Ör: Merhabalar Mehmet Bey, biz polis karakolundan arıyoruz. Doğum tarihiniz … adınız… soyadınız…)

4. Saldırının daha başarılı olabilmesi için kurbanın senaryo dâhilinde istediği bir numaradan kurbanını araması gerekmektedir. Tamda bu noktada VOIP yazılımları devreye girer. Dolandırıcının senaryo dâhilinde bizi "Başbakanlık" numarasından aradığını varsayarak yola devam edeceğim. Başbakanlığın resmi sitesinde iletişim numarasının "+90 (312) 422 10 00" numaralı bir telefon olduğunu tespit ettik.

Saldırgan inandırıcı olabilmesi ve kurbanın telefonu sorgulatacağını varsayarak, kurbanı başbakanlıktan arıyormuş havası vermek gerekecektir. Bu noktada "12Voip" gibi bir yazılım devreye girecektir. Biz bu yazıda "12Voip" yazılımını kullanacağız.


Resim-03

Saldırgan Resim-03'teki gibi başbakanlığa ait telefon numarasından bizi arayacaktır.


Resim-04

Başbakanlığa ait "+90 (312) 422 10 00" numaralı telefondan bize gelen arama Resim-04'teki gibidir. Saldırgan böylece daha inandırıcı bir şekilde kurbanlarını kandırmış olacaktır.

Önlemler:

11.Kişisel bilgilerinizi her yere (güvendiğiniz yerler hariç) doğru bir şekilde girmeyiniz. Adınız ve soyadınız isteniyorsa (eğer resmi bir kuruluşa ait bir site değilse) buralara alakasız şeyler yazın.


12.Hiçbir kamu kurum ve kuruluşunda görevli personel sizi arayarak para talep etmez.

13.Kişisel bilgilerinizi bilerek veya bilmeyerek yayınlayan bir adres gördüğünüzde bu bilgilerin kaldırılmasını talep ediniz.

14.Benzer bir saldırıya maruz kaldığınızda mutlaka polise bildirin.

15.Her yerde aynı şifreyi kullanmaktan kaçının. Çünkü saldırganlar ele geçirdikleri şifreleri diğer platformlarda da kullanarak deneyebilirler.

SAVAŞ KIRÇOVALI

ÖZEL BÜRO HACK TİMİ

[publicize twitter]

[publicize facebook]

[category teknoloji]

[tags DUYURU, Telefon Dolandırıcılığı Yöntemi, VOIP, web, arama Yazılımları]

Hiç yorum yok:

Yorum Gönder

Hakkımızda

Fotoğrafım
BU BLOG ÖZEL BÜRO GRUBU'NA AİTTİR. RESMİ WEB SİTEMİZ : http://www.ozelburoistihbarat.com

ÖZEL BÜRO İSTİHBARAT GRUBU