Smishing: Hızla Büyüyen Bir Tehdit

Smishing, "SMS" ve "phishing" (oltalama) kelimelerinin birleşiminden oluşan, metin mesajı yoluyla gerçekleştirilen oltalama girişimlerini ifade etmektedir. Bu sosyal mühendislik tekniği, kullanıcıların e-postalara kıyasla daha güvenilir olarak algıladıkları SMS'lere duydukları güveni istismar etmektedir. Türkiye'de smishing bildirimleri 2024 yılında %45 artış göstermiş ve bu tehdit, siber suç ortamının en dinamik tehditlerinden biri haline gelmiştir.

Şüpheli mesaj gösteren akıllı telefon

E-posta yoluyla oltalamadan farklı olarak smishing, olağanüstü açılma oranlarından faydalanmaktadır: SMS'lerin %98'inden fazlası alındıktan sonraki üç dakika içinde okunmaktadır. Siber suçlular bunu çok iyi anlamış ve bu saldırı kanalına yoğun yatırım yapmaktadır.

En Yaygın Smishing Senaryoları

Dolandırıcılar, kurbanlarını kandırmak için çeşitli senaryolar kullanmaktadır. İşte Türkiye'de en sık karşılaşılanlar:

Sahte kargo bildirimi

"Kargonuz teslim edilmeyi bekliyor. Bilgilerinizi onaylayın: [link]". E-ticaretin yükselişiyle birlikte bu senaryo en yaygın hale gelmiştir. Link, kurbanın banka bilgilerini toplayan PTT, Yurtiçi Kargo veya DHL'yi taklit eden sahte bir siteye yönlendirmektedir.

SGK kartı dolandırıcılığı

"SGK kartınızın süresi dolmak üzere. Hemen yenileyin: [link]". Bu mesaj aciliyet duygusu ve idari prosedürlere ilişkin bilgi eksikliğini istismar etmektedir. Sahte site, yenileme ücreti bahanesiyle kişisel ve banka bilgilerini talep etmektedir.

Sahte trafik cezası bildirimi

"EGM: 250 TL tutarında ödenmemiş cezanız bulunmaktadır. Artırılmadan önce ödeyin: [link]". Emniyet Genel Müdürlüğü kimliğine bürünme, aciliyet, otorite ve inandırıcı bir tutarı bir araya getirdiği için özellikle etkilidir.

İŞKUR dolandırıcılığı

"İŞKUR haklarınız sona ermek üzere. Bakiyenizi kullanın: [link]". Devlet bu tür dolandırıcılıklara karşı mücadeleyi güçlendirmiş olsa da, giderek daha sofistike biçimlerde devam etmektedir.

Sahte banka danışmanı

"Hesabınızda şüpheli işlem tespit edildi. Derhal [numara] numarasını arayın". Kurban, kendisini havale yapmaya veya erişim kodlarını paylaşmaya yönlendiren sahte bir danışmanla görüştürülmektedir.

Sahte SMS Nasıl Tanınır

Smishing'i tespit etmeye yarayan birkaç ipucu bulunmaktadır:

Cep telefonunda güvenlik uyarısı
  • Yapay aciliyet — Mesaj, eleştirel düşüncenizi devre dışı bırakmak için bir aciliyet duygusu yaratmaktadır
  • Kısaltılmış veya şüpheli link — URL'ler kısaltma servisleri (bit.ly, tinyurl) veya benzer ancak farklı alan adları kullanmaktadır (ptt-kargo-takip.com yerine ptt.gov.tr olması gerekirken)
  • Yazım hataları — Dolandırıcılar gelişse de mesajlarda sıklıkla hatalar bulunmaktadır
  • Hassas bilgi talebi — Hiçbir meşru kuruluş banka bilgilerinizi veya şifrelerinizi SMS ile talep etmez
  • Olağandışı gönderici numarası — SMS'ler genellikle 05 ile başlayan numaralardan veya uluslararası numaralardan gelmektedir

Korunma Refleksleri

Şüpheli bir SMS karşısında şu refleksleri benimseyin:

  1. Asla tıklamayın — Talep edilmemiş bir SMS'teki linke kesinlikle tıklamayın
  2. Doğrudan doğrulayın — İlgili kurumun resmi web sitesini tarayıcınıza manuel olarak yazarak kontrol edin
  3. SMS'i ihbar edin — BTK'nın ihbar hattına veya ilgili operatörünüzün spam bildirim servisine iletin
  4. Numarayı engelleyin — Gönderici numarasını telefonunuzda engelleyin
  5. Asla geri aramayın — Şüpheli bir SMS'te belirtilen numarayı kesinlikle aramayın

Kurumsal Ortamda Korunma

Smishing yalnızca bireyleri hedef almaz. Şirket çalışanları, profesyonel bilgi sistemlerine erişim elde etmeyi amaçlayan hedefli SMS'ler almaktadır. Kuruluşunuzu korumak için:

  • Smishing'i farkındalık programlarınıza dahil edin
  • Kurumsal cihazlarda Mobil Tehdit Savunması (MTD) çözümleri dağıtın
  • Açık bir iç bildirim prosedürü oluşturun
  • Ekiplerinizin farkındalığını test etmek için smishing simülasyonları gerçekleştirin
  • Mobil cihazlardan erişilebilen kurumsal bilgileri sınırlandırın

Kurban Olursanız Ne Yapmalısınız?

Bir linke tıkladıysanız veya bilgilerinizi paylaştıysanız:

Mesaj yoluyla dolandırıcılık girişimi
  1. Bankanız ve e-postanızdan başlayarak tüm şifrelerinizi derhal değiştirin
  2. Banka bilgilerinizi paylaştıysanız itiraz etmek için bankanızla iletişime geçin
  3. Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı'na veya Cumhuriyet Savcılığı'na şikayette bulunun
  4. Dolandırıcılığı BTK'nın İhbar Merkezi'ne bildirin
  5. Sonraki haftalarda banka hesaplarınızı yakından takip edin

Sonuç

Smishing, mobil iletişimlere duyduğumuz güveni istismar eden sürekli gelişen bir tehdittir. Dikkatli olmak en iyi silahınızdır: tepki vermeden önce her zaman birkaç saniye ayırarak SMS'i analiz edin. Şüphe duyduğunuzda tıklamayın. Birkaç saniyelik doğrulama, sizi aylarca sürecek işlem ve stresten kurtarabilir.