Eyüp Çelik

Sr. Cyber Security Expert

Sr. Network Security Expert

Sr. Malware Developer

Sr. C# Developer

Eyüp Çelik

Sr. Cyber Security Expert

Sr. Network Security Expert

Sr. Malware Developer

Sr. C# Developer

Soru Sor
Blog Post

Telefon Dolandırıcılığı Yöntemleri ve VOIP Yazılımlar

18 Aralık 2013 Offensive Security, Siber Güvenlik by mindsp00f
Telefon Dolandırıcılığı Yöntemleri ve VOIP Yazılımlar

Bu yazımda son zamanlarda sıklıkla rastladığım ve birçok habere konu olan “telefon dolandırıcılığı” ya da diğer bir adı ile “sosyal mühendislik” yoluyla yapılan dolandırma yöntemlerinin detaylarına değineceğim. Bu dolandırıcılık hikâyelerinin temeline baktığımızda standart bir sosyal mühendislik kullanıldığını görüyoruz. Kullanıcılar önce korku, ardından “güven” verilerek tuzağa düşürülür.

Telefon dolandırıcılığını kısaca özetleyecek olursak eğer; kurbanlara ait bilgiler internet üzerinden toplanır. Bu toplanan bilgiler cep telefonu, e-mail adresi, adı, soyadı varsa kızlık soyadı gibi kişisel bilgilerden oluşmaktadır.

Hemen ardından bu bilgiler kullanılarak senaryo oluşturulur. “Terör örgütüne yardım ettiniz. Ancak şu kadar ödeme yaparsanız sizi bu durumdan kurtarabiliriz”, “Adınıza sahte kredi kartı açılmış ve bu kredi kartından terör örgütüne yardım gitmiş. Bunu yapanları yakalayabilmemiz için hesabınızdan bize para gönderip hesabın hareket görmesini sağlamalısınız” gibi bir senaryo oluşturulur.

  1. Bu senaryo dâhilinde kurban önce korkutulur. (Banka hesabınızdan terör örgütlerine yardım gidiyor)
  2. Ardından güven verilerek sosyal mühendislik gerçekleştirilir. Kendilerine güven için resmi bir kurum olarak iletişime geçtiklerini söyleyerek söze başlarlar.  (Ör: Sizi polis karakolundan arıyoruz)
  3. İşlemin daha ikna edici olabilmesi için ise güzel bir telefon numarasına ihtiyaç var. Bu noktada istediğimiz telefon numarasından arayabilmek için VOIP (İnternet üzerinden telefon numarası arayabilen programlar) yazılımlarından faydalanacağız.

1. İnternet üzerinde birçok veri bilinçli ya da bilinçsiz bir şekilde herkese açık durumdadır. Saldırganlar/Dolandırıcılar kişisel verilerimizi birçok yöntem ile elde edebilmektedirler. Bu yöntemler arasında en çok kullanılanı ise kişisel bilgilerimizi girdiğimiz sitelerin/e-ticaret yazılımlarının hacklenmesi ile elde edilir. Güvenliği tam olarak sağlanmamış herhangi bir siteye yahut e-ticaret sistemine üye olduk. Üyelik sırasında bizden talep etmiş olduklarını kişisel verilerimiz (ad, soyad, cep telefonu, mail vb.) veritabanlarında tutulur. Bu veritabanlarına sızılması durumunda kişisel verilerimiz üçüncü şahısların eline geçmiş olacaktır. (Genelde sistemlerini test ettirmeyen birçok platformda açık bulunabilir). Ya da kişisel bilgilerimizi herhangi bir iş için toplayan kurum/kuruluş farkında olmadan bu bilgileri internete açtığında, verilerimiz saldırganların eline geçmiş olacaktır. Saldırgan(lar) elde ettiği verileri kullanarak kişileri dolandırmaya çalışır.

Bu makaleyi hazırlarken kurumların farkında olmadan kişisel bilgileri internete açtıklarını gösteriyor olacağım.

Resim-01
Resim-02

Google üzerinden birkaç basit arama işlemi gerçekleştirdikten sonra Resim-01 ve Resim-02’deki bilgileri elde ettim. Resim-01’e bakacak olursak, doğum tarihi, ad, soyad, meslek, unvan, ev telefonu, cep telefonu, mail hatta ve hatta anne kızlık soyadının da yer aldığını görüyoruz. Resim-02’de de benzer bilgiler mevcut. Bir saldırgan/dolandırıcı da benzer yöntem ile çok basit bir şekilde Google arama üzerinden bu kişisel verileri ele geçirebilir.

2. Saldırgan senaryosunu oluşturduktan sonra elde ettiği verilerdeki kişileri tek tek arayarak saldırısını denemeye başlar.

3. Senaryo dâhilinde kurban önce korkutulur ve hemen ardından güven verilerek saldırının başarıya ulaşması sağlanır. (Ör: Merhabalar Mehmet Bey, biz polis karakolundan arıyoruz. Doğum tarihiniz … adınız… soyadınız…)

4. Saldırının daha başarılı olabilmesi için kurbanın senaryo dâhilinde istediği/güven duayacağı bir numaradan kurbanını araması gerekmektedir. Tamda bu noktada VOIP yazılımları devreye girer. Dolandırıcının senaryo dâhilinde bizi “Başbakanlık” numarasından aradığını varsayarak yola devam edeceğim. Başbakanlığın resmi sitesinde iletişim numarasının “+90 (312) 422 10 00” numaralı bir telefon olduğunu tespit ettik.

Saldırgan inandırıcı olabilmesi ve kurbanın telefonu sorgulatacağını varsayarak, kurbanı başbakanlıktan arıyormuş havası vermek gerekecektir. Bu noktada “12Voip” gibi bir yazılım devreye girecektir. Biz bu yazıda “12Voip” yazılımını kullanacağız.

Resim-03

Saldırgan Resim-03’teki gibi başbakanlığa ait telefon numarasından bizi arayacaktır.

Resim-04

Resim-04

Başbakanlığa ait “+90 (312) 422 10 00” numaralı telefondan bize gelen arama Resim-04’teki gibidir. Saldırgan böylece daha inandırıcı bir şekilde kurbanlarını kandırmış olacaktır.

Önlemler:

  1. Kişisel bilgilerinizi her yere (güvendiğiniz yerler hariç) doğru bir şekilde girmeyiniz. Adınız ve soyadınız isteniyorsa (eğer resmi bir kuruluşa ait bir site değilse) buralara alakasız şeyler yazın.
  2. Hiçbir kamu kurum ve kuruluşunda görevli personel sizi arayarak para talep etmez.
  3. Kişisel bilgilerinizi bilerek veya bilmeyerek yayınlayan bir adres gördüğünüzde bu bilgilerin kaldırılmasını talep ediniz.
  4. Benzer bir saldırıya maruz kaldığınızda mutlaka polise bildirin.
  5. Her yerde aynı şifreyi kullanmaktan kaçının. Çünkü saldırganlar ele geçirdikleri şifreleri diğer platformlarda da kullanarak deneyebilirler.

Dip Not: Bu makalede kullanmış olduğum 12Voip yazılımı kişiden kişiye arattırmaya yarıyor. Araya girmek ya da cevap vermek gibi işlemler yapamazsınız.

Related Posts
Write a comment

© 2008 eyupcelik.com.tr. All rights reserved.