Kaspersky’den yapılan açıklamaya göre, dolandırıcılar, kişisel veri ve para çalmak amacıyla, yeni yıl indirim sezonu etrafında kurulan tuzakları yeni yıl hediyeleri gibi gizliyor . Kaspersky uzmanları, bu dönemde ortaya çıkan yeni kimlik avı vakalarını tespit ettiğini duyurdu.
Bazı kimlik avı siteleri, farklı görünümler altında kullanıcıların kişisel sosyal medya ve mesajlaşma hesaplarına sızarak veri elde etmeyi amaçlıyor. Kullanıcılardan talep edilen bilgilere gönderildiğinde doğrudan dolandırıcıların eline geçiyor.
Bu tarz kimlik avı saldırılarından biri geçen günlerde Singapur’da görüldü. Dolandırıcılar, yeni yılda Singapur Maliye Bakanlığı’ndan ödeme yapılacağı vaadiyle bireyleri hedef alan sofistike bir kimlik avı sitesi oluşturdu. Bu aldatıcı site, bakanlığın kurumsal kimliğini taklit ederek güvenilirlik havası verecek şekilde tasarlandı. Ödemeyi almak isteyen ziyaretçilerden Telegram hesap bilgilerini girmeleri istendi.
Kullanıcı Telegram hesap bilgilerini girdikten sonra, dolandırıcılar hesaba tam erişim sağladı. Bu da potansiyel olarak dijital kimlik hırsızlığına, özel konuşmalara erişime ve daha fazla kötü niyetli faaliyet için kurbanı taklit etme fırsatına yol açtı.
Yeni Yıl Hediyeleri Vadeden ve Bankaları Taklit Eden Kimlik Avı Siteleri
Bir başka oltalama tekniği de bankaları işin içine katan bir piyango çekilişi oldu. Yılbaşı gecesi sürpriz ve hediye zamanı olduğundan, dolandırıcılar kurbanlarını banka bilgilerini elde etmelerine davet eden kimlik avı sitelerine yönlendirdiler.
Yeni yıl dolandırıcılığının bir örneğinde özellikle Filipin vatandaşları hedef alındı. Bu yöntemde bireyler, para kazanma şansı elde etmek için çark çevirmeleri gereken bir web sitesine davet edildi. Çarkın çevrilmesinden sonra kullanıcılara sözde kazandıkları hediyeler gösterildi ve paranın yatırılabileceği bankalar arasından seçim yapmaları istendi.
Kullanıcılar seçimi yaptıktan sonra kendilerini gerçek çevrim içi bankacılık arayüzlerini taklit etmek üzere tasarlanmış kimlik avı sitelerinde buldular. Bu aldatıcı taktik, dolandırıcılığın son hamlesiydi ve kurbanların bankacılık kimlik bilgilerine ve nihayetinde paralarına erişim sağlayarak dolandırmayı amaçlıyordu.
İçinden Pokemon Çıkmayan Sahte Yeni Yıl Kripto Hediye Kutuları
Kripto para piyasasında riskler son derece yüksek. Bir Bitcoin’in onda birine sahip bir cüzdanı çalmak bile dolandırıcılara önemli kazanç sağlıyor. Bu nedenle dolandırıcılar inandırıcı kimlik avı e-postaları ve siteleri oluşturmak için çok çaba harcıyor ve kullanıcının kurulan tuzağı fark etmesini zorlaştırıyorlar.
Böyle bir vakada dolandırıcılar, kullanıcıların fiziksel koleksiyon parçalarını tokene dönüştürmelerine olanak tanıyan Courtyard.io sitesinin resmi teklifini kopyalayan bir kimlik avı sayfası oluşturdular. Orijinal Courtyard.io sitesi kullanıcıları kayıt olmaya ve Pokémon kartı içeren bir yılbaşı kutusu satın almaya davet ediyor. Dolandırıcılar aynı teklifi içeren farklı bir kimlik avı sayfası oluşturdu. Ancak sürpriz kutuyu almak için ziyaretçilerin bir kripto cüzdanına bağlanması gerekiyordu ve bu da paralarının çalınmasıyla sonuçlandı.
Açıklamada görüşlerine yer verilen Kaspersky Kıdemli Web İçeriği Analisti Olga Svistunova, “Dolandırıcılar son derece yaratıcı ve kurnazdır. Bu nedenler bilinmeyen e-postalardan gelen özel teklifleri iki kez kontrol etmeniz gerekiyor. Neyse ki burada güvenilir bir müttefikimiz var: Kişisel verilerinizi ve paranızı koruyacak, kötü niyetli kişilerin keyfinizi kaçırmasını önleyecek kapsamlı bir siber güvenlik çözümü.” ifadelerini kullandı.
Kaspersky uzmanları, hediye mevsimiyle bağlantılı dolandırıcılıklardan kaçınmanız için aşağıdaki basit ipuçlarını öneriyor:
“Kaynağı doğrulayın. Herhangi bir özel teklifle iletişime geçmeden önce, kaynağın meşruiyetini doğrulayın. Teklif bilinen bir marka veya kuruluştan geliyorsa, hediye kampanyalarını doğrulamak için resmi web sitelerini veya sosyal medya kanallarını kontrol edin. Site adresini adres çubuğuna elle yazın. E-postadaki bağlantıları açmayın. Bunlar bir kimlik avı bağlantısı olabilir. Bir web sitesini açmanız gerektiğinde, e-postadaki herhangi bir bağlantıya tıklamak yerine URL’sini adres çubuğuna elle yazmak her zaman daha iyidir. Kötü niyetli teklifteki ipuçlarına karşı uyanık olun. Gerçek olamayacak kadar iyi görünen tekliflere karşı dikkatli olun.
Örneğin çok az bir çabayla büyük miktarda para veya pahalı ödüller kazanmak gibi. Kripto para işlemleri söz konusu olduğunda da bu durum geçerlidir. Dolandırıcılar teklifi geçerli göstermek için ellerinden geleni yapacaktır. Kişisel bilgilerinizi paylaşmayın. Gerçek hediye dağıtımları nadiren hassas kişisel bilgileri önceden ister. Banka hesap numaralarınız, şifreleriniz veya kimlik numaralarınız gibi ayrıntılar isteyen herhangi bir talebe karşı dikkatli olun.”