ESET, yaklaşan yılbaşı alışverişlerini göz önüne alarak online alışverişte dikkat edilmesi gerekenler hakkında bilgilendirmelerde bulundu. Özellikle popülerliği artan hediye kartlarına dikkat çekerek, siber suçluların kullanabileceği yöntemleri inceledi.
Yılın bu zamanlarında, hediye alıp vermek için online alışverişin daha çok tercih edildiği görülüyor. Hediye kartları giderek popülerliği artan bir seçenek olduğundan, hediye kartı dolandırıcılığında artış meydana geldi. Hediye kartlarının popülerliği, yalnızca hediye kartlarına odaklanan bir yeraltı sektörü oluşturan siber suçluların ve online dolandırıcıların da gözünden kaçmadığı fark edildi. Bazı dolandırıcıların, kullanıcıları kandırıp hassas kişisel ve finansal bilgileri paylaşmalarını sağlamak için kartları kullandığı tespit edildi. Bazı durumlarda ise dolandırıcılar hediye kartları ile ödeme isteyen resmi görevlilerin kılığına girdiği açıklandı.
Hediye kartları, dolandırıcılar arasında neden popüler?
Hediye kartlarının siber suçlular arasında popüler olmasının nedenleri, tüketiciler arasında popüler olmasının nedenleriyle aynı. Tüketicilerin hediye kartlarını online olarak veya mağazadan satın alması kolay olması, satın alan kişi açısından sıradan ödeme kartlarından daha az korumaya sahip olması ve dolandırıcının ödeme için bir banka hesabı belirtmesine gerek olmaması, yalnızca hediye kartı PIN kodunun yeterli olmasından dolayı suçluların bu alana yöneldiği biliniyor.
Geçtiğimiz günlerde yaşanılan bir olayda, bir tehdit aktörü neredeyse 38 milyon dolar değerindeki 900 bin hediye kartını bir karanlık ağ sitesinde sattığı duyurulmuştu. Bu kartlar, Cardpool adındaki çevrimiçi indirimli kart dükkanından çalındı ve AirBnB, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target ve Walmart dahil olmak üzere binlerce markada kullanılabildiği açıklanmıştı.
Dikkat edilmesi gereken başlıca 5 saldırı taktiği
Bir “memur” tehditkar bir biçimde para ister
Bu taktikte dolandırıcılar bir hükümet yetkilisinin, bir hizmet sağlayıcının veya başka bir kuruluşun resmi yetkilisi kılığına bürünür. Ödenmemiş vergiler veya yüklü miktarda bir fatura tutarı gibi ödemelerle kurbanı tehdit eder ve ödemenin acil olduğunu belirtirler. Bu durum, kurbanı karar verme sürecinde aceleye getirmek için tasarlanan klasik bir sosyal mühendislik örneğidir.
Dolandırıcı bir kimlik hırsızlığı e-postası veya mesajı, hatta bir telefon araması yoluyla kurbana ulaşabilir. Ödemenin hediye kartıyla yapılması istenir ve dolandırıcı ödeme için kullanılmasını istediği kart türünü özellikle belirtir. Bunlar dikkat etmeniz gereken ipuçlarıdır. Gerçek hiçbir şirket veya hükümet hediye kartı yoluyla ödeme kabul etmez.
Botlar, bakiyenizi çalar
Bazen kötü amaçlı kişiler doğrudan hesabınızı hedef alır ve hediye kartını veren kişi yoluyla dijital olarak hesabınıza ulaşır. Kart bakiyelerindeki ve kart numaralarındaki bilgilere ulaşmak için perakendecilerin ve diğer kuruluşların bankayla ilgili BT sistemlerine sızmak için otomatik botları kullanırlar. Bu bilgiler sayesinde, kartın resmi sahibiymiş gibi kartı kullanabilirler. Araştırmaya göre yalnızca Amerika’da 15 milyar dolar değerinde kullanılmamış hediye kartı ve kredi bulunduğunu göz önüne aldığımızda bu durum suistimale açık bir alandır.
Mağazadaki kartlara dışarıdan müdahale etme
Dolandırıcılar yalnızca çevrimiçi ortamda çalışmaz. Dolandırıcıların kullandığı diğer bir teknik ise hediye kartların bulunduğu veya satıldığı mağazaları ziyaret edip numaraları ve gizli PIN kodlarını çalmaktır. Bazen PIN kodlarını bir etiketle kapatmak gibi yöntemlerle yaptıklarını gizlemeye çalışırlar. Karta bağlı olarak, kartı çevrimiçi olarak kullanmadan veya mağazada kullanmak üzere kartı kopyalamadan önce, kurbanın kaydolup karta para yüklemek için çevrimiçi olmasını bekleyebilirler.
Ödül kazandınız!
Diğer bir dolandırıcılık kategorisinde, hediye kartını kullanarak bir ücret ödemesi için kullanıcıyı kandırmak amacıyla bir ödül vaadinde bulunulur. Dolandırıcıdan gelen doğrulanmamış bir ileti, kurbana büyük bir ödül kazandığını söyler ancak bu ödülü almak için kurbanın küçük bir ödeme yapılması gerekir. Bu ödül, arabadan tatile kadar her şey olabilir. Tabii ki aslında ortada böyle bir ödül yoktur.
Verilerinizi çalmak için kimlik avı denemeleri
Hediye kartları, kullanıcıları kandırıp kişisel bilgilerini paylaşmalarını sağlamak için kullanılabilir. Bu durum, klasik bir kimlik avı saldırısına benzer. Alıcıya e-posta, mesaj veya sosyal medya yoluyla ulaşılarak büyük bir hediye kartı bakiyesi teklif edilir. Bu hediye kartını alabilmek için alıcının bazı kişisel ve büyük ihtimalle finansal bilgileri paylaşması gereklidir. Sonrasında dolandırıcılar bu bilgileri karanlık ağda satabilir veya kimlik dolandırıcılıklarında kullanabilir.
