[TR] Dünyada eDolandırıcılık ve Oltalama Trendleri - 2022
Aşağıda gördüğünüz görsellerin tamamı benim 2022 yılının sonunda hazırlamış olduğum bir sunumun slaytlarıdır. Sunumu indirmek isterseniz.
2023 Blog’u için Dünyada eDolandırıcılık ve Oltalama Trendleri - 2023
eDolandırıcılık
Düştüğün tek suç türü
Bu blog yazısında eDolandırıcılık ve oltalamaların yaşam döngüsünü, trendleri, sık görülen türleri ve örneklerini göstereceğim. Bunları anlatırken de 2022 yılından dünya için istatistiklerden bahsedeceğim.
Öncelikle dolandırıcılık nedir? Bizim kanunlarımıza göre hileli davranışlarla bir kimseyi aldatması, mağdurun veya başkasının zararına olarak kendisine veya başkasına yarar sağlamasıdır. Bir de Nitelikli dolandırıcılık vardır olanı vardır.
1 eDolandırıclık bir nitelikli dolandırıcılık türüdür.
Bir suçtur ama diğerlerinden farklı bir özelliği vardır, biraz gariptir diyebiliriz. Bir Uluslararası bir anti dolandırıcılık kuruluşu başkanını olan Jorij Abraham’ın çok hoş bir sözü var bu konuda, Türkçe’ye biraz zor çevriliyor ama diyor ki dolandırıcılık yada oltalama düştüğünüz/yediğiniz tek suç türüdür diyor. Kandırılıyorsunuz ve isteyerek kendi rızanızla dolandırılıyorsunuz.
The only crime you fall for.
Siparişlere Dikkat :) 2
Diğer suç türlerine göre bazı temel farkları vardır. Bunların en önemlisi; Kandırıldığınızda ve dolandırıldığınızda,
- Utanç hissediyoruz
- Kötü hissediyoruz
- Salak hissediyoruz
- Bir şeyi atladığınız hissediyorsunuz.
Bu şekilde hissettiğimiz için ve iş kendi rızamızla olunca da utanıyoruz, böyle bir olay yaşadığınızı kabul etmiyoruz ve kimseye söylememeyi tercih ediyoruz.
Lütfen bana olmaz demeyin! Herkesin başına gelebilir
Mesela çok güncel bir olaydan bahsedeyim, bir aile dostumuz var, kendisi bir bankanın Genel Müdürlüğünde çalışıyor, rahat 10-15 yıllık tecrubesi var. Geçtiğimiz ay bir telefon dolandırıcılığına 200bin TL kaptırdı. Konuda banka borcu/haciz gibi konular. Detaylarını soruyorum ama işte dedim ya kötü hissediyorsunuz kimseye söylemek istemiyoruz. Anlatmıyor. Keşke paylaşabilsem.
Kısacası bana olmaz demeyin, cidden herkesin başına gelebilir. Bir anlık dalgınlık, kötü bir gününüzü daha kötü yapabilir.
Tabii şimdi düşünüyorsunuzdur. Olayı anlatmasa da böyle bir olay yaşadığından bahsetmiş diye. Haklısınız ancak atlanılan bir konu var. Bu verdiğim örnekte kaptırılan yüklü miktar bir para var. Bu sebeple polise savcılığa gittiler ama miktar düşük olsaydı. Kimse duymasın diye ihbar bile etmezdi muhtemelen.
İşte asıl problem de buradan kaynaklanıyor, tüm dünyada aynı durum var. Bildirim oranları çok az. İnsanlar ancak tamamen gizli kalmak şartıyla böyle bir şey yaşadığını kabul ediyorlar. 1-2bin TL için arkadaşlarının yanında dalga konusu olmayı kimse istemiyor doğal olarak.
Peki bu dolandırıcılıklar nasıl yapılıyor bizi nasıl buluyorlar?
Herkesi bir çok farklı şekilde etkileyebilir
Bize nasıl ulaşıyorlar? Mail, SMS, gerçek posta (bildiğim kadarıyla Türkiye’de çok olmuyor ama Hollanda, ABD gibi ülkelerde hala varlar. Olması bile çok saçma aslında kim gönderdi hızlıca tespit edilir, ilginç bir yöntem o yüzden) Son zamanlarda Sosyal Medyadan da çok oluyor.(İstatistiklere detaylı da göstereceğim.)
Bir de herksin bildiği telefon araması var, genel adıyla çağrı merkezi dolandırıcılığı yani. Tabii ki bu listeyi artırabilirsiniz. Reklam dolandırıcılığı, e-market dolandırıcılığı gibi farklı yöntemler de var.
Bu ulaşım yollarına ek olarak bilindik bazı yöntemler/türler var. Temel olarak burada gördüğünüz yönetmeler ile hedefin ilgisi çekiliyor. Tabii her zaman ilk öncelikli hedef direk para da olmayabilir. Kimlik hırsızlığı ile daha büyük problemlere yol açabiliyorlar. Sadece bir bankadaki paranı çalmaktansa, tüm bankalarınızı boşaltıyorlar, adınıza krediler senet imzalanabiliyor gibi durumlara kadar gidebilme ihtimali var.
Hazır yöntemler ve ulaşım yolunu anlatırken kısa bir anekdot vereyim. Sanılanın aksine GEN Z diye geçen genç yeni nesil (aşağı yukarı 1995-2010 arası kuşak oluyorlar) bunlar diğer kuşaklara göre 3 kat daha kolay kandırılıyor/dolandırılıyor. Normalde yaşlıların hedef alındığını düşünürsünüz, teknoloji bilmiyorlar ve çoğu zaman daha çok parsı olduğu için.
Ancak parası az olsa da GEN Z daha kolay bir hedef. Bunun nedenleri hakkında çok emin olunmasa da genel kanı bilgisayar okur yazarlığının diğer kuşaklara göre daha az olması. Bilgisayar okur yazarlığından tablet/telefon okur yazarlığına geçişten kaynaklandığı tahmin edenler var. 3456
Dolandırıcılık Yaşam Döngüsü
Dolandırıcılar, temelde bir oyun kuruyor diye düşünebiliriz.
Resimde görüldüğü gibi yaklaşık 5 farklı adımda gerçekleştiriliyor.
Adım 1 - Güvenli bir kuruluş
Gerçek, tanınan bir şirket, kurum, kuruluş belirliyorlar, süreçleri kolayca taklit edilebiliyorsa çok daha iyi tabii. Bu belirlendikten sonra iş taklit etmeye geçiyor.
Adım 2 - Taklit etme
Kuruluşun proseslerini taklit ediliyorlar. Şirketin kurumsal numarasına benzer numaralar, benzer internet siteler, benzer alan adları gibi şeyler hazırlıyorlar. Benzer iletişim kalanları da olabilir.
Adım 3 - Olta Atma
Sonrasında onlar için en eğleneceği alanla geçiyorlar, oltayı atıyorlar, türüne göre değişse de, olabildiğince büyük bir olta atıyorlar ne kadar geniş ise o kadar iyi.
Neden eğlenceli diyorum? Çünkü benim şirket içi yaptığım sosyal mühendislik testlerinde sürecinin en eğlenceli kısmı bu 🤣 Oltamızı atıyoruz ve bekliyoruz ne olacak diye.
Adım 4 - Iletişim Sağlanır
Eninde sonunda birileri oltaya takılıyor, yavaş veya hızlı, birileri takılıyor ve ilk iletişim sağlanıyor.
Burada ilginç konu ise, Dolandırıcılar ile iletişimi/etkileşimi bizim kurmamız oluyor.
Mail ile geldiler ise tıklıyoruz ve/veya cevap veriyoruz. Aramış iseler açıp konuşuyoruz şeklinde.
Zaten buraya kadar gelmiş isek muhtemelen oltanın kırılmasına izin vermezler, olabildiğince uğraşırlar. Oltaya bir kez takıldıktan sonra da fark etmek gerçekten çok zor, buraya kadar gelmiş iseniz geçmiş olsun.
Adım 5 - Geçmiş Olsun :(
Iletişim başladıktan sonrası dolandırıcılığı tespit etmek gerçekten çok daha zor oluyor. Dolandırıcıların yaptıkları bir kenara, Psikolojik olarak kendinize güveniyorsunuz, zaten ben gittim bu insanlara, beni kandırmış olamazlar diye düşünüyorsunuz. Birde en başta anlattığımız salak gözükme ihtimali olunca, geçmiş olsun gerçekten.
Global İş Kolu Oldu
Şimdi tabii, Oltayı olabildiğince geniş atıyor diyorum, artık bir global sektör oldu ve her yıl katlanarak büyüyor.78
Turkiye için bilgi verecek olursam (diğer ülke araştırmalarına denk bir veri grubu/araştırma bulamadım) küçük veriler var, ama bu verilere göre 2021-2022 yılları arasında %25 bir artış.
Yukarıda GEN-Z den bahsetmiştim – bu Türkiye’deki araştırmanın büyük çoğunluk GEN-Z kuşağı. Sadece GEN-Z kuşağının isittiklerine bakacak olursak 20021-2022 yılları arasında %156 artış gerçeklemiş. (dolandırıcılığa maruz kalma oranı)
Diğer ülkelere bakarsak, inanılmaz rakamlara karşılaşıyoruz. Yukarıda gördüğünüz rakamalar aksi yazmıyorsa bir tür dolandırıcılığa maruz kalma oranları anlatıyor.
Ciddi bir sektör oldu ve giderekte artıyor, hatta hizmet olarak altyapı/yazılım gibi hizmet olarak dolandırıcılık satışları bile başladı. İnsanlar dolandırıcılık alt yapı hizmeti satıyorlar, düşüne biliyormusuz?
Ancak daha da garip bir durum var. Geçen sene global bir anket yapıldı, bende katılmıştım. Ona geçeyim.
Kendimize gerçekten güveniyoruz.7 Sunum başında değdim gibi bana olmaz, ben görürüm fark ederim diyoruz. Buradaki ankete katılanların %76’sı bir dolandırıcılığı tespit ederim, kanmam diyor.
Bu anket ise 13bin kişilik global bir anket, ve daha çok teknoloji haşır neşir olan kişiler katılmış. Ama asıl garip olan bu da değil. 😅
Ankete katılanların %46’sı para kaybetmiş, %19’u şifre, kişisel veri çaldırmış olması.7 Hem kendimize güvenimiz tam hem de bu kadar dolandırılmamız gerçek çok ilginç.
Peki bunlar nasıl oluyor?
Tüm dolandırıcılıklar içerik olarak bulunduğunuz bölgeye göre hem güncel hem de toplumu ilgilendiren konulardan yapılıyor. Bu ek olarak inanılmaz bir geniş ağ atınca, birisini yakalamama ihtimalleri yok.
Ama yine de asıl problem güncel olmaları, aşağıda bunlara örnekler vereceğim.
Gerçek oltalama/dolandırıcılık hakkında bahsedeyim
Bir kere tüm yıllık olaylar, krizler ve trendlerde varlar, dünyanın bir yerinde yangın mı çıktı, hemen sahte bir vakıf/yardım kuruluşu ortaya çıkıyor ve mail üzerinden veya sosyal medya üzerinden yardım toplamaya çalışıyorlar.
Yukarıdaki resimde gördüğünüz olayların tamamı hakkında gerçek bir dolandırıcılık gördüm…
Durum böyle olunca insan gerçekten hayret ediyor. Kısaca güncel örnekler vereyim.
Örnekler
Mesela NFT/Kripto Teması üzerinden yapılan bir dolandırıcılık:
- Squid Game dizisi hem trend bir olaydı, hem globaldi, hem de tarihte kripto paralara ciddi bir talep vardı. Bakın ne oldu.9
Bir konusal olarak tamamen alakasız olan dolandırıcıklar var. Çok uç bir örnek olacak ancak,
- Japon bir kadın(65), dünyaya geri dönmesine yardımcı olması için bir astronota 35.000$ ödedi.
- Içeriğine bakıldığında ise bir Aşk Dolandırıcılığı olduğunu görüyoruz.
- Habar içeriği - Woman pays for “Russian astronaut” to return to Earth in alleged scam
Yukarıdaki Çağrı merkezi dolandırıcılıgı konusuna ek olarak bir anımı anlatayım.
Aynı şekilde Türkiye’den gerçek bir örnek, 2022 yılında uluslararası dolandırıcılığı engelleme konferansındaydım. Orada tanıştığım birisi, İzmir merkezli bir çağrı merkezini takip ettiklerinden bahsetti.
Tanıştığım kişi Hollandalı, Holland o kadar çok vaka yaşamışlar ki, arayan şirketi ve çalışanlarını bulmuş, ne yapılabilir diye konuşuyorduk.
Burada şundan dolayı söylemek istedim, dolandırıcılar bir ülkede olup farklı ülkeleri de hedef alıyorlar, gerçekten global bir sektör oldular. Ek olarak bu şekilde de yakalanmaları ve yargılanmaları için iki farklı ülkede kriminal araştırma gerekiyor. Bu bu her zaman veya kolayca olan bir şey değil. Bu sebeple çok fazla Hindistan/Pakistan merkezli dolandırıcılar görüyoruz. Hem ekonomik nedenler ile EURO/DOLAR hedefliyorlar hem de yargılanmaları veya yakalanmaları için o ülkelerden bir istek gelmesi lazım. Bu olmadığı sürece devam edebiliyorlar.
Anlattıklarıma ek olarak, yukarıda resimde gördüğünüz başka konularda var. Buradaki fikirler/konseptlerin, uygulanması çok çok farklı oluyor.
Mesela ilginç olanlardan bir tanesi “Sahte Borç Tahsili” var. ABD’de normal posta yolu ile yapılırken Türkiye’de daha çok Telefon ve SMS ile yapılıyor.
Sonra sipariş dolandırıcılığı var, sahte fatura dolandırıcılığı (çok sıkça şirketlerin finans/satın alım personellerine karşı yapılır) var. Crowdfunding (topluluk fonlamalı) ürün dolandırıcılığı var. Bir de normal ürün dolandırıcılığı var. Gibi gibi çok değişik alanları var.
Scambaiting
Spesifik olarak Oltalama konusuna geçmeden çok güzel bir Youtuber’dan bahsedeceğim, Jim abimiz, Jim Browning
Bu abimiz dolandırıcıları kendi bilgisayarına erişmesine izin veriyor ve dolandırıcıların bilgisayar sistemlerine erişiyor. Çağrı merkezi gibi bir yerlerin güvenlik kameralarını izliyor, Slack/Skype konuşmalarını takip ediyor, dolandırıcıları hackliyor gibi düşünebilirsiniz.
Jim abimiz Scambaiting sekötürünün en bilineni diye ekledim onun dışında bir sürü kişi daha var. Bu arkadaşlar literatüre ScamBaiting kelimesini ekletti. O sebep ile bahsediyorum.
Scamerları/yani dolandırıcılar bait’liyorlar/oltalıyorlar. İzlemesi çok eğlencelidir. Bakmanızı tavsiye ederim. Ama yaptığını yapmamaya çalışın. Riskli işler.
Dolandırıcılara Karşı - Scambaiting
Oltalama
Genelde Mail ile karşılaşırsınız ama son zamanlarda SMS, Sahte Reklamlar ve Telefonlar ile de oluyor. Kısaca örnekler üzerinden gidelim.
Örnekler, Trendler ve Sık Görülenler
Böyle bir mail geldiğinde tıkılmaktansa, uygulamaya kendiniz açıp, girmek çok daha doğru. Uygulamaların neredeyse tamamında Last activity diye sekmeleri oluyor. Giren var mı diye bakabilirsiniz.
Güncel global olaylardan olur diye bahsetmiştim. Ukrayna Savaşı çıkar çıkmaz, sahte vakıf ve yardım kampanyaları çıktı.
Sonra Bankacılık Oltalamları var. Bu tür oltalamara karşı çok dikkatli olmak lazım. Böyle bir mail geldiğinde yada arandığınızda kredi kartı üzerinde yazan numara olmasına dikkat edin.
Böyle bir mail gelirse tıklamayın girin uygulamadan bakın doğru mu diye yada internet sitesini kendiniz açın.
Bu tür konular için aranmışsanız, benim daha önce yapmışlığım var, dinleyin ben sizi ararım diyen. Sonra gerçek sitlerinden telefonlarını bulun ver arayın. Anlatın böyle böyle arandım doğrumudur diye.
Son zamanlarda sıkça olan görülen bir konudur. Turkiye’de daha çok bir telefon no’su ile görülmekte ancak yukarıda gördüğünüz gibi Özel isim ile de mesaj gelebilir.
Telefondan bir oltalama tespit etmek çok daha zor. Bu sebep ile SMS/MMS tercih edilmeye başlandı. Bunun hakkında GitHub’ım da bir demo var isterseniz bakabilirsiniz. Aynı zamanda telefonda ki tespit zorluklarını da gösteriyorum.
Pop-up ve Reklam konusu var. Direk zararlı bir site ile reklam veriyorlar, bu Google da da olur Facebook Twitter’da da olabilir.
Genel bir tavsiye: Reklamlara tıklamayın. İlginizi çeken bir şey var ise direk linke gidip aramak çok çok daha güvenlidir.
Bahsettiğim Twitter reklamları, Burada Binance ve E-Develet hakkında sahte hesaplar var. Reklam veriyorlar. Çok güncel olanlarını bulamadım, bunlar biraz eski görseller.
Yeni Teknolojiler
Diğer ilginç bir konu, Linkedin ve Twitter gibi sosyal medya platformlarında yada Instagram ve Tinder gibi uygulamalarda sıkça görmeye başladığımız sahte kişiler.
Deepfake ile Elon Musk videoları yaparak, sahte ses ile bir konu hakkında açıklama yapıyormuş gibi yapan youtube kanaları oldu. Bu tür şeylere baya dikkatli olmak lazım. Yukarıdaki kişilerin tamamı sahte, gerçekte böyle kişiler yok. Hatta bazı uygulamalar öyle gelişti ki sahte birisi yaratıp o kişi hakkında farklı farklı fotoğraflar bile üretebilirsiniz, sıfırdan bir kişilik yaratabilirsiniz.
Sosyal medyada baya dikkatli olmak lazım. Bunları tespiti biraz zordur ama genel bir kanı, gözler ve resimlerin arka planına bakılması oluyor. Bu araçlar gözleri hala tam anlamıyla yapamıyor.
Bu tür Sahte Yüzlerin tespiti için bir yazı okumak isterseniz benim yazmış olduğum kapsamlı yazıma bakabilirsiniz. İçerisinde bir çok tespit yönetimi ve fakrlı kaynaklar bulunuyor.
Istatistikler - Sayıları Giderek Artmakta
- 2020’den beri neredeyse her sene ikiye katlanmakta.10
- Sosyal Medya tabanlı saldırılarda %42’lik bir artış var.10
- Vishing ve Smishing tabanlı saldırılarda ciddi bir artış var.10
Dolandırıcılık Hizmeti satın alabiliyorsunuz.
En Çok Hedef alınan sektörler 202210
Sosyal Medya Tehdit Trendleri %10
Hundreds of thousands trafficked to work as online scammers in SE Asia, says UN report ↩
Gen Z falls for online scams more than their boomer grandparents do ↩
Scam Advisor - 2020/2021/2022 arasında yayınlanan raporlarından alınmıştır. ↩ ↩2 ↩3
Scam Watch - 2020/2021/2022 arasında yayınlanan raporlarından alınmıştır. ↩
Anti-Phishing Working Group - 2020/2021/2022 arasında yayınlanan raporlarından alınmıştır. ↩ ↩2 ↩3 ↩4 ↩5