[TR] Dünyada eDolandırıcılık ve Oltalama Trendleri - 2023
Aşağıda gördüğünüz görsellerin tamamı benim 2023 yılının sonunda hazırlamış olduğum bir sunumun slaytlarıdır. Sunumu indirmek isterseniz.
2022 Blog’u için Dünyada eDolandırıcılık ve Oltalama Trendleri - 2022
eDolandırıcılık
Düştüğün tek suç türü
Bu blog yazısında eDolandırıcılık ve oltalamaların yaşam döngüsünü, trendleri, sık görülen türleri ve örneklerini göstereceğim. Bunları anlatırken de 2023 yılından dünya için istatistiklerden bahsedeceğim.
Öncelikle dolandırıcılık nedir? Bizim kanunlarımıza göre hileli davranışlarla bir kimseyi aldatması, mağdurun veya başkasının zararına olarak kendisine veya başkasına yarar sağlamasıdır. Bir de Nitelikli dolandırıcılık vardır olanı vardır.
1 eDolandırıclık bir nitelikli dolandırıcılık türüdür.
Bir suçtur ama diğerlerinden farklı bir özelliği vardır, biraz gariptir diyebiliriz. Bir Uluslararası bir anti dolandırıcılık kuruluşu başkanını olan Jorij Abraham’ın çok hoş bir sözü var bu konuda, Türkçe’ye biraz zor çevriliyor ama diyor ki dolandırıcılık yada oltalama düştüğünüz/yediğiniz tek suç türüdür diyor. Kandırılıyorsunuz ve isteyerek kendi rızanızla dolandırılıyorsunuz.
The only crime you fall for.
Siparişlere Dikkat :) 2
Diğer suç türlerine göre bazı temel farkları vardır. Bunların en önemlisi; Kandırıldığınızda ve dolandırıldığınızda,
- Utanç hissediyoruz
- Kötü hissediyoruz
- Salak hissediyoruz
- Bir şeyi atladığınız hissediyorsunuz.
Bu şekilde hissettiğimiz için ve iş kendi rızamızla olunca da utanıyoruz, böyle bir olay yaşadığınızı kabul etmiyoruz ve kimseye söylememeyi tercih ediyoruz.
Lütfen bana olmaz demeyin! Herkesin başına gelebilir
Mesela çok güncel bir olaydan bahsedeyim, bir aile dostumuz var, kendisi bir bankanın Genel Müdürlüğünde çalışıyor, rahat 10-15 yıllık tecrubesi var. Geçtiğimiz ay bir telefon dolandırıcılığına 200bin TL kaptırdı. Konuda banka borcu/haciz gibi konular. Detaylarını soruyorum ama işte dedim ya kötü hissediyorsunuz kimseye söylemek istemiyoruz. Anlatmıyor. Keşke paylaşabilsem.
Kısacası bana olmaz demeyin, cidden herkesin başına gelebilir. Bir anlık dalgınlık, kötü bir gününüzü daha kötü yapabilir.
Tabii şimdi düşünüyorsunuzdur. Olayı anlatmasa da böyle bir olay yaşadığından bahsetmiş diye. Haklısınız ancak atlanılan bir konu var. Bu verdiğim örnekte kaptırılan yüklü miktar bir para var. Bu sebeple polise savcılığa gittiler ama miktar düşük olsaydı. Kimse duymasın diye ihbar bile etmezdi muhtemelen.
İşte asıl problem de buradan kaynaklanıyor, tüm dünyada aynı durum var. Bildirim oranları çok az. İnsanlar ancak tamamen gizli kalmak şartıyla böyle bir şey yaşadığını kabul ediyorlar. 1-2bin TL için arkadaşlarının yanında dalga konusu olmayı kimse istemiyor doğal olarak.
Peki bu dolandırıcılıklar nasıl yapılıyor bizi nasıl buluyorlar?
Herkesi bir çok farklı şekilde etkileyebilir
Bize nasıl ulaşıyorlar? Mail, SMS, gerçek posta (bildiğim kadarıyla Türkiye’de çok olmuyor ama Hollanda, ABD gibi ülkelerde hala varlar. Olması bile çok saçma aslında kim gönderdi hızlıca tespit edilir, ilginç bir yöntem o yüzden) Son zamanlarda Sosyal Medyadan da çok oluyor.(İstatistiklere detaylı da göstereceğim.)
Bir de herksin bildiği telefon araması var, genel adıyla çağrı merkezi dolandırıcılığı yani. Tabii ki bu listeyi artırabilirsiniz. Reklam dolandırıcılığı, e-market dolandırıcılığı gibi farklı yöntemler de var.
Bu ulaşım yollarına ek olarak bilindik bazı yöntemler/türler var. Temel olarak burada gördüğünüz yönetmeler ile hedefin ilgisi çekiliyor. Tabii her zaman ilk öncelikli hedef direk para da olmayabilir. Kimlik hırsızlığı ile daha büyük problemlere yol açabiliyorlar. Sadece bir bankadaki paranı çalmaktansa, tüm bankalarınızı boşaltıyorlar, adınıza krediler senet imzalanabiliyor gibi durumlara kadar gidebilme ihtimali var.
Hazır yöntemler ve ulaşım yolunu anlatırken kısa bir anekdot vereyim. Sanılanın aksine GEN Z diye geçen genç yeni nesil (aşağı yukarı 1995-2010 arası kuşak oluyorlar) bunlar diğer kuşaklara göre 3 kat daha kolay kandırılıyor/dolandırılıyor. Normalde yaşlıların hedef alındığını düşünürsünüz, teknoloji bilmiyorlar ve çoğu zaman daha çok parsı olduğu için.
Ancak parası az olsa da GEN Z daha kolay bir hedef. Bunun nedenleri hakkında çok emin olunmasa da genel kanı bilgisayar okur yazarlığının diğer kuşaklara göre daha az olması. Bilgisayar okur yazarlığından tablet/telefon okur yazarlığına geçişten kaynaklandığı tahmin edenler var. 3,4,5,6
Dolandırıcılık Yaşam Döngüsü
Dolandırıcılar, temelde bir oyun kuruyor diye düşünebiliriz.
Resimde görüldüğü gibi yaklaşık 5 farklı adımda gerçekleştiriliyor.
Adım 1 - Güvenli bir kuruluş
Gerçek, tanınan bir şirket, kurum, kuruluş belirliyorlar, süreçleri kolayca taklit edilebiliyorsa çok daha iyi tabii. Bu belirlendikten sonra iş taklit etmeye geçiyor.
Adım 2 - Taklit etme
Kuruluşun proseslerini taklit ediliyorlar. Şirketin kurumsal numarasına benzer numaralar, benzer internet siteler, benzer alan adları gibi şeyler hazırlıyorlar. Benzer iletişim kalanları da olabilir.
Adım 3 - Olta Atma
Sonrasında onlar için en eğleneceği alanla geçiyorlar, oltayı atıyorlar, türüne göre değişse de, olabildiğince büyük bir olta atıyorlar ne kadar geniş ise o kadar iyi.
Neden eğlenceli diyorum? Çünkü benim şirket içi yaptığım sosyal mühendislik testlerinde sürecinin en eğlenceli kısmı bu 🤣 Oltamızı atıyoruz ve bekliyoruz ne olacak diye.
Adım 4 - Iletişim Sağlanır
Eninde sonunda birileri oltaya takılıyor, yavaş veya hızlı, birileri takılıyor ve ilk iletişim sağlanıyor.
Burada ilginç konu ise, Dolandırıcılar ile iletişimi/etkileşimi bizim kurmamız oluyor.
Mail ile geldiler ise tıklıyoruz ve/veya cevap veriyoruz. Aramış iseler açıp konuşuyoruz şeklinde.
Zaten buraya kadar gelmiş isek muhtemelen oltanın kırılmasına izin vermezler, olabildiğince uğraşırlar. Oltaya bir kez takıldıktan sonra da fark etmek gerçekten çok zor, buraya kadar gelmiş iseniz geçmiş olsun.
Adım 5 - Geçmiş Olsun :(
Iletişim başladıktan sonrası dolandırıcılığı tespit etmek gerçekten çok daha zor oluyor. Dolandırıcıların yaptıkları bir kenara, Psikolojik olarak kendinize güveniyorsunuz, zaten ben gittim bu insanlara, beni kandırmış olamazlar diye düşünüyorsunuz. Birde en başta anlattığımız salak gözükme ihtimali olunca, geçmiş olsun gerçekten.
En Çok Karşılaşılan Suç Türü
Turkiye için bilgi verecek olursam (diğer ülke araştırmalarına denk bir veri grubu/araştırma bulamadım), ancak Adalet bakanlığının paylaştığı verileri göre dolandırıcılık davalarında %45’lik bir artış var. İlk başta bahsettiğimiz dolandırıcılığı ihbar etmeme olayı ve her ihbarın/suç duyurusunun davaya dönüşmediğini göze alırsak bu oranın çok daha fazla olduğunu rahatlıkla söyleyebiliriz.
Global İş Kolu Oldu
Şimdi tabii, Oltayı olabildiğince geniş atıyor diyorum, artık bir global sektör oldu ve her yıl katlanarak büyüyor.78
Her ülkede neredeyse her tür dolandırıcılık yöntemi görülebiliyor. Ancak ülkelerin kültürleri, yaşam standartları, kanunları ve regülasyonlarındaki farklılılardan dolayı bazı alanlarda dolandırıcılık yapmak daha kolay olabiliyor. Bu sebep ile farklı coğrafyalarda farklı dolandırıcılık yöntemleri görülebiliyor.
İhbar Edilmiyor
Bir kaç defadır ihbar edilmediğinden bahsediyorum. Gelelim bunun istatistiklerine9, Ağustos 2023’te başlatılan Global Anti-Scam Alliance (GASA) ait Global State of Scams anketine 43 ülkeden 49,459 katılımcı katıldı. Katılımcılardan birisi de benim :)
Bu anketten elde edilen istatistiğe göre ihbar oranları gerçekten de çok vahim durumda.
Çok ilginç demi, en başta bahsettiğim kesinlikle kaldırılacağına inanmayanlar için daha da ilginç iki bilgi vereyim.
Kendimize Güvenimiz TAM
Kendimize gerçekten güveniyoruz.7 İlk başta değdim gibi bana olmaz, ben görürüm fark ederim diyoruz. Buradaki ankete katılanların %76’sı bir dolandırıcılığı tespit ederim, kanmam diyor.
Ek olarak söylemekte fayda var bu anket, ve daha çok teknoloji haşır neşir olan kişiler katılmış.(ek bilgi: %59 üniversite, %14 yüksek lisans ve %21 lise mezunu) Ama asıl garip olan bu değil insanların kanmayacağını düşündüğünü istatistik olmadan da söylüyordum. 😅 Asıl garip olan bu;
Ankete katılanların %46’sı para kaybetmiş, %19’u şifre, kişisel veri çaldırmış olması.7
Hem kendimize güvenimiz tam hem de bu kadar dolandırılmamız gerçekten çok ilginç.
Etkilenenlerin Nasıl Etkilenmiş?
Çoğu kişiye ilginç gelecektir ama artık insanlar kolay kolay mail üzerinden dolandırılmıyorlar mail işi artık veri çalmak için yada bilgisayarı ele geçirmek için kullanılıyor. Gördüğünüz gibi Telefon ile arama ve SMS en üst seviyede ilerliyor. Bunun önümüzdeki yıllarda giderek te artması bekleniyor.
%33 Sosyal Medya diyor, yine çok beklenmedik bir yoldur. Ancak ilerleyen yıllarda giderek artması beklenmekte.
Sosyal Medyada Durum Nasıl?
Facebook ve WhatsApp’ı tebrik ediyoruz dolandırıcılıkta iletişimi araçları arasında lider konumdalar. 👏
Peki bunlar nasıl oluyor?
Tüm dolandırıcılıklar içerik olarak bulunduğunuz bölgeye göre hem güncel hem de toplumu ilgilendiren konulardan yapılıyor. Bu ek olarak inanılmaz bir geniş ağ atınca, birisini yakalama ihtimalleri %100.
Ama yine de asıl problem güncel olmaları, aşağıda bunlara örnekler vereceğim.
Gerçek oltalama/dolandırıcılık hakkında bahsedeyim
Bir kere tüm yıllık olaylar, krizler ve trendlerde varlar, dünyanın bir yerinde yangın mı çıktı, hemen sahte bir vakıf/yardım kuruluşu ortaya çıkıyor ve mail üzerinden veya sosyal medya üzerinden yardım toplamaya çalışıyorlar.
Yukarıdaki görselde verdiğim örneklerin tamamı hakkında gerçek bir dolandırıcılık gördüm…
Durum böyle olunca insan gerçekten hayret ediyor. Kısaca güncel örnekler vereyim.
Örnekler
Not: ₺ zarar belirtilenler Türkiye’den
Aşk dolandırıcıları gerçekten alçaklar… Çok üzücü bir durum 😭
Aynı şekilde Türkiye’den gerçek bir örnek, bu sene bir tane uluslararası dolandırıcılığı engelleme konferansındaydım. Orada tanıştığım birisi, İzmir merkezli bir çağrı merkezini takip ettiklerinden bahsetti.
Tanıştığım kişi Hollandalı, Holland o kadar çok vaka yaşamışlar ki, arayan şirketi ve çalışanlarını bulmuş, ne yapılabilir diye konuşuyorduk.
Bunu özellikle söylemek istedim, dolandırıcılar bir ülkede olup farklı ülkeleri de hedef alıyorlar, gerçekten global bir sektör. Ek olarak bu şekilde de yakalanmaları ve yargılanmaları için iki farklı ülkede kriminal araştırma gerekiyor. Bu da her zaman veya kolayca olan bir şey değil. Bu sebeple çok fazla Hindistan/Pakistan merkezli dolandırıcılar görüyoruz. Hem ekonomik nedenler ile EURO/DOLAR hedefliyorlar hem de yargılanmaları veya yakalanmaları için o ülkelerden bir istek gelmesi lazım. Bu olmadığı sürece rahatça devam edebiliyorlar.
Yeni Teknolojilere Dikkat
Son zamanlarda giderek daha hızlı gelişen ve daha kolayca ulaşabildiğimiz yapay zeka uygulamaları sayesinde yapay zeka destekli dolandırıcılık çok ciddi bir tehdit haline geldi. Özellikle satıcılar, yapay zeka yardımıyla üretilmiş olmayan ürünlerin fotoğraflarını kullanarak, gerçekmiş gibi gösterip satış yapıyorlar.
Ek olarak diğer bir konu ise de dolandırıcılar tanınmış kişilerin adını kullanarak deepfake videolar üretiyorlar. Bu videolar, gerçekmiş gibi görünüp insanların güvenini suistimal ediyor. Bu konuyu Twitter kullanan veya kripto işlerinde olan çoğu kişi sahte Elon Musk videoları ile biliyordur, bu konu hakkında güze bir haber yazısı var.
Yapay Zekalı Destekli Dolandırıcılık
Yapay Zeka ile Tasarlanmış sahte ürünler
Deepfake ile yapılmış sahte reklamlar
Vishing ve Smishing Kullanımında Ciddi Artış Var!
Ek olarak bir de ilk kez geçen sene görülen ama 2023’te sıkça yapılmaya başlanan Hybrid Vishing konusu çıktı.
Hybrid Vishing, öncelikle mail veya SMS ile iletişime geçip ardından kurbanı telefonla arayarak güvenlerini kazanmaya çalışıyorlar yada kurbanın onları aramasını bekliyorlar. Düşünsenize siz onları arıyorsunuz, sizce psikolojik olarak dolandırıldığınızı kabullenebilir miniz?
Yıllar geçtikçe vishing ve smishing saldırıları giderek artıyor.
Toparlamak Gerekirse
Anlattıklarıma ek olarak, yukarıda resimde gördüğünüz başka konularda var. Buradaki fikirler/konseptlerin, uygulanması çok çok farklı oluyor.
Mesela ilginç olanlardan bir tanesi “Sahte Borç Tahsili” var. ABD’de normal posta yolu ile yapılırken Türkiye’de daha çok Telefon ve SMS ile yapılıyor.
Sonra sipariş dolandırıcılığı var, sahte fatura dolandırıcılığı (çok sıkça şirketlerin finans/satın alım personellerine karşı yapılır) var. Crowdfunding (topluluk fonlamalı) ürün dolandırıcılığı var. Bir de normal ürün dolandırıcılığı var. Gibi gibi çok değişik alanları var.
Scambaiting
Spesifik olarak Oltalama konusuna geçmeden çok güzel bir Youtuber’dan bahsedeceğim, Jim abimiz, Jim Browning
Bu abimiz dolandırıcıları kendi bilgisayarına erişmesine izin veriyor ve dolandırıcıların bilgisayar sistemlerine erişiyor. Çağrı merkezi gibi bir yerlerin güvenlik kameralarını izliyor, Slack/Skype konuşmalarını takip ediyor, dolandırıcıları hackliyor gibi düşünebilirsiniz.
Jim abimiz Scambaiting sekötürünün en bilineni diye ondan bahsediyorum, aşağıdaki görsele bir kaç kişiyi daha ekledim. Bu arkadaşlar literatüre ScamBaiting kelimesini ekletti. O sebep ile bahsediyorum.
Scamerları/yani dolandırıcılar bait’liyorlar/oltalıyorlar. İzlemesi çok eğlencelidir. Bakmanızı tavsiye ederim. Ama yaptıklarını yapmamaya çalışın. Riskli işler.
Dolandırıcılara Karşı - Scambaiting Dolandırıcılara Karşı - Scambaiting
Oltalama
Genelde Mail ile karşılaşırsınız ama son zamanlarda SMS, Sahte Reklamlar ve Telefonlar ile de oluyor. Kısaca örnekler üzerinden gidelim.
Örnekler, Trendler ve Sık Görülenler
Mail Tabanlı
Böyle bir mail geldiğinde tıkılmaktansa, uygulamaya kendiniz açıp, girmek çok daha doğru. Uygulamaların neredeyse tamamında Last activity diye sekmeleri oluyor. Giren var mı diye bakabilirsiniz.
Güncel global olaylardan olur diye bahsetmiştim. Ukrayna Savaşı çıkar çıkmaz, sahte vakıf ve yardım kampanyaları çıktı. Aynı şekilde İsrail/Filistin konusu çıkınca hemen sahte vakıf ve yardım kampanyaları çıktı.
Sonra Bankacılık Oltalamları var. Bu tür oltalamara karşı çok dikkatli olmak lazım. Böyle bir mail geldiğinde yada arandığınızda kredi kartı üzerinde yazan numara olmasına dikkat edin.
Böyle bir mail gelirse tıklamayın girin uygulamadan bakın doğru mu diye yada internet sitesini kendiniz açın.
Bu tür konular için aranmışsanız, benim daha önce yapmışlığım var, dinleyin ben sizi ararım diyen. Sonra gerçek sitlerinden telefonlarını bulun ver arayın. Anlatın böyle böyle arandım doğrumudur diye.
SMS Tabanlı
Son zamanlarda sıkça olan görülen bir konudur. Turkiye’de daha çok bir telefon no’su ile görülmekte ancak yukarıda gördüğünüz gibi Özel isim ile de mesaj gelebilir.
Telefondan bir oltalama tespit etmek çok daha zor. Bu sebep ile SMS/MMS tercih edilmeye başlandı. Bunun hakkında GitHub’ım da bir demo var isterseniz bakabilirsiniz. Aynı zamanda telefonda ki tespit zorluklarını da gösteriyorum.
Aile ve Torun Dolandırıcılığı
Aile ve torun dolandırıcılığı, dolandırıcıların sevdiklerinizi taklit ederek duygusal manipülasyonla para talep ettiği bir tür dolandırıcılık yöntemidir. Bu tür dolandırıcılıklara karşı dikkatli olmak ve iletişimde bulunmadan önce doğrulama yapmak önemlidir.
Aşk Dolandırıcılığı
Aşk dolandırıcılığı, dolandırıcıların sahte ilişki kurarak duygusal bağlarla kurbanları manipüle ederek maddi veya kişisel bilgi talep ettiği bir tür dolandırıcılık yöntemidir. Tanışma siteleri veya sosyal medya gibi platformlarda bu tür dolandırıcılıklara karşı dikkatli olmak gerekiyor.
Pop Up - Reklam
Pop-up ve Reklam konusu var. Direk zararlı bir site ile reklam veriyorlar, bu Google da da olur Facebook Twitter’da da olabilir. Genellikle ilgi çekici ve inandırıcı görünen ürün veya fırsatları sunarak kullanıcıları dolandırmayı amaçlayan bir dolandırıcılık yöntemidir.
Genel bir tavsiye: Reklamlara tıklamayın. İlginizi çeken bir şey var ise direk linke gidip aramak çok çok daha güvenlidir.
uBlock Origin gibi reklam engelleyici kullanın. Aklınıza gelebilecek tüm istihbarat ve siber güvenlik kuruluşları kullanılmasını tavsiye eder. (NSA, CIA, FBI, GCHQ, CISA)
Bahsettiğim Twitter reklamları, Burada Binance ve E-Develet hakkında sahte hesaplar var, reklam veriyorlar.
Yeni Teknolojiler
Diğer ilginç bir konu, Linkedin ve Twitter gibi sosyal medya platformlarında yada Instagram ve Tinder gibi uygulamalarda sıkça görmeye başladığımız sahte kişiler.
Deepfake ile Elon Musk videoları yaparak, sahte ses ile bir konu hakkında açıklama yapıyormuş gibi yapan youtube kanaları oldu. Bu tür şeylere baya dikkatli olmak lazım. Yukarıdaki kişilerin tamamı sahte, gerçekte böyle kişiler yok. Hatta bazı uygulamalar öyle gelişti ki sahte birisi yaratıp o kişi hakkında farklı farklı fotoğraflar bile üretebilirsiniz, sıfırdan bir kişilik yaratabilirsiniz.
Sosyal medyada baya dikkatli olmak lazım. Bunları tespiti biraz zordur ama genel bir kanı, gözler ve resimlerin arka planına bakılması oluyor. Bu araçlar gözleri hala tam anlamıyla yapamıyor.
Bu tür Sahte Yüzlerin tespiti için bir yazı okumak isterseniz benim yazmış olduğum kapsamlı yazıma bakabilirsiniz. İçerisinde bir çok tespit yönetimi ve fakrlı kaynaklar bulunuyor.
Scam As A Service (SAAS)
Scam as a Service (SAAS), dolandırıcılık hizmetlerinin, dolandırıcılar tarafından kiralık olarak sunulduğu bir modeldir. Bu hizmet, kullanıcı verilerini çalmak, kimlik hırsızlığı yapmak veya kötü amaçlı yazılımları yaymak gibi çeşitli dolandırıcılık yöntemlerini kullanıcılara sunarak onlara zarar verme potansiyeline sahiptir.
Daha fazla bilgi almak isterseniz Gruop-IB’nin bu konu hakkında güzel bir yazısı var.
Istatistikler - Sayıları Giderek Artmakta
- 2021’den beri neredeyse her sene ikiye katlanmakta.10
- Sosyal Medya tabanlı saldırılarda %42’lik bir artış var.10
- Vishing ve Smishing tabanlı saldırılarda ciddi bir artış var.10
- Saldırıların %23’i finansal kuruluşları hedef alıyor.10
Hundreds of thousands trafficked to work as online scammers in SE Asia, says UN report ↩
Gen Z falls for online scams more than their boomer grandparents do ↩
Scam Advisor - 2020/2021/2022 arasında yayınlanan raporlarından alınmıştır. ↩ ↩2 ↩3
Scam Watch - 2020/2021/2022 arasında yayınlanan raporlarından alınmıştır. ↩
Global Anti-Scam Alliance (GASA) - Global State of Scams Survey 2023 - 43 Ülkeden 49,459 Katılımcı 03 Ağustos 2023 ↩
Anti-Phishing Working Group - 2020/2021/2022 arasında yayınlanan raporlarından alınmıştır. ↩ ↩2 ↩3 ↩4