Geçenlerde tuhaf bir CAPTCHA çıktı karşıma. Hani kutucukları işaretlediğin veya kıvrımlı metinleri yazdığın türden. Zararsız görünüyor, değil mi? Yanlış. Meğer bu dijital kapı bekçilerinden bazıları, haberi olmayan telefon faturanıza uluslararası mesajlaşma ücretleri bindirmek için tasarlanmış karmaşık tuzaklarmış. Ve tahmin edin kim para basıyor?
Siber güvenlik uzmanlarının dediğine göre, bu uluslararası gelir paylaşımı dolandırıcılığı (IRSF) işi, en azından 2020 ortasından beri dönüyor. Infoblox’un son raporu, sizi sadece bir kez kandırmakla kalmayıp, tam bir aldatma ekosistemi kurmuş sofistike bir operasyonu gözler önüne seriyor. Ticari trafik dağıtım sistemi (TDS) dedikleri şeyi kullanıyorlar – bunu web trafiğini yönlendiren şaibeli bir aracı gibi düşünün. Geleneksel olarak bu TDS sistemleri, gafil avlanan kullanıcıları kötü amaçlı yazılım veya kimlik avı sitelerine yönlendirmek için kullanılır. Ama bu çete mi? Onlar bunu SMS dolandırıcılığı için yeniden yapılandırmış. Zekice. Ve zekice derken, sinir bozucu derecede etkili olduklarını kastediyorum.
İşin can alıcı noktası şu: sahte CAPTCHA tek bir mesajdan ibaret değil. Asla! Bu çok aşamalı bir işkence. Her adım, telefonunuzu, 50’den fazla uluslararası numaraya bir düzineden fazla SMS mesajı gönderecek şekilde önceden yapılandırıyor. Yani siz sadece robot olmadığınızı kanıtladığını sanırken, aslında oldukça pahalı bir dizi metnin yetkisini vermiş oluyorsunuz. Ve daha da kötüsü, bu ücretler genellikle faturanıza hemen yansımıyor. Haftalar sonra, o sinir bozucu CAPTCHA’yı unuttuğunuz zaman ortaya çıkıyor. O zamana kadar, gizemli bir kalem olarak görüyorsunuz ve muhtemelen operatörünüzü veya rastgele bir uygulamayı suçluyorsunuz.
Aslında Kim Kazanıyor?
Asıl milyon dolarlık soru bu, değil mi? Kazananlar, uluslararası sonlandırma ücretlerinden pay alan dolandırıcılar. Bunlar, mobil operatörlerin ağları arasında çağrıları veya mesajları tamamlamak için birbirlerine ödedikleri ücretler. Dolandırıcılar, yüksek sonlandırma ücretlerinin olduğu veya düzenlemelerin gevşek olduğu ülkelerde – Azerbaycan, Kazakistan veya Avrupa’nın bazı bölgeleri gibi yerlerde – premium ücretli numaralar ediniyor veya kiralıyor. Sonra da bu numaralara yapay olarak trafik şişiriyorlar. Bunu denetlemesi gereken telekom sağlayıcıları ya işin içinde ya da yakalamakta çok yavaşlar. Sonuç olarak, bireyler faturala karşı karşıya kalıyor, operatörler ise müşteri itirazları ve chargeback’ler için fatura ödemek zorunda kalıyor. İletişim zincirinin her iki ucunu da dolandıran, şirin bir küçük dolap.
Bunun özellikle sinsi yanı ise sizi nasıl tuzağa düşürdükleri. Sahte doğrulama sürecinizi takip etmek için çerezleri kullanıyorlar. Eğer “uygun değil” olarak görülürseniz – ne anlama gelirse gelsin – sizi muhtemelen başka bir dolandırıcılığın parçası olan farklı bir CAPTCHA sayfasına yönlendiriyorlar. Ancak asıl deha, ya da belki de nihai kötülük, arka düğme ele geçirme (back-button hijacking) kullanmalarında yatıyor. Kaçmaya mı çalışıyorsunuz? Hayır. JavaScript sizi doğrudan sahte CAPTCHA’ya geri yönlendiriyor. Tarayıcınızı zorla kapatana kadar bir döngüye kilitlenmiş durumdasınız. Sanki siz hep köstebek olduğunuz dijital bir kovalamaca oyunu gibi.
“Bu operasyon hem bireyleri hem de telekomünikasyon taşıyıcılarını aynı anda dolandırıyor. Bireysel kurbanlar faturalarında beklenmedik premium SMS ücretleriyle karşılaşıyor ve dolandırıcılığın bu kadar beklenmedik bir kaynaktan geldiği durumlarda bunu tespit etmek ve bildirmekte zorlanıyorlar.” - Infoblox
Bu tüm düzenek, eski usul telefon dolandırıcılığının modern web hileleriyle mükemmel bir fırtınası. Genellikle meşru reklam takibi için kullanılan ancak kolayca silaha dönüştürülebilen Keitaro TDS’ye dayanmaları, mevcut altyapının ne kadar kolay kötü niyetli amaçlar için bükülebileceğini gösteriyor. Temel bir sorunu vurguluyor: kötü niyetli aktörlerin mevcut teknolojiyi ne kadar hızlı adapte edip kullanabildiği. Biz her zaman yetişmek için koşuyoruz ve bu sırada, siz ve benim gibi insanlar onların dijital dehasının bedelini ödüyor.
SMS Dolandırıcılığının Geleceği Bu mu?
Bu TDS sistemlerini kurmanın düşük giriş engeli ve pasif gelir potansiyeli göz önüne alındığında, daha fazlasını göreceğimizden şüphe duymuyorum. Doğrudan veri hırsızlığı veya fidye yazılımına başvurmak yerine kötü amaçlı trafiği paraya çevirmenin nispeten basit bir yolu; bu tür yöntemler genellikle daha fazla teknik uzmanlık gerektirir ve daha yüksek tespit riski taşır. Büyük şirketleri değil de doğrudan bireyleri hedeflemesi, özellikle cüretkar hissettiriyor. Kişisel finanslar üzerinde, ulus devlet saldırıları ve büyük veri ihlallerinin hakim olduğu genel siber güvenlik konuşmasında genellikle göz ardı edilen, dağıtılmış, düşük seviyeli bir sömürü.
Ama benim görüşüm şu: Bu sadece insanların birkaç kuruşunu kaptırması meselesi değil. Bu, temel çevrimiçi etkileşimlere olan güvenin aşınmasıyla ilgili. Basit bir güvenlik önlemi olması gereken CAPTCHA, artık potansiyel bir tuzak haline gelmiş. Dijital dünyanın tüm kolaylıklarına rağmen hala bir Vahşi Batı olduğunu ve kendi dijital şerifiniz olmaktan sorumlu olduğunuzu sürekli hatırlatıyor.
🧬 İlgili İçgörüler
- Daha Fazla Oku: Fed, Mac Hırsızları ve Sıfır Gün Açıkları Siber Ateş Hattını Tutuştururken Anthropic’in Mythos Yapay Zekasını Dert Ediyor
- Daha Fazla Oku: Yapay Zeka Asistanınız: Hackerlar İçin Yeni, Sessiz Keşif Birliği
Sıkça Sorulan Sorular
IRSF ne anlama geliyor?
IRSF, Uluslararası Gelir Paylaşımı Dolandırıcılığı (International Revenue Share Fraud) anlamına gelir. Bu, suçluların yasa dışı olarak premium ücretli uluslararası telefon numaraları edindiği ve kullanıcıları bu numaraları arayarak veya onlara mesaj göndererek kandırdığı, bu çağrılar/mesajlardan elde edilen gelirin bir kısmını topladığı bir telekomünikasyon dolandırıcılığı türüdür.
Bu SMS dolandırıcılıklarından nasıl kaçınabilirim?
Olağandışı görünen veya mesaj göndermenizi isteyen CAPTCHA sayfalarına karşı dikkatli olun. Telefon faturanızı beklenmedik ücretler, özellikle uluslararası SMS ücretleri için daima kontrol edin. Şüpheli bir aktivite görürseniz, derhal mobil operatörünüze bildirin.
Sahte bir CAPTCHA görürsem telefonum risk altında mı?
Sahte bir CAPTCHA görmek, telefonunuzun otomatik olarak kötü amaçlı yazılımla ele geçirildiği anlamına gelmez. Ancak, SMS göndermeyle etkileşim kurmak telefon faturanızda yetkisiz ücretlere yol açabilir. Birincil risk finansaldır, genellikle doğrudan bir kötü amaçlı yazılım enfeksiyonu değildir, ancak daha fazla kötü amaçlı bağlantıya tıklanmadığı sürece.
