Dünyanın en büyük teknoloji firmalarından olmayı sürdüren Apple, kimlik avı dolandırıcılığından ve fazlasından korunmak için önemli ipuçları verdi.
Kullanıcılarını korumak adına “Kimlik avı mesajları, sahte destek çağrıları ve diğer dolandırıcılıklar dahil olmak üzere sosyal mühendislik saldırı planlarını tanıyın ve bunlardan kaçının” başlıklı detaylı bir yazı yayınlayan teknoloji devi Apple tam olarak şunları söyledi: “Sosyal mühendislik, kişisel verilerinize erişim sağlamak için farklı bir kimliğe bürünme, aldatma ve manipülasyona dayanan bir tür hedefli saldırıdır. Bu tür saldırılarda dolandırıcılar, telefon veya diğer iletişim yöntemleri aracılığıyla güvenilir bir şirketin veya kuruluşun temsilcisiymiş gibi davranırlar. Oturum açma kimlik bilgileri, güvenlik kodları ve finansal bilgiler gibi kişiye özel bilgilerinizi vermeniz için sizi ikna etmek amacıyla sıklıkla karmaşık taktikler kullanırlar. Kimlik avı, genellikle e-posta yoluyla yürütülen ve sizden kişiye özel bilgilerinizi almaya yönelik sahtekarlık girişimlerini ifade eden yaygın bir sosyal mühendislik taktiğidir. Ancak dolandırıcılar, sizi bilgilerinizi paylaşmaya veya onlara para vermeye ikna etmek için aşağıdakiler de dahil olmak üzere her türlü yolu kullanır:
-Apple dahil yasal şirketlerden gönderilmiş gibi görünen sahte e-postalar ve diğer mesajlar.
-Aygıtınızda bir güvenlik sorunu olduğunu söyleyen yanıltıcı açılır pencereler ve reklamlar.
-Apple Destek ekibini, Apple iş ortaklarını ve iyi bilinen veya güvenilen diğer tüzel ya da özel kişileri taklit eden, dolandırıcılık amaçlı telefon çağrıları veya sesli mesajlar.
-Ücretsiz ürün ve ödüller teklif eden sahte promosyonlar.
-İstenmeyen Takvim davetleri ve abonelikler.
Beklenmeyen bir mesaj, arama veya kişisel bilgi ya da para talebinden şüpheleniyorsanız bunun bir dolandırıcılık eylemi olduğunu varsaymak daha güvenlidir. İhtiyaç duyuyorsanız söz konusu şirketle doğrudan irtibat kurun. Apple aygıtınız veya hesabınızla ilgili bir güvenlik sorunu hakkında endişeleriniz varsa bu kaynaklar size yardımcı olabilecek daha fazla bilgi sağlar. Birilerinin Apple Kimliğinizi ele geçirdiğini veya sahte bir web sitesine parolanızı ya da diğer kişisel bilgilerinizi girmiş olabileceğinizi düşünüyorsanız vakit kaybetmeden Apple Kimliği parolanızı değiştirin ve iki faktörlü kimlik doğrulamanın etkinleştirildiğinden emin olun.”
Apple’dan ayrıca şu açıklamalar geldi: “Sosyal mühendislik saldırılarını nasıl tanıyacağınızı, kimlik hırsızlığı amaçlı mesajları tespit etmeyi, sahte telefon aramalarını ele almayı ve diğer çevrimiçi dolandırıcılık eylemlerini önlemeyi öğrenin. Sosyal mühendislik saldırganları, öncelikle güveninizi kazanmak için farklı kimliklere bürünme ve manipülasyon yollarını kullanır. Ardından hassas verileri vermeniz veya hesap bilgilerinize erişim sağlamanız için sizi kandırırlar. Güvenilir bir şirketi, kuruluşu veya tanıdığınız birini taklit etmek için çeşitli taktikler kullanırlar.
Bir sosyal mühendislik saldırısı kapsamında hedef alınıp alınmadığınızı belirlemenize yardımcı olacak bu işaretlere dikkat edin:
-Bir dolandırıcı sizi Apple veya başka bir güvenilir şirkete ait ve gerçekmiş gibi görünen bir numaradan arayabilir. Buna “sahtekarlık” denir. Arama şüpheli görünüyorsa telefonu kapatıp şirketin resmi numarasını kendiniz aramayı düşünün.
-Dolandırıcılar, güven oluşturmak ve meşru görünmek amacıyla sizin hakkınızdaki kişisel bilgilerden sıklıkla bahseder. Ev adresiniz, iş yeriniz ve hatta Sosyal Güvenlik numaranız gibi gizli olduğunu düşündüğünüz bilgilere atıfta bulunabilirler.
-Genellikle acil bir sorunu çözmenize yardımcı olmak istediklerini söylerler. Örneğin, birinin iPhone veya iCloud hesabınıza girdiğini veya Apple Pay kullanarak yetkisiz ödemeler yaptığını iddia edebilirler. Dolandırıcı, saldırganı durdurmanıza veya ödemeleri iptal etmenize yardımcı olmak istediğini iddia edecektir.
-Dolandırıcı, düşünmeniz için zaman vermekten kaçınmak ve sizi Apple ile doğrudan irtibat kurmaktan caydırmak için genellikle güçlü bir aciliyet duygusu yaratır. Örneğin dolandırıcı Apple’ı geri arayabileceğinizi söyleyebilir ancak dolandırıcılık faaliyetleri devam edecek ve siz sorumlu tutulacaksınızdır. Bu yanlıştır ve telefonu kapatmanızı engellemek için tasarlanmıştır.
-Sonunda dolandırıcılar hesap bilgilerinizi veya güvenlik kodlarınızı isteyeceklerdir. Genellikle sizi gerçek bir Apple giriş yapma sayfasına benzeyen sahte bir web sitesine yönlendirecek ve kimliğinizi doğrulamanız konusunda ısrar edeceklerdir. Apple sizden herhangi bir web sitesinde giriş yapmanızı, iki faktörlü kimlik doğrulama iletişim kutusunda Kabul Et’e dokunmanızı veya parolanızı, aygıt parolanızı ya da iki faktörlü kimlik doğrulama kodunuzu girmenizi veya bunları herhangi bir web sitesine girmenizi hiçbir zaman istemeyecektir.
-Bazen dolandırıcılar iki faktörlü kimlik doğrulama veya Çalıntı Aygıt Koruması gibi güvenlik özelliklerini devre dışı bırakmanızı isteyebilir. Bunun bir saldırıyı durdurmaya yardımcı olmak veya hesabınızın kontrolünü yeniden ele geçirmenize olanak sağlamak için gerekli olduğunu iddia edeceklerdir. Ancak aslında kendi saldırılarını gerçekleştirebilmek için güvenlik düzeyinizi düşürmeniz amacıyla sizi kandırmaya çalışıyorlardır. Apple aygıtınızdaki veya hesabınızdaki herhangi bir güvenlik özelliğini devre dışı bırakmanızı hiçbir zaman istemeyecektir.
“Dolandırıcılar, sizi kişisel bilgilerinizi ve parolalarınızı paylaşmaya ikna etmek için gerçek şirketlerin e-posta ve kısa mesajlarını taklit etmeye çalışır.” diyen Apple, ayrıca, “Şu belirtiler, kimlik hırsızlığı amaçlı e-postaları belirlemenize yardımcı olabilir” dedi ve ekledi:
-Gönderenin e-posta adresi veya telefon numarası, e-postayı/mesajı gönderdiği iddia edilen şirketin adıyla eşleşmez.
-Sizinle irtibat kurmak için kullanılan e-posta adresi veya telefon numarası, söz konusu şirkete verdiğiniz e-posta adresi ya da telefon numarasından farklıdır.
-Mesajdaki/iletideki bir bağlantı doğru görünür ancak URL, şirketin web sitesiyle eşleşmez.2
-Mesaj/ileti, söz konusu şirketten aldığınız diğer mesajlardan/iletilerden belirgin şekilde farklı görünür.
-Mesajda/iletide kredi kartı numarası veya hesap parolası gibi kişisel bilgileriniz istenir.
-Bu istenmeyen bir mesajdır/iletidir ve ek içerir.”