Bazı çevrimiçi hizmetler, kayıt sırasında kimlik kartınızın göründüğü bir selfie yükleyerek kimliğinizi doğrulamanızı ister. Bu, sizin siz olduğunuzu kanıtlamanın kolay bir yoludur. Uzak bir ofise gidip sırada beklemeniz gerekmez. Yalnızca bir resim çekip yüklemeniz ve hesabınız bir yönetici tarafından onaylanana kadar kısa bir süre beklemeniz yeterlidir.
Ne yazık ki, selfie’lerinizle ilgilenen yalnızca meşru internet siteleri değil. Kimlik avcıları da bu selfie’lerle yakından ilgileniyor. Bu dolandırıcılığın nasıl işlediğini, suçluların neden kimlik kartlı resimlerinizin peşinde olduğunu ve oltaya gelmemenin yollarını açıklıyoruz.
Kimlik doğrulama
Bugünlerde yaygın görülen senaryo, “ekstra güvenlik” (ya da başka bir sebep) sebebiyle kimliğinizi doğrulamanız gerektiğini söyleyen bir banka, ödeme sistemi veya sosyal ağ e-postasıyla başlıyor.
Bağlantıya tıkladığınızda, hesabınızın kimlik doğrulama bilgileri, ödeme kartı bilgileriniz, adresiniz, telefon numaranız ve başka bilgilerinizin yanı sıra net bir şekilde görünen bir kimlik kartı veya başka bir belge ile çekilmiş selfie’nizi yüklemenizi isteyen, form içeren bir sayfaya yönlendiriliyorsunuz. Bu noktada durup düşünmeniz gerekiyor: Kimlik kartlı selfie’nizi yüklemek gerçekten iyi bir fikir mi? Dolandırıcı da olabilirler.
Dolandırıcılar neden kimlik kartlı selfie’lerinizi istiyor
Yukarıda değindiğimiz gibi, bazı çevrimiçi hizmetler kayıt için kimlik kartlı bir resim ister. Bu selfie’yi dolandırıcılara gönderirseniz kara para aklamak için sizin adınıza hesap açabilirler (örneğin kripto para alım satım sitelerinde). Bunun neticesinde kanunen başınız belaya girebilir. Hiç hoş değil.
Kimlik kartlı selfie’niz, kara borsada sadece taranmış bir kimlik kartından çok daha fazla para eder. Hedeflerine ulaşan dolandırıcılar, resimınızı yüksek karla satabilir; alıcılar da sizin isminizi istedikleri gibi kullanabilir.
Tipik çevrimiçi dolandırıcılık işaretleri
Neyse ki çevrimiçi dolandırcılık, en ufak ayrıntıyı bile mükemmel hale getirmeye çalışmakta olan titiz tiplerin alanı değil. Kimlik avı e-postasını ve bağlantının yönlendirdiği web sitesini yakından incelediğinizde nerdeyse her defasında pekçok şüpheli unsuru ortaya çıkarabilirsiniz.
1. Hatalar ve yazım yanlışları
E-postanın ve veri girişi formunun düzgün bir dille yazılmamış olma olasılığı yüksektir. Büyük kuruluşların resmi internet siteleri ve e-postaları, gramer hatalarıyla ve yazım yanlışlarıyla dolu olur mu?
2. Şüpheli gönderici adresi
Bu tür mesajlar genellikle ücretsiz e-posta hizmetlerine kayıtlı veya e-postada ismi geçen şirketle hiçbir ilgisi olmayan başka şirketlere ait adreslerden gelir.
3. Farklı alan adı
Gönderenin adresi gerçek gibi görünse de, kimlik avı formunu barındıran site büyük olasılıkla sahte ya da alakasız bir alandadır. Adres ara sıra çok benzer (fakat yine de farklı); zaman zaman de bambaşka olabilir. Örneğin güya LinkedIn’den gelen bir mesaj, kullanıcıları nedense Dropbox’a resim yüklemeye davet edebilir.
4. Aşırı derecede kısa süre verilmesi
Bu e-postaları gönderenler genelde alıcıyı telaşa sokmak için ellerinden geleni yapar. Örneğin, bağlantının süresinin 24 saat içinde dolacağını söylerler. Acele hissi birçok kişinin düşünmeden hareket etmesine sebep olduğu için dolandırıcılar bu tekniğe sık sık başvurur. Öte yandan saygın kuruluşlar durduk yere sizi acele ettirmezler.
5. Zaten verdiğiniz bilgileri isteme
İstenen bilgilerin en azından bir kısmı zaten kayıt sırasında verdiğiniz bilgilerse (örneğin, e-posta adresi veya telefon numarası) daha da dikkatli olun. Bankalarda kimliğiniz zaten hesabı açtığınız sırada doğrulanır. Neden ne olduğu belirsiz bir “ekstra güvenlik” için tekrar doğrulansın ki?
6. Teklif yerine talep
Birçok kaynak, hakkınızda bilgi almanın karşılığında çeşitli ileri seviye özellikler teklif edebilir; bunlara güvenlikle ilgili özellikler de dahildir. Fakat bunu e-posta yoluyla değil, web sitesindeki kişisel hesabınız üzerinden yaparlar. Üstelik bunlar genelde reddedebileceğiniz tekliflerdir. Öte yandan dolandırıcılık e-postalarındaki bağlantılara tıkladığınızda açılan formlarda, selfie yüklemekten başka bir seçeneğiniz yokmuş gibi yalnızca tek bir buton bulunur.
7. Resmi web sitesinde bununla ilgili bilgi bulunmaması
Gerçekten uzun süredir kullandığınız bir hizmette kimliğinizi doğrulamanız gerekebilir. Fakat bu durum kural değil, istisnadır; hizmetin web sitesinde neler olup bittiğine dair bilgi yer almalıdır ve kolayca google’lanabilir olmalıdır.
Kimlik kartlı selfie’lerinizi bol keseden dağıtmayın
Dolandırıcıların kimliğinizi çalmasını önlemek için veri taleplerine tedbirli yaklaşın. Özellikle de işin içinde belgeler varsa.
- Bir süredir kullanmakta olduğunuz hizmetlerden gelen kimlik doğrulama taleplerine şüpheyle bakın. Belirli bir mesajı dikkate alıp almamakta kararsız kalırsanız şirketin resmi web sitesinde konuyla ilgili bilgi bulunup bulunmadığına bakın.
- Metnin niteliğine dikkat edin. Gerçek kurumsal iletişim metinlerinde gramer hatalarının, eksik kelimelerin ya da yazım yanlışlarının çok nadir olduğunu unutmayın.
- Mesajın nereden geldiğini ve bağlantının nereye yönlendirdiğini kontrol edin. Şirketler resmi alan adlarıyla e-posta gönderir. Herhangi bir istisnai durumda web sitesinde konuyla ilgili bir açıklama bulunur. Anketler, oturum açma formları ve diğer resmi sayfalar, çoğunlukla resmi kaynaklarda yer alır.
- Bilgi sağlamak için süre kısıtlaması gibi sınırlamaların olması, sizin için tehlike çanlarını çalmalıdır. Süreyi kaçırmak, verilerinizi siber suçlulara göndermekten daha iyidir.
- Şüpheye düşerseniz müşteri hizmetlerini arayın. Fakat mesajda verilen telefon numarasını değil, resmi web sitesinde ya da kayıt doğrulama e-postasında yer alan numarayı kullanın.
- Kimlik avına ve çevrimiçi dolandırıcılığa karşı koruyan güvenilir bir antivirüs programı kullanın.
Kaspersky Blog