Malumunuz olduğu üzere e-mail yoluyla gerçekleştirilen dolandırıcılık suçları günümüzde sayıca artmışve çeşitli şekillerde karşımıza çıkmaya başlamıştır. E-mail üzerinden gerçekleştirilen dolandırıcılıksuçunun en etkili olduğu ve mağdurun duyduğu güven neticesiyle fark etmesinin en güç olduğuyöntemlerden biri de müşteri ile iş sahibi arasındaki e-mail silsilesine sızmaktır. Günümüzde sıklıkla,müşteri ile iş sahibi e-mail üzerinden iletişim halinde iken para havalesi aşamasında dolandırıcılar emailsistemindeki şifreleri etkisiz hale getirerek devreye girmekte ve mağdura kendi IBAN bilgileriniileterek suçu tamamlamaktadır.İşbu bilgi notunda da belirtilen dolandırıcılık yöntemleri ve önüne geçmek için alınabilecek önlemlerele alınacaktır.

  1. Klonlama

Klonlama yöntemiyle yapılan e-mail saldırıları, daha önceden gönderilmiş bir bağlantıyı veya eki içerenmailleri konu etmektedir. Saldırganlar, resmi e-mailin bir klonunu hazırlayarak güvenli bir bağlantıyıveya dosyayı, zararlı yazılımlı dosyalarla veya eklerle değiştirir. Kullanıcının fark etmesi oldukça zor olanbu tarz maillerde, gönderenin adresini dikkatle incelemek, adresin size ulaşan önceki maillerine bakıpkarşılaştırma yapmak oldukça önemlidir.Halihazırda mailleşme halinde iken sistem yöneticisi/e-mail silsilesi içerisindeki kişi tarafındangönderilmiş gibi görünen bir e-mail gelir; size kişisel bilgilerinizin güncellenmesi gerektiği, bilgilerinizintekrar girilmesi belirtilir ve sizden bilgilerinizi göndermeniz istenir.Bu doğrultuda, e-mailin geldiği isim bilgisinin üstüne tıklanmalı ve e-mail adresinin isim ile olan uyumu,önceki mailler aracılığı ile teyit edilmelidir. Örnek görsel aşağıdaki gibidir.

1461296a.jpg

Mailleşmeler üzerinden gerçekleştirilen dolandırıcılık fiilleri ve bu suçlara karşı alınabilecek önlemler

Burada dikkat edilmesi gereken husus e-mailin alışılagelmiş uzantıya sahip bir adresten gönderildiğigibi görünmesine rağmen gönderen kısmına bakıldığında farklı bir hesaptan gelip gelmediğininteyidinin sağlanmasıdır. Gelen e-mailin kimden geldiğinden emin değilseniz lütfen dikkate almayınız.

Bu tür bir durumla karşı karşıya kalırsanız kurumla irtibata geçmeden ve e-mailin doğruluğu onaylanmadan cevap vermeyiniz. Ayrıca e-mail ekinde dosya varsa, bu dosyayı antivirüs programıyla taramadan açmamalı; PDF, Word dâhil olmak üzere birçok dosyanın zararlı yazılım içerebileceğini dikkate almalısınız.

  1. Mızrak Kimlik Avı

Mızrak kimlik avı yöntemi, genelde şirketlere veya belirli bir kişiye yönelik e-mail saldırılarındanibarettir. Hedeflenen kişinin özel bilgileri kullanılarak, atılan sahte e-mailin gerçek gibi görünmesisağlanır. Bu tarz e-maillerde, saldırganlar genelde kişinin gerçek adını, nerede yaşadığını, meslekarkadaşlarını ve diğer bilgileri içeren detaylarla son derece inandırıcı bir e-mail hazırlayabilir. Bunoktada dikkatli olmak için, hakkınızda bu kadar detaylı bilgiye sahip olan birinin neden e-mail yoluylasize bir talepte bulunduğu sorulmalı; mümkün ise özellikle kişisel veri iletimi ve/veya ödeme yapmaaşamalarından önce telefon görüşmeleri ile teyit sağlanmalıdır.

  1. Password Fishing

Password Fishing, dolandırıcıların rastgele kullanıcı hesaplarına e-mail gönderdikleri bir çevrimiçi saldırıtürüdür. E-mailler, bilinen web sitelerinden veya kullanıcının bankasından, kredi kartı şirketinden, email veya internet hizmeti sağlayıcısından gönderilmiş gibi gözükür. Genellikle hesaplarıgüncelleyebilmek için kredi kartı numarası veya şifre gibi kişisel bilgiler sorulur. Bu e-postalardakullanıcıları bir başka web sitesine yönlendiren URL bağlantısı yer alır. Bu site aslında ya sahte ya dadeğiştirilmiş bir web sitesidir. Kullanıcılar bu siteye girdiklerinde Password Fishing saldırısını yapankişiye iletilmek üzere kişisel bilgilerini girmeleri istenir.Password Fishing, genelde bir kişinin şifresini veya kredi kartı bilgilerini öğrenmek amacıyla kullanılır.Bir banka veya resmi bir kurumdan geliyormuş gibi hazırlanan e-mail yardımıyla bilgisayar kullanıcılarısahte sitelere yönlendirilir. Password Fishing saldırıları için bankalar, sosyal paylaşım siteleri, e-mailservisleri, online oyunlar vb. sahte web sayfaları hazırlanmaktır. Burada bilgisayar kullanıcısından kimlikbilgileri, kart numarası, şifresi vb. istenir. E-posta mesajındaki ve sahte sitedeki talepleri dikkate alankullanıcıların bilgileri çalınır.Dolandırıcı, daha önce kurumun web sayfasının bir benzerini oluşturarak size e-mail atar ve e-mailiçinde bir link vererek bilgilerinizi güncellemenizi ister. Amaç sizi sahte sayfaya yönlendirip bilgileriniziçalmaktır. Sayfa içindeki linke tıkladığınızda sizi herhangi bir sosyal medya sayfasına benzer bir adreseyönlendirebilirler; dikkat etmeden bilgilerinizi girerseniz bilgileriniz korsanların eline geçmiş olur.Bu tür bir durumda yapmanız gereken e-mail içerisinde gelen site bağlantı adreslerine kesinlikletıklamamaktır. Bu tür bir durumla karşı karşıya kalırsanız karşı tarafla irtibata geçmeden ve e-mailindoğruluğu onaylanmadan lütfen e-maile cevap vermeyiniz.

  1. Mail Zincirinde Araya Girme

Mail zincirinde araya girme isimli bu yöntemde, saldırganlar öncelikle hedef olarak seçtikleri şirketlerine-mail hesaplarını ele geçirip yazışmalarını takip ederler. Konuşmaları izler ve ticari yazışmaları dikkatleinceleyerek, yüksek meblağlı bir para transferi tespit ettiklerinde, taraflardan birinin e-mail adresini tekbir harfle taklit ederek yeni bir mail hesabı açarlar. Bu e-mail hesabıyla mail zincirine dâhil olansaldırganlar, araya girerek kendi banka bilgilerini paylaşırlar. Bu doğrultuda, para transferi yapılacakhesap bilgilerinin doğruluğu farklı kanallardan teyit edilmelidir.Dolandırıcıların kullandığı yöntemleri açıklamamızın akabinde alınabilecek önlemlere dair genelönerilerimiz aşağıdaki gibidir.· E-mail üzerinden gerçekleştirilen görüşmeler sonucunda ödeme aşamasına geçildiğinde IBANbilgisi gönderilmeden önce IBAN numarasının doğruluğu için sözlü olarak (telefon vs. ile) teyitsağlandıktan sonra mail üzerinden IBAN bilgisi paylaşılıp ödeme yapılabilir.· E-mail üzerinden gerçekleştirilen görüşmeler sonucunda ödeme aşamasına geçileceği biliniyorise, daha önceden haricen telefon görüşmesi yahut farklı bir kanal ile taraflar arasında herhangibir kod kodu belirlenerek IBAN bildirilecek mailin sonuna ilgili kod eklenebilir.· Günümüzde QR kod oluşturma hayli kolay bir hal aldığından taraflar arasında haricenpaylaşılacak bir QR kod, IBAN bilgilerinin iletildiği e-mail sonuna eklenerek teyit sağlanmasımümkündür.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.