Wise kullanıcılarına yönelik kimlik avı

Kimlik avcıları Wise kullanıcılarının telefon numaralarını ve kimlik bilgilerini nasıl ele geçiriyor?

Saldırganlar kullanıcıların kişisel hesaplarına ait kimlik bilgilerini, telefon numaralarını ve dolandırıcılık ya da hesap ele geçirme için kullanılabilecek diğer bilgileri sızdırmak için sık sık tanınmış şirketler adına kimlik avı e-postaları gönderir. Elbette kimlik avcıları için en cazip hedefler arasında bankalar, kripto borsaları ve ödeme sistemleri gibi finansal kuruluşların müşterileri yer alır.

Bu sefer, milyonlarca kişi tarafından kullanılan bir çevrimiçi finansal servis olan Wise’ı (yakın zamana kadar TransferWise) istismar eden bir kimlik avı tespit ettik. Bu yazıda bu oyunu analiz ederek dolandırıcılık ve veri hırsızlığı kurbanı olmaktan nasıl kaçınabileceğinizi anlatıyoruz.

Wise hakkında

Neden özellikle Wise? İnsanlar Wise’a yalnızca paralarını emanet etmekle kalmıyor. Yakın zamana kadar TransferWise olarak bilinen şirketin esas işi, düşük maliyetli sınır ötesi para transferiydi. Şirket 2021’de servis yelpazesini genişleterek uluslararası transferlerin yanı sıra, (Başka hizmetlere ek olarak) çoklu para biriminde hesapları ve hesap kartlarını da desteklemeye başladı.

Wise, yeniden markalaşmasının bir parçası olarak ismindeki “Transfer”ı attı. Siber suçlular da bu noktada devreye girdi: İsim değişikliğiyle ilgili kafa karışıklığını kötüye kullanmaya karar vermişlerdi.

Plan nasıl işliyor

Saldırı, Wise destek ekibinden geliyormuş gibi görünen bir kimlik avı e-postasıyla başlıyor. E-posta kurbana marka değişiminden ötürü “hesabını yeni platforma geçirmesi” gerektiğini bildiriyor.

Kullanıcının hesabını yeni platforma taşımakla ilgili TransferWise’dan geliyormuş gibi görünen e-posta

 

Gönderenin adını içeren satırda wise.com yazdığı ve mesajın içinde ticari marka olan mavi bayrağı içeren şirket logosu yer aldığı için dikkatsiz bir kullanıcı e-postayı kolayca gerçek sanabiliyor. Oysa daha yakından bakınca tehlike işaretlerini görebiliyorsunuz: Gönderenin adresi Wise ile hiçbir ilgisi olmayan kelimeler ve rastgele bir sayı dizisinden oluşuyor ve her nedense alan da Kenya’daki Moringa Okulu’na ait! Metnin kendisi de itibarlı bir şirkette asla müsaade edilmeyecek hatalarla ve yazım yanlışlarıyla dolu.

E-postada iki bağlantı var: Biri güya yeni siteye yönlendiriyor, diğeri gönderenle iletişim kurmaya yarıyor. Gerçekte ise her ikisi de aynı sayfaya çıkıyor. Bu sayfa da kurbanı otomatik olarak başka bir kimlik avı sitesine yönlendiriyor.

Wise’ın gerçek sitesindeki karşılama mesajına ve aynı tasarıma sahip kimlik avı sitesi, e-postadan çok daha inandırıcı. Tek fark sayfanın solundaki resim ve URL. URL’de beklenmedik bir şekilde restoran ve indirimli hizmetler bulmaya yarayan tanınmamış bir uygulamanın adı görünüyor. Bu noktada siber suçlular kullanıcıdan hesaba giriş yapmak için e-posta adresini ve parolasını girmesini istiyorlar.

Wise’ın giriş sayfasının kimlik avı versiyonu

 

Ancak giriş bilgileri, toplanan tek kişisel bilgi değil: Herhangi bir kontrol yapmadan, gerçek olsa da olmasa da e-postayı ve parolayı “kabul eden” site, kurbanın telefon numarasını da istiyor. Oysa Wise’ın gerçek sitesinde oturum açmak için telefon numaranızı girmenize gerek yok.

Saldırganlar son olarak Wise kullanıcısının telefon numarasını istiyor

 

Kullanıcı Devam düğmesine bastığında site donmuş gibi görünüyor, veriler siber suçlulara gönderilirken kurban yalnızca “yükleniyor” yazısıyla birlikte dönen bir logo görüyor.

Kimlik avı sitesi düşüncelere dalıyor

 

Sabırsız kullanıcı tekrar Devam düğmesine bastığında ise resmi Wise sayfasına yönlendiriliyor. Burada amaç, kullanıcı bu noktada bir şeylerin ters gittiğini sezip URL’i kontrol etmeye kalksa bile verilerinin siber suçluluların eline geçtiğini fark etmemesini ve normal hayatına devam etmesini sağlamak.

En sonunda kullanıcı resmi Wise sitesine yönlendiriliyor

 

Veriler nereye gidiyor

Büyük olasılıkla siber suçluların en çok istediği şey telefon numaraları. Muhtemelen bunları veri tabanlarında toplayıp telefon dolandırıcılarına satıyorlar. Güvenliği ihlal edilen hesaplardan kullanıcılar hakkında ad, soyad ve ev adresi gibi ilave bilgiler de edinebiliyorlar. Bu bilgileri edinen telefon dolandırıcıları daha ikna edici olabiliyor.

Kendinizi korumanın yolları

Bu tuzağa düşmemek ve verilerinizi korumak için bazı temel siber güvenlik kurallarına uymanız gerekiyor.

  • Tanınmış bir şirketten geliyormuş gibi görünen bir e-posta aldığınızda işe gerçekten nereden geldiğini kontrol ederek başlayın. Gönderenin adresi anlamsız rakamlar ve harfler, rastgele sözcükler ya da alışılmadık bir alan içeriyorsa büyük olasılıkla dolandırıcılıktır.
  • Göndericiyi tanıdığınızı düşünseniz bile e-posta ve bildirimlerdeki bağlantılara tıklamayın; siteleri daima yer imlerinden veya arama motorlarından açın ya da URL’i biliyorsanız manuel olarak girin.
  • Kimlik avından şüpheleniyorsanız e-posta’yı göndermiş gibi görünen şirketin destek ekibiyle iletişime geçin, onlar size gerçek olup olmadığını kesin olarak söyleyecektir. Gerekli durumlarda aksiyon alarak diğer kullanıcıları uyaracaklardır.
  • Kimlik avına ve çevrimiçi dolandırıcılığa karşı korumaya sahip ve tehdit hakkında sizi zamanında uyaracak güvenilir bir antivirüs yükleyin.
İpuçları