Tem 19 2018

Siber suçlulardan 'hediye kartlı' veri dolandırıcılığı

Siber dolandırıcılar her geçen gün yeni yöntemlerle kurban ağlarını genişletiyor.

Son metot, sahte hediye kartı veren websiteleri üzerinden kullanıcıların verilerinin üçüncü taraf iş ortağı sitelerine satılması. Tuzağa düşenler daha sonra bu sitelere yönlendiriliyor.

Bu pek alışılmadık dolandırıcılık yöntemi ile binlerce kişinin verileri çalınıyor ve hesapları, güvenirliği tartışılır web sitelerine aktarılıyor.

Her ne kadar emniyet teşkilatları ve firmalar, siber suçlarla mücadele etmek için yeni yöntemler geliştirse de, siber sahtecilik ve dolandırıcılıkla uğraşanlar hep bir adım önde.

En son yazılım ve teknoloji ile, tüketiciye ulaşmanın yolunu bulmakta zorlanmayan siber dolandırıcılar, pahalı ancak 'bedava' olduğu iddia edilen değerli ürün vaadinde bulunan mesajlarla kişileri ve verilerini hedef alıyor.

Zararlı yazılımlar dışında geliştirilen bu yöntemle, müşterilere iTunes, Google Play, Amazon veya Steam gibi tanınmış şirketler için ücretsiz hediye kartı seçeneği sunan web siteleri, sözkonusu linke tıklandığı andan itibaren yavaş yavaş verileri ele geçirmeye doğru giden süreci başlatmış oluyor.

Örneğin, Tokenfire ve Swagbucks gibi yasal uygulamalar, markalardan kart kodları satın alıp ardından bunları müşterilerine belirli faaliyetlerin karşılığında ödül olarak veriyor. Suçluların bu tür web sitelerinin yakaladığı popülerliği fark ettiği ve kullanıcıları basit bir algoritmayla kandırmaya karar verdiği görülüyor. 

Sahte sitelerde kodu alabilmeleri için, kullanıcılardan arzu ettikleri hediye kartını seçmeleri isteniyor. Sonrasında dolandırıcılık mekanizması harekete geçiyor. Oluşturulan kodu almak için kullanıcının bir robot olmadığını kanıtlaması gerekiyor.

Kullanıcı bunu yapmak için belirtilen bağlantıya gidip çeşitli görevleri yapmak zorunda kalıyor. Görevlerin sayısı ve türü kullanıcının yönlendirildiği ortak ağ tarafından belirleniyor. Örneğin, kullanıcılardan bir form doldurması, telefon numarası veya e-posta adresi bırakması, ücretli bir SMS servisine üye olması, reklam yazılımı yüklemesi gibi şeyler istenebiliyor.

Sonuçta ise kurbanlar ya bitmek bilmeyen görevleri yapmaktan vazgeçiyor ya da hiçbir işe yaramayan kodu alıyor. Suçlular bu yöntemle, istenilen bir bağlantıya tıklama başına birkaç sentten, doldurulan her form veya ücretli servislere katılan her üye için onlarca dolara kadar değişen gelirler elde ediyor.

Suçlular böylece hiçbir şey yapmadan, yalnızca kullanıcıların üçüncü taraf ortaklarının websitelerindeki faaliyetleri üzerinden para kazanmış oluyor. Üçüncü taraf ortaklar ise daha sonra farklı amaçlar için kullanabilecekleri kişisel verilere erişiyor.