Akıllı telefonlarda bu tuzaklara dikkat
Akıllı telefonlardaki NFC teknolojisini hedef alan siber saldırılar yılın ilk 4 ayında rekor kırdı. Hesapları boşaltan Yeni NFC dolandırıcılık yöntemleri ve korunma yolları.
Dijital bankacılık ve temassız ödeme tüzüklerinin yaygınlaşması, siber suç şebekelerinin rotasını mobil cihazların donanımsal açıklarına çevirmesine neden oldu. Güvenlik analistlerinin paylaştığı yasal verilere göre, bu yılın Ocak-Nisan döneminde siber sistemlerce engellenen organize NFC saldırısı 35 bin 600’e ulaştı. Geçen yılın aynı döneminde 12 bin 300 seviyesinde olan bu tehdit dalgasının merkez üssü Rusya olarak öne çıksa da siber korsanların başta Avrupa ve Latin Amerika olmak üzere Türkiye'deki mobil kullanıcıları da yakın markaja aldığı tescillendi.
Siber güvenlik uzmanları, dijital karaborsada "Malware-as-a-Service" (Hizmet Olarak Zararlı Yazılım) modeliyle satılmaya başlanan bu yeni nesil dolandırıcılık stratejisinin temelde iki tehlikeli yöntemle yürütüldüğünü açıkladı. İlk organize adımları 2023 yılının sonlarında Avrupa'da tescil edilen ve tespiti en zor tehditler arasında gösterilen o yöntemlerin işleyişi şu şekildedir:
Doğrudan NFC Yöntemi: Dolandırıcılar, mesajlaşma uygulamaları üzerinden kurbanlarla doğrudan iletişim kuruyor. Kimlik doğrulama veya mobil güncelleme bahanesiyle kullanıcıya sahte bir finans uygulaması yükletiliyor. Ardından mağdurdan banka kartını telefona yaklaştırması ve PIN şifresini girmesi isteniyor. Böylece tüm kart bilgileri anında korsanların havuzuna aktarılıyor.
Tersine NFC Yöntemi: Sosyal mühendislik yoluyla telefona sızan virüs, cihazın varsayılan temassız ödeme aracı haline getiriliyor. Yazılım, ATM'lerin veya POS cihazlarının sanki saldırgana ait fiziki bir kart varmış gibi algıladığı yapay bir NFC sinyali üretiyor. Kullanıcı kendi eliyle güvenli işlem yaptığını sanırken, para doğrudan dolandırıcıların hesabına tescil ediliyor.
Siber güvenlik tüzüklerinde bu yöntemi en tehlikeli kılan unsur, paranın yasal olarak geri tahsil edilmesinin neredeyse imkansız olmasıdır. Uzmanlar, yeni nesil tersine mühendislik manipülasyonlarında kullanıcının finansal transferi bizzat kendi parmak izi, yüz tanıması veya şifresiyle onayladığına dikkat çekiyor.
İşlemi kullanıcının bizzat kendisi gerçekleştirdiği için bankacılık emniyet algoritmaları bu transferi tamamen "meşru ve yasal" kabul ediyor. Bu durum, siber sigorta tüzüklerinin ve hukuki iade mekanizmalarının devre dışı kalmasına yol açarak tüketiciyi kuruşu kuruşuna büyük bir maddi zararla baş başa bırakıyor.