Europol, arayan kimliği sahteciliğine karşı güçlü bir eylem çağrısı yayınlayarak, bu tekniğin dolandırıcılar tarafından mali suçları ve sosyal mühendislik saldırılarını kolaylaştırmak için giderek daha fazla kullanıldığı konusunda uyarıda bulundu. Ajans, dolandırıcıların alıcıları aramak için gösterilen numarayı, aramanın güvenilir bir kurumdan, bir devlet kurumundan veya tanıdık bir kişiden geliyormuş gibi görünmesi için manipüle ettiğini belirtiyor. Bu yanlış beyan edilen kimlik, suçluların kurbanları kişisel bilgilerini ifşa etmeleri, ödemelere izin vermeleri veya hassas verileri teslim etmeleri için kandırmasına olanak tanır.
Europol notes raporunda, sahte aramaların dünya çapında bildirilen sahte telefon iletişimi vakalarının yaklaşık yüzde 64’ünü oluşturduğunu ve bu tür saldırılardan kaynaklanan kayıpların yılda yaklaşık 850 milyon avro olarak tahmin edildiğini belirtti.
Bu saldırıların sınır ötesi doğası kolluk kuvvetlerinin soruşturmalarını karmaşık hale getirdiğinden, tehdit tek bir ülke veya bölgeyle sınırlı değildir, çünkü saldırganlar genellikle kurbanın ülkesi dışından aramalar başlatır ve bu da izlenebilirliği azaltır.
Arayan Kimliği sahteciliği yalnızca bir sıkıntı veya sıkıntı değildir. Daha ciddi dolandırıcılıklarda önemli bir kolaylaştırıcıdır. Europol’ün analizi, sahte aramaların suçluların meşru kuruluşların kimliğine bürünmesine yardımcı olduğunu ve bunun da mağdurların taleplere uyma olasılığını çok daha yüksek hale getirdiğini tespit ediyor. Örneğin, suçlular bir banka, vergi dairesi veya kamu hizmeti sağlayıcısı gibi davranabilir ve ardından bir kişiyi para transfer etmeye veya kimlik bilgilerini açıklamaya ikna edebilir.
Bu teknik aynı zamanda arayanların tanınmış bir şirketten olduklarını iddia ettikleri ve kurbanlardan uzaktan erişim yazılımı yüklemelerini istedikleri sözde “teknik destek” dolandırıcılıklarını da destekliyor. Cihazın kontrolü verildikten sonra suçlular veri çıkarabilir, kötü amaçlı yazılım yükleyebilir veya fonları yönlendirebilir. Aşırı durumlarda grup, sahte bir aramanın acil servislerin mağdurun ev adresine müdahalesini tetikleyerek can ve mal riski oluşturduğu “swatting” olaylarına dikkat çekiyor.
Europol, sahteciliğin suç grupları tarafından sıklıkla bir “hizmet” olarak sunulduğu konusunda uyarıyor. Başkalarının derin teknik bilgi olmadan sahte aramalar yapmasına olanak tanıyan araçlar, altyapı veya platformlar sağlarlar. Bu tür hizmetlerin varlığı, dolandırıcılığa giriş engelini azaltarak küçük aktörlerin bile güçlü aldatma taktikleri kullanmasına olanak tanır.
Avrupa neden belirli zorluklarla karşı karşıya?
Avrupa kolluk kuvvetleri, sahtecilikle mücadelede çeşitli yapısal zorlukların farkındadır. Birçok ülkenin telekomünikasyon ağları ve düzenlemeleri, dolandırıcılığın önlenmesi veya arayanın kimliğinin doğrulanması temel bir konu olacak şekilde oluşturulmamıştır. Sonuç olarak, sahte numaralar, İnternet Protokolü Üzerinden Ses kanalları da dahil olmak üzere çeşitli ağlar üzerinden yönlendirilebilir, bu da kaynak izlemeyi karmaşıklaştırır ve yaptırımı zorlaştırır.
Europol tarafından 23 ülkede yapılan bir anket, kolluk kuvvetlerinin genellikle telekom operatörleriyle işbirliği mekanizmalarından yoksun olduğunu, sahte aramalarla ilgili teknik verilere sınırlı erişime sahip olduğunu ve sınırlar arasında tutarsız mevzuatla karşı karşıya olduğunu ortaya çıkardı. Örneğin, sahte bir numara bir ülkeden geliyor gibi göründüğünde, ancak arayan kişi aslında o ülkenin dışındaysa, soruşturma ve karşılıklı yardımlaşmaya ilişkin yasal çerçeveler gerilir ve yavaşlar.
Üstelik birçok ağ, çağrı oluştururken arayan hattı kimliğinin (CLI) kimliğini doğrulamaz. Görüntülenen numaranın doğrulanması olmadan kullanıcılar kolayca yanıltılabilir ve sağlayıcılar aramanın gerçek kaynağını güvenilir bir şekilde takip edemez. Europol’e göre, teknik standartların üye devletler arasında parçalı bir şekilde uygulanması, kırılganlığın temel nedenlerinden biridir.
Sahteciliğin finansal etkisi ve insani maliyeti
Kesin küresel rakamları belirlemek zor olsa da, Europol’ün yıllık yaklaşık 850 milyon avroluk kayıp tahmini, ölçeğin net bir göstergesini veriyor. Dünya çapında sahte aramaların yüzde 64’ünün arayan kimliği sahtekarlığını içermesi, bunun modern dolandırıcılıktaki merkezi rolünün altını çiziyor.
Sahte aramaların hedef aldığı kişiler yalnızca maddi kayıplara değil, aynı zamanda duygusal ve psikolojik zararlara da maruz kalabilir. Mağdurlar genellikle ihlal edilmiş, utanmış veya utanmış hissederler, bu da raporlamayı ve iyileşmeyi geciktirebilir. Finansal olarak birikimlerini kaybedebilir, sahte krediler alabilir veya uzun vadeli sonuçları olan kimlik hırsızlığına maruz kalabilirler. Kuruluşlar, büyük kampanyalarda adları veya numaraları taklit edildiğinde de itibar kaybıyla karşı karşıya kalabilir.
Teknik, tanıdık veya güvenilir bir numara kullanarak güvenden yararlandığından, kurbanların isteklere uyma olasılığı daha yüksektir. Örneğin, bir bankanın veya düzenleyicinin kimliğine bürünen bir çağrı, algılanan otorite altında anında uyum sağlanmasına yol açarak mağdurun talebi sorgulaması veya üzerinde düşünmesi gereken süreyi azaltabilir.
Hangi teknik ve düzenleyici tepkiler gereklidir?
Europol, arayan kimliği sahteciliğiyle mücadele etmek için çok yönlü bir stratejinin ana hatlarını çiziyor. Teknik önlemlerden biri, telefon görüşmelerinin kaynağı belirlenene kadar atlamalı olarak izlenmesine olanak tanıyan sağlam geri izleme sistemleri oluşturmaktır. Bu tür araçlar olmadan, operatörler sahte trafiğin gerçek kaynağını belirleyemeyebilir.
Diğer bir öncelik ise menşe numaralarının doğrulanmasının uygulanmasıdır. Örneğin, ağlar, arayan kimliği olarak kullanılan bir numaranın aslında arayanın abone hesabına ait olduğunu doğrulamalı ve yurt dışından bir ülkeye yönlendirilen aramaların kaynağı doğrulayan bilgiler taşımalıdır. CLI kimlik doğrulaması için küresel standartların belirlenmesi çok önemlidir.
Düzenleyici açıdan Europol, operatörlerin ve kolluk kuvvetlerinin tutarlı kurallar altında çalışması için Avrupa çapında uyumlu çerçeveler çağrısında bulunuyor. Bu, telekom operatörlerinin çağrı ayrıntı kayıtlarını paylaşması, soruşturmalarda hızlı bir şekilde işbirliği yapması ve bilinen sahte numaraların veritabanlarını engellemesi için açık yasal zorunlulukları içerir.
Telekom operatörlerinin ve paydaşların rolü
Telekomünikasyon sağlayıcıları önlemede önemli bir rol oynamaktadır. Numara doğrulamanın uygulanmasından, şüpheli çağrıların filtrelenmesinden, telemetrinin kolluk kuvvetleriyle paylaşılmasından ve meşru numaraların kötüye kullanımının tespit edilmesinden sorumludurlar. Europol, birçok taşıyıcının hâlâ sahte trafiğin yeterli dahili izlemesi olmadan faaliyet gösterdiğini veya kolluk kuvvetleri kanallarıyla entegrasyondan yoksun olduğunu vurguluyor.
Endüstri kuruluşları ve düzenleyiciler de devreye girmelidir. Örneğin, telekom düzenleyicileri, operatörlere “Çağrı Hattı Kimliği kimlik doğrulaması” veya benzer çerçeveleri benimsemelerini zorunlu kılabilir, uluslararası aramaların yönlendirilmesi için uyumluluk gereklilikleri yayınlayabilir ve sahte trafiğe olanak tanıyan operatörlere cezalar uygulayabilir. Ulusal düzenleyiciler, operatörler ve kolluk kuvvetleri arasındaki koordinasyon çok önemlidir çünkü sahtekarlık kampanyaları genellikle yetki alanlarını atlar.
Tüketici farkındalığı başka bir faktördür. Bireyler bir sayıya körü körüne güvenmeye devam ederse, en iyi teknik savunmalar bile başarısız olacaktır. Son kullanıcılar, beklenmedik aramaları sorgulamak, resmi iletişim kanallarını bağımsız olarak kontrol etmek ve ekranda güvenilir bir numara göründüğü için hassas bilgiler vermekten kaçınmak üzere eğitilmelidir.
Kendinizi sahtecilikten korumak için neler yapabilirsiniz?
Kişisel veya ticari açıdan bakıldığında, çeşitli uygulamalar sahteciliğin oluşturduğu riski azaltabilir. İlk olarak, aktarım, iki faktörlü kimlik doğrulama veya oturum açma kimlik bilgileri isteyen çağrılar alırken, bağımsız olarak doğrulanmadığı sürece arayana şüpheli davranın. İşletmeler ayrıca, güvenilir arayan kimlikleri gösterseler bile çalışanlarını beklenmedik aramaları sorgulamaları konusunda eğitmelidir.
İkincisi, “doğrulama” politikasını sürdürmek yardımcı olur. Telefonu kapatın, kuruluşun resmi numarasını bulun ve gelen numarayı kullanmak yerine onları geri arayın. Bu, sahte bir numarayla etkileşimde bulunmamanızı sağlar. İşletmeler bu kuralı finans departmanları, İK ekipleri veya hassas verilere veya ödemelere erişimi olan herkes için uygulamalıdır.
Üçüncüsü, kuruluş düzeyinde çağrı filtrelemeyi, engelleme listelerini ve şüpheli numara izlemeyi benimseyin. İşletmeniz büyük işlemler içeriyorsa, şüpheli gelen aramalar için operatörlerden arama ayrıntısı kayıtları istemek, kolluk kuvvetlerinin sahte trafiği izlemesine yardımcı olabilir.
Son olarak, bireyler uyanık kalmalıdır. Güvenilir bir numara arayıp isteği doğrulamadan ödeme, kişisel veri veya yazılım kurulumu isterse özellikle dikkatli olun. Şüpheli çağrıları düzenleyicilere veya operatörlere bildirmek, dolandırıcıların ihtiyaç duydukları ölçeği engelleyebilecek istihbarat oluşturmaya yardımcı olur.