İspanya'da siber dolandırıcılar, vatandaşların kişisel ve finansal bilgilerini ele geçirmek amacıyla yeni bir smishing (SMS tabanlı kimlik avı) kampanyası başlattı. Bu kampanyada, İspanya Devlet Vergi İdaresi olan AEAT (Agencia Estatal de Administración Tributaria) taklit edilerek, acil ödeme veya hesap bloke uyarısı içeren sahte SMS mesajları gönderiliyor. İspanya Ulusal Siber Güvenlik Enstitüsü Incibe (Instituto Nacional de Ciberseguridad), vatandaşları bu tür mesajlara karşı uyararak, tuzağa düşmemek için yapılması gerekenleri açıkladı. Siber suçlular, kurbanların korku ve aciliyet duygularını kullanarak sahte bağlantılara tıklamalarını ve kişisel verilerini paylaşmalarını hedefliyor.
Söz konusu SMS mesajları genellikle, "bekleyen bir ödeme", "vergi iadesi" veya "hesabınızın bloke edildiği" gibi ifadeler içeriyor ve kullanıcıları belirli bir bağlantıya tıklayarak durumu düzeltmeye çağırıyor. Bu tür mesajlar, bankalardan veya resmi kurumlardan geliyormuş gibi görünse de, aslında siber dolandırıcıların kurbanları tuzağa düşürmek için kullandığı yaygın bir yöntemdir. Incibe, bu tür mesajların derhal silinmesi ve içerisindeki hiçbir bağlantıya tıklanmaması gerektiğini vurguluyor. Aksi takdirde, kullanıcılar kimlik hırsızlığı, finansal kayıp veya cihazlarına zararlı yazılım bulaşması gibi ciddi risklerle karşı karşıya kalabilirler.
Smishing saldırıları, siber suç dünyasında giderek artan bir tehdit haline gelmiştir. Bu yöntem, e-posta tabanlı kimlik avı (phishing) taktiklerinin SMS platformuna uyarlanmış hali olup, kısa mesajların anlık ve kişisel doğası nedeniyle daha etkili olabilmektedir. Dolandırıcılar, genellikle resmi kurumların logolarını ve dilini taklit ederek mesajlarına güvenilirlik katmaya çalışır. Özellikle vergi dönemlerinde veya önemli yasal düzenlemelerin olduğu zamanlarda bu tür saldırıların yoğunlaştığı gözlemlenmektedir. İspanya'da AEAT gibi güvenilir bir kurumun adının kullanılması, vatandaşların şüphe duymadan bağlantılara tıklama olasılığını artırmaktadır.
Siber Dolandırıcılıkta Yükselen Trend: Smishing ve Kurumsal Hedefler
Küresel çapta siber suçlar, dijitalleşmenin hızlanmasıyla birlikte artış göstermektedir. Özellikle Avrupa'da ve İspanya'da siber saldırıların sayısı ve karmaşıklığı her geçen gün yükseliyor. Eurostat verilerine göre, Avrupa Birliği'nde siber suç mağdurlarının oranı son yıllarda önemli ölçüde artmıştır. Smishing, bu artışın önemli bir parçasıdır. Vergi daireleri gibi devlet kurumları, çok sayıda vatandaşla etkileşimde bulunmaları ve hassas finansal bilgilere erişimleri nedeniyle siber suçlular için cazip hedeflerdir. Bu kurumları taklit eden dolandırıcılar, hem vatandaşlardan doğrudan para çalmayı hem de kimlik avı yoluyla elde ettikleri verileri daha sonraki saldırılarda kullanmayı amaçlar.
Türkiye'de de benzer smishing ve phishing saldırıları sıkça görülmektedir. Gelir İdaresi Başkanlığı (GİB), bankalar, kargo şirketleri veya e-Devlet gibi kurumların adını kullanan sahte SMS ve e-posta mesajları, Türk vatandaşlarını hedef almaktadır. Bu durum, siber tehditlerin coğrafi sınır tanımadığını ve dijital okuryazarlığın tüm toplumlar için ne kadar kritik olduğunu bir kez daha ortaya koymaktadır. Uzmanlar, bu tür saldırıların sadece bireyleri değil, aynı zamanda kurumların itibarını da zedelediğini ve dijital güven ortamını olumsuz etkilediğini belirtmektedir. Bu nedenle, hem devlet kurumlarının siber güvenlik önlemlerini artırması hem de vatandaşların bilinçlendirilmesi büyük önem taşımaktadır.
Vatandaşlar Nasıl Korunmalı? Uzmanlardan Öneriler
Incibe ve diğer siber güvenlik kuruluşları, bu tür dolandırıcılıklara karşı korunmak için bir dizi önlem önermektedir. Öncelikle, resmi kurumlardan veya bankalardan geldiği iddia edilen şüpheli SMS veya e-postaların içeriğindeki bağlantılara asla tıklanmamalıdır. Kurumlar genellikle acil durumlar için SMS yoluyla kişisel bilgi veya parola talep etmezler. Bir mesajın doğruluğundan şüphe duyulduğunda, ilgili kurumun resmi web sitesi veya telefon numarası üzerinden doğrudan iletişime geçilerek teyit alınmalıdır. Mesajdaki telefon numarası veya bağlantı yerine, kurumun resmi kaynakları kullanılmalıdır.
Ayrıca, cihazlarda güncel antivirüs yazılımları kullanmak, işletim sistemlerini ve uygulamaları düzenli olarak güncellemek de siber güvenlik için temel adımlardır. Güçlü ve benzersiz parolalar kullanmak, mümkünse iki faktörlü kimlik doğrulama (2FA) özelliğini aktif hale getirmek de hesap güvenliğini önemli ölçüde artırır. Eğer bir kişi bu tür bir tuzağa düşerek kişisel bilgilerini paylaştığını fark ederse, derhal bankasıyla iletişime geçmeli, şifrelerini değiştirmeli ve durumu ilgili siber güvenlik birimlerine (İspanya'da Incibe, Türkiye'de EGM Siber Suçlarla Mücadele Daire Başkanlığı gibi) bildirmelidir. Dijital çağda, sürekli tetikte olmak ve şüpheci bir yaklaşımla hareket etmek, siber tehditlere karşı en güçlü savunma hattını oluşturmaktadır.
