Polis, İçişleri Bakanlığı veya bankanızdan olduklarını söylüyorlar. Ne olursa olsun, işleyiş biçimleri aynıdır: sakinleri, BAE Geçiş taleplerini yetkilendirmelerini isteyerek hassas ve kişisel bilgileri ifşa etmeleri için kandırmak.
Vishing (sesli kimlik avı) dolandırıcılığı, yetkililerin vicdansız taraflara karşı uyanık olmaları yönündeki uyarılarının ortasında, BAE sakinlerinin karşılaştığı bir dizi karmaşık hileli girişimin en sonuncusudur. Khaleej Times tarafından bu hafta yapılan bir WhatsApp anketinde, 8.300’den fazla kişi, BAE yetkililerini taklit eden dolandırıcılardan telefon görüşmeleri veya e-postalar aldıklarını söyledi. Ne yazık ki, dolandırıcıların taktiklerine aşık olanlar kişisel ve finansal kayıplarla sonuçlanır.
Dubai’de ikamet eden Brejesh Rajan, bir kadının tüm resmi bilgilerine sahip olduğu görsel bir saldırıdan sonra hala şaşkın. Khaleej Times’a konuşan Hintli göçmen, “Yenileme için Emirates Kimliğimi (EID) göndermiştim ve 13 Mayıs’ta BAE ıcp’den olduğunu iddia eden bir bayandan telefon aldım. Yenileme sürecinin son aşamalarında olduklarını söyledi.
“Kimlik numarası ve son kullanma tarihi de dahil olmak üzere tüm bilgilerim vardı. Sakinleri dolandırıcılardan korumak için sistemi güncellediklerini ve bu nedenle verilere ihtiyaç duyduklarını söyledi. Ondan nasıl şüphe edecektim ki?”
Rajan daha sonra BAE Pass uygulamasından kodlar aldı (başlatmamış olmasına rağmen) ve ekranında yanıp sönen ikisinden birine tıklaması istendi. Talimatları takip etti ve “benim için de açılan uygulamama erişebildiler” dedi.
Dolandırıcılar daha sonra Rajan’ı kandırmak için sofistike taktikler uyguladılar. Icp’den üç e-posta gönderildi gov.ae etki alanı (aşağıdaki ekran görüntülerine bakın). Üç yıl önce bae’ye taşınan göçmen, bunun Emirates kimliğini yenilemek için olağan prosedür olduğuna ikna olmuştu.
“Konuşmamız 15 dakikadan fazla devam etti, çünkü benimle ‘süreç’ boyunca konuştu. E-postalar benden yasal hizmetleri tamamlamamı, tüm mali doğrulamayı sağlamamı ve kartı görevli memurla yetkilendirmemi istedi.
“Banka bilgilerimi ve kart numaramı verir vermez ıcp’den Dh1 için otp’li bir borç talebi aldım. Sonra CVV numaramı ve aldığım OTP’Yİ istedi. İlk defa alarma geçtim.”
Hintli göçmen uymayı reddettiğinde, arayan saldırganlaştı ve sonuçları tehdit etti. Rajan kımıldamadı. Tedirgin arayan aramayı kesti ve Rajan’ın BAE Geçişi engellendi. Daha sonra uygulamayı yeniden yükledi ve biyometrisini kullanarak yeniden erişime kavuştu.
Yüksek basınç taktikleri
Bu özel taktiği kullanan dolandırıcılar, BAE Pass uygulamasını henüz kurmamış sakinleri bile hedef alıyor. Dubai’de ikamet eden Ann Mel, başına gelenleri anlatırken, “Bilinmeyen bir cep telefonundan telefon aldığımda geç kalıyordum ve randevuya koşuyordum. Diğer taraftaki kişi acımasızdı ve BAE Geçidi hakkında bir şeyler söyledi. Rotamda gezinirken söylenenleri zar zor kaydediyordum. Bayan daha sonra Emirates kimliğimi doğrulaması gerektiğini söyledi ama nedenini sorduğumda bağırmaya başladı.”
Medya endüstrisi yöneticisi bunun bir dolandırıcı olduğunu fark etti. “Ona bunun için zamanım olmadığını söyledim. Cevabı en iyisiydi. Diye bağırdı, ‘Sence zamanım var mı? Ben de çalışıyorum!’ Aramayı kestim ve beni geri aramaktan rahatsız olmadı – ama bayan? Sen bir dolandırıcısın. Ne demek sen de çalışıyorsun?”
Göçmen, dolandırıcıların kullandığı agresif baskı taktiklerini vurguladı. “Bu taktikler insanları hızlı kararlar almaya zorluyor. İnsanları uyum konusunda korkutuyorlar ve Emirates kimlik yetkililerinin bir cep telefonu numarasından asla aramayacakları gibi küçük ama önemli ayrıntıları hemen kaydetmelerini engelliyorlar.”
39 yaşındaki başka bir mukim olan Muhammed (tam adını açıklamak istemeyen), uygulamadan bir otp’yi onaylaması istendiğinde kendisini benzer bir konumda buldu. “Yapmadım çünkü bir kod oluşturmak için hiçbir şey başlatmadığım için garip buldum. Adam İçişleri Bakanlığı’ndan olduğunu söylese de, telefonu kapattım.” İnternette benzer gönderiler gördüğünde şüpheleri doğrulandı.
Bazı sakinler, diğer kullanıcıların daha bilinçli olmalarına yardımcı olmak amacıyla deneyimlerini sosyal medya forumlarında — dolandırıcıların cep telefonu numaralarıyla birlikte — paylaşıyor. Kendi bölümünü anlatan Rajan, “Bir cep telefonu numarasından aramayı ne zaman aldığımı bilmeliydim. İlk başta tüm bayram detaylarıma sahip olduğunda ikna oldum; Bu nasıl mümkün oldu?”
BAE Geçişi ‘güvenli’
Khaleej Times yorum yapmak için Telekomünikasyon ve Dijital Hükümet Düzenleme Kurumu’na (TDRA) ulaştı; yayınlandığı sırada hala bir yanıt bekleniyordu.
Bununla birlikte, BAE Pass’ı içeren aldatmaca girişimleriyle ilgili sosyal medya sohbetine yanıt olarak, TDRA kısa süre önce kamuoyuna platformun yüksek güvenlik standartlarını güvence altına alarak, bölge sakinleri ve vatandaşlar için güvenli bir dijital kimlik çözümü olarak nitelendirdi.
Yetkili, BAE Geçişiyle bağlantılı OTP, bildirimler veya oturum açma istekleri alırken dikkatli olmanın önemini vurguladı. Kullanıcıların, hesaplara yetkisiz erişim arayan kişilerin olası dolandırıcılık girişimlerini önlemek için ayrıntıları paylaşmamaları ve herhangi bir talebi titizlikle doğrulamaları istenir.
Suçlu zihinler
Teknoloji firması Rayad Group’un genel müdürü Rayad Kamal Ayub, organize suçluların veri sağlayabileceği olası yolları detaylandırarak, “Dolandırıcılar, karanlık ağdaki bireyler hakkındaki kişisel bilgilere düşük çaba ve riskle kolayca erişebilirler. Veri sızıntılarından veya çeşitli servis sağlayıcıların hacklerinden derlenen veritabanları da dahil olmak üzere çok sayıda kaynaktan özel kimlik bilgileri alırlar.
“Bilgisayar korsanları ayrıca, yaygın olarak kullanılan kombinasyonlara dayalı benzersiz kullanıcı adlarını ve şifreleri derlemek için kullanıcı bilgilerini (e-posta veya cep telefonu numaraları gibi) içeren birden fazla veritabanından veri madenciliği yapmaya başladılar.”
Bilgisayar korsanlarının BAE Geçiş taleplerini tetikleyebildiği Rajan’ınki gibi durumlarda, kurbanların ziyaret ettiği portalları izleyebilecek ve kullanıcı adları ve şifreler gibi kimlik bilgilerini çalabilecek korsan yazılımlar kullandıklarını söylüyor. “Bununla, BAE Pass uygulamasına giriş yapabilir ve bildirim gönderebilirler.”
BAE merkezli bir siber güvenlik ve teknoloji kuruluşu olan CAWCAB LLC’nin Başkanı Khalifa bin Huwaidan Al Ketbi, “Dolandırıcılar, Oyun Mağazaları aracılığıyla dağıtılan yaygın olarak kullanılan uygulamalarda genellikle arka kapı olarak gömülü bir tür kötü amaçlı yazılım olan kimlik hırsızlarının topladığı verilere kolayca erişiyor.”