Client Whishing Nedir? Detaylı, Teknik ve Anlaşılır Açıklama
Home  ›  bankacılık güvenliği  ›  client whishing  ›  Dijital Dolandırıcılık  ›  Kimlik Avı  ›  Siber Güvenlik  ›  Sosyal Mühendislik  ›  telefon dolandırıcılığı  ›  telefonla oltalama  ›  veri koruma  ›  voice phishing

Client Whishing Nedir? Detaylı, Teknik ve Anlaşılır Açıklama

in 1 comment

 


Client Whishing, saldırganların sesli iletişim kanallarını kullanarak (telefon araması, sesli mesaj, VoIP, WhatsApp araması vb.) bir kişiyi kandırmayı ve hassas bilgilerini ele geçirmeyi hedeflediği sosyal mühendislik tabanlı bir dolandırıcılık yöntemidir.

Whishing, phishing’in (oltalama) “sesli olan versiyonu” olarak kabul edilir.

Bu yöntem özellikle:

  • Banka müşterileri

  • Vergi dairesi kullanıcıları

  • Kargo/kurye mağdurları

  • E-ticaret kullanıcıları

  • Şirket çalışanları

  • BT departmanı veya yönetici pozisyonundaki kişiler
    üzerinde oldukça etkili çalışır.

1. Client Whishing Nasıl Çalışır?

Aşamaları tek tek inceleyelim:

1. Hedef Bilgisi Toplama (Reconnaissance)

Saldırganlar önce hedefle ilgili bilgi toplar:

  • Telefon numarası

  • Banka bilgileri

  • Ad-soyad

  • Son alışveriş / sipariş geçmişi

  • Sosyal medya paylaşımları

  • İş yeri bilgileri

Bu bilgiler açık kaynaklardan (OSINT), veri sızıntılarından veya daha önce çalınmış verilerden alınabilir.

2. Kimlik Taklidi (Impersonation)

Saldırgan, kendisini şu rollerden biri gibi tanıtır:

  • Banka çalışanı

  • E-Devlet görevlisi

  • Kargo firması temsilcisi

  • GSM operatörü

  • Amazon / Trendyol destek

  • Polis / savcı (en tehlikeli varyant)

  • Kurumsal IT destek personeli

Amaç üst otorite, güven ve panik hissi oluşturmaktır.

3. Aciliyet Yaratma (Urgency Trigger)

Whishing’in en önemli psikolojik silahı budur.

Saldırgan genellikle şu cümlelerle panik yaratır:

  • “Hesabınızda şüpheli işlem tespit edildi!”

  • “SIM kartınız bir başkası üzerine kopyalandı!”

  • “Kargonuz gümrük sorununa takıldı!”

  • “Şimdi işlem yapmazsak para hesabınızdan çekilecek!”

  • “Hakkınızda icra/mahkeme işlemi başlatılıyor!”

Amaç: Hedef düşünmeden hareket etsin.

4. İkna ve Yönlendirme (Manipulation)

Saldırgan çeşitli bilgiler ister:

  • SMS doğrulama kodu

  • Bankacılık mobil aktivasyon kodu

  • IBAN

  • Kimlik fotoğrafı

  • Kredi kartı bilgisi

  • E-Devlet şifresi

  • Crypto cüzdan transfer onayı

Veya hedefi zararlı uygulama kurmaya yönlendirir (spyware, RAT).

Bu şekilde cihaz tamamen kontrol altına alınabilir.

5. Saldırının Gerçekleşmesi

Hedeften alınan bilgilerle saldırgan:

  • Banka hesaplarını boşaltabilir

  • Kredi çekebilir

  • WhatsApp hesabını ele geçirebilir

  • Kurumsal ağa sızabilir

  • Crypto cüzdanını boşaltabilir

  • E-Devlet’ten adınıza işlem yapabilir

Bu nedenle whishing, en tehlikeli sosyal mühendislik yöntemlerden biridir.

2. Client Whishing Neden Bu Kadar Etkili?

✔ Sesli iletişim daha güvenilir algılanır.

İnsan beyni sesi, yazılı mesaja göre daha “gerçek” kabul eder.

✔ Arayan numara manipüle edilebilir.

Caller ID Spoofing ile saldırgan kendini:

  • Bankanın resmi numarası

  • Devlet kurumu

  • Kurumsal çağrı merkezi
    olarak gösterir.

✔ Stres altında karar verme bozulur.

İnsan panik hâlindeyken daha kolay hata yapar.

✔ Yaşlı bireyler ve düşük dijital okuryazarlık hedeflenir.

3. Whishing Saldırı Türleri

1. Bankacılık Whishing

En yaygınıdır. Hesap güvenliği bahanesiyle SMS kodu alınır.

2. Kurumsal IT Whishing

Saldırgan kendini IT personeli olarak tanıtır, cihaz erişimi ister.

3. Teknik Servis Whishing (Tech Support Scam)

“Bilgisayarınızdaki virüsü temizleyeceğiz” diyerek RAT yükletilir.

4. Polis / Savcı Whishing

Psikolojik baskıyla para veya bilgi alınır. (Türkiye’de çok yaygın)

5. Kargo / Sipariş Whishing

Kargo ücret farkı bahanesiyle kart bilgisi alınır.

6. Crypto Whishing

Cüzdan doğrulama / seed isteme yöntemiyle yapılır.

4. Whishing’den Nasıl Korunulur? (Profesyonel Rehber)

1. Bilmediğiniz aramaları açmayın.

2. Bankalar asla şunları istemez:

  • SMS doğrulama kodu

  • Mobil bankacılık şifresi

  • Kart numarası + CVV

  • E-Devlet şifresi

3. Arayan numaraya güvenmeyin.

Numara sahte olabilir.

4. Sizi panikleten aramalara karşı tetikte olun.

5. Resmi kurumları kendiniz arayın.

6. Telefonunuza uzaktan erişim uygulamaları kurmayın:

  • AnyDesk

  • TeamViewer

  • QuickSupport

  • RustDesk

7. Şirketlerde çalışanlar için:

  • Güvenlik farkındalık eğitimi

  • MFA zorunluluğu

  • Bilgi isteklerinde doğrulama prosedürü

5. Sonuç

Client Whishing, modern dünyanın en güçlü dolandırıcılık yöntemlerinden biridir.
Teknolojiyi, insan psikolojisini ve kimlik taklidini bir araya getirir.

Ne kadar güçlü güvenlik sisteminiz olursa olsun,
yanlış bir telefon konuşması tüm savunmayı yok edebilir.

Bilinç, eğitim ve doğrulama — en büyük savunmadır.

Önceki Gönderi
Sonraki Gönderi
H.Kılıçaslan

post written by:

1 yorum: