Makalemizde Telefon Numarası Klonlama Saldırıları konusunu inceleyeceğiz.
Teknoloji ve internetin gelişmesiyle siber güvenlik tehditleri giderek artış gösterirken beraberinde gelen riskleri de gündelik hayatın her alanında görmeyi mümkün kılıyor. Bu risklerden biri de “Arayan Kimliği Sahtekarlığı” olarak bilinen, geleneksel hat klonlama işlemlerinden farklı olarak, yazılımsal manipülasyon tekniklerini kullanarak sistemlerin açığından yararlanıp bir çağrının kimliğini değiştirme işlemidir.
Arayan Kimliği Sahtekarlığı
Arayan Kimliği Sahtekarlığı, telefon numarası klonlanarak, klonlanan numaradan arama yapılmasını sağlayan bir hacking yöntemidir. Bir telekomünikasyon firmasına ait bir telefon numarasını klonlayarak asıl numaraymış gibi arama yapılması sağlanabilmektedir. Bu işlem, çevrimiçi bir hizmet kullanılarak veya karşı tarafın telefon ayarlarında değişiklik yapılarak gerçekleşir.
Spoofing
Spoofing, bilgi güvenliği terminolojisinde bilgisayar sistemleri, ağlar veya iletişim protokolleri üzerinde gerçek bir varlık veya kimlik gibi davranma, sahte veriler sunma işlemi olarak tanımlanır. Spoofing yöntemleri arasında IP Spoofing, E-Mail Spoofing, DNS Spoofing gibi hedefleri kandırmaya yönelik saldırı çeşitleri oldukça bilinir fakat her ne kadar zor bir yöntem olsada aralarında en tehlikelisi olan telefon numarasını klonlama tekniği, teknolojiden uzak internet kullanıcısı olmayan kişileride kandırmaya yönelik sahtekarlık içermesinden ötürü, kapsamı itibari ile önem arz eder. Diğer numara dolandırıcılığı yöntemlerine kıyasla istenilen numara kullanılabildiği için kurbanın inanma gücünü en üst düzeye çıkarır. Örneğin, Vakıfbank müşteri hizmetleri numarası ile banka müşterisini arayan bir saldırganın istediği bilgileri alma olasılığı oldukça yüksektir.
Bundan yaklaşık 7-8 yıl önce VOXOX firmasının vermiş olduğu “Cloud Phone” hizmeti üzerinde bir açık meydana gelmişti ve tüm uygulama kullanıcıları istenilen numara üzerinden arama yapabiliyordu. Uygulamada istediğiniz rakamlardan oluşan bir numara belirleyerek o numara ile arayan taraf olmanız sağlanıyor, böylece karşı tarafın numarası ile karşı tarafı arayabiliyor ya da istediğiniz bir firmanın numarası ile istenilen numara aranabiliyordu.
Açığı keşfeden kullanıcılar eşlerini dostlarını karşı tarafın numaralarından arayarak birbirlerine şaka yapmak amaçlı kullanırken, diğer taraftan bu açığı dolandırıcılık amacı ile kullanan ve kurumsal firmaların müşteri hizmetleri numaralarını girerek bilgi edinmeye çalışan kötü niyetli kişiler de artmıştı. Bu olumsuz durumun hızlı bir şekilde yaygınlaşması dolayısıyla firma yetkilileri devreye girerek sistemi tamamen kapattı.
Firma yetkilileri bu olayın akabinde herhangi bir açıklama yapmasa da, istenilen numaradan istediğiniz kişiyi arayabileceğiniz bir yöntemin var olduğu gün yüzüne çıkmış oldu. Böyle büyük bir güvenlik zafiyetinin varlığı hala çoğu uzman tarafından bilinmemektedir. Davalara ve şikayetlere konu olan aramaların bir kısmı bu yöntemle gerçekleştirildiği halde farkına varılamamaktadır.
Bir saldırganın başkasının numarasını kopyalayarak, dolandırıcılık, kişisel veri hırsızlığı, taciz, tehdit, meşru durumlarda hukuki süreçleri manipüle etmek ve diğer kötü niyetli faaliyetler için kullanmak ağır hukuki sonuçlar doğurur. Numara kopyalama işlemleri, sonucunda herhangi bir suç işlenmezse dahi klonlamanın bilişim suçları kapsamında cezası vardır. Bu tür saldırılar ile karşılaşıldığında durumu fark edildiği an saldırının kaynağını bulmak ve gelecekte kendi numarası kullanılarak başkalarına zarar verilmesini önlemek adına hukuki süreci ivedilikle başlatmakı gerekir. Teknik boyutta belirli konuları aşan bir alan olması nedeni ile iş geçmişi olan Siber Güvenlik Uzmanlarıyla işbirliği yapılmalı ve sahteciliğin tespit edilmesi için gerekli adımların atılması gerekmektedir.
Sonuç
Hukukçuların dikkat etmesi gereken asıl konu, davalara konu olan arama kayıtlarında temkinli olunması gerektiği ve servis sağlayıcılara ait bu yönde arama kayıtlarının yapılıp yapılmadığına dair verilerin talep edilerek incelenmesi gerektiğidir. Herhangi bir şüpheli durumda kayıtlar ile eşleşen bilgiler neticesinde sonuç ortaya çıkabilir.
Dr. Berker Kılıç’ın 11. Sayı’mızdaki “Hukuk Alanında Yapay Zekanın Tahmin Hatası ve Manipülasyonu” isimli yazısını okumak için bağlantıya tıklayınız.
Yazarın 11. Sayı’mızdaki “Hukuk Alanında Yapay Zekanın Tahmin Hatası Ve Manipülasyonu” yazısını bağlantıdan okuyabilirsiniz.
Yazar: Yalkın Dağdaş – Bilişim Uzmanı
yalkindagdas@gmail.com
Hukuk ve Bilişim Dergisi ve Blog kısmımızda,
Bilişim Suçları
Blockchain ve Dijital Paralar
Yapay Zekâ ve Robot Hukuku
Elektronik Ticaret Hukuku
İnternet Hukuku
Kişisel Verilerin Korunması Hukuku
Start-Up Hukuku
E-Spor Hukuku
Fikri Mülkiyet Hukuku ve benzer teknoloji hukuku alanlarında yazılar okuyucularımıza sunulmaktadır.