Fakecalls olarak isimlendirilen bankacılık Truva Atı, tanınan Güney Kore bankalarının telefonla müşteri takviyesini taklit ediyor. Üstelik bilinen bankacılık Truva atlarının bilakis, kendi irtibatlarını kullanarak fiziki bankalara yapılan aramalara gizlice sızabiliyor. Böylelikle siber hatalılar, banka çalışanlarını taklit ederek kurbanların finansal datalarını yahut başka kapalı bilgilerini ele geçirmeye çalışıyor.
Kaspersky araştırmacıları, Ocak 2021’de Fakecalls Bankacılık Truva Atı’nı ortaya çıkardı. Araştırmacılar, bir müşteri bankanın yardım çizgisini aradığında Truva Atı’nın bankanın yepyeni araması yerine kendi uydurma kandırma aramasını açtığını buldular. Davet ele geçirildikten sonra ortaya çıkan iki mümkün senaryo mevcut. Birincisinde Fakecalls, kurbanı direkt kendisini bankanın müşteri temsilcisi olarak tanıtan siber suçlularla buluşturuyor. Alternatif senaryoda ise Truva atı bankadan gelen standart bir selamlamayı taklit ediyor ve otomatik sesli posta kullanarak standart bir konuşmaya benzeyen, evvelce kaydedilmiş sesi oynatıyor.
Truva Atı ortaya vakit zaman Korece küçük ses kesimleri da ekliyor. Örneğin, “Merhaba, bankamızı aradığınız için teşekkür ederiz. Davet merkezimiz şu anda alışılmadık derecede fazla davet alıyor. En kısa müddette bir danışmanı size yönlendireceğiz” üzere. Bu iletiler, siber hatalıların müşteriyi davetin gerçek olduğuna inandırarak kurbanlarının itimadını kazanmalarını sağlıyor. Bu cins aramaların temel maksadı, kurbanlarından banka hesap bilgileri de dahil olmak üzere, mümkün olduğunca fazla finansal bilgi sızdırmaktır.
Ancak bu Truva Atını kullanan siber hatalılar potansiyel kurbanlarından kimilerinin Korece yerine İngilizce üzere farklı arayüz lisanları kullanabileceğini düşünmemiş. Fakecalls ekranının yalnızca Kore lisanında sürümü mevcut. Bu da İngilizce arayüz lisanını kullanan birtakım kullanıcıların dolandırıcılık kuşkusu duyacağı ve tehdidi ortaya çıkaracağı manasına geliyor.
Gerçek bankacılık uygulaması görünümündeki Fakecalls uygulaması indirildiğinde bireylere erişim, mikrofon, kamera, coğrafik pozisyon ve arama idaresi üzere çeşitli müsaadeler istiyor. Bu müsaadeler, örneğin gerçek banka müşterisine ulaşmaya çalışırken, Truva Atı’nın gelen aramaları bırakmasına ve bunları aygıtın geçmişinden silmesine müsaade veriyor. Truva atı sadece gelen aramaları denetim etmekle kalmıyor, tıpkı vakitte giden aramaları da taklit edebiliyor. Siber hatalılar kurbanla bağlantı kurmak isterse, Truva atı sistem üzerinde kendi davet ekranını görüntülüyor. Sonuçta kullanıcı siber hatalılar tarafından kullanılan gerçek numarayı değil, Truva Atı tarafından gösterilen bankanın dayanak hizmetinin telefon numarasını görüyor.
Dolandırıcılar kurbanı uygulamanın gerçek olduğuna ikna etmeye çalışırken, geçersiz aramaların tamamı tanınmış Güney Kore bankalarının taşınabilir uygulamalarını taklit ediyor. Gerçek banka logolarını ekliyor ve resmî web sitelerinin ana sayfasında gösterildiği üzere bankaların gerçek takviye numaralarını görüntülüyor.
Kaspersky Güvenlik Araştırmacısı Igor Golovin şunları söylüyor: “Bankacılık müşterilerine daima olarak dolandırıcılardan gelen aramalara karşı dikkatli olmaları tembihlenir. Lakin direkt banka müşteri dayanağına kendileri ulaşmaya çalıştıklarında rastgele bir tehlike öngörmüyorlar. Genel olarak banka çalışanlarına güveniriz, bir durum olursa onları yardıma çağırırız. Bu nedenle onlara yahut hasebiyle taklitçilerine istedikleri her türlü bilgiyi veririz. Uydurma aramaların gerisindeki siber hatalılar iki tehlikeli teknolojiyi bir ortaya getirdiler: Bankacılık Truva atları ve toplumsal mühendislik. Bu nedenle
kurbanların para ve şahsî datalarını kaybetme mümkünlüğü daha yüksek. Yeni bir taşınabilir bankacılık uygulaması indirirken hangi müsaadeleri istediğini kesinlikle göz önünde bulundurun. Uygulama davet erişimi de dahil olmak üzere aygıt denetimlerine kuşkulu bir formda çok erişim sağlamaya çalışıyorsa, uygulamanın bir bankacılık Truva atı olması muhtemeldir.”
Kaynak: (BHA) – Beyaz Haber Ajansı
