Clear Sky Science
Kanıta dayalı, jargonu hafif açıklamalar

Clear Sky Science · tr

Protokoldan Bağımsız Kriptografik Güven Kullanarak smishing ve vishing’i Önlemeye Yönelik WeDDa Çerçevesi

· Dizine geri dön

Sahte aramalar ve kısa mesajlar neden herkes için önem taşıyor

Çoğumuz artık bankacılık, devlet hizmetleri, teslimatlar ve hatta acil uyarılar için telefonlarımıza güveniyoruz. Buna karşın küresel telefon sistemi hâlâ suçluların telefon numarasını taklit ederek istedikleri kişinin—bankanız, bir sağlık bakanlığı veya polis—gibi davranmasına izin veriyor. Bu, arayan kimliğinin sahte gösterilmesiyle güçlenen smishing (sahte kısa mesaj) ve vishing (sahte sesli aramalar) olaylarında patlamaya yol açtı; milyarlarca dolar zarara ve dijital hizmetlere yönelik kamusal güvende sessiz bir aşınmaya neden oldu. Bu makale, bir numaranın sadece iddia edilmek yerine kanıtlanması gerektiği ilkesine dayanarak telefon ağında güveni yeniden inşa etmeye yönelik yeni bir yaklaşım olan WeDDa’yı tanıtıyor.

Figure 1
Şekil 1.

Sorunun ölçeği

Yazarlar, günümüzün sahte arama ve kısa mesajlara karşı savunmalarının çoğunlukla reaktif olduğunu gösteriyor. Telefon şirketleri ve uygulamalar, şüpheli trafiği tespit etmek için kara listeler, makine öğrenimi ve kullanıcı bildirimleri kullanıyor, ancak bunlar kullanıcıya ulaşan zarardan sonra devreye giriyor. Bu arada saldırılar hızla artıyor: yalnızca smishing birkaç yılda yüzlerce yüzde artış gösterdi ve kayıplar milyarlarca dolara ulaştı. Paranın ötesinde, bu sürekli sahte ileti akışı yazarların “dijital güven vergisi” olarak adlandırdığı etkiyi yaratıyor: insanlar meşru mesajları görmezden gelmeye başlıyor, hükümetler vatandaşlara ulaşmakta zorlanıyor ve acil uyarılar ya da sağlık kampanyaları gibi kritik hizmetler itibar kaybediyor.

Telefon ağlarındaki gizli tasarım hatası

Bu krizin merkezinde dünya çapındaki telefon altyapısındaki temel bir tasarım hatası yatıyor. Geleneksel aramalar için SS7 ve internet aramaları için SIP gibi çekirdek sinyalizasyon sistemleri onlarca yıl önce küçük, birbirine güvenen operatör kulübü için tasarlandı; düşmanca, internet ölçeğindeki bir ortam için değil. Bu protokoller bir ağın diğerine “Bu arama bu numaradan geliyor” demesine izin veriyor, ancak bunu kriptografik olarak kanıtlamaya yönelik yerleşik bir mekanizma sunmuyor. Bu yüzden spam filtreleri ve yapay zeka sınıflandırıcıları, ağın zaten kimlik hakkında yalan kabul etmiş olduğu durumda mesajın doğruluğunu sonradan değerlendirmeye çalışıyor. Yazarlar, arayan kimliği yalnızca iddia edildiği sürece dolandırıcılığın kaçınılmaz kalacağını savunuyor.

Doğrulanmış arayan kimliği için yeni bir güven katmanı

WeDDa çerçevesi, uygulama veya uç kullanıcı cihazlarına güvenmek yerine ağın içinde zorunlu bir güven katmanı eklemeyi öneriyor. Temel fikir, iletişim kimlikleri için doğrulanmış bir “ad alanı” oluşturmak ve aramaların ve mesajların ağa giriş yaptığı ağ geçidinde kriptografik kanıt talep etmek. Kuruluşlar önce insan tarafından okunabilir açık etiketler (ör. Bank_Alerts_City) kullanarak kimliklerini Doğrulanmış İletişim Yetkilisine kaydediyor. Bu yetki, belirli numara aralıklarına ve ağ operatörlerine sıkı şekilde bağlı dijital anahtarlar veriyor. Bir arama veya mesaj gönderildiğinde, gönderen ağ geçidi bu anahtarlarla imzalıyor; alan ağ geçidi ise imzayı güvenli bir kayıt defteriyle kontrol ederek iletilip iletilmeyeceğine karar veriyor.

WeDDa pratikte nasıl çalışır

Bunu pratik hale getirmek için yazarlar dört ana yapı taşı tasarlıyor. Birincisi, onaylı kimlikleri, telefon numaralarını ve imzaları doğrulamak için gereken açık anahtarları saklayan ulusal bir kayıt defteri. İkincisi, telekom ve internet ağ geçitleri, korunan tüm trafiğe kriptografik kontroller uygulayarak geçerli kanıtı olmayanı engelliyor. Üçüncüsü, başarısız girişimleri ve kötüye kullanım desenlerini kaydeden özel veritabanları, soruşturmacılara ve makine öğrenimi sistemlerine saldırganların nasıl çalıştığına dair zengin delil sağlıyor. Son olarak, insan merkezli bir katman halkı bilgilendirme kampanyaları ve doğrulanmış numaraların şeffaf, aranabilir listelerini içeriyor; böylece insanlar hangi adlara güvenebileceklerini görebiliyor. Kritik olan, tüm bunların kullanıcıların telefonlarını değiştirmeye gerek kalmadan ağ düzeyinde eklenebilmesi.

Figure 2
Şekil 2.

Büyük ölçekli simülasyonlardan elde edilen kanıtlar

Canlı bir ulusal telefon sistemini baştan aşağı değiştirmek zor olduğundan, ekip Mısır’ın telekomünikasyon altyapısını modelleyen yüksek doğruluklu laboratuvar simülasyonları kurdu. Geleneksel SS7 ve internet tabanlı VoIP sistemleri üzerinden 200.000 test araması ürettiler ve gerçek trafiği birkaç tür sahtecilik saldırısıyla karıştırdılar. Kontrollü koşullar altında, sahte arayan kimliğine dayanan her sahte arama engellendi; meşru şekilde imzalanmış tüm aramaların geçmesine izin verildi ve ek işlem gecikmesi insanın fark edemeyeceği mikrosaniye düzeyinde kaldı. Yazarlar gerçek ağların daha karmaşık ve saldırganların daha yaratıcı olduğunu vurguluyor, ancak bu deneyler kriptografik kapı bekçiliğinin ilke olarak kimlik sahtekarlığını kaynağında durdurabileceğini gösteriyor.

Sınırlar, zorluklar ve nelerin gerekli olduğu

WeDDa tüm dolandırıcılıkların üstesinden gelecek sihirli bir kalkan değildir. Gerçek ama ele geçirilmiş numaralarla yapılan dolandırıcılıkları durduramaz, aramaların içeriğini okuyamaz veya manipülatif konuşma metinlerini tespit edemez. Ayrıca yönetişime güçlü şekilde bağımlıdır: ülkelerin güvenilir otoriteler kurması, sınırlar ötesinde koordinasyon sağlaması ve operatörleri sistemi benimsemeye ikna etmesi veya zorlaması gerekecek. Eski ağlar donanım yükseltmeleri gerektirebilir ve eksik benimseme, saldırganların sömürebileceği zayıf noktalar bırakır. Bu nedenle yazarlar, WeDDa’yı eğitim, uygulama düzeyi korumalar ve çevrimiçi platformlar için güçlü politikaları da içeren daha geniş bir 'derin savunma' stratejisinin temel bir katmanı olarak görüyor.

Günlük kullanıcılar için bunun anlamı

Sıradan insanlar için WeDDa’nın arkasındaki vizyon basit: telefonunuz bir aramanın bankanızdan geldiğini söylediğinde, telefon çalmadan önce ağ bu kimliği kanıtlayan kriptografik bir pasaportu zaten kontrol etmiş olacak. Böyle bir dünyada sahte arayan kimliklerine dayanan smishing ve vishing saldırıları gerçekleştirmeyi çok daha zor ve maliyetli hale gelecektir. Bu taslağı gerçeğe dönüştürmek yıllarca teknik çalışma ve uluslararası koordinasyon gerektirse de çalışma, güvenin sonradan yamalanmak yerine tasarım gereği inşa edildiği telefon ağlarına doğru açık bir yol sunuyor.

Atıf: Salem, M.F.M., Hamad, E.K.I. & El-Bendary, M.A.M. The WeDDa framework for preventing smishing and vishing using protocol agnostic cryptographic trust. Sci Rep 16, 7949 (2026). https://doi.org/10.1038/s41598-026-38539-y

Anahtar kelimeler: smishing, vishing, aranan numara kimliği sahtekarlığı, kriptografik doğrulama, telekomünikasyon güvenliği