Phishing Nedir?
Kimlik avı (phishing) saldırıları, kötü niyetli aktörlerin bireyleri parolalar, kredi kartı numaraları veya kişisel kimlik bilgileri gibi hassas verileri çalmak için kandırmaya çalıştığı bir siber saldırı türüdür. Bu tür saldırılar genellikle alıcıları kötü amaçlı bağlantılara tıklamaya veya gizli bilgilerini vermeye kandırmak için bankalar veya devlet kurumları gibi meşru kaynaklardan geliyormuş gibi görünen sahte e-postalar veya mesajlar göndermeyi içerir. Kimlik avı saldırıları, günümüz dijital dünyasında oldukça yaygın ve ciddi sonuçlara yol açabilen bir tehdittir.
Kimlik Avı Saldırılarından Korunmanın Önemi
Bireylerin kimlik avı taktikleri konusunda bilgi sahibi olmaları, kendilerini ve hassas bilgilerini korumak için önemlidir. Şüpheli e-postaları veya kişisel bilgi taleplerini tanıyarak phishing saldırılarının kurbanı olmaktan kaçınabilirler. Ayrıca, saldırı türleri ve teknikleri hakkında bilgi sahibi olmak ve güvenlik önlemlerini güncel tutmak, siber suçluların kötü niyetli planlarını bozmaya yardımcı olabilir.
Oltalama Teknikleri
Spear phishing, bireylere kişiselleştirilmiş ve ikna edici mesajlarla saldıran siber suçluların tercih ettiği bir yöntemdir. Balina avı ise CEO'lar veya hükümet yetkilileri gibi yüksek profilli kişileri hedef alır. Vishing ise sesli iletişim yoluyla bireyleri kandırmayı amaçlar. Bu çeşitli phishing saldırıları türlerini tanıyarak, bireyler kendilerini daha iyi koruyabilirler.
Kimlik Avı Saldırı Türleri
Email Phishing, ilk başlarda sadece e-posta yoluyla yapılan bir dolandırıcılık türüydü. Dolandırıcılar, insanları çevrimiçi olarak kendi hileleriyle kandırmak için e-posta gönderiyorlar. FBI, diğer dolandırıcılık türlerine kıyasla bu suçla ilgili daha fazla rapor aldığını belirtiyor. Günlük olarak yaklaşık 3,4 milyar e-posta gönderilerek bu tür dolandırıcılığın yaygınlığına dikkat çekiliyor.
Uzun zaman önce, çoğu dolandırıcılık e-postasını tespit etmek kolaydı. E-postanın sahte olduğu açıktı çünkü kötü yazılmıştı ve garip kelimeler kullanıyordu. Ancak ChatGPT gibi yaratıcı yapay zekalar ortaya çıktığından beri işler değişti. Bu tür yapay zekalar, İngilizce bilmeyen bilgisayar korsanlarının herkesi kandırabilecek e-postaları hızla yazmalarına yardımcı oluyor.
Bir e-postanın gerçek olup olmadığını öğrenmek istiyorsanız, ona yanıt vermeyin; bunun yerine doğrudan şirketi arayın. Ayrıca, bir e-postanın gerçek olup olmadığından emin değilseniz hiçbir bağlantıya tıklamayın veya dosya eki varsa indirmeyin, açmayın.
Smishing
SMS mesajları genellikle tanıdığımız kişiler, arkadaşlar, aile ve işletmeler tarafından gönderilir, bu nedenle çoğu kişi bunları aldıktan sonraki beş dakika içinde kontrol eder.
Smishing, e-posta kimlik avıyla benzer bir taktiktir, ancak bir e-posta yerine sahte bir SMS mesajı alırsınız. Muhtemelen sipariş vermemiş olmanıza rağmen bir e-ticaret mağazasından bir paketin geldiğini söyleyen bir metin mesajı alabilirsiniz. Ayrıca, yanlış numaraya sahip olduğunu ancak yine de sizinle konuşmak istediğini söyleyen bir yabancıdan bir SMS mesajı da almış olabilirsiniz. Gördüğünüz gibi, her ikisi de hırsızların sizi bir yazılıma tıklamaya veya onlara para vermeye ikna etme girişimleridir.
“Sahte e-posta mesajları” gibi smishing saldırıları daha yaygın hale geliyor. Bu tür saldırılarda, saldırgan sizden bir şeye (genellikle sahte bir kripto para borsası) yatırım yapmanızı ve ardından paranızı almasını sağlamadan önce kendisine güvenmenizi sağlar.
Phishing saldırı türleri arasında Smishing taktiğinden korunmak için gelen SMS’in içinde bulunan linke tıklamamanız önemlidir. Bu tanıdık birinden gelen bir mesaj olsa bile.
Angler Phishing
Sosyal medyada herkesin görebileceği birçok şey paylaşılır. Dolandırıcılar sizin için çok özel olan bu bilgileri kullanarak çok profesyonel Phishing taktikleri geliştirebilirler.
Birisi sosyal medyanızda gizlice dolaşarak neleri takip ettiğinizi, ne hakkında sıklıkla paylaşım yaptığınızı, neyi önemsediğinizi araştırabilir. Daha sonra, sizinle ilgi alanlarınıza uygun bir işletmenin müşteri hizmetleri temsilcisi gibi iletişim kurarlar. Hesabınıza girmek için kullanabilecekleri şifrenizi veya diğer bilgilerinizi almak için sizden özel bilgiler isterler, kötü bir bağlantı veya sahte bir web sitesine bağlantı gönderirler.
Angler Phishing’den korunmak için sosyal medyada tanımadığınız kişilerden gelen mesajları görmezden gelmenizi ve mümkünse engellemenizi tavsiye ederim.
Vishing
Yakın zamanda, İnternet Servis Sağlayıcısı olduğunu iddia eden bir şirket tarafından arandığınız mı? İnternetinizin yavaş olduğunu ve bu durumu düzeltmek için aradıklarını söyleyebilirler. Ya da cep telefonu taahhüdünüzün bitmek üzere olduğunu ve tarifenizi yenilemeniz için aradıklarını söyleyenler?
Bu vishing saldırısı, bir sosyal mühendislik saldırısının başarılı olması için gereken tüm temel bileşenleri içeriyor. Çok kısa zamanınız olduğunu ya da bu şanstan sadece bugün yararlanabileceğinizi söyleyerek, onlara hassas bilgilerinizi vermeniz için korkuturlar.
Vishing saldırısından kaçınmak için yapabileceğiniz en iyi şey, karşı tarafa teşekkür edip telefonu kapamak olacaktır. Daha sonrasında aradıkları konu ne ise siz bunu kontrol edip, gerekliyse resmi çağrı merkezini sizin aramanız iyi bir seçenek olacaktır.
Spear Phishing
Hiç tanımadıkları insanların paralarını gasp etmek ya da kişisel verilerini ele geçirerek bankacılık hesaplarına ulaşmak için günde milyarlarca sahte e-posta mesajı gönderiliyor. Bu maillerin çoğu çok kurumsal firmalardan geliyormuş gibi tasarlanarak toplu halde gönderiliyor. Yani bunun anlamı size özel değil ama sizin de dikkatinizi çekebilecek içeriklerden oluşması.
Phishing saldırı türleri arasında Spear Phishing, sizi özel olarak hedef aldığı için en tehlikeli gruba girebilir. Aldığınız bir e-postanın adınızı kullandığını ve hassas bilgiler içerdiğini düşünün. Doğal olarak, onu açmaya çok daha meyilli olursunuz.
Hedefli kimlik avı saldırıları ortalama bir kişi üzerinde kullanılmaz; bunun yerine, bilgisayar korsanının yüksek değerde olduğunu düşündüğü kişilere ayrılmıştır. Bir bilgisayar korsanı, son derece kişiselleştirilmiş kötü amaçlı bir e-posta oluşturmak için hedefi hakkında bilgi toplamak için zaman ve para harcayabilir.
Phishing saldırı çeşitlerinden biri, şirket yöneticileri ve CEO’lar gibi daha da yüksek değerdeki hedefler için kullanılan “balina avı”dır.
Watering Hole
Watering Hole saldırısı, güvenilir ve bilinen bir web sitesinin ele geçirilmesi ile gerçekleştirilir. Saldırganlar bir web sitesini ele geçirebilir veya bir güvenlik açığı bulup kullanıcıları sahte bir web sitesine yönlendiren HTML veya JavaScript kodu enjekte edebilir. Kullanıcılar güvendikleri web sitesinin bağlantıları açıkça tıklama ve kredi kartı bilgileri, sosyal güvenlik numaraları ve oturum açma kimlik bilgileri gibi bilgileri sağlama olasılıkları daha yüksektir.
Website Spoofing
Hiç Trendyol.com sitesine girmeye çalışırken yanlışlıkla Trentyol.com yazdınız mı? Trendyol’a benzeyen ve Trendyol gibi hissettiren bir web sitesine ulaşmanıza rağmen, aslında dolandırıcıların sahibi olduğu ve işlettiği bir taklit web sitesidir. Typosquatting olarak bilinen bir işlemde, suçlular popüler web sitelerine benzer alan adları satın alırlar. Bu web sitelerini benzer gösterirler, ancak tamamen hassas bilgilerinizi toplamak için tasarlanmıştır.
Buna benzer olarak en sık gerçekleştirilen taktiklerden biri de Google Reklamlarını kullanarak yapılan saldırılardır. İnternette bir ürün ya da hizmet için arama yaptığınızda, arama sonuçlarının en üstünde Sponsor linklerden oluşan web siteleri karşınıza çıkar. Örneğin, ‘İzmir iPhone Yetkili Servisi’ araması yaparsanız, arama sonuçlarında çıkan web sitelerinin ‘Resmi Yetkili’ olduğunu sanarak bu linklere tıklayabilirsiniz.
