Phishing (Oltalama) Saldırısı Nedir?

Dolandırıcıların internet kullanıcılarının hesaplarına rastgele e-mail gönderdikleri Pshishing, çevrimiçi bir saldırı türüdür. Yemleme veya oltalama ismiyle de bilinir. İnternet tarihinin en etkili ve en eski saldırı türlerinden biridir. E-postalar, internet hizmeti sağlayıcısından, kredi kartı şirketinden, kullanıcının bankasından ve bilinen web sitelerinden gönderilmiş gibi gözükür. Genellikle kredi kartı numarası ve şifre gibi özel bilgiler sorularak hesaplar dolandırıcılar tarafından güncellenir.

E-postaya gelen mail açıldığında kullanıcıları başka bir web sitesine yönlendirecek URL bağlantısı yer alır. Bu yönlendirilen site ya değiştirilmiş ya da sahte bir web sitesidir. Kullanıcılar bu siteye ulaştıklarında phishing saldırısı yapan kişiye iletilecek kart bilgilerini, şifrelerini girmeleri istenir. Phishing, genel olarak herhangi bir kişinin kredi kartı ve şifre bilgilerini öğrenmek amacı ile kullanılır. Sahte hesaplara yönlendirilen mailler sayesinde dolandırıcılar istedikleri bilgilere ulaşabilir. 

E-maillerle birlikte bazen virüslü dosyalar da gönderilebilir. Bu virüslü dosyanın çalıştırılması ile birlikte saldırganlar tarafından kullanıcıların bilgisayarları ele geçirilebilir. Phishing saldırıları için sosyal paylaşım siteleri, bankalar, online oyunlar, e-posta servisleri gibi sahte web sayfaları hazırlanır. Kullanıcıların dikkatini çekecek; indirim, hediye, ücretsiz tatil, maaş zammı, para ödülü gibi cezbedici sahte iletiler e-posta adreslerine gönderilir.

E-posta mesajındaki ve sahte sitedeki talebe göre kart numarası, kimlik bilgileri ve şifre istenir. Kullanıcılar sahte sitedeki ve e-postadaki talepleri dikkate alırlarsa bilgileri çalınır. Tam anlamıyla aldatmacadır. Phishing saldırısı yapan kişi bir ‘’yem’’ hazırlar ve ‘’balıkların’’ bu yeme takılmasını bekler. Çok büyük maddi kayıpların yaşanmaması için bu tür sahtekarlıklar karşısında bilinçli olmak gerekir. Yetkisiz satın almalar, kimlik hırsızlığı veya fonların çalınması gibi yıkıcı sonuçlar doğurabilir. 

Kimlik avı genellikle, daha büyük bir saldırının parçası olmak için devlet ya da kurumsal ağlarda yer edinmek için kullanılır. Kapalı ortamlarda kötü amaçlı yazılım dağıtılması, güvenli verilere ayrıcalıklı erişim elde edilmesi ve kapalı ortamlarda kötü amaçlı yazılım dağıtılması için çalışanların güvenliği ihlal edilebilir. Eğer bir pazar yeri, tüketici ve kuruluş saldırıya yenik düşerse, çok ciddi mali kayıplar yaşayabilir. Saldırıya uğrayan kuruluşun saldırının kapsamına bağlı olarak kurtulmanın zor olacağı güvenlik olayına dönüşebilir.

Oltalama (Phishing) Saldırılarının Önemi

İnternet kullanımının yaygınlaşması ile bireysel kullanıcılar ya da kurum çalışanları daha fazla çevrimiçi olarak hizmetlere veya ürünlere erişimde interneti kullanır. İnternet kullanımının artmasıyla birlikte bankacılık işlemleriniz, alışverişleriniz, kurum içi iletişimleriniz, finansal işlemleriniz ve daha pek çok kritik veri yaygın olarak internet üzerinde kullanılmaya başlanmıştır. Kullanıcıların internete hızla yönelmesi siber saldırıların bakış açılarını hedefli saldırılara dönüştürmesine sebep olmuştur. Siber saldırganlar bilinçsiz kullanıcıları hedef alarak phishing yöntemleriyle büyük zararlara sebep olabilirler.

Phishing saldırıları hem mühendislik, hem teknik hem de sosyal altyapı kullanılarak gerçekleştirilen bir suçtur. Yaygın olarak e-posta yoluyla saldırılar gerçekleştirilirken günümüzde sosyal ağların aktif olarak pek çok kullanıcı tarafından tercih edilmesi sebebi ile evrim geçirmiştir. Bu sayede çok daha büyük kitlelere ulaşarak virüs worm gibi zararlı kodların yayılmasını sağlamıştır. Hedefli olarak yapılan phishing saldırıları büyük bir başarı oranına sahiptir. Başarı oranının yüksek olması çok sık kullanılmasının ilk sebepleri arasında sayılabilir. Spear phishing saldırıları sosyal mühendislik saldırıları ile birlikte gerçekleştirilirse maalesef siber saldırganların elinde siber bir silah olur. Siber silah, kurumları tehlikeli ve korunması zor bir noktaya getirmekte ve tehdit etmektedir. 

Phishing Saldırılarıyla Nelerin Çalınması Amaçlanıyor?

Phishing yöntemini kullanan saldırganlar genellikle kullanıcıların aşağıdaki bilgilerine ulaşarak saldırılarını gerçekleştirmeyi hedeflemektedirler.

  • Kullanıcı şifreleri ve parolaları,
  • Kredi kartı numaraları,
  • Kullanıcı hesap numaraları, 
  • İnternet bankacılığında kullanılan kullanıcı kodu ve şifreleri ile kullanıcıları çok ciddi maddi kayıplara uğratabilirler.

Phishing Saldırıları Hangi Yollar ile Gerçekleştirilir?

Phishing saldırılarının hangi yollar ile gerçekleştirildiğini başlıklar halinde açıklayabiliriz:

E-Posta ile Phishing

Saldırganlar e-posta yöntemini uygularken farklı şekillerde aldatma yolu kullanabilirler. Saldırgan gönderdiği binlerce mesajla alıcılardan küçük bir kısmını dolandırsa bile hem önemli bilgilere erişmiş olur hem de ciddi meblağları çalabilir.

  • E-postanıza sürekli temas halinde olduğunuz bir kuruluştan gönderiliyormuş izlenimi verebilirler. Kullanıcıya şifresinin süresinin dolduğu ve web sitesine gitmesi gerektiği söylenir. Kullanıcı dolandırıcı tarafından daha önce hazırlanmış olan kuruluşun sahte sitesine girer. Sonraki adımda şifre istenir. Dolandırıcı, şifrenizi kullanarak sizin adınıza bağış toplama, para transferi, çok sayıda spam mesaj gönderme, reklam gönderme ve benzeri işleri kolay bir şekilde gerçekleştirebilir.
  • E-postanıza bir yarışma ile ilgili bir mail gelebilir. Yarışmaya katılmanız teklif edilir. Kullanıcıya ödül kazandığı ancak gerekli kişisel bilgileri girdiğiniz hediyenin size verileceği söylenir. Böyle bir durumda bilgilerini verirse tüm bilgileri dolandırıcıların eline geçer.
  • E-postada kullanıcıya bilgi güncellemesi yapması gerektiği söylenebilir. Kullanıcılardan kendilerine daha iyi hizmet sunabilmeleri için tüm bilgileri tekrar girmesi istenir. Kullanıcıya e-posta kotasının dolduğu ile ilgili bir mail iletilir. Kullanıcının bilgi güncellemelerini yapmaz ise hesabının kapatılacağı söylenir.

Spear Phishing Nedir?

Hedefli oltalama saldırıları olarak adlandırılabilir. Siber korsanlar seçtikleri kullanıcıların kimlik bilgileri, banka hesapları, finansal verileri gibi kritik verileri çalmayı hedefler. Bir kişi ya da kurum hedef alınabileceği gibi rastgele kurban da seçilebilir. Phishing saldırısı yapanlar hedefteki kullanıcıya göre özelleştirilme yapabilir. Bu saldırı yöntemi sayesinde bir kuruluşun kimlik ve hesap gibi bilgilerin dışında gizli bilgiler ve ticari sırlar elde edilebilir. İnternet dünyasındaki phishing saldırılarında dünyanın en önemli kurumlarının bile bu saldırılara yenik düşebildiği görülmektedir. 

Vishing Nedir?

Vishing, telefon kullanılarak gerçekleştirilen phishing saldırılarına verilen isimdir. Hedef net olarak belirlendikten sonra, direkt olarak dolandırılacak kişiye ulaşılır. Telefon ile yapılan vishing tekniğinde duygusal tetikleyiciler kullanılır. Telefon ile aranılan kişiye işin acil olduğu aksi takdirde veri kaybı olması, çalışan bir servisin durması gibi ciddi zararlar yaşayabileceği anlatılarak kişi korkutulur. Kişinin merak duygusu tetiklenir. Saldırganlara güvenmesi sağlanır. Ne yazık ki bununla ilgili phishing kitleri yapılmaya ve Deep Web adlı illegal İnternet dünyasında satılmaktadır.

Phishing Saldırılarından Nasıl Korunabiliriz?

Kendinizi ya da kurumunuzu kullanıcı eğitimleriyle phishing saldırılarından koruyabilirsiniz. Kurum içi eğitimler tüm çalışanları içermelidir. Çalışanlara phishing e-postasını aldıklarında ne yapacaklarının ve e-postayı nasıl ayırt edeceklerinin anlatılması gerekir. Simülasyon alıştırmaları ile aşamalı olarak phishing saldırısına çalışanların tepki verme şekilleri değerlendirilebilir. Aşağıdaki maddeler size gelen bir e-postanın phishing girişimi olup olmadığını anlamanıza destek olabilir.

  • ”Merhaba X bankası müşterisi” gibi cümleler ile başlayan iletiler,
  • Kişisel bilgilerinizi talep eden e-postalar,
  • Bir bağlantı göndererek, o bağlantıya tıklayıp bilgi güncellemesi isteyen e-postalar,
  • Acil olarak cevap vermenizin yazılı olduğu e-postalar.

Sahte bağlantı içeren e-postalar, açtığınızda ya da cevap verdiğinizde sizi ciddi sıkıntıya sokabilir. Bir bağlantının doğru olup olmadığını öğrenmek için tıklamaya kalkmamalısınız. Bağlantı ismine bakmanız ve ayrıca HTTPS ile başlayan URL’ler olmasına dikkat etmeniz gerekir. Phishing saldırısından korunmak için e-posta ve diğer bilgileriniz için farklı şifreler oluşturmak güvenlidir. Şifrelerde doğum tarihi, önemli gün gibi tarihler yerine tahmin edilemeyecek şifreler tercih edilir.

Hiçbir kurum ya da kuruluş kişisel bilgilerinizi e-posta yolu ile istemeyeceği için maile yanıt vermemelisiniz. E-postanın kimden geldiğini bilmiyorsanız dikkate almamalısınız. Kaynağı belirsiz ve yasal olmayan yazılımları yüklememeli ve çalıştırmamalısınız. Antivirüs ve antispyware gibi virüs programları kullanmalısınız. Güvenli sitelerde bile bilgi paylaşırken sitenin üçüncü kişiler ile gizlilik sözleşmesi olup olmadığını kontrol etmelisiniz.

0 Shares:
Bu İçerikler İlginizi Çekebilir