Günümüz siber suç saldırıları arasında yer alan phishing yani kimlik avı saldırıları, bilgisayar korsanlarının veri çalmak, bilgisayarlara erişmek ve şirketlerin ağlarına sızmak için kullandıkları karanlık mühendislik uygulamalarından biridir. E-posta manipülasyonu, içerik yerleştirme, bağlantı hileleri, sahte web siteleri, yetkili oturum ihlali, kötü niyetli reklamlar ve ortadaki adam taktikleri, yaygın kimlik avı yöntemleri arasındadır.
Kimlik Avı Nedir?
Kimlik avı, gizli kişisel veya kurumsal bilgileri çalmaya yönelik saldırıları ifade eder. Saldırı girişimleri sırasında, kullanıcıların gizli bilgilerine ulaşmak için aldatıcı e-posta’lar, web sitesi bağlantıları ve metin mesajları yaygın olarak kullanılılır. Kimlik avı saldırılarında mağdurlar; ad, soyad, anne kızlık soyadı, adres, telefon, şifre, vergi numarası, hesap numarası, kredi kartı bilgileri gibi önemli verileri elde etmek için aldatılır. Suçlular bu kişisel bilgileri kullanarak saldırıya maruz kalan kişi ve kurumların bilgileri ile kredi kartı başvurusunda bulunabilir, mobil hat satın alabilir, şirket kurabilir veya benzeri dolandırıcılık faaliyetlerinde bulunabilir.
Kimlik Avı Saldırısı Nasıl Çalışır?
Suçlular, çeşitli platformlarda oltalama taktiklerini deneyerek, e-posta ve web sitesi gibi kullanıcıların en çok tercih ettiği günlük uygulamaların arkasına dikkatlice saklandıkları için istediklerini kolayca elde edebilir. Örneğin sahtekarlar, bir bankanın resmi web sitesi olan “gbankasi.com” yerine alt alan adı ile “gbankasi.x.com” e-posta adresinize sahte bir bağlantı gönderebilir ve bu sahte adrese girmenizi sağlayabilir. Web sitesi arayüzü, temel veriler ve hizmet akışı kopyalandığı için kullanıcılar telefon numarası, müşteri kimliği ve şifre gibi kritik bilgilerini ne yaptıklarının farkında olmadan paylaşabilirler. Kimlik avcıları, kişisel veya kurumsal bilgilere erişerek, anında işlem yapabilir ve hesaplarınıza erişebilir.
Kimlik Avı Saldırıları Nasıl Tanımlanır?
Kimlik avı kurbanı olmaktan kaçınmanın ilk adımı, işaretleri tanımaktır. Kimlik avı e-posta’sını anlayabileceğiniz en yaygın işaretler aşağıdaki şekildedir:
- Yanlış, belirsiz, alışılmadık derecede uzun veya şüpheli görünen bir gönderen adresi.
- Kişisel veya ticari bilgi talebi iletmenizi içeren bir metin.
- Görünüşte resmi kurumlardan geliyor gibi görünen kişisel bilgi talepleri (Meşru finans ve devlet kurumlarının bunu asla yapmayacağını unutmayın).
- Korku, tehdit, aciliyet duygusu yaratan veya gerçek olamayacak kadar iyi bir teklifle gelen herhangi bir mesaj.
- Konu metninde, ”Acil!” gibi kelimeler içeren herhangi bir mesaj.
- Garip veya beklenmedik bir konu, yanlış dil bilgisi, noktalama hataları, yazım yanlışları vb. içeren herhangi bir ileti.
- Kişisel bilgi (adres, telefon numarası, kişisel e-posta takma adı) isteyen ve güvenilir kişilerden (arkadaşlar, iş arkadaşları, şirket yöneticileri) gelen mesajlar.
- Yanlış yazılmış adlar veya yedek karakterler içeren gömülü URL’ler (örneğin, amazon.com yerine arnazon.com m harfi gibi).
- Kullanıcıları genellikle kimlik avı web sitelerine yönlendiren kısaltılmış URL’ler.
- Alışılmadık veya olası olmayan bir alıcı grubuna gönderilen mesajlar.
- Garip ifadelerin yer aldığı ve belirli olmayan selamlama içeren mesajlar.
Kimlik Avı Saldırısı Türleri Nelerdir?
Kimlik avı, 1987’de ilk kez tanımlandığından beri, güvenlik açıklarından yararlanmanın en yaygın yollarını bulmaya devam ediyor.
Peki nedir bu en yaygın yollar?
Aşağıda, en yaygın kimlik avı türlerinin bir listesini bulabilirsiniz:
1. Standart E-posta Kimlik Avı
Muhtemelen en yaygın bilinen kimlik avı yöntemi olan bu saldırı, meşru bir kuruluştan geliyormuş gibi görünen bir e-posta yoluyla hassas bilgileri çalma girişimidir. Hedefli bir saldırı değildir ve toplu olarak gerçekleştirilebilir.
2. Kötü Amaçlı Yazılım Kimlik Avı
E-posta kimlik avı ile aynı teknikleri kullanan bu saldırı, hedefleri bir bağlantıya tıklamaya veya bir eki indirmeye teşvik eder. Böylece kötü amaçlı yazılım cihaza yüklenebilir. Şu anda oltalama saldırısının en yaygın biçimidir.
3. Hedefli Kimlik Avı
Çoğu kimlik avı saldırısı geniş bir ağı hedef almasına rağmen, hedefli kimlik avı, genellikle şirket yöneticilerine, kamu görevlilerine ve diğer kazançlı hedeflere odaklanan, yüksek düzeyde hedeflenmiş, iyi araştırılmış bir saldırıdır.
4. Smishing
SMS özellikli kimlik avı, akıllı telefon kullanıcılarına genellikle hesap bildirimleri, ödül bildirimleri ve siyasi mesajlarda gizlenen kötü niyetli kısa bağlantılar sunar.
5. Arama Motoru Kimlik Avı
Bu tür bir saldırıda, siber suçlular, kişisel bilgileri toplamak ve doğrudan ödeme almak için tasarlanmış dolandırıcılık amaçlı web siteleri kurar. Bu siteler, organik arama sonuçlarında veya popüler arama terimleri için ücretli reklamlarda görünebilir.
6. Vishing
Vishing veya sesli kimlik avı, teknik destekten, bir devlet kurumundan veya başka bir kuruluştan geldiğini iddia eden ve bankacılık veya kredi kartı bilgileri gibi kişisel bilgileri almaya çalışan kötü niyetli bir arayan içerir.
7. Pharming
DNS zehirlenmesi olarak da bilinen pharming, internetin alan adı sistemini (DNS) içeren teknik olarak karmaşık bir kimlik avı biçimidir. Pharming, meşru web trafiğini, genellikle değerli bilgileri çalmak için kullanıcının bilgisi olmadan sahte bir sayfaya yönlendirir.
8. Clone Phishing
Bu tür bir saldırıda, bilgisayar korsanı bir kişinin e-posta hesabını tehlikeye atar, meşru bir bağlantıyı, eki veya başka bir öğeyi kötü niyetli bir öğeyle değiştirerek mevcut bir e-posta’da değişiklik yapar ve virüsü yaymak için kişinin bağlantılarına gönderir.
9. Ortadaki Adam Saldırısı
Ortadaki adam saldırısı, iki şüpheli taraf arasındaki yazışmaları izleyen gizli bir dinleme içerir. Bu saldırılar genellikle kafelerde, alışveriş merkezlerinde ve diğer halka açık yerlerde sahte halka açık WiFi ağları oluşturarak gerçekleştirilir. Ortadaki adam katıldıktan sonra bilgi için kimlik avı yapabilir veya cihazlara kötü amaçlı yazılım gönderebilir.
10. BEC (Business Email Compromise)
İş e-posta güvenliği (BEC), bir saldırganın şirketi dolandırmak için bir işletmeyi hedef aldığı bir tür e-posta siber suç dolandırıcılığıdır. BEC dolandırıcılıkları, kuruluşları milyarlarca dolarlık potansiyel kayıplara maruz bıraktı. Bu taktiğin, 2019’daki siber suçlarla ilgili tüm iş kayıplarının neredeyse yarısına neden olduğu tahmin ediliyor.
11. Kötü Amaçlı Reklamcılık
Bu tür kimlik avı, içine kötü amaçlı kod yerleştirilmiş, normalde normal görünen reklamlar yayınlamak için dijital reklam yazılımı kullanır.
Kimlik Avı Nasıl Önlenir?
Kimlik avı dolandırıcılıklarını tespit etmek ve önlemek için aşağıdaki adımları uygulayabilirsiniz:
1. Kimlik avı dolandırıcılığının neye benzediğini öğrenin
Çevrimiçi olarak en son kimlik avı saldırıları ve bunların anahtar tanımlayıcıları hakkında sizi bilgilendirecek birçok site var. En son saldırı yöntemlerini ne kadar erken öğrenir ve bunları düzenli güvenlik farkındalığı eğitimleriyle kullanıcılarınızla paylaşırsanız, olası bir saldırıdan kaçınma olasılığınız o kadar artar.
2. Bağlantılara tıklamayın
Göndereni tanıyor olsanız bile, bir e-posta’daki veya anlık iletideki bir bağlantıya tıklamanız genellikle tavsiye edilmez. Bağlantı ile ilgili yapmanız gereken tek şey, hedefin doğru olup olmadığını görmek için bağlantının üzerine gelmektir. Bazı kimlik avı saldırıları oldukça karmaşıktır ve hedef URL, tuş vuruşlarını kaydetmek veya oturum açma/kredi kartı bilgilerini çalmak için ayarlanmış orijinal sitenin bir karbon kopyası gibi görünebilir. Bağlantıya tıklamak yerine doğrudan arama motorunuz aracılığıyla siteye gitmeniz mümkünse, bunu yapmalısınız.
3. Ücretsiz kimlik avı önleme eklentileri edinin
Günümüzde çoğu tarayıcı, kötü amaçlı bir web sitesinin işaretlerini tespit eden veya bilinen kimlik avı siteleri hakkında sizi uyaran eklentileri indirmenize olanak tanır. Bu eklentiler genellikle tamamen ücretsizdir, bu nedenle işletmenizdeki her cihaza bu eklentilerin yüklenmemesi için hiçbir neden yoktur.
4. Güvenli olmayan bir siteye bilgilerinizi vermeyin
Web sitesinin URL’si “https” ile başlamıyorsa veya URL’nin yanında kapalı bir asma kilit simgesi göremiyorsanız, hassas bilgilerinizi o siteye girmeyin veya o siteden dosya indirmeyin. Güvenlik sertifikası olmayan sitelerin hepsi kimlik avı dolandırıcılığına yönelik olmasa da, yine de dikkat etmenizde fayda var.
5. Şifreleri düzenli olarak değiştirin
Çevrimiçi hesaplarınız varsa, bir saldırganın sınırsız erişim elde etmesini önlemek için parolalarınızı düzenli olarak değiştirme alışkanlığı edinmelisiniz. Hesaplarınız sizin haberiniz olmadan ele geçirilmiş olabilir, bu nedenle parola değiştirme yoluyla bu ekstra koruma katmanının eklenmesi, devam eden saldırıları önleyebilir ve potansiyel saldırganları engelleyebilir.
6. Güncellemeleri görmezden gelmeyin
Çok sayıda güncelleme mesajı almak sinir bozucu olabilir. Bu yüzden bunları ertelemek veya tamamen yok saymak size cazip gelebilir, fakat bunu yapmamalısınız. Güvenlik yamaları ve güncellemeleri, çoğunlukla güvenlikte delikler açarak modern siber saldırı yöntemleriyle güncel kalmak için bir nedenden dolayı yayınlanır. Tarayıcınızı güncellemezseniz, kolayca önlenebilecek bilinen güvenlik açıkları yoluyla kimlik avı saldırıları riskiyle karşı karşıya kalabilirsiniz.
7. Güvenlik duvarları ile güvenliğinizi artırın
Güvenlik duvarları, bilgisayarınız ile saldırgan arasında bir kalkan görevi görerek harici saldırıları önlemenin etkili bir yoludur. Hem masaüstü güvenlik duvarları hem de ağ güvenlik duvarları birlikte kullanıldıklarında, güvenliğinizi artırabilir ve bir bilgisayar korsanının ortamınıza sızma olasılığını azaltabilir.
8. Açılır pencerelere kanmayın
Pop-up’lar sadece sizi rahatsız etmekle kalmaz, genellikle kimlik avı saldırılarının bir parçası olarak kötü amaçlı yazılımlara da bağlanır. Çoğu tarayıcı artık kötü amaçlı açılır pencerelerin çoğunu otomatik olarak engelleyecek ücretsiz reklam engelleyici yazılımı indirmenize ve yüklemenize izin verse de, yine de reklam engelleyiciden kaçmayı başaran bir reklamla karşılaşırsanız, asla tıklamayın.
9. Zorunlu olmadıkça önemli bilgileri vermeyin
Genel bir kural olarak, ziyaret ettiğiniz siteye %100 güvenmediğiniz sürece kart bilgilerinizi vermemelisiniz. Bilgilerinizi vermeniz gerekiyorsa, web sitesinin güvenilir ve şirketin gerçek olduğunu doğruladığınızdan emin olun.
Uzman Posta gibi profesyonel e-posta servis sağlayıcıları, sizi spam’den ve diğer saldırılardan korumak için gelişmiş e-posta güvenlik önlemlerine sahiptir. Bu önlemler arasında, güçlü parola ve erişim kontrol mekanizmalarına sahip e-posta sunucuları; şifreli e-posta mesajları, spam filtreleme yazılımı vb. birçok özellik vardır.
Siz de spam e-posta’lardan hiçbir zahmete girmeden kurtulmak istiyorsanız, profesyonel e-posta servisimizde bulunan paket fiyat ve özelliklerimizi detaylı incelemek için hemen tıklayın.
