Phishing ya da Türkçe adıyla “oltalama,” dolandırıcıların kendilerini güvenilir bir kaynak gibi göstererek hassas bilgi çalmaya yönelik gerçekleştirdikleri bir saldırı türüdür.
Genellikle e-posta, SMS veya sahte web siteleri aracılığıyla gerçekleşen oltalama saldırıları, teknolojinin gelişmesiyle birlikte dolandırıcıların elinde silaha dönüşmüştür.
Oltalama saldırısı, kullanıcıları kandırmak amacıyla kurumsal logoları, tanıdık isimleri ve güvenilir dil kullanımını taklit eden bir taktik üzerine kuruludur.
Kullanıcıların dikkatsizliği veya bilgi eksikliği, bu kurnaz saldırıların başarılı olmasına zemin hazırlar. Küçük bir dikkatsizlik, yılların birikimlerini tehlikeye atabilir.
Peki, her gün maruz kalma ihtimalimizin yüksek olduğu Phishing saldırısı nedir? Phishing saldırılarından nasıl korunabilirsiniz?
Tüm bu soruların yanıtlarını, yazımızın ilerleyen bölümlerinde detaylı bir şekilde bulacaksınız.
İçindekiler
Phishing (Oltalama) Nedir?
Phishing, genellikle kişilerin özel şifreleri, banka hesapları veya kredi kartı bilgilerini çalmak için kullanılan online dolandırıcılık yöntemidir. Dolandırıcılar sahte e-postalarla, resmi bir kurumdan geldi gibi göstererek veya gerçek bir e-posta gibi hazırlanan iletilerle kullanıcıları kandırmaya çalışırlar.
Bu e-postalar aracılığıyla insanlar, sahte sitelere yönlendirilip şifrelerini vererek tuzağa düşürülmektedir.
Dolandırıcılar sadece e-posta yoluyla değil, aynı zamanda sosyal mühendislik taktikleri kullanarak da saldırılarını gerçekleştiriyor.
Mağdurları kandırmak için duygusal açıdan etkileyici senaryolar, phishing saldırılarında sıkça kullanılıyor. Örneğin, banka hesaplarından gelen acil bir güvenlik uyarısı veya önemli bir iş görüşmesine davet eden bir e-posta gibi.
Amaç mağdurları bir bağlantıya tıklamaya, bir dosyayı indirmeye veya kişisel bilgilerini ifşa etmeye ikna etmektir.
Aşağıdaki görselde, phishing saldırılarında gerçekleşen örneklerden birini görebilirsiniz.
Mevcut örnekteki phishing saldırısı, kullanıcıya gerçek dışı bir güvenlik sorunu hakkında bilgi vererek onu telaşa düşürmeyi amaçlar.
Mesaj, hesabın kapatılacağına dair bir senaryo çizer ve bu durumun ciddi sonuçlar doğuracağını vurgular.
Kullanıcının finansal kayıplarla karşılaşabileceği, kişisel verilerini kaybedebileceği ve hesabının kalıcı olarak kapatılabileceği korkusu oluşturularak kullanıcı üzerinde baskı kurmak hedeflenir.
Phishing saldırılarında sıkça rastlanan “acil,” “ödeme,” “doğrulama” gibi kelimeler, dolandırıcıların kullanıcıları manipüle etme stratejilerinin bir parçasıdır.
Mağdurlar üzerinde baskı yaratılarak hızlı ve düşünmeden tepki vermeleri beklenir.
Phishing saldırılarının günümüzde en büyük risklerden biri olmasının temel nedeni, saldırıların artan bir şekilde hedef odaklı ve kişiselleştirilmiş olmasıdır.
Saldırganlar özellikle kurbanlarını ”size miras kaldı” veya ”para kazandınız” gibi yalanlarla kandırmayı amaçlıyor.
Özellikle kurumsal dünyada, çalışanların bu tür saldırılara karşı eğitilmesi ve bilinçlendirilmesi büyük bir önem taşıyor.
Sahte e-postaların nasıl tanınacağı, şüpheli bağlantıların nasıl kontrol edileceği ve güvenli internet alışkanlıklarının nasıl geliştirileceği konusunda yapılan eğitimler, phishing saldırılarından korunmak için iyi bir önlem olabilir.
Şimdi, phishing saldırılarında kullanılan en yaygın yöntemler nelermiş, beraber inceleyelim.
Phishing (Oltalama) Saldırılarında Kullanılan Yöntemler Nelerdir?
Phishing saldırılarında dolandırıcılar, mağdurları kandırmak için her türlü sinsi yöntemi kullanabiliyor. En küçük bir dikkatsizlik, geri dönülemeyen finansal kayıplara yol açabiliyor.
Phishing saldırıları, finansal kayıpların yanı sıra hukuki sorunlara da sebep olabilir.
Phishing saldırısında kullanılan yöntemler şu şekildedir:
- Sahte E-postalar: Kullanıcıları etkilemek amacıyla gerçek kuruluşlardan geldiği izlenimi veren sahte e-postalar kullanılır. Kullanıcılar sahte sitelere yönlendirilerek kişisel bilgilerini paylaşmaya teşvik edilir.
- Yarışma Dolandırıcılığı: Kullanıcılara çeşitli ödüller kazandıkları söylenerek sahte yarışma e-postaları gönderilir. Kullanıcılar, ödül kazandıklarını düşünerek dolandırıcıların istediği bilgileri paylaşırlar.
- Bilgi Güncelleme Talepleri: Kullanıcılara daha iyi hizmet sunabilmek adına bilgi güncellemesi gerektiği bahanesiyle sahte e-postalar gönderilir. Bu e-postalarda kullanıcılardan kişisel bilgilerini güncellemeleri istenir.
- Para Tahsilatı İçin Sahte Bilgi Güncellemesi: Dolandırıcılar, sahte banka e-postaları aracılığıyla kullanıcılara cep telefonu ile para transferi yapıldığı izlenimini yaratırlar. Para tahsilatı için sahte bilgi güncellemesi talep edilir.
Phishing (Oltalama) saldırıları genellikle birkaç aşamada gerçekleşir. İlk aşamada saldırganlar gerçek bir kurum gibi görünen sahte web sayfaları oluşturarak kullanıcıları aldatmaya çalışırlar.
İkinci aşamada e-posta aracılığıyla gerçek kurum izlenimi veren mesajlar gönderilir ve bu e-postalarda kullanıcılar bilgilerini girmeleri için aldatıcı bağlantılara yönlendirilir.
Bu aşamada sıkça rastlanan senaryo, kurumun veri tabanında yaşanan hayali bir problem nedeniyle kullanıcı bilgilerinin silindiği ve bu nedenle bilgilerin tekrar girilmesi gerektiği yalanını içerir.
Gelen e-postayı inandırıcı bulan ve içerdikleri bağlantıyı açan kişiler, bilgilerini saldırganların eline geçirir.
Saldırının üçüncü ve son aşamasında ise, elde edilen bilgilerle kişilerin kredi kartları yasa dışı yollarla kullanılır veya banka hesapları adeta soyulur.
Bir başka yöntemde ise e-posta kutunuza düşen link aracılığıyla, adı geçen bir bankanın resmi sitesine benzeyen fakat gerçekte sahte olan bir siteye yönlendirilebilirsiniz.
Bu sahte site, detaylı bir şekilde kurgulanmış, orijinaliyle neredeyse birebir aynı arayüzü ve bilgileri içerir.
Siteye girdiğinizde telefon numaralarınızdan tutun da müşteri numaranıza, kart numaranızdan parolanıza kadar pek çok önemli bilgiyi farkında olmadan dolandırıcılara kaptırabilirsiniz.
Dolandırıcılar, kişisel ve finansal bilgileri ele geçirerek bu bilgileri kötüye kullanabilir ve mağdurları zor durumda bırakabilir.
Peki, oltalama saldırılarından nasıl korunabiliriz? Phishing saldırılarından korunma yöntemleri nelerdir? Detaylıca inceleyelim.
Phishing (Oltalama) Saldırılarından Korunma Yöntemleri Nelerdir?
Phishing (oltalama) saldırılarından korunmanın yolları sadece teknik önlemler almaktan daha fazlasını gerektiriyor.
Bilinçli olmak, beklenmedik durumları şüpheyle karşılamak ve alınan e-postaları detaylı şekilde incelemek güvenliğimizi arttırmanın ilk adımları olacaktır.
Phishing saldırılarından korunmanın yollarını şu şekilde sıralayabiliriz:
- Beklenmedik bir e-posta aldığınızda durumdan şüphelenmeli ve içeriği dikkatlice incelemelisiniz.
- Tanımadığınız kişilerden veya şüpheli e-postalardan gelen linklere tıklamaktan kaçının.
- Banka veya kredi kartı bilgilerinizi içeren herhangi bir e-postayı göndermemeli ve bu tür bilgileri paylaşmamalısınız. Finans kuruluşları böyle bilgileri e-posta yoluyla istemez.
- E-posta hesabınızdaki spam filtrelerini etkinleştirmek, istenmeyen e-postaların engellenmesine yardımcı olabilir. Ancak, sadece filtrelere güvenmek yerine kendiniz de dikkatli bir şekilde inceleme yapmalısınız.
- Sosyal medya mesaj kutunuz da saldırganların hedefi olabilir. Tanımadığınız kişilerden gelen şüpheli mesajları açmamalı ve güvenmediğiniz bağlantılara tıklamamalısınız.
- Kafeler veya havalimanları gibi herkese açık ağlardan finansal işlemler veya diğer hassas bilgileri kullanmaktan kaçının. Bu tür ağlar güvenli olmayabilir.
- Sosyal medya hesaplarınızda ve diğer önemli platformlarda iki faktörlü kimlik doğrulama kullanmak, hesap güvenliğinizi artırabilir.
- Bilinmeyen kaynaklardan veya güvenilir olmayan sitelerden uygulama indirmekten kaçının.
- Kullandığınız şifrelerin güçlü ve farklı olmasına dikkat edin. Aynı şifreyi birden fazla hesapta kullanmaktan kaçının.
- Size gönderilen bir e-postadaki linklere tıklamadan önce dikkatlice inceleyin. İmla hataları veya tuhaf URL’ler, sahte bir siteye yönlendirilmek istendiğinizi gösterebilir.
Yukarıda bahsedilen yöntemlemlerle kişisel güvenliğinizi artırarak phishing saldırılarından korunabilirsiniz.