Phishing (Oltalama Saldırısı) Nedir?
İnternette karşınıza çıkan indirim kuponu, kampanya, anket, promosyon… gönderilerine dikkat edin. Bu bir phishing (oltalama) saldırısı olabilir ve kişisel bilgileriniz kötü niyetli kişilerin eline geçebilir.
Phishing Taktikleri
- Sahte Web Siteleri: Saldırganlar, meşru sitelerin kopyalarını oluşturarak kullanıcıları bu sahte sitelere yönlendirir. Kullanıcılar, giriş bilgilerini veya diğer hassas verilerini bu sitelere girdiğinde bilgiler saldırganların eline geçer.
- Aciliyet Hissi Yaratma: Phishing mesajları genellikle bir aciliyet hissi yaratır. Örneğin, hesabınızın kapanacağını veya şüpheli bir işlemin yapıldığını belirterek kullanıcıyı hızlıca harekete geçmeye zorlar.
- Kimlik Avı: Kullanıcıların dikkatini çekmek için cazip teklifler veya ödüller sunulur. Kullanıcılar bu tekliflere tıklayarak veya bilgilerini girerek saldırganların tuzağına düşerler.
Phishing Türleri
Mail Üzerinden Phishing Saldırısı
Saldırganlar, kullanıcıları sahte e-postalar aracılığıyla yanıltır. Bu e-postalar genellikle güvenilir bir kurumdan geliyormuş gibi görünür ve kullanıcıdan hassas bilgiler veya tıklanacak bağlantılar ister.
Bankanızdan ya da herhangi bir üye olduğunuz hesaptan gönderilmiş gibi görünen “Hesabınız kısıtlandırılmıştır. Lütfen doğrulamak için şifrenizi gönderin.” benzeri bir maile şifrenizi ve kişisel bilgilerinizi göndermeyin.
Mail adresinize gelen her linke tıklamayın, saldırganlar aşağıdaki gibi bir kullanım ile sizi manipüle ediyor olabilir.
Orjinal Link: https://facebook.com
Sahte Link: https://faceb00k.com
Orjinal Link: https://twitter.com
Sahte Link: https://tvvitter.com
Orjinal Link: https://instagramm.com
Sahte Link: https://instagrann.com
Orjinal linke benzetilerek oluşturulan sahte linke tıkladığınızda asıl gitmek istediğiniz sayfa yerine bilgilerinizi karşı tarafa vermenize sebep olacak sayfaya gidebilirsiniz. Bu sayfalar arayüz tasarımı olarak orjinal sayfalarla birebir olarak phishing saldırısı için oluşturulmuş sayfalardır. Eğer bu sayfaya girer ve gelen ekranda login olursanız bilgileriniz karşı tarafın eline geçer.
Oltalama saldırısı riskinin önüne geçebilmek için gelen maildeki adrese tıklamak yerine yeni bir sekme açın ve hesabınıza giriş yapıp gelen kutunuzu kontrol edin.
Spear Phishing
Daha hedefli bir saldırı türüdür. Saldırganlar, belirli bir kişiye veya kuruma yönelik olarak kişiselleştirilmiş e-postalar gönderir. Hedefin kişisel bilgilerine dayanarak mesajı daha inandırıcı hale getirir.
Smishing
SMS üzerinden gerçekleştirilen phishing saldırılarıdır. Kullanıcılara sahte mesajlar gönderilir ve bu mesajlarda zararlı bağlantılar veya bilgi istemleri yer alır.
Vishing (Voice Phishing)
Telefon aramalarıyla yapılan phishing türüdür. Saldırganlar, kurbanları arayarak kendilerini güvenilir bir kişi veya kurum olarak tanıtır ve hassas bilgiler ister.
Clone Phishing
Mevcut bir e-postanın veya mesajın klonlanması yoluyla gerçekleştirilir. Saldırganlar, meşru bir e-postanın içeriğini kopyalar ve içindeki bağlantıyı zararlı bir bağlantı ile değiştirir.
Whaling
Büyük balıkları hedef alan phishing saldırısıdır. Genellikle üst düzey yöneticilere veya önemli pozisyondaki kişilere yönelik yapılır.
Web Sayfalarında Bulunan Phishing Saldırısı
Gezindiğiniz web sayfalarında gördüğünüz herhangi bir bağlantıya tıkladığınızda phishing saldırısına maruz kalabilirsiniz. Yeni açılan sayfa bir banka sayfası, sosyal medya hesapları gibi bir sayfa olabilir ve giriş yapmanız için sizden bilgilerinizi isteyebilir. Yine yukarıda bahsedilen mantıkla yola çıktığımızda URL’ler kontrol edilip doğru sayfada olup olmadığınıza emin olmalısınız. Aksi durumda hesabınız çalınabilir.
Sosyal Mühendislik
İnternet ortamında sizin kişisel bilgilerinizi ele geçirmek için (hesap bilgileri, kredi kartı bilgileri…) yapılan kurnaz yöntemlere sosyal mühendislik deniyor. Sosyal mühendislik saldırıları email, reklam ve web siteleri üzerinden gerçekleşiyor.
Sosyal medya (Facebook, Instagram, Twitter, Whats App…) üzerinde tanımadığınız hesaplardan gönderilen promosyon, indirim kuponu, anket benzeri linkler konusunda da phishing riskine karşı dikkatli olmak gerekiyor. Gönderilmiş olan link bir saldırı linki olabilir.
Hatta bu konuda daha tehlikelisi olan ise sosyal medya üzerinde, hesabı başkalarının eline geçmiş herhangi bir arkadaşınız tarafından gelebilecek olan phishing mesajlarıdır. Arkadaşlarınızdan gelecek olan bağlantılara güvenme ihtimaliniz yüksek olduğundan oltalama saldırısına maruz kalınma ihtimali de artmış oluyor.
Phishing Saldırılarından Korunma Yöntemleri
- E-posta ve Mesajları Dikkatle İnceleyin: Gelen e-posta veya mesajların kaynağını dikkatlice kontrol edin. Güvenilir olmayan veya tanımadığınız kaynaklardan gelen bağlantılara tıklamayın.
- URL’leri Kontrol Edin: Bağlantıların URL’lerini dikkatlice inceleyin. Sahte web siteleri genellikle orijinal sitelerin URL’lerine benzer ama küçük farklılıklar içerebilir.
- Güvenlik Yazılımları Kullanın: Antivirüs programları ve güvenlik duvarları gibi güvenlik yazılımları, phishing saldırılarına karşı koruma sağlayabilir.
- Çok Faktörlü Kimlik Doğrulama (MFA) Kullanın: Hesaplarınızda iki faktörlü kimlik doğrulama gibi ek güvenlik katmanları kullanın.
- Eğitim ve Farkındalık: Phishing konusunda düzenli olarak bilgi edinin ve eğitimler alın. Çalışanlarınızı ve ailenizi phishing saldırıları konusunda bilinçlendirin.
- Güncel Yazılımlar: İşletim sistemi, tarayıcılar ve diğer yazılımların güncel olmasına dikkat edin. Güncellemeler genellikle güvenlik açıklarını kapatır.
Kısacası internet ortamında herhangi bir bağlantıya tıklarken ve herhangi bir sitede hesap bilgilerinizle giriş yaparken phishing saldırılarına karşı güvenilir bir bağlantı üzerinde olduğunuza emin olun!
Google’ın phishing için hazırladığı açıklama videosu: