Phishing (kimlik avı) saldırıları, kötü niyetli aktörlerin bireyleri parolalar, kredi kartı numaraları veya kişisel kimlik bilgileri gibi hassas bilgileri çalmak için kandırmaya çalıştığı bir siber saldırı türüdür. Phishing saldırı türleri yıllar geçtikçe daha karmaşık hale geliyor. Bu saldırılar genellikle alıcıları kötü amaçlı bağlantılara tıklamaya veya gizli bilgilerini vermeye kandırmak için bankalar veya devlet kurumları gibi meşru kaynaklardan geliyormuş gibi görünen sahte e-postalar veya mesajlar göndermeyi içerir. Kimlik avı saldırıları, günümüzün dijital dünyasında yaygın ve sık karşılaşılan bir tehdittir ve kurbanı olan bireyler ve kuruluşlar için ciddi sonuçlar doğurabilir.
Phishing Saldırı Taktikleri için Uyanık Olmanın Faydaları
Bireylerin kendilerini ve hassas bilgilerini korumak için kimlik avı taktiklerinin farkında olmaları hayati önem taşır. Bireyler, şüpheli e-postalar veya kişisel bilgi talep eden mesajlar gibi kimlik avı saldırısının işaretlerini tanıyarak bu dolandırıcılıkların kurbanı olmaktan kaçınabilirler. Ayrıca, phishing saldırı türleri ve teknikleri hakkında bilgi sahibi olmak ve güvenlik önlemlerini düzenli olarak güncellemek, siber suçluların kötü amaçlı planlarını başarıyla gerçekleştirmelerini önlemeye yardımcı olabilir. Çevrimiçi iletişimlerle etkileşim kurarken dikkatli ve tedbirli olmak, kimlik avı saldırısının potansiyel olarak yıkıcı sonuçlarına karşı korunmak için önemlidir.
Oltalama Teknikleri
Bireylerin farkında olması gereken birkaç farklı kimlik avı saldırısı türü vardır. Yaygın bir tür, siber suçluların belirli bireyleri veya kuruluşları kişiselleştirilmiş ve ikna edici mesajlarla hedef aldığı spear phishing (mızrak tipi) olarak bilinir. Bir diğer tür, CEO’lar veya hükümet yetkilileri gibi yüksek profilli bireyleri hedef alan balina avı olarak bilinir. Ek olarak, bireyleri hassas bilgiler vermeleri için kandırmak amacıyla sesli iletişimin kullanıldığı vishing de vardır. Kimlik avı saldırılarının çeşitli biçimlerini anlayarak, bireyler bu kötü niyetli taktiklerin kurbanı olmaktan kendilerini daha iyi koruyabilirler.
Phishing Saldırı Türleri
Email Phishing
İlk başlarda, bir kimlik avı saldırısı yalnızca para veya özel bilgileri çalmak için bir e-posta gönderilmesi anlamına geliyordu. Bunun nedeni, e-postanın dolandırıcıların insanları çevrimiçi olarak kendi hileleriyle kandırmalarının ilk yollarından biri olmasıdır. FBI, bu suçla ilgili diğer dolandırıcılık türlerinden daha fazla rapor aldığını bildiriyor. Her gün, bu dolandırıcılığın bağlantılarını içeren yaklaşık 3,4 milyar e-posta gönderiliyor.
Uzun zaman önce, çoğu dolandırıcılık e-postasını tespit etmek kolaydı. E-postanın sahte olduğu açıktı çünkü kötü yazılmıştı ve garip kelimeler kullanıyordu. Ancak ChatGPT gibi yaratıcı yapay zekalar ortaya çıktığından beri işler değişti. Bu tür yapay zekalar, İngilizce bilmeyen bilgisayar korsanlarının herkesi kandırabilecek e-postaları hızla yazmalarına yardımcı oluyor.
Bir e-postanın gerçek olup olmadığını öğrenmek istiyorsanız, ona yanıt vermeyin; bunun yerine doğrudan şirketi arayın. Ayrıca, bir e-postanın gerçek olup olmadığından emin değilseniz hiçbir bağlantıya tıklamayın veya dosya eki varsa indirmeyin, açmayın.
Smishing
SMS mesajları genellikle tanıdığımız kişiler, arkadaşlar, aile ve işletmeler tarafından gönderilir, bu nedenle çoğu kişi bunları aldıktan sonraki beş dakika içinde kontrol eder.
Smishing, e-posta kimlik avıyla benzer bir taktiktir, ancak bir e-posta yerine sahte bir SMS mesajı alırsınız. Muhtemelen sipariş vermemiş olmanıza rağmen bir e-ticaret mağazasından bir paketin geldiğini söyleyen bir metin mesajı alabilirsiniz. Ayrıca, yanlış numaraya sahip olduğunu ancak yine de sizinle konuşmak istediğini söyleyen bir yabancıdan bir SMS mesajı da almış olabilirsiniz. Gördüğünüz gibi, her ikisi de hırsızların sizi bir yazılıma tıklamaya veya onlara para vermeye ikna etme girişimleridir.
“Sahte e-posta mesajları” gibi smishing saldırıları daha yaygın hale geliyor. Bu tür saldırılarda, saldırgan sizden bir şeye (genellikle sahte bir kripto para borsası) yatırım yapmanızı ve ardından paranızı almasını sağlamadan önce kendisine güvenmenizi sağlar.
Phishing saldırı türleri arasında Smishing taktiğinden korunmak için gelen SMS’in içinde bulunan linke tıklamamanız önemlidir. Bu tanıdık birinden gelen bir mesaj olsa bile.
Angler Phishing
Sosyal medyada herkesin görebileceği birçok şey paylaşılır. Dolandırıcılar sizin için çok özel olan bu bilgileri kullanarak çok profesyonel Phishing taktikleri geliştirebilirler.
Birisi sosyal medyanızda gizlice dolaşarak neleri takip ettiğinizi, ne hakkında sıklıkla paylaşım yaptığınızı, neyi önemsediğinizi araştırabilir. Daha sonra, sizinle ilgi alanlarınıza uygun bir işletmenin müşteri hizmetleri temsilcisi gibi iletişim kurarlar. Hesabınıza girmek için kullanabilecekleri şifrenizi veya diğer bilgilerinizi almak için sizden özel bilgiler isterler, kötü bir bağlantı veya sahte bir web sitesine bağlantı gönderirler.
Angler Phishing’den korunmak için sosyal medyada tanımadığınız kişilerden gelen mesajları görmezden gelmenizi ve mümkünse engellemenizi tavsiye ederim.
Vishing
Yakın zamanda, İnternet Servis Sağlayıcısı olduğunu iddia eden bir şirket tarafından arandığınız mı? İnternetinizin yavaş olduğunu ve bu durumu düzeltmek için aradıklarını söyleyebilirler. Ya da cep telefonu taahhüdünüzün bitmek üzere olduğunu ve tarifenizi yenilemeniz için aradıklarını söyleyenler?
Bu vishing saldırısı, bir sosyal mühendislik saldırısının başarılı olması için gereken tüm temel bileşenleri içeriyor. Çok kısa zamanınız olduğunu ya da bu şanstan sadece bugün yararlanabileceğinizi söyleyerek, onlara hassas bilgilerinizi vermeniz için korkuturlar.
Vishing saldırısından kaçınmak için yapabileceğiniz en iyi şey, karşı tarafa teşekkür edip telefonu kapamak olacaktır. Daha sonrasında aradıkları konu ne ise siz bunu kontrol edip, gerekliyse resmi çağrı merkezini sizin aramanız iyi bir seçenek olacaktır.
Spear Phishing
Hiç tanımadıkları insanların paralarını gasp etmek ya da kişisel verilerini ele geçirerek bankacılık hesaplarına ulaşmak için günde milyarlarca sahte e-posta mesajı gönderiliyor. Bu maillerin çoğu çok kurumsal firmalardan geliyormuş gibi tasarlanarak toplu halde gönderiliyor. Yani bunun anlamı size özel değil ama sizin de dikkatinizi çekebilecek içeriklerden oluşması.
Phishing saldırı türleri arasında Spear Phishing, sizi özel olarak hedef aldığı için en tehlikeli gruba girebilir. Aldığınız bir e-postanın adınızı kullandığını ve hassas bilgiler içerdiğini düşünün. Doğal olarak, onu açmaya çok daha meyilli olursunuz.
Hedefli kimlik avı saldırıları ortalama bir kişi üzerinde kullanılmaz; bunun yerine, bilgisayar korsanının yüksek değerde olduğunu düşündüğü kişilere ayrılmıştır. Bir bilgisayar korsanı, son derece kişiselleştirilmiş kötü amaçlı bir e-posta oluşturmak için hedefi hakkında bilgi toplamak için zaman ve para harcayabilir.
Phishing saldırı çeşitlerinden biri, şirket yöneticileri ve CEO’lar gibi daha da yüksek değerdeki hedefler için kullanılan “balina avı”dır.
Watering Hole
Watering Hole saldırısı, güvenilir ve bilinen bir web sitesinin ele geçirilmesi ile gerçekleştirilir. Saldırganlar bir web sitesini ele geçirebilir veya bir güvenlik açığı bulup kullanıcıları sahte bir web sitesine yönlendiren HTML veya JavaScript kodu enjekte edebilir. Kullanıcılar güvendikleri web sitesinin bağlantıları açıkça tıklama ve kredi kartı bilgileri, sosyal güvenlik numaraları ve oturum açma kimlik bilgileri gibi bilgileri sağlama olasılıkları daha yüksektir.
Website Spoofing
Hiç Trendyol.com sitesine girmeye çalışırken yanlışlıkla Trentyol.com yazdınız mı? Trendyol’a benzeyen ve Trendyol gibi hissettiren bir web sitesine ulaşmanıza rağmen, aslında dolandırıcıların sahibi olduğu ve işlettiği bir taklit web sitesidir. Typosquatting olarak bilinen bir işlemde, suçlular popüler web sitelerine benzer alan adları satın alırlar. Bu web sitelerini benzer gösterirler, ancak tamamen hassas bilgilerinizi toplamak için tasarlanmıştır.
Buna benzer olarak en sık gerçekleştirilen taktiklerden biri de Google Reklamlarını kullanarak yapılan saldırılardır. İnternette bir ürün ya da hizmet için arama yaptığınızda, arama sonuçlarının en üstünde Sponsor linklerden oluşan web siteleri karşınıza çıkar. Örneğin, ‘İzmir iPhone Yetkili Servisi’ araması yaparsanız, arama sonuçlarında çıkan web sitelerinin ‘Resmi Yetkili’ olduğunu sanarak bu linklere tıklayabilirsiniz.
Takiye.com’u twitter ve google haberler üzerinden abone olarak takip edebilirsiniz.
Güvenlik kategorimizdeki diğer tüm yazılarımıza buradan ulaşabilirsiniz.
