Phishing (Oltalama)
Phishing kimlik avı anlamına gelen bir terimdir. Phishing saldırılarında saldırganlar insanları dolandırmak ve kandırmak için kötü niyetli içerikler sunarlar. Genellikle e-postalar aracılığıyla gerçekleştirilir. Hedef kullanıcıların banka bilgileri gibi hassas bilgileri ele geçirmektir.
Phishing, sosyal mühendisliğin en önemli örneklerinden biridir. Dolandırıcılar insan psikolojisinden yararlanarak sahtecilik ve yanlış yönlendirme yaparlar. Phishing içerikleri kullanıcıları anında harekete geçirmeye dayalı olarak oluşturulurlar. Hedef kullanıcının merakına yenik düşmesini sağlamaktır.
Phishing ne anlama gelir?
Phishing saldırılarının merkezinde e-posta, sosyal medya ve diğer iletişim araçlarıyla gönderilen mesajlar yer alır. Saldırgan hedefe yönelik bir saldırı gerçekleştirmeden önce onun hakkında bilgi toplamak için sosyal medya paylaşımlarını inceleyebilir.
Phishing saldırısına maruz kalan kişilerin aldığı e-postalar genelde tanıdıkları bir kişiden veya bir kuruluştan geliyormuş gibi görünür. Saldırganlar kötü amaçlı ekler, kötü amaçlı linkler ve sahte formlarla hedefe ulaşmaya çalışır. Phishing saldırısında sahtecilik ön plandadır.
Birçok phishing e-postası hazırlanabilir ama asıl işe yarayanlar aslına en yakın şekilde taklit edilenlerdir. Yetersiz metin yazarlığı ve yanlış yazı tipi veya logo kullanımı gibi durumlara dikkat edildiğinde sahte e-postaları anlamak kolaylaşır.
Phishing saldırısı türleri nelerdir?
Phishing saldırısı yaygın bir biçimde e-posta ile gerçekleştirilse bile çok daha farklı saldırı türleri vardır. Spear phishing ve whaling gibi kapsamı biraz daha farklı olan ama phishing ile benzer yöntemleri kullanan saldırılarla karşılaşabilmek mümkündür.
1. E-posta Phishing
Phishing saldırılarının büyük bir kısmı e-posta yoluyla gerçekleştirilir. Saldırganlar genelde gerçek kuruluşları taklit ederler. Neredeyse gerçeğe benzer bir alan adı alırlar ve bu alan adı üzerinden insanlara yüzlerce e-posta gönderirler. Bunu yaparken en son pazarlama tekniklerini kullanırlar.
Sahte alan adı belirlenirken gerçeğe olabildiğince benzeyen bir adres kullanılır. Örneğin, Google taklit edilecekse support@googlle.com gibi bir gönderici adresi belirlenebilir. Kullanıcı e-postayı açıp işlem yapma konusunda ne kadar aceleci davranırsa hata yapma olasılığı o kadar yüksektir.
2. Spear Phishing
Spear phishing hedefli kimlik avı gerçekleştirmeye yöneliktir. Belirli kişilere gönderilen e-postaları içerir. Saldırgan, hedeflediği kişi hakkında isim, şirket bilgisi, unvanı ve buna benzer bilgilere ulaşmaya çalışır. Bu bilgileri kullanarak farklı yerlerde gerçek gibi gözüken profiller oluşturabilir.
Saldırgan tarafından elde edilen bu tür bilgiler genel olarak phishing e-postalarının etkinliğini artırmak için kullanılır. Ayrıca bazı durumlarda bu bilgiler kullanılarak kişinin yakın çevresine ulaşmak veya yeni hedefler belirlemek için saldırı girişimlerinde bulunulabilir.
3. Whaling
Whaling normal phishing saldırılarından farklıdır. Bunun sebebi yüksek ayrıcalığa sahip olan kişileri hedef almasıdır. Whaling saldırılarının temel amacı phishing ile tamamen aynıdır. Sadece teknikler çok daha ince ayrıntılarla oluşturulur. Saldırganlar bilgileri çok farklı yerden temin edebilirler.
Whaling saldırılarında kötü amaçlı linkler ve sahte linkler kullanılmaz. Hedefle ilgili kapsamlı bilgilere sahip olunduğundan daha kişiselleştirilmiş bir yaklaşım söz konusudur. Kişiselleştirilmiş mesajlarla hedef ikna edilmeye çalışılır. Bunun için detaylı bir şekilde hazırlanmış dokümanlardan yararlanılabilir.
Phishing saldırılarının en bilinen türleri bunlar olsa bile smishing ve vishing adını taşıyan iki farklı türü daha vardır. Smishing sahte SMS mesajlarını, vishing ise sahte telefon görüşmelerini içerir. Örneğin, kendini polis veya savcı gibi gösteren kişilerin kullandığı dolandırıcılık yöntemi vishing olarak bilinir.
Phishing neden ciddi bir problemdir?
Saldırganlar kolay uygulanabilir olduğu için phishing yöntemini kullanmayı tercih ederler. E-posta adreslerine ait bilgilerin ele geçirilmesi kolaydır. E-posta göndermek tamamen ücretsizdir. Saldırganlar kötü amaçlı yazılım bulaştırmak ve kimlik hırsızlığı yapmak için phishing yapabilirler.
Saldırganlar genelde banka hesap bilgileri, kredi kartı numaraları, tıbbi kayıtlar, vergi kayıtları, müşteri numaraları, iletişim bilgileri ve gizli yazışmalar gibi hassas verilerin peşindedirler. Phishing öncü bir saldırı olabilir çünkü sisteme kötü amaçlı yazılım bulaştırıldığında daha ciddi saldırılar planlanabilir.
- Gönderilen e-postalarda kullanıcıyı anında harekete geçirmeye yönelik teşvikler varsa dikkat edilmelidir.
- Gönderilen e-posta her zamankinden daha farklı bir yazı stili veya konuşma tarzı içeriyorsa şüphe duyulmalıdır.
- E-postada şifre bilgisini paylaşma veya yazılım indirme gibi talepler yer alıyorsa şüphe duyulmalıdır.
- E-postanın göndericisi veya e-postada yer alan link sahte gibi görünüyorsa e-postada belirtilen işlemin herhangi biri yapılmamalıdır.
Çoğu phishing saldırısının hedefi size ait olan bilgileri ele geçirmektir. Sadece söz konusu durumlara dikkat ederek basit düzeydeki phishing saldırılarından korunmayı başarabilirsiniz. Çok daha gelişmiş phishing saldırılarına karşı korunmak için güvenlik bilinci eğitimi almanız gerekir.
Kullanılan en yaygın phishing yöntemleri nelerdir?
Saldırganlar genelde üç temel phishing yöntemini kullanarak saldırı gerçekleştirirler. Bu yöntemler diğerlerine göre çok daha etkilidirler. Uygulanmalarının kolay olması ve insanların zayıf noktalarını hızlı bir şekilde yakalayabilmeleri sebebiyle tercih edilirler.
1. Kötü Amaçlı Site Linkleri
E-postalar yaygın bir biçimde kullanılan ögelerden birisi linklerdir. Linkler phishing e-postalarının olmazsa olmazıdır. Kötü amaçlı linkler kullanıcıları sahte sitelere yönlendirirler. Söz konusu site üzerinden kullanıcının cihazına kötü amaçlı yazılım bulaştırılır.
Kötü amaçlı site linkleri kullanıcıdan olabildiğince gizlenir. Kullanıcı dikkatli olmazsa ve linke tıklarsa sorun büyümeye başlar. Phishing e-postalarında bir kuruluş taklit edildiği için bu yöntem işe yarar. Genel olarak kullanıcı verisinin alındığı yerle bağlantılı olarak sahte bir e-posta oluşturulur.
2. Kötü Amaçlı Ekler
Kötü amaçlı dosya ekleri gerçek gibi görünerek kullanıcıyı kandırırlar. Hedefleri ise cihazlara bulaşması için geliştirilmiş olan kötü amaçlı yazılımı adrese teslim etmektir. Gönderilmiş olan yazılım bir fidye yazılımı, spyware, virüs veya daha farklı bir kötü amaçlı yazılım olabilir.
Kötü amaçlı eklerin yer aldığı phishing e-postalarında kuruluşlar taklit edilir. Bir şirketten verilmiş siparişin faturası veya bir kampanyadan elde edilen kazanımların dökümü gibi çok farklı şekilde gizlenebilirler. Genel olarak alışverişin yoğun olduğu dönemlerde kullanılan bir yöntemdir.
3. Sahte Formlar
Sahte formlardan oluşan phishing e-postalarıyla saldırı yapabilmek biraz daha zahmetlidir. Çünkü kullanıcının forma ulaşıp tüm bilgileri eksiksiz bir biçimde girmesi gerekir. Bu e-postalarda hedef kullanıcıyı kandırarak ona ait hassas bilgileri ele geçirmektir.
Sahte formun yer aldığı sitenin linki e-postaya yerleştirilir ve kullanıcıya vergi iadesi veya ödeme iadesi gibi çeşitli imkanlardan yararlanabileceklerine yönelik bir bilgi sunulur. Kullanıcı sahte forma yönlendirilir ve tüm bilgileri doldurup gönderdiğinde bilgiler karşı tarafa geçmiş olur.
Phishing saldırılarından korunmak için ne yapmalı?
Phishing saldırılarından korunmak için kişinin yapması gereken şüpheli e-postaları açmamak ve şüpheli gözüken linklere tıklamamaktır. Kurumsal düzeyde ise şirketlerin çalışanlarını bilgilendirmesi ve çeşitli güvenlik önlemlerinin alınması gerekir. Temel öncelik ise güvenlik bilinci eğitimi olmalıdır.
Şirketler daha önce yaşanmış gerçek olaylardan örnek göstererek güvenlik bilinci eğitimi vermelidirler. Bazı durumlarda çalışanlardan habersiz bir phishing senaryosu oluşturularak şirket için bir deneme gerçekleştirmek iyi bir fikir olabilir. Böylece çalışanların neler yapacağı kontrol edilebilir.
E-posta hizmeti alınırken itibarlı firmaların seçilmesi önemlidir. Her e-posta hizmeti sunan şirketin kendine yönelik güvenlik önlemleri vardır. Spam kontrolü, tehlikeli e-postaları otomatik olarak kaldırma girişimleri ve çok daha fazlası sayesinde kendinizi güvende hissedebilirsiniz.
Siber güvenlik alanında her geçen gün yeni gelişmeler yaşanır. Kurumsal düzeyde problem yaşamak istemeyen şirket yöneticileri son güvenlik önlemleriyle ilgili olarak çalışanlarını bilgilendirmelidirler. Çalışanların en son gelişmelerden haberdar olması riski azaltacaktır.