Bilim ve Teknoloji Dünyası Nedir? Nasıl?

Phishing (Oltalama) Nedir? İşte Bilmeniz Gerekenler

Oltalama ya da yemleme olarak da adlandırılan phishing, günümüzün en yaygın kimlik avı saldırılarından biridir. Bu nedenle siber suç etkinlikleri içerisinde yer alır. En çok kullanılan phishing yöntemleri arasında şunlar yer alır:

  • E-posta ile saldırı
  • Sahte web sitesi
  • Yetkili oturum ihlali
  • Man-in-the-middle saldırısı
  • Kötü amaçlı reklamcılık
  • Hileli bağlantılar
  • İçerik yerleştirme

Phishing, kişisel ve kurumsal bilgileri ele geçirmek isteyen kimlik avcılarının saldırılarıdır. Kullanıcıların özel bilgilerine ulaşmak isteyen bu saldırganlar, aldatıcı e-postalar göndererek sizi tıklamaya teşvik edebilir, girdiğiniz web sitelerine ait linklerle bilgilerinizi ele geçirmeye çalışabilirler.

Örneğin, müşterisi olduğunuz bankanın sık sık sitesine girdiğinizi fark eden siber suçlular, bankanın web sitesinin URL’sine benzeyen bir siteye giriş yapmanızı sağlayabilir. Orijinal sitenin tasarımı ve ara yüzüne kadar her şeyini kopyalayabilen bu saldırganlar, siz fakında bile olmadan bankacılık işlemlerinizi yaparken tüm hesabınızı boşaltacak kadar bilgi toplayabilirler.

Dolandırıcılar bazen rastgele e-postalar göndererek kullanıcıları kendilerine çekmeye çalışırlar. Bu e-postalar kurumsal firmalardan gönderilmiş gibi gözükebilir. Phishing maillerinde genellikle hesabınızı güncellemeniz gerektiğini bildiren ve kart bilgilerinizi isteyen formlar bulunur. Ayrıca başka bir siteye yönlendirilen ve tıklamanız gerektiğini söyleyen bir link de e-postalarda yer alır. Tıkladığınız anda eğer açılan URL’nin taklit olduğunu fark etmez ve bilgilerinizi paylaşırsanız, başkalarına kendi elinizle teslim edebilirsiniz.

Bazen banka hesabınıza para yatırıldığını söyleyen ve görmek için sizi bir linke tıklamaya yönlendiren mesaj ya da mail de alabilirsiniz. Bu da bir phishing yöntemidir.

Phishing Saldırılar Hangi Bilgileri Almak İster?

Phishing saldırılarında, kullanıcının anne kızlık soyadı, TC kimlik numarası, kredi kartı bilgileri, parolaları ya da adresleri gibi önemli bilgilerini vermeleri için kaldırılmaya çalışılır. Saldırganlar bir şekilde ele geçirdikleri bu bilgileri kullanarak şirket açabilirler, telefon hattı alabilirler ve dolandırıcılık yapabilirler.

Bir E-postanın Phishing Olduğunu Nasıl Anlarsınız?

  1. Kişisel bilgilerinizi vermenizi istiyorsa,
  2. Sizi panik edecek türde uyarılar yapıyorsa,
  3. Gelen e-posta SPAM klasörü içerisindeyse (bazı gönderiler SPAM’a takılmayabiliyor, yine de Gelen Kutusu altında olması dahi risk barındırabilir),
  4. Yazım hatası varsa, kurumsallıktan uzak bir dil kullanıyorsa,

    Muhtemelen bir kimlik hırsızlığı saldırısı altındasınız demektir.

Sahte Web Siteleri Nasıl Anlaşılır?

  1. Arama Motoru Sonuçlarında: Son zamanlarda en çok yaşanan vakalardan biri de, taklit web siteleridir. Örneğin cep telefonunuza TL veya Paket yüklemek istiyorsunuz. Google’a girdiniz ve “Turkcell TL yükleme” yazdınız. Oltalama sürecini kendiniz başlattınız demektir. Çünkü Turkcell’e TL yüklemek için direkt www.turkcell.com.tr adresini veya cep telefonunuzdan direkt uygulamasını kullanmalısınız. Google’ı kandırabilen saldırganlar reklam vererek arama sonuçlarında yukarıda çıkarak sizin tıklamanızı sağlatırlar. Domain adreslerine dikkat edin. Markanın yanında farklı kelimeler ekli ise, aşağıdaki gibi domainler taklit sitelerdir.

    Örnek sahte domainler:
    www.turkcell-tl-tukleme.com veya
    www.vodafone-tl-yukle.gg veya
    www.bim-cell-tl-yukle.org veya
    www.garantibankasi-musteri-girisi.com

  1. Sosyal Medya Reklamlarında: Facebook veya Instagram’da dolaşırken karşınıza “Her Yüklenen 10TL için 5TL hediye. Son gün bugün” gibi bir başlıkla reklam gördünüz veya “Ücretsiz iPhone çekilişine katılmak için hemen anketimize katılın” gibi bir başlıkla reklam gördünüz. Amacı içinizdeki şans dürtüsünü harekete geçirmek olan bu tip reklamların tek bir amacı var: banka hesaplarınızdaki parayı çalmak. Bu yüzden bu tür reklamlara tıklamayın veya tıklasanız dahi kesinlikle banka bilgilerinizi, kredi kartı bilgilerinizi, sosyal medya hesap giriş bilgilerinizi paylaşmayın.

    Örnek sahte reklamlar:
Mehmet on Twitter: "Sitede phishing reklam alıyorsunuz alooooooooo @jack… "

Peki Phishing Saldırısı Fark Ettiğinizde Ne Yapmalısınız?

Kurumsal firmadan geldiği söylenen mail hakkında ilgili firmaya ulaşarak bu durumun gerçek olup olmadığını sorun. Bunun için sosyal medya ya da e-posta kullanabilirsiniz. Firmalar olayın gerçekliği konusunda sizi bilgilendirecek ve sahtekârlar için harekete geçecektir.

Sosyal medya ile ilgili phishing saldırısına karşı arkadaşlarınızı bilgilendirin.

Kredi kartı bilgileriniz tehlikede ise hemen bankanızı arayıp kartlarınızı alışverişe kapattırın ve online bankacılık girişinizi geçici süreliğine iptal ettirin. Daha sonra yeni bilgilerle tekrar erişime açtırabilirsiniz.

Phishing Saldırılarından Korunmanın Yolları

Aklınızda tutmanız gereken bir numaralı kural, hiçbir kurumsal firmanın e-posta yoluyla sizden kişisel bilgilerinizi istemeyeceğidir. Bu nedenle kişisel bilgilerinizi isteyen hiçbir iletiye itibar etmeyin.

  1. Kimden geldiğini bilmediğiniz e-postaları açmayın.
  2. Şüpheli gördüğünüz hiçbir linke tıklamayın. Özellikle de kısaltılmış URL’ler oldukça risklidir.
  3. Kişisel bilgi gerektiren (internet bankacılığı gibi) sitelere girerken URL’sinin doğru olduğundan emin olun.
  4. Kişisel bilgilerinizi paylaştığınız sitelerin ‘gizlilik anlaşması’ olup olmadığını kontrol edin.
  5. Antispyware ve antivirüs programları kullanmaya özen gösterin.
  6. Ortak internetin kullanıldığı alanlarda kişisel bilgi gerektiren online işlemler yapmayın. Örneğin bir cafe internetinden banka hesaplarınıza girmeyin.

Sizi yormadan detaylandırmaya çalıştığımız bu yazı umarız mağduriyet yaşamamanız için faydalı bir kaynak olacaktır.

Bu makale yardımcı oldu mu?

Subscribe
Bildir
guest
0 Yorum
Inline Feedbacks
View all comments