Bworks - Phishing Saldırıları

Phishing Saldırıları

Hedefe Yönelik Kimlik Avı: Sizi de Vurabilir

Phishing Nedir?

Phishing "Password" (Şifre) ve "Fishing" (Balık avlamak) sözcüklerinin birleştirilmesiyle oluşturulan Türkçe'ye  yemleme (oltalama) olarak çevrilmiş bir saldırı çeşididir. Phishing saldırıları son zamanların en gözde saldırı çeşidi olarak karşımıza çıkmaktadır.Yemleme yöntemi kullanılarak bilgisayar kullanıcıları her yıl milyarlarca dolar zarara uğratılmaktadır.

Yemleme genelde bir kişinin şifresini veya kredi kartı ayrıntılarını öğrenmek amacıyla kullanılır.  Bir banka veya resmi bir kurumdan geliyormuş gibi hazırlanan e-posta yardımıyla bilgisayar kullanıcıları sahta sitelere yönlendirilir. Phishing saldırıları için ‘Bankalar, Sosyal Paylaşım Siteleri, Mail Servisleri, Online Oyunlar vb. sahte web sayfakları hazırlanmaktır. Burada bilgisayar kullanıcısında özlük bilgileri, kart numarası, şifresi vb. istenir. E-posta ve sahte sitedeki talepleri dikkate alan kullanıcıların bilgileri çalınır. 

Giriş

Kimlik avındaki son kandırmaca spear kimlik avıdır. Bu bir oyun değil. Bu bir dolandırıcılık ve hedef sizsiniz. Spear kimlik avı, tanıdığınız bir kişiden veya kuruluştan gelen bir e-posta gibi görünür. Ancak durumun aslı bu değildir. Aslında bu e-posta PC'nizdeki kredi kartı ve banka hesap numaralarınızı, parolalarınızı ve finansal bilgilerinizi öğrenmek isteyen korsanlardan gelmektedir. Kendinizi korumayı öğrenin.

Phishing Saldırılarıyla Nelerin Çalınması Amaçlanıyor

Yemleme yöntemi kullanarak bilgisayar kullanıcılarını kandıran saldırganlar genellikle aşağıdaki bilgilere erişmeyi hedeflemektedirler.

  • Kullanici hesap numaraları
  • Kullanici şifreleri ve parolaları
  • Kredi kartı numaraları
  • İnternet bankacılığında kullanılan kullanıcı kodu ve şifreleri vb.

Bir "Arkadaştan" gelen bir e-posta

Spear kimlik avı dolandırıcıları samimiyetinizden faydalanır. Adınızı, e-posta adresinizi bilir ve sizin hakkınızda az da olsa bilgi sahibi olur. E-posta iletisindeki selamlama kısmı genellikle kişiselleştirilmiştir: "Sayın Kullanıcı" yerine "Merhaba Bora". E-posta bir "ortak arkadaşı" referans gösterebilir. Ya da kısa süre önce yapmış olduğunuz bir çevrimiçi alışverişi hatırlatabilir. E-posta tanıdığınız birinden geliyor gibi göründüğünden, daha az tedbirli davranır ve onlara istedikleri bilgileri verirsiniz. Bildiğiniz bir firma acil bir eylem için izin istediğinde, düşünmeden hareket edebilirsiniz.

Web Varlığınızı Size Karşı Kullanma

Bir spear kimlik hırsızının hedefi haline nasıl geldiniz? PC'nizden veya akıllı telefonunuzdan Internet'e göndermiş olduğunuz bilgiler yüzünden. Örneğin, sosyal ağ sitelerini ararlar, sayfanızı bulurlar, e-posta adresinize, arkadaş listenize ve arkadaşınıza kısa bir süre önce gönderdiğiniz ve çevrimiçi bir perakende satış sitesinden satın aldığınız yeni kameranızı anlatan iletiye ulaşırlar. Bu bilgileri kullanan bir spear kimlik hırsızı, bir arkadaşınız gibi davranarak size bir e-posta gönderir ve fotoğraf sayfanızın parolasını ister. Bu e-postaya parolanızı göndererek yanıt verirseniz, bu parolayı ve varyasyonlarını daha önce belirtmiş çevrimiçi perakende satış sitesindeki hesabınıza ulaşmak için kullanırlar. Doğru şifreyi bulurlarsa, bu bilgiyi size güzel bir fatura hazırlamak için kullanırlar. Spear kimlik hırsızı aynı bilgileri çevrimiçi perakende satış sitesinden bir çalışan gibi görünmek ve size şifrenizi sıfırlamak isteyip istemediğinizi sormak ya da kredi kartı numaranızı doğrulamak için kullanabilir. Bunu yaptığı taktirde, size finansal olarak zarar verir.

Sırlarınızın Sır Olarak Kalmasını Sağlayın

Sizin ve bilgilerinizin güvenliği, dikkatli davranmak konusunda gösterdiğiniz özene bağlıdır. Çevrimiçi varlığınıza daha yakından bakın. Bir araya getirilerek size karşı bir dolandırıcılık düzenlemek için kullanılabilecek ne kadar bilgi gönderdiniz? Adınız? E-posta adresiniz? Arkadaşlarınızın adları? Arkadaşlarınızın e-posta adresleri? Örneğin, popüler sosyal ağ sitelerinden herhangi birine üye misiniz? İletilerinize daha yakından bakın. Bir dolandırıcının bilmesini istemediğiniz bilgiler var mı? Ya da arkadaşınızın sayfasına çok fazla bilgi içeren bir ileti gönderdiniz mi?

Görevinin Hakkını Veren Parolalar

Parolalarınız hakkında düşünün. Sadece bir parola veya bu parolanın kolayca ortaya çıkarılabilecek varyasyonlarını mı kullanıyorsunuz? Her iki durumda da bunu yapmaktan vazgeçmelisiniz; bunu yaparak bir dolandırıcının kişisel finans bilgilerinize erişmesini kolaylaştırıyorsunuz. Ziyaret ettiğiniz her site için parolanız diğerlerinden gerçek anlamda farklı olmalıdır. Rastgele harfler ve sayılar en iyi parola oluşturma yöntemidir. Parolaları sık aralıklarla değiştirin. 

Yamalar, Güncellemeler ve Güvenlik Yazılımı

Yazılım tedarikçilerinden yazılımınızı güncellemenize dair bir uyarı aldığınızda, yazılımınızı güncelleyin. Birçok işletim sistemi ve tarayıcı güncellemesi güvenlik yamaları içerir. Bir korsan bir güvenlik deliğinden sisteminize sızmak için sadece adınıza ve e-posta adresinize ihtiyaç duyar. Internet güvenlik yazılımı tarafından korunmanız ve bu yazılımı her zaman güncel tutmanız gerektiğini söylemeye bile gerek yok.

Akıllı Olun

"Arkadaşınız" bir e-posta göndererek parolanızı veya diğer bilgilerinizi isterse, sizinle iletişim kuran kişinin gerçekten arkadaşınız olup olmadığını doğrulamak için bu kişiyi arayın veya ona e-posta gönderin (başka bir e-posta adresine). Aynı durum bankalar ve kuruluşlar için de geçerlidir. İlk olarak, güvenilir kuruluşlar parolalarınızı veya hesap numaralarınızı istemek için e-posta göndermezler. E-postanın gerçek olabileceğini düşünüyorsanız, bankayı veya kuruluşu arayın ve sorun. Ya da resmi web sitesini ziyaret edin. Birçok banka, şüpheli e-postaları doğrulamak için iletebileceğiniz bir e-posta adresine sahiptir.

Şunu hiç bir zaman unutmayın: Kişisel bilgilerinizi çevrimiçi olarak çok fazla yayınlamayın, bu bilgilerin size karşı kim tarafından kullanılacağını bilemezsiniz. Veya nasıl kullanılacağını...