Phishing (Oltalama) Saldırıları

5/07/2022 | E-posta Pazarlama

İnternetin kötü taraflarından biri olan Phishing’in (oltalama) ne olduğunu muhtemelen daha önceden deneyimleyerek öğrenmiş olabilirsiniz. Eğer deneyimlemediyseniz kendinizi şanslı saymakta özgürsünüz! Bu yazıda Phishing saldırılarına ve bu saldırıların nasıl farkına vararak önüne geçebileceğinize değineceğiz. Hoş bir konu olmasa da, Phishing’e uğramamak ve bundan kaçınabilmek için kesinlikle ama kesinlikle bilgi sahibi olmanız gerekiyor.

 

Phishing (oltalama) nedir?

 

Phishing (oltalama), yasal bir kurum gibi davranan birinin, bireyleri, kişisel bilgileri, bankacılık ve kredi kartı bilgileri ve şifreler gibi hassas verileri sağlamaya ikna etmeyi hedefleyen e-posta, telefon veya kısa mesaj yoluyla aldatıcı bir iletişim kurduğu bir siber suçtur. Hangi biçimde olursa olsun, Phishing büyük bir siber güvenlik ihlali olabilir. E-posta ve web sitesi Phishing’in yanı sıra, siber suçluların sürekli olarak uyguladığı ‘vishing’ (sesli Phishing), ‘smishing’ (SMS Phishing) ve diğer bazı Phishing teknikleri de vardır.

Phishing dolandırıcılığı, kimlik hırsızlığından CEO sahtekarlığına kadar birçok siber suç türünde rol oynamaktadır. Phishing saldırısının ana hedeflerinden biri, bir şirket çalışanını bilgisayarına virüs veya başka bir tür kötü amaçlı yazılım yükleyecek ve böylece saldırganın şirketin tüm ağına erişmesine izin verecek e-postayla gönderilen bir bağlantıya tıklamaya ikna etmektir.

 

Phishing (oltalama) nasıl yapılır?

 

Phishing saldırıları, saldırganın güvenilir veya tanıdık biri gibi davranarak iletişime girmesiyle başlar. Gönderici, alıcıdan bir eylemde bulunmasını ister ve çoğu zaman bunu yapmak için acil bir ihtiyaç olduğunu ima eder. Dolandırıcılığa düşen kurbanlar, kendilerine mal olabilecek hassas bilgileri verebilirler. Phishing saldırılarının nasıl çalıştığına biraz gönderen, mesaj ve alıcı yönünden ayrı ayrı bakılabilir.

Gönderen: Bir Phishing saldırısında, gönderen, alıcının muhtemelen tanıyacağı güvenilir birini taklit eder. Phishing saldırısının türüne bağlı olarak, alıcının bir aile üyesi, çalıştığı şirketin CEO’su veya vaatte bulunan ünlü biri gibi davranabilir. Phishing mesajları genellikle inandırıcı olabilmesi için büyük şirketlerden, bankalardan veya devlet dairelerinden gelen e-postaları taklit eder.

Mesaj: Saldırgan, güvenilir biri adı altında, alıcıdan bir bağlantıya tıklamasını, bir dosya indirmesini veya para göndermesini isteyecektir. Alıcı mesajı açtığında, endişeye kapılacağı bir metin görerek daha hızlı karar alır ve oltalamaya yakalanması kolaylaşır. Mesaj, mağdurun bir web sitesine gitmesini ve derhal harekete geçmesini talep edebilir.

Hedef: Kullanıcılar yemi alır ve bağlantıyı tıklarsa, meşru bir web sitesinin taklidine gönderilirler. Buradan, kullanıcı adı ve şifre bilgileriyle oturum açmaları istenir. Bunu gerçekleştirdikleri zaman, oturum açma bilgileri, kişisel bilgileri, banka hesap bilgileri saldırgana gider.

 

Phishing email nedir?

 

E-posta Phishing, en yaygın oltalama türlerinden biridir. E-postanın ilk günlerinden beri yaygın olarak kullanılmaktadır. Saldırgan, güvenilir ve tanıdık biri (perakende satış sitesi, banka, sosyal medya şirketi vb.) olduğunu iddia eden bir e-posta gönderir ve önemli bir işlem yapmak veya belki bir eki indirmek için bir bağlantıya tıklamanızı ister.

Kazançlı teklifler ve göz alıcı veya dikkat çekici açıklamalar, insanların dikkatini hemen çekmek için tasarlanmıştır. Örneğin, birçok kişi bir iPhone, piyango veya başka bir ödül kazandığınızı iddia edebilir – şüpheli gördüğünüz e-postalara tıklamaktan kaçının.

Siber suçlular arasında favori bir taktik, süper fırsatlar yalnızca sınırlı bir süre için olduğundan hızlı hareket etmenizi istemektir. Bazıları, yanıt vermek için yalnızca birkaç dakikanız olduğunu bile söyleyebilir. Bu tür e-postalarla karşılaştığınızda, onları görmezden gelmek en iyisidir. Bazen, kişisel bilgilerinizi hemen güncellemezseniz hesabınızın askıya alınacağını söyleyebilirler. Çoğu güvenilir kuruluş, bir hesabı askıya almadan önce bolca zaman tanır ve kullanıcılardan kişisel bilgilerini İnternet üzerinden güncellemelerini asla istemezler. Şüpheli durumlarda, e-postadaki bir bağlantıya tıklamak yerine doğrudan kaynak web sitesi ziyaret edilmelidir.

E-posta içindeki bir bağlantı göründüğü gibi olmayabilir. Bir bağlantının üzerine gelmek, üzerine tıkladığınızda yönlendirileceğiniz asıl URL’yi gösterir. Burada dikkatli olmakta fayda var.

Bir e-postada görmeyi beklemediğiniz veya anlamsız gözüken bir ek görürseniz, bunu açmadan önce iki kere düşünün. Virüs içerikli ek olma ihtimalleri oldukça yüksektir. Tıklanması her zaman güvenli olan tek dosya türü bir .txt dosyasıdır.

Tanımadığınız veya tanıdığınız birinden geliyormuş gibi görünse de, olağan dışı, beklenmedik, karakter dışı veya genel olarak şüpheli görülen bir gönderici varsa yine tedbirli yaklaşmanız gerekecektir.

 

Phishing olduğunu nasıl anlarız?

 

Kullanıcılar, bir Phishing saldırısına uğradıklarını anlamakta bazen başarılı olamayabilir. Makul düzeyde bilgili bir kullanıcı, bir e-postadaki bir bağlantıya tıklama riskini değerlendirebilir, çünkü bu, kötü amaçlı yazılım indirmeye veya para isteyen dolandırıcılık mesajlarını takip etmesine neden olabileceğini düşünebilir. Ancak, yeterli bilgisi olmayan bir kullanıcı hiçbir zarar gelmeyeceğini düşünebilir ve kötü amaçlı pencerelerle karşılaşabilir. Riskleri her daim değerlendirmek ve gönderici maili, mesajın içeriği, yanlış gözüken içeriksel hatalar gibi durumlara hassas yaklaşmak, oltalama saldırısı olup olmayacağını anlamak konusunda size yardımcı olabilir.

Kuruluşların oltalama saldırılarına farkındalık kampanyalarını dikkate alması ve çalışanlara farklı türdeki saldırıları tanımaları için kullanabilecekleri araçları ve teknolojik bilgiyi verildiğinden emin olması gerekir. İstenmeyen e-posta filtreleri gibi geleneksel e-posta güvenlik araçlarından bazıları, Phishing türlerine karşı yeterli savunma sağlayamayabilir bu yüzden kuruluşların da güvenlik savunmalarında kullandıkları araçları güçlendirmesi gerekir.

 

Phishing saldırılarından nasıl korunabiliriz?

 

Bilgisayar korsanları sürekli olarak yeni teknikler bulsa da, kendinizi ve kuruluşunuzu korumak için yapabileceğiniz bazı şeyler vardır:

İstenmeyen postalara karşı korunmak için istenmeyen e-posta filtreleri kullanılabilir. Genellikle filtreler, mesajın kaynağını, mesajı göndermek için kullanılan yazılımı ve spam olup olmadığını belirlemek için mesajın görünümünü değerlendirir. Bazen spam filtreleri yasal kaynaklardan gelen e-postaları bile engelleyebilir, bu nedenle her zaman tam anlamıyla doğru olmaz.

Sahte web sitelerinin açılmasını önlemek için tarayıcı ayarları değiştirilmelidir. Tarayıcılar sahte web sitelerinin bir listesini tutar ve web sitesine erişmeye çalıştığınızda adres engellenir veya bir uyarı mesajı gösterilir. Tarayıcının ayarları yalnızca güvenilir web sitelerinin açılmasına izin vermelidir.

Birçok web sitesi, kullanıcı resmi görüntülenirken kullanıcıların oturum açma bilgilerini girmesini gerektirir. Bu tür bir sistem güvenlik saldırılarına açık olabilir. Güvenliği sağlamanın bir yolu, parolaları düzenli olarak değiştirmek ve birden fazla hesap için asla aynı parolayı kullanmamaktır. 

Bankalar ve finans kuruluşları, Phishing’i önlemek için izleme sistemleri kullanır. Bireyler, bu sahte web sitelerine karşı yasal işlemlerin yapılabileceği sektör gruplarına oltalama saldırısını bildirebilir. Kuruluşlar, riskleri tanımak için çalışanlara güvenlik bilinci eğitimi sağlamalıdır.

Kimlik avını önlemek için tarama alışkanlıklarında değişiklik yapılması gerekir. Doğrulama gerekiyorsa, çevrimiçi olarak herhangi bir ayrıntı girmeden önce şirketle kişisel olarak iletişime geçilmelidir.

Genellikle, siber suçlular tarafından gönderilen e-postalar, hizmetlerini alıcı tarafından kullanılan bir işletme tarafından gönderilmiş gibi gösterecek şekilde maskelenir. Bir banka, kişisel bilgilerinizi belirli bir süre içinde güncellemezseniz, e-posta yoluyla kişisel bilgilerinizi istemez veya hesabınızı askıya almaz. Çoğu banka ve finans kurumu, e-postanın içinde güvenilir bir kaynaktan gelmesini sağlayan bir hesap numarası veya diğer kişisel bilgileri de sağlar.

 

SIGN UP FREE

Tüm bloglarımızdan anında haberdar olmak için e-bültenimize kayıt olun!

Kaydınız alınmıştır, teşekkür ederiz.

Form gönderilirken hata oluştu lütfen daha sonra tekrar deneyiniz.

Küçük veya orta ölçekli işletmenizi geliştirin, büyütün ve cironuzu katlayın.

Self-servis toplu e-posta gönderim platformu euromsg express ile, kolay ve hızlı bir şekilde, karınızı katlayacak e-posta pazarlama kampanyaları oluşturun.
Tükçe ve kullanıcı dostu paneli, %100 güvenli, KVKK uyumlu ve IYS’ye entegre yapısı ile sözleşme ve taahhüt süreçleri olmadan hemen e-posta kampanyalarınızı oluşturmaya başlayın!

Okumaya devam edin…

Tüm bloglarımızdan anında haberdar olmak için e-bültenimize kayıt olun!

Kaydınız alınmıştır, teşekkür ederiz.

Form gönderilirken hata oluştu lütfen daha sonra tekrar deneyiniz.

Share This