Her geçen gün daha yaygın bir hale gelen phishing saldırısı hakkında bilmeniz gereken tüm bilgiler bu yazımızda sizlerle.
İnternet bizlere birçok farklı avantajı bir arada sunuyor. Artık yediden yetmişe herkes birer internet kullanıcı haline geldi.
İnternetin bizlere sunduğu bu muhteşem imkânların yanında bazı olumsuz yönleri de bulunmakta. Hiç kuşkusuz internet üzerinden gerçekleştirilen siber saldırılar bu olumsuz yönlerden bir tanesi.
İnternetin hayatımıza girdiği günden beri sürekli olarak saldırılara maruz kalıyoruz. Kişisel bilgilerimizi çalmak isteyen kişiler çeşitli yöntemlerle bizlere saldırıyorlar.
İngilizceden dilimize giren phishing kelimesi yapılan bu saldırıları özel olarak isimlendirmek amacıyla tercih ediliyor.
E-posta, SMS, sosyal medya ya da reklam paylaşımları ile birlikte internet kullanıcılarının şifrelerini, kredi kartı bilgilerini ya da kişisel bilgilerini çalma hamleleri kısaca phishing saldırısı olarak isimlendirilmektedir.
Saldırganlar herkes tarafından bilinen bir marka ya da kurum kimliğinde insanlara ulaşarak bu saldırıları yaparlar.
Spear Phishing Saldırısı Nedir?
Normal şartlar altında phishing saldırısı herhangi bir kişi belirlemeden direkt olarak tüm internet kullanıcılarını hedef alır. Belirli bir yerden elde edilen telefon numaralarına ya da mail adreslerine hazırlanmış olan phishing mesajları gönderilerek insanların kanması ve bilgilerini paylaşması beklenir.
Yapılan bu phishing saldırıları eğer bilinçli olarak bir kişiye yönlendiriliyorsa bu işlem spear phishing saldırısı olarak isimlendirilmektedir.
“Spear” kelimesi İngilizcede mızrak anlamına gelir ve mızrak tek bir kişiyi hedef alabildiğinden bu saldırı türü spear phishing olarak isimlendirilmektedir.
Gerçekleştirilen spear phishing saldırıları genellikle mal varlığının yüksek seviyede olduğu bilinen kişileri hedef almaktadır.
Önemli şirketlerin yöneticileri ya da CEO’ları bu saldırılara sürekli olarak maruz kalırlar.
Yapılan spear saldırıları internet kullanımı konusunda çok fazla bilgi sahibi olmadığı düşünülen kişilere de yönlendirilebilmektedir.
Özellikle belirli bir yaşın üzerinde olan kişiler bu saldırılarda hedef alınarak kolayca kandırılması amaçlanmaktadır.
Vishing Nedir?
Saldırganlar phishing saldırısı yaparken telefon kullanıyorlarsa bu saldırılar özel olarak vishing saldırısı olarak isimlendirilmektedir. Genellikle hedef önceden belirlenmiş bir kişi olacaktır.
Bu kişiler telefonla aranarak süreç başlar. Yapılan konuşmalarda her zaman duygusal tetikleyiciler kullanılmaktadır. Amaç her zaman çok kritik olan bilgileri çalabilmektir.
Yapılan bu saldırılarda her zaman yapılması gereken işlemlerin acil olduğundan bahsedilir. Kişinin bir araştırma yapmasına ya da yakınına danışmasına izin verilmez.
Birkaç dakika içerisinde kararını vermesi ve hiç zaman kaybetmeden işlemlere başlaması önerilir.
Saldırganlar tarafından belirtilen işlemlerin yapılmaması durumunda ciddi sonuçların ortaya çıkacağından bahsedilmektedir. Süreç bir aşamadan sonra korkuyla yönetilmeye başlar.
Saldırganlar oluşabilecek olan kötü sonuçlara karşı kişinin yanında olacağını ve ona yardım edeceğini belirtir. Bu aşamada saldırganlara karşı bir güven oluşacaktır.
Her geçen gün yapılan vishing saldırılarının sayısı arttığı için çok dikkatli olunması şarttır.
Phishing Saldırısı Kimleri Hedef Alıyor?
Sürekli olarak haberlerde ya da çeşitli sosyal medya mecralarında dolandırıcılık hikâyelerine rastlıyoruz. İnsanlar her zaman birikimlerini kaybettiklerinden yakınıyorlar.
İnsanlar sürekli olarak bu haberleri takip ederlerken kendilerinin böyle bir durum ile karşılaşmayacağını düşünüyor. Ancak hepimiz phishing saldırısı için potansiyel bir hedef konumundayız.
Çok yüksek seviyede birikimi olmayan kişiler kendilerine herhangi bir saldırı gelmeyeceğini düşünebilir. Ancak gerçekleştirilen phishing saldırısı her zaman belirli bir kişiyi hedef almadığından düşük birikimi olan ya da herhangi bir birikimi bulunmayan kişileri de yakalayabilir.
İnsanlar kredi kartı bilgilerinin çalınması sebebiyle yüksek seviyede borçlanabilirler.
Spear phishing saldırılarında ise hedef genellikle yüksek varlıklı ya da kolay kandırılabilir kişiler olacaktır.
Bu saldırılardan korunmak için atılması gereken adımların her zaman bilinmesi ve bilinçli bir şekilde adımlar atılarak mal varlığının korunması gerekir.
Phishing Saldırısı Nasıl Yapılır?
Phishing saldırısından korunabilmek için saldırının nasıl yapıldığı konusunda bilgi sahibi olunması çok önemlidir. Gelen saldırılarda her zaman bir kurum ya da firmanın arkasına saklanılmaktadır.
Kurumların ya da firmaların gönderdiği mailler bire bir kopyalanır ve saldırılacak olan insanlara mail yoluyla gönderilir. İnsanlar mailde bulunan linke tıkladıkları anda ağa düşmüş olurlar.
Sonrasında kendilerinden istenen kişiler bilgileri girmesi tam anlamıyla bir facia olacaktır.
Bankalar phishing saldırısı yapılırken sıklıkla kullanılan kurumlardır. Bankaların gerçekleştirdiği bir kampanya ile birlikte kişinin büyük fırsatlar elde edebileceği belirtilir.
Bu avantajlar için kredi kartı bilgileri talep edilir ve kişiler bu bilgileri paylaşarak saldırganların tüm ihtiyaçlarını karşılamış olur.
Gelen maillerin hangi adreslerden gönderildiği konusunda net bir bilgiye sahip olmanız şarttır. Bankaların ya da firmaların kullandıkları mail adresleri net bir şekilde bellidir.
Benzer bir şekilde sosyal medya platformlarında resmi hesaplar da rahatlıkla görülebilir. Bu tarz bir paylaşım söz konusu değilse kesinlikle bir bilgi paylaşımına gidilmemelidir.
Phishing Saldırısı Örnekleri Neler?
Phishing saldırıları için birkaç örnek vermek sürecin doğru bir şekilde anlaşılması adına son derece önemlidir. İlk olarak bankaları kullanarak yapılan bir phishing saldırısını örnekleyelim.
Mail adresinize giriş yaptığınızda Ziraat Bankası tarafından sizlere bir mail gönderildiğini görürsünüz. Maile tıkladığınızda kredi kartınızı yenilerseniz 2000 TL tutarında ikramiye kazanacağınızı belirten bir kampanya afişi ile karşılaşırsınız.
Afişte yer alan bağlantıya tıklayarak hemen kredi kartı yenileme işlemlerine başlayabileceğiniz belirtilir.
Mailin hangi adresten gönderildiğine bakarsanız “musteri-hizmetleri@ziratbankası.com“ adresi gibi bir adres ile karşılaşırsınız. Adres size son derece resmi gözükebilir.
Ancak “Ziraat Bankası” kelimesinde iki adet “a” kullanılırken size yapılan phishing saldırısı içerisinde tek “a” ile yazılan “Zirat Bankası” tabiri bulunmaktadır. Bu da mailin sahte bir hesaptan gönderildiğini gösterir.
Gerçekten de Ziraat Bankası kullanıcısıysanız bağlantıya tıklayarak yenilemek istediğiniz kredi kartınızın bilgilerini girersiniz.
Bilgiler girildiğinde artık saldırganlar her şeyi elde etmiş olurlar. Eğer kredi kartınız internet alışverişine açıksa rahatlıkla içerisinde tüm bakiye çekilecektir.
İkinci bir phishing saldırısı örneği vermek gerekirse kredi kartı yıllık ücret iadesi konusunda yapılan saldırılar örnek gösterilebilir. Sosyal medya platformlarında gezinirken karşınıza bir reklam gelir.
Reklamda 6222 sayılı yasa gereği kredi kartı yıllık ücretlerinin bankalardan talep edilebileceği ve bunun için hemen linkle tıklayarak işlemleri başlatmanızın gerekli olduğu belirtilir.
Yapılan reklam paylaşımlarında da her zaman hesabın kullanıcı adına çeşitli hatalar bulunmaktadır. Paylaşım Cumhur Başkanlığı ya da İç İşleri Bakanlığı tarafından yapılmış gibi gösterilir.
Profil fotoğrafları direkt olarak bu kurumlara aittir. Kullanıcı adında ise küçük hileler bulunur ve bu hiç dikkat çekmez.
Yıllık kart ücretlerini almak için bilgilerinizi girdiğiniz anda tüm bakiyeniz yok olmuş olacaktır.
Phishing Saldırısından Korunmak İçin Ne Yapılmalı?
Yapılan saldırılardan korunmak için bilinçli bir şekilde hareket etmek şarttır. Aşağıda belirteceğimiz maddeleri aklınızdan kesinlikle çıkarmamanız gerekiyor.
- Mail adresinizin şifresini diğer şifrelerden farklı bir şifre yapmalısınız.
- Hiçbir kurum ya da firmanın sizlerden kişisel bilgilerinizi talep etmeyeceğini bilin.
- Kredi kartı bilgilerinizi hiçbir şart altında paylaşmamanız gerekiyor.
- Kredi kartınızı internet kullanımına kapatın ve yalnızca kullanacağınız zaman açın.
- Şüpheli görünen mail adreslerinin maillerini açmayın.
- Şüpheli görünen bağlantı linklerine kesinlikle tıklamayın.
- Mal varlığınızı kaybedeceğiniz ya da hapis cezası alacağınızı belirten telefon görüşmelerini dikkate almayın.
- Sosyal medyada yer alan cezbedici reklamlara tıklamadan önce böyle bir kampanyanın olup olmadığını Google üzerinden araştırın.
Eğer her zaman bu maddelere dikkat ederseniz phishing saldırısı mağduru olmanız son derece zor olacaktır.