Phishing Nedir, Nasıl Yapılır?

 Phishing Nedir, Nasıl Yapılır?

İngilizce “Password Fishing” kelimelerinden türetilmiş Phishing nedir, Oltalama’nın amacı nedir, Phishing nasıl anlaşışır ve Phishing’den nasıl korunulur?

Oltalama Phishing nedir?

PhishingPassword” (Şifre) ve “Fishing” (Balık avlamak) sözcüklerinin birleştirilmesiyle oluşturulan Türkçe’ye  yemleme (oltalama) olarak çevrilmiş bir saldırı çeşididir.

Phishing Saldırısında kurbanlara, onları kandırmak, hile ile tuzağa düşürmek ve saldırmak için tasarlanmış e-postalar gönderilir, e-posta yoluyla kişilere ulaşılarak onlardan şifreleri ve kredi kartı bilgileri gibi hassas veriler alınmaya çalışılır.

Oltalama Phishing’in amacı nedir?

Yemleme yöntemi kullanarak bilgisayar kullanıcılarını kandıran saldırganlar genell’kle aşağıdaki bilgilere erişmeyi hedeflemektedirler.

  • Kullanici hesap numaraları
  • Kullanici şifreleri ve parolaları
  • Kredi kartı numaraları
  • İnternet bankacılığında kullanılan kullanıcı kodu ve şifreleri vb.

Phishing Saldırısı nasıl anlaşılır ?

Şirket/Kurum: Bu saldırı tipinde genellikle yüzlerce mail aynı anda hedef gözetmeksizin gönderilir ve maili gönderen kişiler sizin hakkınızda herhangi bir bilgi sahibi değildir. Tek bildikleri şey sizin bu şirket veya kurum ile bir bağınızın olduğu veya olabileceğidir. Eğer mailinize buna benzer bir şirket veya kurum tarafından mail gönderiliyorsa bunun bir Phishing saldırısı olduğunu anlayabilirsiniz.

Gramer/Dil Kuralları: Phishing saldırılarında üst düzey bir gramer ve dil kuralı görülmez. Oysa gerçek kurum ve şirketler bu konuya büyük önem gösterir ve imkanları varsa bu metinleri yetenekli kişilere yazdırır.

Hiçbir Şirket İstemez: Mail veya web sitelerine yönlendirerek sizden bir hesaba giriş yapmanızı resmi hiçbir şirket veya firma talep etmez. Böyle bir mail veya linkle karşılaştığınızda bunun bir Phishing saldırısı olduğunu anlayabilirsiniz.

Belirgin ifadeler: Gönderilen e-mailler içerisinde mutlaka kullanıcı psikolojik baskı ve tedirginlik altında bırakılmak istenir. Bu nedenle söylenen işlemi 24 saat içerisinde yapmalısınız gibi belirgin ifadelere yer verilir.

Linkler: Yeni bilgisayar kullanıcıları ve online tehditlere karşı bilgisiz olan kullanıcılar linklerin alan adına ve SSL sertifikasına dikkat etmezler. Genellikle mail içerisinde size sunulan linkler asıl servisin benzeri bir linktir. Örneğin eBay ile yapılan Phishing saldırılarında ebay-account.com gibi linkler tercih edilir. Bu sitelerin tasarımları da bire bir asıl servise benzetilir.

Phishing saldırılarından korunma yolları

Bu tip saldırılara karşı korunmanın yolu konu hakkında bilgi sahibi bilgisayar kullanıcı olmaktan geçmektedir. Bir yemleme saldırısına maruz kaldığınızda öncelikle yetkili mercileri bu konuda bilgilendirerek bu hususta önlem alınmasına ve saldırganların yakalanmasına katkıda bulunabilirsiniz.

  • Spam filtrelerini kullanın.

Phishing saldırısı amacıyla gönderilen e postaları engellemenin ilk yolu, e posta ve diğer mesaj uygulamalarınızın spam filtrelerini aktif hale getirmek olacaktır. Bu spam filtreleri genelde bütün mesajlaşma uygulamalarında ve e posta hizmetlerinde bulunur ve e postanın veya mesajın içeriği ile bunları gönderen kişiyi kontrol ederek spam olup olmadığını algılayan bir algoritmaya sahiptir.

Spam filtreleri her zaman yüzde yüz olarak doğru sonucu vermez ve bazı gerçek e posta ve mesajlar da spam kutusuna düşebilir ancak genelde Phishing saldırısı amacıyla gönderilen e posta ve mesajların çoğu spam filtrelerine takılacaktır. Dolayısıyla yapmanız gereken ilk şey, eğer spam filtreleri açık değilse bu filtreyi aktif hale getirmektir.

  • Linklere tıklarken dikkatli olun.

Yaygın Phishing yöntemlerini açıklarken belirttiğimiz gibi gönderilen mesajlardaki linkler düzgün gibi gözükse de yanıltıcı olabiliyor. Dolayısıyla herhangi bir linke tıklamadan önce linki iyice kontrol etmeniz gerekiyor. Herhangi bir harf değişikliği var mı, adres doğru mu gibi detayları kontrol ettikten sonra eğer hala içinizde şüphe varsa, size gönderilen linkin resmi sayfasına Google aracılığıyla ulaşın ve daha sonra gerekli adımları izleyerek size gönderilen linkteki kısma giriş yapın.

Bunun yanı sıra internet sitelerinin güvenli olup olmadığını belirleyen SSL sertifikasına dikkat edin. Bu sertifikaya sahip tüm internet siteleri “https” ile başlar ve güvenilirdir. Eğer https değil de “http” görürseniz, o siteye giriş yapmamalısınız. Çoğu tarayıcı bu tarz sitelere girişi otomatik olarak engeller ancak kullanıcı olarak sizin de dikkatli olmanız gerekiyor.

  • Göndereni kontrol edin

Phishing saldırılarında gönderilen e posta ve mesajlar, genelde çalıştığınız şirketteki birinden veya içerisinde bulunduğunuz bir organizasyon tarafından gönderilmiş gibi gösterilmek için özel e posta adreslerinden gönderilir. Bu tarz e posta adreslerine inanıp güvenmeden önce birkaç aşamadan geçirin ve güvenilir olup olmadığını kontrol edin.

  • Cihazlarınızı sürekli güncel tutun

Bilgisayarınızın güncellemelerini yapmayı ihmal etmeyin. Ayrıca güncel ve kaliteli bir anti virüsler programı kullanın.

Spear Phishing nedir?

Spear Phisging hedefli oltalama saldırıları olarak tanımlanır. Amaç siber korsanlar tarafından seçilen kurbanların mahrem bilgilerin, finansal verilerini, banka hesapları gibi benzeri kritik verilerin çalınmasıdır. Rastgele kurban seçilebileceği gibi bir kişi veya kurum da hedef alınabilir. Bu durum phishing saldırılarının kurbana göre özelleştirilerek hazırlanmasını gerektirmektedir.

Vishing nedir?

Vishing, telefonla gerçekleştirilen phishing saldırıları için kullanılan teknik bir kavramdır. Hedef net olarak belirlenerek, doğrudan kurbana ulaşılır. Telefon ile yapılan bu saldırı türünde duygusal tetikleyiciler kullanılır. Vishing saldırılarına örnek olarak teknik destek dolandırıcılığı verilebilir. Her iki tür phishing saldırısında da ana amaç kullanıcıdan kritik bilgileri çalabilmektir.

Sıkça Sorulan Sorular

Phishing “Password” (Şifre) ve “Fishing” (Balık avlamak) sözcüklerinin birleştirilmesiyle oluşturulan Türkçe’ye yemleme (oltalama) olarak çevrilmiş bir saldırı çeşididir.
Phishing Saldırısında kurbanlara, onları kandırmak, hile ile tuzağa düşürmek ve saldırmak için tasarlanmış e-postalar gönderilir, e-posta yoluyla kişilere ulaşılarak onlardan şifreleri ve kredi kartı bilgileri gibi hassas veriler alınmaya çalışılır.

Spear Phisging hedefli oltalama saldırıları olarak tanımlanır. Amaç siber korsanlar tarafından seçilen kurbanların mahrem bilgilerin, finansal verilerini, banka hesapları gibi benzeri kritik verilerin çalınmasıdır. Rastgele kurban seçilebileceği gibi bir kişi veya kurum da hedef alınabilir. Bu durum phishing saldırılarının kurbana göre özelleştirilerek hazırlanmasını gerektirmektedir.

Vishing, telefonla gerçekleştirilen phishing saldırıları için kullanılan teknik bir kavramdır. Hedef net olarak belirlenerek, doğrudan kurbana ulaşılır. Telefon ile yapılan bu saldırı türünde duygusal tetikleyiciler kullanılır. Vishing saldırılarına örnek olarak teknik destek dolandırıcılığı verilebilir. Her iki tür phishing saldırısında da ana amaç kullanıcıdan kritik bilgileri çalabilmektir.

Yapılan Yorumlar
Bir Yorum Yapın