Phishing Nedir?
Phishing (oltalama – kimlik avı saldırısı), bir saldırganın gerçek bir kişi veya kurum gibi görünerek dolandırıcılık yaptığı (veya yapmaya çalıştığı) bir yöntemdir. Bu saldırganlar, phishing e-postaları kullanarak, kurbanlarının giriş bilgilerini, hesap numaralarını ve diğer hassas bilgilerini elde etmek için kötü amaçlı bağlantılar veya ekler gönderebilirler.
Bilgisayarların güvenlik sistemlerini çalışmaktansa, insanları kandırmak çok daha kolay olduğundan, phishing saldırıları siber suçlar arasında oldukça popülerdir.
Phishing hakkında bilgi sahibi olmak, bu tür saldırıları tespit etmeye ve önlemeye yardımcı olabilir.
Phishing Saldırısı Nasıl Yapılır?
Phishing, sosyal mühendislik tekniklerini kullanarak, başka bir kişiymiş gibi davranarak hassas bilgileri ifşa ettiren bir siber güvenlik saldırısıdır. Bu tür saldırılar, genellikle e-posta, sosyal medya ve SMS (kısa mesaj servisi) gibi elektronik iletişim yöntemleri aracılığıyla gerçekleştirilir.
Saldırganlar, LinkedIn, Facebook ve Twitter gibi halka açık bilgi kaynaklarını kullanarak kurbanın kişisel bilgilerini, iş geçmişini, ilgi alanlarını ve aktivitelerini toplarlar. Bu bilgiler, potansiyel kurbanların isimlerini, iş unvanlarını ve e-posta adreslerini ortaya çıkarmak için kullanılır. Saldırganlar, topladıkları bu bilgileri kullanarak oldukça inandırıcı phishing e-postaları hazırlarlar.
Genellikle, bir kurban, tanıdık bir kişiden veya kuruluştan gelmiş gibi görünen bir mail alır. Saldırı, kurban kötü amaçlı bir dosya ekine tıkladığında veya kötü amaçlı bir web sitesine bağlanan bir bağlantıya tıkladığında gerçekleştirilir.
Her iki durumda da saldırganın amacı, kullanıcının cihazına zararlı yazılım yüklemek ya da kurbanı sahte bir web sitesine yönlendirmektir. Sahte web siteleri, kurbanları şifreler, hesap kimlikleri veya kredi kartı bilgileri gibi kişisel ve finansal bilgileri ifşa etmeleri için kandırmak üzere tasarlanmıştır.
Birçok phishing e-postası kötü yazılmış ve açıkça sahte olsa da, siber suçlular phishing saldırılarını daha gerçekçi göstermek için yapay zeka (AI) araçları ve chatbotlar gibi teknolojileri kullanıyorlar.
Diğer phishing girişimleri ise telefon aracılığıyla yapılabilir; burada saldırgan, kişisel bilgileri elde etmek için bir çalışan gibi davranır. Bu mesajlar, kurbanın yöneticisinin veya başka bir yetkilinin yapay zeka tarafından üretilmiş sesiyle kurbanı daha da kandırmak için kullanılabilir.
Bir Phishing E-postasını Nasıl Tanıyabilirsiniz?
Başarılı phishing maillerinin, gerçek maillerden ayırt edilmesi zor olabilir. Genellikle tanınmış bir şirketten gelmiş gibi görünürler ve şirket logoları ve diğer tanımlayıcı verileri bile içerirler. Ancak, bir mailin phishing girişimi olduğunu gösteren birkaç ipucu vardır.
– Mail, alt alan adları (subdomain), yanlış yazılmış URL’ler veya şüpheli URL’ler kullanır.
– Alıcı, kurumsal bir e-posta adresi yerine Gmail gibi bir genel e-posta adresi kullanır.
– Mail, korku yaratmak ya da aciliyet hissi uyandırmak için yazılmıştır.
– Mail, finansal bilgiler veya şifre gibi kişisel bilgileri doğrulamanızı ister.
– Mail, kötü yazılmıştır ve yazım veya dilbilgisi hataları içerir.
Phishing Saldırılarının Farklı Türleri Nelerdir?
Siber suçlular, mevcut phishing becerilerini sürekli geliştirir ve yeni phishing dolandırıcılık türleri yaratır. Yaygın phishing saldırı türleri şunlardır:
Spear Phishing
Spear Phishing, Belirli bireylere veya şirketlere yöneltilmiş saldırılardır. Bu saldırılar, kurbanı daha inandırıcı göstermek için özel olarak toplanmış verileri kullanır. Spear phishing e-postaları, kurbanın iş arkadaşları veya yöneticileri hakkında referanslar içerebilir ve kurbanın adı, konumu veya diğer kişisel bilgilerini kullanabilir.
Whaling
Whaling saldırısı, özellikle bir kuruluştaki üst düzey yöneticileri hedef alır ve büyük miktarda hassas veri çalmayı amaçlar. Saldırganlar, kurbanlarını daha detaylı bir şekilde araştırarak daha özgün bir mail hazırlar ve bu tür saldırılar genellikle büyük para ödemeleri yapma yetkisi olan çalışanları hedef alır.
Pharming
Pharming, kullanıcıları gerçek ve yasal bir web sitesinden sahte bir siteye yönlendirmek için domain name system (DNS) önbellek zehirlemesi (dns poisoning) kullanır. Pharming, kullanıcıları sahte siteye giriş yapmaları için kandırmaya çalışır.
Clone Phishing
Daha önce gönderilmiş ama yasal ve gerçek olan e-postaları kullanır. Saldırganlar, yasal ve gerçek e-postayı kopyalarakiçindeki linkleri veya ekleri kötü amaçlı olanlarla değiştirir. Bu teknik, genellikle bir saldırganın başka bir kurbanın sistemini ele geçirdiğinde kullanılır.
Evil Twin Saldırıları
Bu saldırılar, kullanıcıları yasadışı bir Wi-Fi ağına bağlanmaları için kandırır. Saldırganlar, gerçek ağın sinyalini kopyalar ve aynı adı kullanır. Kurban “evil twin”e bağlandığında, saldırganlar kurbanın cihazlarına gelen ve giden tüm iletileri ele geçirebilir.
Voice Phishing (Vishing)
Sesli medya üzerinden gerçekleştirilen phishing türüdür ve VoIP (voice over IP) veya geleneksel telefon hizmeti kullanır. Bu tür saldırılar, konuşma sentezi yazılımı kullanarak kurbanlara bankada veya kredi hesabında şüpheli faaliyet bildiren sesli mesajlar bırakır.
SMS Phishing (Smishing)
Mobil cihazlara yönelik phishing saldırısıdır ve kısa mesajları kullanarak kurbanları hesap bilgilerini ifşa etmeye veya kötü amaçlı yazılım yüklemeye ikna eder. Kurban genellikle bir bağlantıya tıklamaya, bir numarayı aramaya veya bir e-posta göndermeye yönlendirilir.
Calendar Phishing
Sahte takvim davetleri göndererek kurbanları kandırmaya çalışır. Bu tür saldırılar, otomatik olarak takvime eklenebilen ve kötü amaçlı bir bağlantı içeren yaygın bir etkinlik davetine benzemeye çalışır.
Page Hijack
Kurbanları ziyaret etmek istedikleri sayfanın kopyalanmış bir versiyonuna yönlendirir. Saldırganlar, sahte siteye kötü amaçlı yazılım ekler ve kurbanı bu siteye yönlendirir.
Bu yöntemler, siber suçluların sürekli olarak geliştirdiği ve çeşitlendirdiği phishing tekniklerinden sadece birkaçıdır. Phishing’e karşı dikkatli olmak ve bilinçli hareket etmek, bu tür saldırılardan korunmanın en temel yollarıdır.
Phishing Teknikleri
Phishing saldırıları, yalnızca kurbanlara e-posta gönderip kötü amaçlı bir bağlantıya tıklamalarını veya kötü amaçlı bir eki açmalarını umut etmekten daha fazlasını içerir.
Saldırganlar, kurbanlarını tuzağa düşürmek için aşağıdaki teknikleri kullanabilirler:
URL Spoofing: Saldırganlar, tarayıcının adres çubuğuna gerçek bir URL’nin görselini yerleştirmek için JavaScript kullanır. Gömülü bir bağlantının üzerine gelindiğinde URL görünür ve JavaScript kullanılarak değiştirilebilir.
Link Manipülasyonu: Sıklıkla URL saklama olarak da bilinen bu teknik, birçok yaygın phishing türünde kullanılır. Saldırganlar, gerçek bir siteye veya web sayfasına bağlanıyormuş gibi görünen bir kötü amaçlı URL oluştururlar, ancak gerçek bağlantı kötü amaçlı bir web kaynağına yönlendirir.
Link Kısaltma: Saldırganlar, Bitly gibi bağlantı kısaltma hizmetlerini kullanarak bağlantı hedefini gizleyebilirler. Kurbanlar, kısaltılmış URL’nin meşru bir web sitesine mi yoksa kötü amaçlı bir siteye mi yönlendiğini bilme şansına sahip olmazlar.
Homograph Spoofing: Bu saldırı türü, güvenilir bir alan adını okuyormuş gibi görünen farklı karakterler kullanılarak oluşturulan özel URL’lere dayanır. Saldırganlar, iyi bilinen alan adlarına çok benzeyen ancak biraz farklı karakter setleri kullanan domainler kaydedebilirler.
Grafiksel Gösterim: Bir mailin tümünü veya bir kısmını grafiksel bir görüntü olarak göstermek, saldırganların phishing savunmalarını atlatmasını sağlar. Bazı güvenlik ürünleri, phishing e-postalarında yaygın olan belirli ifadeleri veya terimleri tarar. Maili bir görüntü olarak sunmak, bu taramayı atlatır.
Gizli Yönlendirme: Saldırganlar, kurbanları başka bir web sitesine bağlanmalarını doğrulamalarını isteyen güvenilir bir kaynağa yönlendirerek kişisel bilgilerini vermelerini sağlamak için kandırır. Yönlendirilen URL, kurbanın kimlik doğrulama bilgilerini isteyen kötü amaçlı bir ara sayfadır. Bu, kurbanın tarayıcısını gerçek siteye yönlendirmeden önce gerçekleşir.
Chatbotlar: Saldırganlar, phishing e-postalarında yaygın olarak görülen dil bilgisi ve yazım hatalarını gidermek için Yapay Zeka (AI) destekli chatbotlar kullanır. AI chatbot kullanan phishing e-postaları, phishing maillerini daha karmaşık ve gerçekçi hale getirerek tespit edilmesini zorlaştırabilir.
AI Ses Üreticileri: Saldırganlar, AI ses üretici araçları kullanarak telefon görüşmelerinde kişisel bir otorite veya aile üyesi gibi ses çıkarabilirler. Bu, phishing girişimini daha da kişiselleştirir ve başarılı olma olasılığını artırır. Saldırganlar, kurbanın yöneticisinin veya bir aile üyesinin küçük bir ses kaydını kullanarak yeterli ses örneğine sahip olabilirler.
Bu teknikler, siber suçluların phishing saldırılarını daha inandırıcı ve etkili hale getirmek için kullandıkları yöntemlerden sadece birkaçıdır.
Bu tür saldırılara karşı dikkatli olmak ve bilinçli hareket etmek, phishing tehlikesine karşı korunmanın en etkili yollarıdır.
Phishing’i Önlemek için Neler Yapabilirsiniz?
Phishing maillerinin son kullanıcılara ulaşmasını önlemek için uzmanlar, güvenlik kontrollerini katmanlı hale getirmeyi ve aşağıdaki araçları kullanmayı öneriyor:
- Antivirüs Yazılımı: Zararlı yazılımları tespit eder ve etkisiz hale getirir.
- Masaüstü ve Ağ Güvenlik Duvarları: Yetkisiz erişimleri engeller.
- Antispyware Yazılımı: Casus yazılımları tespit eder ve kaldırır.
- Antiphishing Araç Çubuğu: Web tarayıcılarına yüklenebilir ve phishing sitelerini tespit eder.
- Gateway Email Filter: Gelen e-postaları filtreler ve kötü amaçlı içeriği engeller.
- Web Güvenliği Geçidi: Kötü amaçlı web sitelerine erişimi engeller.
- Spam Filtresi: İstenmeyen e-postaları filtreler.
Kurumsal posta sunucuları, gelen e-postaların doğrulanabilir olduğundan emin olmak için en az bir e-posta kimlik doğrulama standardı kullanmalıdır.
Bu, şifreli olarak imzalanmamış olan tüm mailler engellemeyi sağlayan DomainKeys Identified Mail (DKIM)protokolünü içerebilir. DMARC (Domain-based Message Authentication, Reporting and Conformance) protokolü de buna bir örnektir. DMARC, istenmeyen e-postaları daha etkili bir şekilde engellemek için protokolleri kullanma çerçevesi sunar.
Çalışanlar, phishing teknikleri ve bunları nasıl tespit edecekleri konusunda doğru bir şekilde eğitilmelidir. Tanımadıkları birinden gelen bağlantılara, ek dosyalara tıklamamaları veya şüpheli e-postaları açmamaları konusunda uyarılmalıdırlar. Bu tür eğitimler, kurumun phishing saldırılarına karşı direncini artırmada kritik bir rol oynar.
Phishing Örnekleri
Phishing dolandırıcılıkları pek çok farklı şekil ve boyutta olabilir. Kullanıcılar, dolandırıcıların son zamanlarda başvurduğu bazı modern phishing yöntemlerini bilerek daha güvende, dikkatli ve hazırlıklı olabilirler.
Dijital Ödeme Sistemi Tabanlı Dolandırıcılıklar
Bu dolandırıcılıklar, büyük ödeme uygulamaları ve web sitelerinin phishing kurbanlarından hassas bilgileri elde etmek için sahte olarak kullanılmasını içerir. Bu türde bir phishing saldırısı, PayPal veya Wise gibi bir online ödeme hizmeti olarak kendini gösterir. Genellikle, bu saldırılar e-posta yoluyla gerçekleştirilir; burada güvenilir bir ödeme hizmetinin sahte bir versiyonu kullanıcının giriş bilgilerini ve diğer kimlik bilgilerini doğrulamasını ister.
Saldırganlar, genellikle bu bilgilerin kullanıcının hesabıyla ilgili bir sorunu çözmek için gerekli olduğunu iddia ederler. Bu phishing girişimleri genellikle sahte bir sayfaya yönlendiren bir bağlantı içerir. PayPal, bu tehditlerin farkında olup kullanıcılarını phishing saldırılarına karşı hazırlıklı tutmak için bilgilendirme materyalleri yayınlamıştır. Bir kullanıcı, sahte bir online ödeme phishing e-postasını nasıl fark edeceğini bilmiyorsa bazı detaylara dikkat etmelidir.
Genel olarak, PayPal’ı taklit eden bir phishing e-postası şu özelliklere sahip olabilir:
– Kurbanın adını içermeyen garip selamlaşmalarla başlayabilir. PayPal’dan gelen resmi e-postalar her zaman kullanıcıları adı veya iş unvanı ile hitap eder. Bu tür phishing girişimleri genellikle “Dear user” gibi ifadelerle başlar.
– Bu dolandırıcılıklar, potansiyel kurbanlarına hesaplarının yakında askıya alınacağını bildirebilir. Diğerleri ise kullanıcıların yanlışlıkla fazla ödeme aldıklarını ve şimdi sahte bir hesaba para göndermeleri gerektiğini iddia eder.
– PayPal, kullanıcılarına indirilebilir ekler göndermez. Bu yüzden, bir kullanıcı PayPal’dan geldiğini iddia eden ve bir ek içeren bir e-posta alırsa, bu e-postayı indirmemelidir.
– Satıcılar, bu tür bir e-posta aldıklarında ödeme sayfalarını ayrı bir tarayıcı sekmesinde veya penceresinde açarak hesaplarında herhangi bir uyarı olup olmadığını kontrol etmelidirler. Eğer fazla ödeme alınmışsa veya hesap askıya alınmak üzereyse, bu durum sayfada belirtilir. Ayrıca, PayPal kullanıcılarına şüpheli aktiviteleri rapor etmelerini önerir.
Finans Tabanlı Phishing Saldırıları
Bu saldırılar, kurbanların panikleyip dolandırıcıya kişisel bilgilerini vermeleri üzerine kuruludur. Genellikle bu tür durumlarda, dolandırıcı bir banka veya finans kurumu gibi davranır. Bir e-posta veya telefon çağrısı ile potansiyel kurbanlarına güvenliklerinin tehlikede olduğunu bildirirler. Çoğu zaman, kimlik hırsızlığı tehdidi kullanılarak başarılı olunur.
Bu dolandırıcılıklara örnekler:
Para Transferleriyle İlgili Şüpheli E-postalar
Kurbanı şaşırtacak şekilde tasarlanmış e-postalardır. Bu phishing girişimlerinde, potansiyel kurban elektronik para transferi ile ilgili bir makbuz veya reddedilme e-postası alır. Kurban, hesabından sahte işlemler yapıldığını varsayarak maildeki kötü amaçlı bağlantıya tıklar. Bu, kişisel verilerinin ele geçirilmesine neden olur.
Hesap Dolandırıcılıkları
Genellikle yeni çalışanlara yönelik yapılır. Bu dolandırıcılıklarda, kurbana giriş bilgilerinin çalışmadığı bildirilir. Maaşının ödenmeyeceğinden endişe eden kurban, e-postadaki bağlantıya tıklar. Bu, kurbanın sistemine kötü amaçlı yazılım yükleyen bir sahte web sitesine yönlendirir ve ardından banka bilgilerinin çalınmasına neden olur.
İş ile İlgili Phishing Dolandırıcılıkları
Bu tür dolandırıcılıklar özellikle tehlikelidir çünkü kişiselleştirilmiş olabilir ve fark edilmesi zordur. Bu durumlarda, saldırgan, alıcının patronu, CEO’su veya CFO’su gibi davranarak kurbandan para transferi veya sahte bir satın alma talep eder.
Son birkaç yılda şirketlerin etrafında beliren bir dolandırıcılık türü, şifreleri toplama amacını taşır. Bu dolandırıcılık, genellikle üst düzey yöneticileri hedef alır çünkü bu kişilerin patronlarından gelen bir e-postanın dolandırıcılık olabileceğini düşünmeleri olası değildir.
Sahte e-posta, genellikle dikkat çekici konular olmaktan ziyade sıradan iş yeri konularından bahseder. Genellikle, kurbana planlanmış bir toplantının zamanlamasının değiştirilmesi gerektiğini bildirir.
Çalışandan, bir anketi doldurarak en uygun zamanı belirtmesi istenir ve bu anket kötü amaçlı bir bağlantı içerir. Bu bağlantı, kurbanı Microsoft Office 365 veya Microsoft Outlook için sahte bir giriş sayfasına yönlendirir. Çalışan giriş bilgilerini girdiğinde, dolandırıcılar şifreyi çalmış olurlar. Kötü niyetli saldırganlar ayrıca bir yönetici, CEO veya CFO olarak telefon yoluyla AI ses üretici kullanarak para transferi de talep edebilirler.
Çalışan bir iş işlemi gerçekleştirdiğini sanırken, aslında fonları saldırgana aktarmış olur. Bu modern phishing saldırılarına karşı dikkatli olmak, bilinçli olmak ve doğru önlemler almak, potansiyel mağduriyetleri önlemede büyük önem taşır.
