Phishing, günümüzde çok yaygın olan bir siber saldırı türüdür. Phishing, yani oltalama
saldırısı password ve fishing kelimelerinin bir araya gelmesiyle oluşturulmuştur ve bu saldırı isminden de anlaşılacağı gibi bir nevi olta atıp parola yakalamak anlamına geliyor. Oltayla parola yakalama işlemi, bir sahte kurumsal kimlik oluşturularak dolandırıcıların rastgele kullanıcı hesaplarına çoğunlukla e-posta yoluyla gönderdikleri bir çevrimiçi saldırı türüdür.
Gönderilen e-postalar bilindik web sitelerinden, kullanıcının bankasından, kullanıcının telefon firması veya internet firmasından gönderilmiş gibi gözükür. Çeşitli işlemler yapabilmek için, örneğin hesapları güncelleyebilmek için kredi kartı numarası, kart şifresi veya annenizin kızlık soyadı gibi kişisel bilgiler kullanıcılardan alınmaya çalışılır. Bu gönderilmiş olan e-mailde bu tür bilgilerin girilmesi için bir URL adresi bulunur.
Bu adres kullanıcıyı o firmaya tıpatıp benzeyen sahte bir siteye yönlendirir ve kullanıcılardan da bu siteye gittiklerinde phishing saldırısını yapan kişiye iletilmek üzere yukarıda bahsedilen kişisel bilgilerin girilmesi istenir. Bu bilgiler kullanıcı tarafından girildiği anda kullanıcının banka hesap bilgileri veya farklı kişisel bilgileri dolandırıcılar tarafından çalınmış olur. Bu saldırıyı yapan kişiler oltaya yem takar gibi kullanıcıları tuzağa düşürmek için çeşitli aldatmacalar hazırlar ve kullanıcıların oltaya takılmasını beklerler.
Phishing Saldırılarıyla Nelerin Çalınması Amaçlanmaktadır?
Phishing yöntemi kullanarak bilgisayar kullanıcılarını dolandıran saldırganlar genel olarak aşağıdaki bilgilere ulaşmayı hedeflemektedirler.
Kullanıcı hesap numaraları
Kullanıcı şifreleri
Kredi kartı numaraları
Phishing E-Posta İle Dolandırma Yöntemleri
E-postanıza devamlı irtibat halinde olduğunuz kuruluşlardan gönderiliyormuş izlenimi
verilerek sahte bir e-posta gönderiliyor. Bu e-postada kullanıcının kullanıcı şifresinin
süresinin dolduğundan bahsediliyor ve mailde bulunan URL den kullanıcı şifresinin
girilip değiştirilmesi isteniyor. Kullanıcı bu şifreyi girdiği anda dolandırıcı bu şifreleri
kullanarak internet aracılığıyla para transferi, alışveriş yapma, adınıza bağış toplama
vb. işler yapıyor.
Bazı e-postalarda kullanıcıya üyesi olduğu bir kurumun yaptığı çekiliş sonucunda
büyük bir ödül kazandığından bahsediliyor ancak ödülü teslim alabilmek için bazı kişisel bilgiler isteniyor. Dolandırıcılar bu sayede yine kullanıcının hesap bilgilerini
çalarak yukarıdaki gibi çeşitli işlemler gerçekleştirebiliyor.
Bir başka kullanılan teknikte ise; gelen e-postada müşteriye kişisel bilgilerinin
güncellenmesi gerektiği söyleniyor ve yine yollanan URL ye kişisel bilgiler ve
şifrelerin girilmesi ve değiştirilmesi isteniyor.
Bir başka yöntem ise; gelen e-postada kullanıcının internet kotasının dolduğu, eğer
bilgilerini güncellenmez ise internet hesabının kapatılacağı söylenir.
Mobil telefonlar ile para transferi yapılan sistemler kullanılarak banka müşterilerine
sanki kendi hesaplarına para gönderilmiş veya alınmış gibi gösterilip sahte banka
sitesi linki verilerek bu paranın tahsil edilebilmesi için kullanıcılardan bilgi istendiği
bilinmektedir.
Phishing Amaçlı Gönderilen E-Postalar ve Sahte Web Siteleri Nasıl Tespit Edilir?
E-posta tanınmış yasal bir siteden, finansal kurumdan, internet hizmet
sağlayıcısından mı geliyor? @den sonra gelen isme bakarak bunu rahatlıkla
anlayabilirsiniz.
Kişisel bilgileriniz mi isteniyor?
E-postada ya da web sitesinde yazım hataları var mı?
E-posta ya da yönlendirildiğiniz web sitesi sizi korkutmaya veya
heyecanlandırmaya çalışıyor mu? E-postadaki bir link aracılığıyla bir web sitesine yönlendirilmişseniz, tarayıcının üst kısmında yazan URL ile ziyaret ettiğinizi
düşündüğünüz şirketin URL adresi birbirine uyuyor mu?
Çevrimiçi Dolandırıcılıktan Korunmanın Yolları Nelerdir?
E-posta hesabınız için kullandığınız şifre ile diğer hesaplarınızdaki şifrelerin birbirinden farklı olmasına dikkat edin. Kişisel bilgilerinizin sizden istendiği e-postaların, doğru olup olmadığını tasdik etmeden yanıt vermeyin. Gelen e-postanın kimden geldiğinden emin değilseniz dikkate almayın. Unutmayın hiç bir kurum veya kuruluş e-posta yoluyla sizden kişisel bilgilerinizi talep etmez!