Phishing (Oltalama) Nedir? Nasıl Önlenir?

Hiç size başka bir ülkedeki bir prensten miras kaldığını belirten bir e-posta aldınız mı? Online alışveriş yaparken size ödemeyi yaptığını söyleyen ve sahte fatura yollayan oldu mu? Sizi bankadan arıyormuş gibi yapıp banka uygulaması şifrenizi isteyen oldu mu? Bunların hepsi birer Phishing (oltalama) saldırısı örneğidir.  

Phishing, sosyal mühendislik taktikleri ile bir kişinin yararına gibi gözüken fakat aksi sonuçlara sebep olan bir saldırı türüdür. 

1. E-postada Phishing

E-postada phishing (oltalama) en yaygın saldırı türlerinden biridir. Siber saldırganlar sosyal mühendislik taktikleri uygular ve ele geçirdikleri e-posta adresinize kötücül bir link veya dosya içeren bir e-posta yollarlar. 

Bu e-postalar hediye, kupon, miras kazandığınızı belirtebilir ve sizi içerikteki linke tıklamaya veya dosyayı indirmeye ikna etmeye çalışır. Söz konusu link yine siber saldırganlar tarafından hazırlanmış web sitelere sizi yönlendirir. Ekteki dosyalar ise fidye yazılımı gibi kötücül yazılımlar içerir ve indirdiğiniz veya dosyayı açtığınız anda bilgisayar veya benzeri cihazınızdaki bütün verilerinizi ele geçirir. Bu e-postalar resmi kurum veya kuruluşları taklit edebilir. 

Bir phishing e-mailini nasıl tanırsınız?

  • E-posta adresi: Bu e-postalarda gönderici adresi bir şirket taklit ediliyorsa o şirketin e-posta adresine benzer olabilir. E-posta adresi karmaşık rakam veya harfler içerebilir. Alıcı kısmında birden fazla e-posta adresi görebilirsiniz. 
  • Sahte logo: E-postada gerçeğini taklit eden sahte logolar görebilirsiniz. 
  • Kısaltılmış linkler: Kısaltılmış ve nereye yönlendirdiği belli olmayan linklere kesinlikle tıklamayın.
  • Dosya ekler: E-posta üzerinden herhangi bir belge beklemiyorsanız aldığınız hiçbir dosya ekini indirmeyin ve açmayın.

E-posta phishing saldırılarını önlemek için antivirüs kullanmayı ihmal etmeyin. Antivirüs programı e-maildeki kötücül yazılımları tarayarak engelleyebilir. Hesabınızın çalındığını veya şüpheli aktivite olduğunu belirten e-postalardaki linklere tıklamaktan kaçının. Hesaplarınızı kontrol etmeden e-posta içeriğine inanmayın. Phishing saldırılarında ilk adımın paniklemenizii sağlamak olduğunu unutmayın.  

2. HTTPS Phishing

HTTP adreslerin güvenli olmadığı artık birçok internet kullanıcısı tarafından biliniyor. Siber saldırganlar da artık hazırladıkları sahte web sitelerin HTTP yerine HTTPS olmasına dikkat ediyor. 

Instagram, Facebook, Twitter direkt mesaj üzerinden veya SMS ile aldığınız kısaltılmış linklere karşı dikkatli olun. Bu mesaj içerikleri alışverişlerde indirim kuponu kazanacağınızı ve tek yapmanız gereken şeyin telefon numaranızı girmek olduğunu belirtebilir. Linke tıkladığınızda akıllı telefon veya bilgisayarınıza kötücül yazılım indirilebilir. Telefon numaranızı bu gibi web sitelerde paylaştığınızda faturalı hat kullanıyorsanız hattınıza ücret yansıtılabilir. 

Sosyal medya platformları üzerinden tanıdığınız veya tanımadığınız kişilerden ansızın gelen kısa linklere tıklamayınız. Bu tür iletilen kampanya linklerine tıklamaktan kesinlikle kaçınınız.

3. Spear Phishing (Zıpkınla Oltalama)

Spear phishing yönteminde belirli hedef listesi vardır. Phishing saldırıları genelde rastgele ele geçirilen e-posta ve benzeri iletişim araçları üzerinden gerçekleştirilir. Spear phishing saldırısında belirli bir şirketin çalışanları hedeflenebilir. 

Örneğin, çalıştığınız şirkette çalışanların e-posta adresleri …@şirketismi.com gibi bir domaine sahiptir. Siber saldırganlar benzer e-posta adresi açabilir ve gönderen kişinin şirket çalışanı olduğunu düşünüp ticari veri ve bilgileri paylaşabilir, para transferi yapabilir ve finansal kayba sebep olabilirsiniz. 

4. Vishing (Sesli Oltalama)

Vishing saldırı türünde aranılan kişide strese sebep olacak senaryolar gerçekleştirilir. Aranılan kişi panik olur ve bu aramalarda kişinin genellikle para transferi, banka bilgilerinin paylaşımı gibi finansal kayıplarla sonuçlanacak eylemler gerçekleştirmesi sağlanır.

Gizli numaradan arayan telefonları cevaplamayınız. Sizden banka uygulama şifrenizi veya bir hesaba para transferi yapmanızı tehditle isteyen kişilere inanmayınız. Bu aramaları hemen sonlandırıp otoritelere ihbarda bulununuz.