Phishing, bireysel olarak veya grup olarak yapılan, bir kişi veya kişileri aldatarak kişilerin bilgilerini ele geçirme yöntemidir.
Phishing Saldırısı
Phishing saldırıları bir kişi veya bir grup tarafından yapılır. Saldırı bazen tek bir bireyi hedef alırken bazen rastgele olarak da gerçekleştirilebilir. Phishing saldırılarında genellikle kişiyi tuzağa düşürmek için bir e-mail veya web sayfası hazırlanır. Bu mail ve web sayfaları aracılığıyla kişilere ait online banka hesapları, kredi kartı bilgileri veya diğer değerli giriş bilgileri ele geçirilmeye çalışılır. Bu mailler ve özel olarak tasarlanan web siteleri daima içerisinde kandırmaya yönelik ögeler barındırır ve mümkün olduğunca kişilere ait kişisel bilgiler (İsim soy isim en yaygın olanıdır) kullanılır.
Bir Phishing Saldırısı Nasıl Analaşılır?
Şirket/Kurum: Bu saldırı tipinde genellikle yüzlerce mail aynı anda hedef gözetmeksizin gönderilir ve maili gönderen kişiler sizin hakkınızda herhangi bir bilgi sahibi değildir. Tek bildikleri şey sizin bu şirket veya kurum ile bir bağınızın olduğu veya olabileceğidir. Eğer mailinize buna benzer bir şirket veya kurum tarafından mail gönderiliyorsa bunun bir Phishing saldırısı olduğunu anlayabilirsiniz.
Gramer/Dil Kuralları: Phishing saldırılarında üst düzey bir gramer ve dil kuralı görülmez. Oysa gerçek kurum ve şirketler bu konuya büyük önem gösterir ve imkanları varsa bu metinleri yetenekli kişilere yazdırır.
Hiçbir Şirket İstemez: Mail veya web sitelerine yönlendirerek sizden bir hesaba giriş yapmanızı resmi hiçbir şirket veya firma talep etmez. Böyle bir mail veya linkle karşılaştığınızda bunun bir Phishing saldırısı olduğunu anlayabilirsiniz.
Belirgin ifadeler: Gönderilen e-mailler içerisinde mutlaka kullanıcı psikolojik baskı ve tedirginlik altında bırakılmak istenir. Bu nedenle söylenen işlemi 24 saat içerisinde yapmalısınız gibi belirgin ifadelere yer verilir.
Linkler: Yeni bilgisayar kullanıcıları ve online tehditlere karşı bilgisiz olan kullanıcılar linklerin alan adına ve SSL sertifikasına dikkat etmezler. Genellikle mail içerisinde size sunulan linkler asıl servisin benzeri bir linktir. Örneğin eBay ile yapılan Phishing saldırılarında ebay-account.com gibi linkler tercih edilir. Bu sitelerin tasarımları da bire bir asıl servise benzetilir.
Gelen Mail'in Phishing mi Gerçek mi Olduğu Nasıl Anlaşılır?
Elinize bir mail geldi ve bu mailin Phishing saldırısı olup olmadığı merak ediyorsunuz. Bu durumda yapmanız gerekenler aşağıdaki adımları takip etmektir.
Linklere asla tıklamayın: Gelen mailin Phishing olup olmamasını göz ardı edin ve mail içerisinde yer alan hiçbir linke tıklamayın. Eğer bunun gerçek bir bildiri olabileceğini düşünüyorsanız doğrudan web sitesini ziyaret ederek bu konuda hakkında size bir bildirim ulaşıp ulaşmadığını kontrol edin.
Hiçbir Kişisel Bilginizi Göndermeyin: Şartlar ne olursa olsun hiçbir banka veya internet sitesi sizden şifrenizi veya diğer kişisel bilgilerinizi mail aracılığıyla talep etmez. Bu nedenle kesinlikle kişisel bilgilerinizi mail ile göndermeyi düşünmeyin.
Tüm bunlara rağmen durumu hala şüpheli buluyorsanız hiçbir işlem yapmadan önce firmayı doğrudan arayarak elinize ulaşan maili gönderip göndermediklerini sorun.
Phishing Yapma
Phishing saldırılarını her yeni çekilen film gibi düşünün. Bir kısmı daha önceden izlediğiniz filmlere benzerken bir kısmı gerçekten benzersiz filmler olabilir. Bu durum tamamıyla Phishing saldırısını yapmakta olan kişilerin hayal gücüne bağlıdır. Phishing saldırısı maille yapıldığında senaryolar çoğu zaman benzerdir;
Hesap Problemleri: Hesabınızın kullanım tarihinin dolmuş olması, hesabınızın geçici olarak askıya alındığı gibi problemlerin asıl konu olduğu mailler gönderilir. Bu maillerde kullanıcının doğrudan şifresi maille istenebileceği gibi sahte bir şifre sıfırlama sayfası aracılığıyla da kullanıcının şifresi ele geçirilebilir.
Kredi Kartı veya Diğer Bilgiler: Kredi kartı bilgilerindeki hatalar veya kredi kartınızın internet korsanları tarafından kullanılmasıyla ilgili benzer senaryolar oluşturulur. Bazen kart bilgileri bazen de kullanıcının diğer bilgileri istenebilir.
Kazanılan Çekilişi Onaylama: Hiç katılmadığınız bir çekilişten kazandığınız para veya ürünle ilgili senaryolardır. Kişisel bilgileriniz veya kredi kartı bilgilerinizi ele geçirmek için yapılır.
En çok Phishing Saldırısının Yapıldığı Alanlar:
- Herhangi bir Banka
- Popüler web siteleri; Facebook, Twitter, PayPal, eBay, Hotmail, YouTube vb.
- Resmi Kurumlar: Polis, Gizli Polisler, Terör Birimleri
Kaynak: https://wmaraci.com/nedir/phishing
Hiç yorum yok:
Yorum Gönder