Kimlik avı dolandırıcılığı nedir? Kişisel verilerinizi kimlik avı dolandırıcılarına tepsiyle sunmayın!

Yeni olmayan ama zamanla gelişen bu saldırılar güvenlik önlemlerini geçebilmektedir. Güvenilir kişinin/şirketin/kurumun taklit edilmesiyle düzenlenen bu saldırıların mağduru olmamak için birlikte Phishing hakkında bilgi edinelim.

Kimlik avı nedir?

Siber suçlar arasında popüler olarak görülen ve bir sahtekârlık biçimi olan kimlik avı, saldırganın farklı iletişim kanallarında güvenilir bir kişi ya da internet sitesi gibi davranarak mağdurun kimlik bilgilerini / hesap bilgilerini almasıdır. Bir kişi, kişisel bilgilerinizi internet üzerinde paylaşmanız için sizi kandırmaya çalışıyorsa bu bir kimlik avı saldırısıdır (https://support.google.com/mail/answer/8253?hl=tr). Bu saldırılar, oltalama saldırısı olarak bilinen Phishing olarak da anılır. Kimlik hırsızlığının yapıldığı bu saldırıda saldırganlar, iletişim bilgileri, kullanıcı adları, kredi kartı bilgileri ve şifreleri gibi önemli bilgileri almak için farklı yazılımlar kullanmaktadır. Tarihte birçok örneği bulunan kimlik avı saldırıları, teknolojik alt yapılarla güncellenerek her dönemde etkili olmuştur. Bu sebeple günlük hayatta internete bağlı kullanılan akıllı telefonlar, bilgisayarlar saldırılara açık hale gelmektedir.

Kimlik avı saldırganları nasıl çalışıyor?

Kişisel verilerinizi sizi kandırarak almak isteyenler, güvenilir şirketleri/kurumları/kişileri taklit ederler. Yanlış ve sakıncalı web sitelerine yönlendirmek için tuzak e-postalar ile saldırıyı gizleyen “bağlantı URL- URL Phishing”leri iletirler.

Yukarıdaki örnekte ilk bakıldığında yanlış bir şey yokmuş gibi gözükse de dikkatle bakıldığında e-postanın gövdesi American Express’i içerirken e-posta adresi şirketle ilgisi olmayan farklı bir adrestir; [email protected]. Benzer olmasına çalışılan sahte bilgileri içeren bu örneğe dikkatle bakıldığında oltalama saldırısı fark edilecek ve tehlike riski ortadan kalkacaktır.

Diğer bir yöntem ise bilgisayarınızdaki ağ güvenlik açığını kullanarak kötü amaçlı yazılım bulaştırmalarıdır. Bu bulaşmadan sonra da istedikleri zaman çalışmaya başlarlar. Burada internet kullanıcıları için uyarıcı nokta; güvenilir şirketler/kurumlar/kişiler sizden şifre ya da bilinmeyen bir programı yükleme yapmanızı talep etmezler. Örneğin, Microsoft Office programını resmi web sitesinden aldıysanız programı bilgisayarınıza indirirken farklı gizli programlar eklenmez. Ancak, bilinmeyen ve güvenilir olmayan bir siteden bilgisayarınıza yükleme yapıyorsanız burada bilgisayarınızın başına neler geleceğini tahmin edemeyebilirsiniz. Kullanıcı, virüs programları ya da Chrome gibi web tarayıcılarında indirme yaparken kullandığı antivirüs tarayıcı uzantıları ile söz konusu saldırılardan korunur.

Verilerinizi kimlik avı saldırganlarından nasıl koruyabilirsiniz?

Kimlik avı saldırganlarının çalışma yolları öğrenildiğinde internet kullanırken dikkat edilecek birkaç nokta ve ağ güvenliği için yapılacak düzenlemeler, verilerinizin kötü niyetli kişiler tarafından çalınmasını önler.

Şirket çalışanlarının kimlik avı saldırıları ile ilgili aldığı eğitim, şirketlerin alacağı önlemlerden biridir.

Şirketler/kişiler kimlik avı saldırılarından korunmak için siber güvenlik uzmanları ile güvenlik denetimlerini yerine getirmelidirler. Ağ güvenliği ve güvenlik duvarları, casus yazılım önleme programları, Phishing’e karşı koruma yazılımları, ağ geçidi e-posta filtreleri, güvenli web ağ geçidi, spam filtresi, antivirüs yazılımı, güvenlik şirketlerinin kimlik avı filtreleri bu konuda alınacak önlemlerdir.

Çok faktörlü kimlik doğrulama ile oltalama saldırısı riskleri azaltılabilir. Örneğin, ağınızda kullanıcıların her oturum açtığında aşağıdaki soruların cevaplarının isteniyor olması güvenliği artıracaktır;

• Bir parola
• Bir kimlik doğrulama cihazı ya da telefona iletilen bir kod

Ayrıca ayda 1 kez şifre güncellemesinin yapılması güvenliği artırır.

Kişisel kullanımlarda örneğin, kimlik avı için gönderilmiş spam e-postalar ilk kez gönderilmiş olabilir. E-posta içeriklerinde ya da başlıklarında, hızlıca harekete geçmeniz yönündeki ısrarlar, bir şey kazanacağınıza dair iddialar, bir güncelleme için farklı bir ek açmak ve onay vermenizi bekleme, gerçek dünyadan çok uzak mucizevi olayların olacağını söyleme ve hitap kısmında “Sayın beyefendi/hanımefendi” içeriğinin yer alması gibi durumlar söz konusudur. Spam e-posta içinde tıklamanızın istendiği URL’lerin alan adı uzantısı olarak değil de farklı bir uzantıyla gönderilmiş olması bunun bir Phishing saldırısı olduğunu gösterir. Aşağıdaki örnekte olduğu gibi görünen URL ile tıklandığında gidilen URL farklı olabilir.

(https://support.microsoft.com/tr-tr/windows/kendinizi-kimlik-av%C4%B1ndan-koruma-0c7ea947-ba98-3bd9-7184-430e1f860a44)

Ayrıca, dikkatli incelediğinizde göreceğiniz imla hataları, yanlış yazımlar ve cümle kurulumları göze çarpar. Hesap bilgisi isteyen tüm e-postalar büyük ihtimalle saldırı amaçlıdır. Çünkü bankalar ya da sigorta şirketleri sizden e-posta aracılığıyla hesap bilginizi istemez. Bu isteği gördüğünüzde iletiyi hemen silebilirsiniz. Zaman zaman yoğun internet kullanımı nedeniyle aldanmak daha kolaylaşır. Diyelim ki bu e-postalardan birini açtınız ve Word, Excel, PDF, PowerPoint ekleri var ise bunları açarken dikkatli davranınız. Aldığınız e-postalarda iletide yer alan URL adresine direkt tıklayarak siteye gitmek yerine, doğru adresi yazarak orijinal siteleri ziyaret ediniz ve sizden istenen bilginin ilgili sitede olup olmadığını kontrol ediniz. Şirketlerin ve kişilerin kendilerini bu oltalamalardan korumak için başvurduğu yollardan biri de anti-spam ve antivirüs programları kullanmaktır. Özellikle şirketlerde tüm bilgisayarlarda bu programların kullanılması alınacak önlemler arasındadır.

Kişisel olarak kullanılan parolaların tüm web siteleri için farklı olması esastır. Çünkü saldırı söz konusu olduğunda kötü niyetli saldırganlar ele geçirdikleri kimlik bilgilerini farklı web sitelerinde de kullanırlar. Çevrimiçi kimlik bilgilerinin yönetileceği bir parola yöneticisinin de kullanılması saldırılara karşı önlem olur. Ayrıca, internet ortamında çıkan pop-uplara tıklamadan önce daha dikkatli olunması saldırılara karşı alınacak önlemlerdendir. Şirket dışında ya da güvenilir olmadığını düşündüğünüz Wİ-Fİ ağlarına da bağlanmayınız.

E-postanın spam olduğuna dair uyarı işaretlerini gördüğünüzde, e-postayı kesinlikle açmayınız ve ilgili iletiyi istenmeyen ya da spam posta kutusuna gönderiniz. Böylece, Google e-postanın incelemesini yapabilir. Ayrıca, şüphelendiğiniz e-postalarını bloklayarak size bir daha ileti göndermelerini önleyebilirsiniz.

Kimlik avı amaçlı e-postalarını bildirerek hem kendinizi hem de başkalarını koruyabilirsiniz.

Kimlik avı amaçlı e-postayı anladığınızda bunu ilgili mecraya bildirebilirsiniz. Gmail’i açtıktan sonra ilgili iletiyi açınız. Yanıtla simgesinin yanında yer alan simgesine tıkladığınızda “kimlik avı bildir” ile aşağıdaki içeriğe ulaşarak gerekli bildirimi yapabilirsiniz.

Microsoft Office Outlook kullanıyorsanız, spam e-postayı seçtikten sonra şeritten “iletiyi bildir” segmentinden “kimlik avı”nı işaretleyiniz. Böylece iletiyi Gelen Kutunuzdan kaldırmış olursunuz. Outlook dışında bir e-posta istemcisi kullanıyorsanız [email protected] adresine yeni bir e-posta oluşturunuz ve ek olarak kimlik avı e-postasını iliştiriniz. Lütfen şüpheli e-postayı iletmeyiniz; iletideki üst bilgileri inceleyebilmek için o e-postayı ek olarak almamız gerekir.

Spam e-posta dışında şüpheli bir web sitesi bulduysanız;

• Microsoft Edge - Şüpheli bir sitedeyken Daha fazla(…) simgesi > Yardım ve geri bildirim > Güvenli olmayan site bildir’i seçiniz. Web sitesini bildirmek için görüntülenen web sayfasındaki yönergeleri izleyiniz.
• Internet Explorer - Şüpheli bir sitedeyken dişli simgesini seçiniz, Güvenlik ögesinin üzerine geliniz ve ardından Güvenli Olmayan Web Sitesini Bildir’i seçiniz. Web sitesini bildirmek için görüntülenen web sayfasındaki yönergeleri izleyiniz. (https://support.microsoft.com/tr-tr/windows/kendinizi-kimlik-av%C4%B1ndan-koruma-0c7ea947-ba98-3bd9-7184-430e1f860a44)

 

Peki, URL phishing saldırısına uğradıysanız ne yapabilirsiniz?

Spam e-postaya cevap verdiniz ve kredi kartı ya da banka hesap numarası bilgilerinizin kötü niyetli kişiler tarafından alındığını düşünüyorsanız; öncelikle ilgili kurumla hızla iletişim kurarak durumu bildiriniz. Şirket içindeyseniz, siber güvenlik uzmanlarına durumu acilen bildiriniz.

Bilginin gücü adına; kimlik avının 12 türünü birlikte inceleyelim.

Oltalama saldırısının 12 türünü ve bunların nasıl yapıldığını bilen şirketler/kişiler verilerini daha iyi koruyabilmektedir. Farklı teknikleri kapsayan bu türler; e-posta kimlik avı, HTTPS kimlik avı, hedefli kimlik avı, balina avcılığı/CEO dolandırıcılığı, vişne/vishing, gülümseme, fenerli kimlik avı, eczacılık, pop-up kimlik avı, klon kimlik avı, kötü ikiz ve sulama deliği kimlik avı olarak bilinmektedir.

1. E-posta/Aldatma Kimlik Avı

En iyi bilinen saldırı türüdür. Bilinen bir markanın taklit edilmesiyle kullanıcılara e-posta gönderimi yapan saldırganlar, korku ve aciliyet duygusunu kullanan sosyal mühendislik taktiklerinden yararlanırlar. Kullanıcının bir bağlantıyı tıklayarak bir programı indirmesine yönelik saldırıdır.

2. HTTPS Kimlik Avı

Güvenliği artırmak için şifreleme kullanan ve “güvenli” bağlantı olarak bilinen HTTPS’ler HTTP yerine kullanılmaktadır. Phishing saldırısı yapanlar spam e-postalara koydukları bağlantılarda HTTPS kullanıyorlar.

3. Hedefli/Mızraklı Kimlik Avı

Bu saldırı türünde de saldırganlar e-posta ile kullanıcıya ulaşır. Sosyal medya veya bir şirketin yayınladığı açık kaynaklardan, açık kaynak istihbaratı (OSINT) kullanılır. Böylece, şirket içindeki başka birinden bu e-postanın geldiği algısı oluşturulur ve belirli kişiler hedef alınır.

4.Balina Avcılığı / CEO Dolandırıcılığı

OSINT’ten yararlanan bir diğer Oltalama saldırısı olan Balina Avcılığı/ CEO Dolandırıcılığı, üst düzey yöneticilere ya da CEO’ya ait buldukları verileri kullanarak, benzer bir e-posta adresi kullanarak para transferi yapılmasını veya bir belgenin incelenmesini isteyebilirler.

5.Vişne/Vishing

Telefon aracılığıyla sahte numaralardan arama yapan saldırganlar, kişiyi panik ve korku ortamına sokarak kişisel bilgilerini vermesi için kandırırlar.

6. Gülümseme

Vişne/Vishing’ten sonraki adım olarak kişinin istenileni yapması için içerikler iletilir. İçeriğe tıklandığında kullanıcının bilgisayarına/akıllı telefonuna kötü amaçlı yazılım yükleyen bağlantı sızmış olur.

7. Fenerli Kimlik Avı

Günümüzde kişilerin birbirleriyle iletişim kurdukları sosyal medya ortamlarından yararlanılan saldırıda, saldırganlar kullanıcının harekete geçmesi için ikna olmasını sağlayan uygulama bildirimleri ya da doğrudan mesajlaşmayı kullanırlar.

8. Eczacılık/Pharming

Tespit edilmesi daha zor ve teknik olan bu oltalama saldırı türünde, saldırganlar DNS’leri ele geçirirler. Bu ele geçirme sonrasında web sitesi adresini yazan kullanıcı, gerçek gibi görünen kötü niyetli web sitesinin IP adresine yönlendirilir.

9. Pop-up Kimlik Avı

Açılır pencere (pop-up) kimlik avında, saldırganlar bu küçük bildirim kutularına yerleştirdikleri kötü amaçlı kod ile kullanıcının verilerine ulaşmayı hedefler. Günümüzde pop-up engelleyiciler kullanılsa da bu saldırı türü halen risktir. Çünkü bir web sitesi ziyaret edilirken, tarayıcı tarafından kullanıcının karşısına “www.sjhdsdhgh.com bildirimleri göstermek istiyor” içeriği çıkar. Kullanıcı buna izin verirse, kötü amaçlı kod yüklenmiş olur.

10. Klon Kimlik Avı

Şirketin sıklıkla kullandığı hizmetleri araştıran ve bu hizmetleri taklit eden saldırganlar oluşturdukları spam e-postalar ile Klon Kimlik Avı saldırısında hedefli e-postaları kullanıcılara ulaştırırlar.

11.Kötü İkiz

Kötü İkiz Phishing saldırısı, meşru görünen bir Wİ-Fİ kullanarak, sahte etkin nokta ile verilerin aktarımı sırasında engelleme yapar. Bu sahte bağlantı üzerinden aktarılan oturum açma kimlik verileri ve diğer verilerin çalınmasıyla çalışmasını gerçekleştirir.

12.Sulama Deliği Kimlik Avı

Web sitelerinin kullanılmasıyla oluşan bu saldırı türünde, saldırganlar şirket personelinin sıklıkla ziyaret ettiği siteleri araştırır ve bu sitelerin IP adreslerine kötü amaçlı kod veya indirmeler yerleştirir. Kullanıcı söz konusu web sitesini ziyaret ettiğinde kötü amaçlı kodu indirmiş olur.

Tarayıcılarda yer alan uyarı eklentileriyle yola devam ediniz.

Şirketlerin/kişilerin web sitesi kodlarının hedef alındığı günümüzde tarayıcılara web sitesi uyarıları yükleyebilirsiniz. Böylece, kullanıcıların tarayıcılarından gelebilecek olası riskler ilgili uygulamalarla önlenebilir. Bu kullanım şirketleri büyük zararlardan kurtarabilir. Microsoft, Google Chrome ve Chromium'a dayanan diğer tarayıcılar için oluşturulan koruyucular var olan güvenlik çalışmalarını tamamlayıcı şekildedir. Google uyarı için blokladığı siteler için “this site has been marked as a phishing site” yani “bu site phishing (dolandırıcılık) yapan bir site olarak işaretlendi” uyarısını verir.

Örneklerle Oltalama Saldırıları

Hepimizin gün içinde, yolculuklarda, bekleme sıralarında izleyerek eğlendiğimiz Netflix’in taklit edildiği aşağıdaki mail örneğinde spam e-postasının konusu “We’re have been hold your account netflix” yazısına dikkatle bakıldığında yazım kurallarına uymadığı ve “hesabınızı Netflix’te tuttuk” gibi bir anlama sahip olması, iletinin gerçekten Netflix’ten gelmediğini anlatır.

(https://cheapsslsecurity.com/blog/10-phishing-email-examples-you-need-to-see/)

Sahte URL ile Amazon’u taklit eden aşağıdaki oltalama saldırı türüne dikkatle bakıldığında sıralamanın yanlış olduğu fark edilebilir. (https://www.broadbandsearch.net/blog/popular-email-phishing-scams)

Sosyal medya kullanımının artmasıyla beraber bu ortamlarda siber saldırıların da arttığı görülmektedir. Aşağıdaki Facebook kimlik avı saldırısında, Facebook ekibinden gelmiş gibi gözüken içerikteki linke tıklandığında kötü niyetli bir URL’ye gittiği görülmektedir (https://towardsdatascience.com/phishing-domain-detection-with-ml-5be9c99293e5).

Oltalama saldırısı düzenleyen saldırganlar genellikle insanların duygularını olumsuz etkileyen, onların korku ve endişeye kapılacakları içeriklerle çalışmalarına devam ederler. Instagram’da gün içerisinde video, fotoğraf ve müzik paylaşan insanların bir anda telif hakkıyla ilgili e-posta alması ve hesaplarının askıya alınacağının iddia edilmesi, onların aceleci davranmasına neden olur.

Kullanıcı ilgili alana tıkladığında ne olur? Hesaplarını kaydettiklerini düşünerek itirazlarını göndermek için bir sayfaya yönlendirilir. Bu sayfada, reklamları izlemek için olduğu sanılan doğum tarihi bilgisi istenir. Kullanıcıya bu durum bir doğrulama hissi verir. Ancak bu, saldırganın diğer şifreleri ortaya çıkarmasına ve kimlik doğrulama olarak doğum tarihi isteyen sitelere erişmesine yardımcı olabilir.

Kullanıcı, doğum tarihiyle birlikte Instagram şifresini girer ve inanılmaz derecede yasal görünen bir onay sayfasına götürülür. İşte burada, kurbanın Instagram şifresi ve doğum tarihi saldırgana gönderilir.

Sosyal Medya hesaplarını hacklemek, siber saldırganlar için değerlidir. Sosyal medya hesaplarında, bankalar ve diğer hizmetler gibi diğer siteleri hacklemek için kullanılabilecek pek çok bilgi vardır ve aynı zamanda, takipçileri ve arkadaşları oltalama sitelerine çekmek için bir platform olarak da kullanılabilir (https://guard.io/blog/the-latest-instagram-phishing-scam-copyright-infringement-warning).

Facebook sahtekârlığı olarak ise sosyal medyada önemli kişilerin taklit edilerek, kullanıcılardan para göndermelerinin istenmesi örnekleri verilebilir. Ayrıca bu sahtekârlıkta kullanılabilen diğer bir yol da doğrudan mesajlaşmada kişiye panik yaratacak içerikler iletilerek, istenilenin yapılmasının sağlanmasıdır.

Her geçen gün teknik olarak kendini yenileyen kimlik avı saldırılarına karşı alınacak önlemler için alanında uzman siber güvenlik ekibimizle iletişim kurabilirsiniz.

25 Temmuz 2021