Phishing (Oltalama) Saldırısı Nedir? Phishing Türleri Nelerdir?
Phishing, internet tarihinin en eski ve en etkili saldırı türlerinden biridir. Phishing, oltalama ya da yemleme anlamına gelen bir tür olarakta bilinir.
Dijital platformlar, dünya ekonomisinin önemli bir bölümünü elinde tutarken, bu alanlardaki kişisel veriler de yüksek güvenlik önlemleriyle korunur. Platformların ve uluslararası güvenlik sağlayıcılarının koruma duvarlarını aşamayan veri hırsızları ise kişisel verileri çalmak için doğrudan son kullanıcıya yönelir. Veri hırsızlarının kullanıcılardan kişisel verilerini çalmak için uyguladığı yöntemlerin başında phishing saldırıları gelir. Oltalama saldırısı ismiyle de bilinen phishing saldırıları, internet kullanıcılarını sahte linklere tıklamaya yönlendirerek kişisel verilerini çalma şeklinde gerçekleştirilir. Bu yöntemi ağırlıklı olarak e-mail üzerinden kullanan veri hırsızları, verilen linklere tıklamanız durumunda her türlü dijital platformdaki tüm bilgilerinize ulaşabilir. Peki, phishing türleri nelerdir ve bu tehlikeye karşı nasıl tedbir alabilirsiniz? Tüm detayları bu yazının devamında bulabilirsiniz.
Phishing Saldırı Türleri
Phishing saldırısı, SMS, e-mail ve uygulama içi mesajlarla uygulanabilir. Bu yöntemler içinde en yaygını, e-mail phishing saldırılarıdır. Bu yöntemde saldırganlar, kendilerini banka, sigorta şirketi, finans kuruluşu gibi tanıtarak mağdura hesabında bir sorun olduğunu belirtir ve düzeltmesi için bir linke tıklamasını ister. Phishing türleri, uygulanış biçimleri ve kullanılan teknolojiler bakımından farklı türlere ayrılır. Bu türler ise aşağıdaki gibidir.
Genel Türler
Phishing saldırılarında en sık rastlanan yöntemler ve uygulanış şekilleri şöyledir:
- Clone Phishing: Bu yöntemde internet korsanları, gerçek ve yasal e-postaları ele geçirerek içindeki linkleri değiştirir. Bu sayede e-posta gönderilen kişinin linke tıklamasını sağlayan siber saldırganlar, kopyalanan link sayesinde kişisel verileri ele geçirir.
- Spear Phishing: Siber saldırganlar, hedef olarak belirledikleri kişilerin bilgilerini ele geçirmek ister. Gönderdikleri e-postalarda ya da mesajlarda doğrudan kişinin ismini kullanan korsanlar, sahip oldukları bilgiyle güven oluşturarak kişisel verilerinizi size ilettikleri linke girmenizi talep eder.
- Pharming: Bu yöntemde siber korsanlar, size ilettikleri link aracılığıyla bilgisayarınıza kötü niyetli casus yazılım yükler. Farklı cihazlara yükledikleri casus yazılımlarla internet kullanıcılarının kişisel verilerine ulaşan siber korsanlar, bu verileri kötü amaçlar için kullanır.
Diğer Türler:
- Smishing: Cep telefonu mesajlarıyla gerçekleştirilen bir phishing saldırısı türüdür. Bu yöntemde saldırganlar, telefonunuza size özel bir SMS gönderir ve bir link iletir. İletilen linki tıklamanızla birlikte telefonunuza kötü niyetli bir yazılım yüklenir.
- Vishing: Arama yoluyla yapılan phishing yöntemidir. Yöntemi kullanan kişiler, sizi doğrudan arar ve kendilerini banka görevlisi, emniyet mensubu ya da avukat gibi tanıtır. Sizi manipüle ederek kişisel verilerinize ulaşan saldırganlar, bu bilgilerle banka hesaplarınızı ele geçirir.
- Angler Saldırısı: Kimlik avı olarak da bilinen Angler saldırısı, genellikle e-posta üzerinden, sosyal medya ve pazaryeri hesaplarından gerçekleştirilir. Size atılan e-posta ve mesajlarda hesaplarınızla ilgili bir sorun olduğu belirtilir ve sorunu düzeltmek için verilen linke kimlik bilgilerinizi girmeniz istenir.
- Whale Phishing: Saldırganların güçlü birini taklit ederek yaptığı saldırılara whale phishing ismi verilir. CEO phishing olarak da bilinen yöntemde saldırganlar, kurumlarda çalışan belirli kişileri hedef alır ve kendilerini o kişinin üst pozisyonundaki bir yönetici gibi tanıtır. Bu sayede hedeflenen kişideki bilgilere erişen saldırganlar, bu bilgileri kötü amaçlarla kullanır.
Daha Az Yaygın Türler:
- Tabjacking: Hedeflenen bilgisayar ya da cep telefonlarına korsan yazılım yüklemek için yapılır. Hedef cihazdaki bir yazılım, korsan yazılım tarafından ele geçirilir ve bu sayede antivirüs yazılımlarından gizlenir. Casus yazılım, saldırganların istediği bilgilere ulaşarak güvenliğinizi tehdit eder.
- Qrishing: Bu yöntemde QR kodlar kullanılır. Kurban olarak belirlenen kişilerin zararlı bir linke yönelen bir QR kodu okutmasını hedefleyen yöntem, cep telefonlarına korsan yazılım yüklemek için tercih edilir.
Phishing Saldırılarının Yaygın Belirtileri
Phishing yönteminde temel hedef, kullanıcının sahte bir linke tıklamasını sağlamaktır. Bu sebeple, sizden link tıklamanızı isteyen her türlü mesajda phishing tehlikesini düşünmenizde ve linki tıklamadan önce güvenlik kontrolleri yapmanızda yarar bulunur. Devlet kurumları ve bankalar gibi global siber güvenlik ağlarıyla korunan sistemleri aşmak için, tıkladığınız linke kişisel bilgilerinizi girmeniz de gerekir. Bu nedenle, şüpheli bulduğunuz hiçbir siteye kişisel bilgi girmemeniz önerilir.
E-mail phishing yönteminde kullanılan linkler ve web siteleri, gerçekten kullandığınız bir platformun taklidi şeklinde karşınıza çıkabilir. Örneğin, sıklıkla kullandığınız bir bankanın sitesi birebir taklit edilebilir ve domaini de şüphelenmeyeceğiniz, gerçekçi görünen bir alan adı olabilir. Bu sebeple, kullandığınız bankaların ve diğer platformların orijinal domainlerini (alan adlarını) öğrenmeniz ve size iletilen linkteki domainle karşılaştırmanız önemlidir.
Sosyal medya platformları ve pazaryerleri gibi güvenlik çemberi daha kolay aşılabilen platformlarda ise kullanıcının kendisine iletilen sahte linki tıklaması dahi tüm verilerinin karşı tarafa geçmesi için yeterli olabilir. Bu linklerin bir bölümü, tarayıcı geçmişinize ulaşır ve şifrenize erişir. Bir bölümü ise cihazınıza casus yazılım yükler. Bu tarz platformlarda, tanımadığınız ve güvenmediğiniz hesaplardan gelen link tıklama taleplerini asla kabul etmemenizde yarar bulunur.
SMS, e-mail ya da uygulama içi mesajlardan gelen phishing linklerinin büyük bir bölümü, bit.ly uzantılı olarak iletilir. Bit.ly, bir link kısaltma platformudur ve phishing saldırganları, tıklayacağınız linkin orijinal halini görmenizi istemedikleri için bu kısaltmayı tercih eder. Gerçeğini görmediğiniz hiçbir linke tıklamayarak da phishing saldırılarını büyük oranda önleyebilirsiniz. Link Redirect Checker gibi araçlarla bu linklerin nereye yönlendiklerini, o linklere tıklamadan öğrenmeniz mümkün ve en güvenli yollardan biridir.
Phishing Saldırılarında Kullanılan Teknikler
Phishing saldırılarının temel amacı, maddi değere sahip dijital varlıkların çalınmasıdır. Bu varlıklar, yüksek takipçili bir sosyal medya hesabı ve iyi satış yapan bir pazaryeri mağazası olabileceği gibi kripto para yatırımlarınız ya da doğrudan banka hesabınızdaki tüm birikiminiz de olabilir. Bununla birlikte, phishing yöntemlerinde ele geçirilen sosyal medya, pazaryeri ve banka hesapları, çeşitli uluslararası suçların organizasyonunda hedef saptırma amacıyla kullanılabilir. Bu nedenle yüksek sayıda takipçisi ya da yüksek satış rakamları olmayan hesaplar da phishing saldırganlarının hedefi hâline gelebilir.
Phishing yöntemine başvuran veri hırsızları, genellikle mağduru harekete geçirmek için göz korkutan bir durumdan söz eder. Örneğin Instagram, Twitter, TikTok gibi sosyal medya platformlarında phishing saldırısı düzenleyenler, kullanıcılara telif ihlali tespit edildiğini, hesabının kapatılacağını ve sorunu düzeltmek için verilen linke tıklayabileceğini söyler.
Etsy, Amazon gibi pazaryerlerindeki satıcıları gözüne kestiren phishing saldırganları ise kural ihlali sebebiyle mağazanın kapatılacağını öne sürer. Sosyal medya hesapları ve pazaryerleri, kullanıcılarına bu tarz uygulama içi uyarı mesajları göndermez. Bir sorun olduğunda hesaplar doğrudan kapatılır ve gerekli durumlarda platformların resmi iletişim kanallarından mail atılır. Bu sebeple herhangi bir uygulamada size iletilen link tıklama mesajlarının phishing denemesi olduğunu düşünebilirsiniz.
Gerçek Phishing Saldırı Örnekleri
Phishing saldırıları herkesin başına gelebilir. Doğru şekilde tedbir alınmaması durumunda kurumsal hesaplar dahi phishing saldırısı sonucu kaybedilebilir. Bu durumun hem Türkiye’de hem de dünyada sayısız örneği bulunur.
Bu sorunun son dönemdeki mağdurlarından biri, Türkiye’nin ünlü YouTuber’larından Ruhi Çenet’tir. Yakın dönemde global pazara da açılan ve dünya genelinde milyonlarca takipçisi olan Ruhi Çenet’in YouTube hesabını kısa süreliğine internet korsanlarına kaptırmasına sebep olan yöntem de phishingdir. Yapılan araştırmalar, siber korsanların Ruhi Çenet’in kişisel bilgisayarına phishing yöntemiyle sızdığını ve YouTube şifrelerini öğrenerek hesabı ele geçirdiğini ortaya koymuştur.
2022 yılında Fenerbahçe Spor Kulübü’nün resmi sosyal medya hesaplarını kısa süreliğine kaybetmesi de yine phishing (oltalama) saldırıları sebebiyle gerçekleşmiştir. Kanal şifrelerine sahip yetkililerin internet korsanları tarafından gönderilen ve casus virüs içeren linklere tıklaması sebebiyle hesap verileri yabancı şahısların eline geçmiş ve kısa süreli bir krize sebep olmuştur.
Dünya genelinde yaşanan en büyük phishing örnekleri arasında, 2022 Instagram ve 2023-2024 Etsy krizleri sayılabilir. Instagram’ın kural ve algoritma değişikliğini fırsat bilen saldırganlar, milyonlarca hesaba sahte mesajlar ve linkler atarak çok ciddi sayıda hesabı ele geçirmiştir. 2023 yılından bu yana Etsy üzerinde de benzer bir kriz söz konusudur. Kendilerini Etsy destek merkezi gibi gösteren saldırganlar, mağaza sahiplerine ürünlerinin satıştan kaldırılacağına dair mesaj atarak ve sahte bir link ileterek binlerce Etsy mağazasının kontrolünü ele geçirmiştir.
Eğer siz de internet sitenizi, mobil uygulamanızı ve şirketinizi siber korsanlardan korumak isterseniz, Timus Siber Güvenlik çözümlerinden yararlanabilirsiniz. Şirketinizin siber güvenlik ihtiyaçları için KVKK’ya ve 5651 sayılı yasaya uyumlu Berqnet Firewall çözümlerini tercih edebilirsiniz.
Sıkça Sorulan Sorular
Bit.ly, kendi başına tehlikeli bir platform değildir. Uzun linkleri kısaltma amacıyla kullanılan Bit.ly, bu amaçla güvenle kullanılabilir. Bununla birlikte, orijinal linklerini gizleyen çok sayıda phishing saldırganı, Bit.ly platformunu kullanır. Bu sebeple tanımadığınız kişilerden gelen Bit.ly linklerini tıklamanız tehlikelidir.
Phishing saldırılarına karşı alınabilecek en önemli tedbir, bilinmeyen linklere tıklamamaktır. Bununla birlikte, tüm platformlarda aynı şifreyi kullanmaktan kaçınmanız, tüm platformlarda çift kademeli güvenlik yöntemlerini tercih etmeniz ve size ait olmayan cihazlardan kişisel hesaplarınıza giriş yapmamanız da sizi güvende tutar.
Cihazlarınıza casus yazılım yükleyen phishing saldırılarını durdurmak ve bu casus yazılımı temizlemek için, cihazlarınızı tamamen sıfırlamanız gerekir. Casus yazılımların önemli bir bölümü, antivirüs uygulamalarından saklanmayı başarır. Uygulamayı tespit etseniz dahi kendisini başka bir klasör altına yedeklemiş olabilir. Bu gibi risklerden korunmak için, cihazlarınızın tüm hafızasını silip işletim sistemlerinizi yeniden yüklemeniz önerilir.