> Blog > Siber Güvenlik > Phishing (Oltalama) Saldırısı Nedir?

Phishing (Oltalama) Saldırısı Nedir?

Günümüz dijital dünyasında en yaygın siber tehditlerden biri olan phishing veya Türkçe adıyla oltalama saldırıları, siber suçluların hassas bilgilerinizi ele geçirmek için kullandıkları aldatıcı bir yöntemdir. 

Bu saldırılarda kötü niyetli kişiler, genellikle güvenilir kurumları taklit ederek kullanıcıları sahte web sitelerine yönlendirir ve kişisel bilgilerini, banka hesap detaylarını veya giriş kimlik bilgilerini paylaşmaya ikna etmeye çalışırlar. 

Teknoloji hayatımızın her alanına girdikçe, bu tür dolandırıcılık girişimleri de giderek daha karmaşık ve inandırıcı hale gelmektedir. Bu yazımızda, phishing saldırılarının nasıl çalıştığını, en yaygın türlerini ve kendinizi bu tehditlerden nasıl koruyabileceğinizi detaylı olarak inceleyeceğiz.

Phishing (Oltalama) Nedir?

Phishing, siber suçluların kullanıcıları aldatarak hassas bilgilerini elde etmeye çalıştığı bir sosyal mühendislik saldırısıdır. İngilizce “balık avlama” anlamına gelen “fishing” kelimesinden türetilmiş olup, siber suçluların kullanıcıları “oltaya getirme” çabasını ifade eder. Bu saldırılarda genellikle e-posta, SMS, sosyal medya mesajları veya sahte web siteleri kullanılır.

Phishing saldırılarında siber suçlular, güvenilir kurumların (bankalar, e-posta sağlayıcıları, devlet kurumları vb.) kimliğine bürünerek kullanıcıları kandırırlar. Genellikle aciliyet, korku veya merak uyandıran mesajlar gönderirler. Örneğin, “Hesabınız güvenlik nedeniyle askıya alındı, hemen tıklayın ve bilgilerinizi güncelleyin” gibi ifadeler kullanarak kullanıcıları sahte web sitelerine yönlendirirler.

Bu sahte web siteleri, orijinal sitelere çok benzer şekilde tasarlanır ve kullanıcılar fark etmeden kişisel bilgilerini, şifrelerini veya kredi kartı bilgilerini bu sitelere girerler. Bu şekilde elde edilen bilgiler, kimlik hırsızlığı, dolandırıcılık veya diğer siber suçlar için kullanılabilir.

Phishing (Oltalama) Türleri Nelerdir?

Phishing saldırıları çeşitli türlere ayrılır ve her biri farklı hedeflere ve tekniklere sahiptir:

  • Spear Phishing: Belirli bir kişi veya kuruluşu hedef alan, kişiselleştirilmiş saldırılardır. Saldırganlar, hedef hakkında önceden araştırma yaparak daha inandırıcı mesajlar oluşturur.
  • Whaling: Üst düzey yöneticileri hedef alan bir spear phishing türüdür. “Büyük balıkları avlama” anlamına gelir ve genellikle finansal veya stratejik bilgilere erişim amaçlanır.
  • Smishing: SMS tabanlı phishing saldırılarıdır. Kullanıcılara kısa mesajlar gönderilerek zararlı bağlantılara tıklamaları sağlanır.
  • Vishing: Sesli phishing anlamına gelir ve telefon görüşmeleri üzerinden gerçekleştirilir. Saldırganlar genellikle bankaların veya resmi kurumların temsilcisi gibi davranırlar.
  • Clone Phishing: Daha önce alınan meşru bir e-postanın kopyalanıp, içindeki bağlantıların zararlı olanlarla değiştirilmesi tekniğidir.
  • Pharming: DNS sunucularını veya kullanıcının host dosyalarını manipüle ederek, kullanıcılar doğru web adresi yazsalar bile sahte sitelere yönlendirilirler.

Bu türlerin her biri, belirli zayıflıkları ve kullanıcı alışkanlıklarını hedef alır, bu nedenle her birine karşı farkındalık geliştirmek önemlidir.

Sase Sase

Phishing Saldırıları ile Nelerin Çalınması Amaçlanır?

Phishing saldırganları genellikle aşağıdaki bilgileri elde etmeyi amaçlarlar:

  • Kullanıcı Kimlik Bilgileri: E-posta hesapları, sosyal medya, çevrimiçi bankacılık ve diğer platformlar için kullanıcı adları ve şifreler en çok hedeflenen bilgilerdir.
  • Finansal Bilgiler: Kredi kartı numaraları, banka hesap bilgileri, online ödeme sistemleri (PayPal, vb.) giriş bilgileri doğrudan maddi kazanç sağlar.
  • Kişisel Tanımlayıcı Bilgiler: TC kimlik numarası, doğum tarihi, adres gibi kimlik hırsızlığı için kullanılabilecek bilgiler.
  • İş ve Kurumsal Veriler: Şirket sırları, müşteri verileri, fikri mülkiyet hakları veya kurumsal ağlara erişim bilgileri.
  • Sağlık Bilgileri: Sigorta bilgileri, sağlık kayıtları gibi veriler hem kimlik hırsızlığı hem de sigorta dolandırıcılığı için değerlidir.

Saldırganlar bu bilgileri elde ettikten sonra doğrudan finansal kazanç sağlayabilir, kimlik hırsızlığı yapabilir, başka hesaplara erişebilir veya bu bilgileri karanlık web üzerinden satabilirler. Özellikle kurumsal verilerin çalınması, şirketler için ciddi maddi kayıplara ve itibar zedelenmesine neden olabilir.

Bilinmesi Gereken Phishing Yöntemleri

Phishing saldırganlarının kullandığı bazı yaygın yöntemler şunlardır:

  • Sahte E-postalar: Meşru kuruluşlardan geliyormuş gibi görünen, ancak dikkatli incelendiğinde gönderen adresi veya içeriğinde tutarsızlıklar bulunan e-postalar.
  • Aciliyet İçeren Mesajlar: “Hesabınız askıya alındı”, “24 saat içinde harekete geçmezseniz hesabınız kapatılacak” gibi kullanıcıyı paniğe sürükleyen mesajlar.
  • Sahte Web Siteleri: Orijinal sitelerin neredeyse birebir kopyaları olan, ancak URL’lerinde küçük farklılıklar bulunan siteler (örneğin, “bankam.com” yerine “bankarn.com”).
  • Pop-up Pencereler: Meşru web sitelerinde açılan ve kullanıcıyı bilgi girmeye yönlendiren sahte açılır pencereler.

Sosyal Medya Tuzakları: Çekiliş, hediye çeki veya ilginç içerik vaadiyle kullanıcıları sahte giriş sayfalarına yönlendiren paylaşımlar.

Bu yöntemlerin farkında olmak ve şüpheli içerikleri tanıyabilmek, phishing saldırılarına karşı en etkili savunma mekanizmalarından biridir. Özellikle beklenmedik mesajlara veya tekliflere karşı her zaman temkinli yaklaşmak gerekir.

Phishing Saldırılarının Önemi Nedir?

Phishing saldırıları, günümüz siber güvenlik ortamının en yaygın ve tehlikeli tehditlerinden biridir. Önemleri şu nedenlere dayanır:

Phishing, siber saldırganlar için düşük maliyetli ancak yüksek etkili bir saldırı yöntemidir. Teknik bilgi gerektiren karmaşık yazılım saldırılarının aksine, insan psikolojisini manipüle ederek başarıya ulaşır. Araştırmalar, veri ihlallerinin yaklaşık %90’ının bir şekilde phishing ile başladığını göstermektedir.

Bu saldırılar sürekli evrim geçirmekte ve giderek daha sofistike hale gelmektedir. Yapay zeka ve makine öğrenimi teknolojilerinin gelişmesiyle, hedefli ve kişiselleştirilmiş phishing saldırıları daha inandırıcı ve tespit edilmesi daha zor hale gelmiştir.

Phishing saldırıları bireysel kullanıcılar için kimlik hırsızlığı ve finansal kayıplara neden olurken, kurumlar için veri ihlalleri, fidye yazılımı saldırıları, fikri mülkiyet hırsızlığı ve itibar kaybı gibi ciddi sonuçlar doğurabilir. Bir şirketin tek bir çalışanının phishing tuzağına düşmesi, tüm organizasyonu risk altına sokabilir.

Phishing Testi Nedir?

Phishing testi, bir organizasyonun veya bireyin phishing saldırılarına karşı farkındalığını ve direncini ölçmek için yapılan simülasyon çalışmasıdır. Bu testler, gerçek phishing saldırılarını taklit ederek, kullanıcıların nasıl tepki verdiğini değerlendirmeyi amaçlar.

Phishing testleri genellikle şu adımları içerir:

  • Planlama: Test kapsamının, hedef kitlenin ve kullanılacak phishing senaryolarının belirlenmesi.
  • Kampanya Oluşturma: Gerçekçi phishing e-postaları, mesajları veya web sitelerinin hazırlanması.
  • Uygulama: Hazırlanan içeriklerin hedef kitleye gönderilmesi.
  • İzleme ve Analiz: Kimlerin tuzağa düştüğünü, kimlerin şüphelenip bildirdiğini izleme ve sonuçları analiz etme.
  • Eğitim ve Geri Bildirim: Test sonuçlarına göre kullanıcılara eğitim verilmesi ve farkındalıklarının artırılması.

Düzenli olarak yapılan phishing testleri, çalışanların ve bireylerin güvenlik farkındalığını artırır, zayıf noktaları belirler ve gerçek saldırılara karşı hazırlıklı olmalarını sağlar. Özellikle kurumlar için bu testler, siber güvenlik stratejilerinin önemli bir parçasıdır.

Phishing Saldırılarından Nasıl Korunulur?

Phishing saldırılarından korunmak için alınabilecek önlemler şunlardır:

  • E-posta Güvenliği: Beklenmedik veya şüpheli e-postaları açmayın. Gönderenin e-posta adresini dikkatlice kontrol edin, yazım hatalarına ve tutarsızlıklara dikkat edin.
  • URL Kontrolü: Bir bağlantıya tıklamadan önce, fare imlecini üzerine getirerek gerçek URL’i görün. Şüpheli veya tanımadığınız bağlantılara tıklamaktan kaçının.
  • İki Faktörlü Doğrulama (2FA): Mümkün olan her hesap için iki faktörlü doğrulama kullanın. Bu, şifreniz çalınsa bile hesabınızın güvende kalmasını sağlar.
  • Yazılım Güncellemeleri: İşletim sisteminizi, tarayıcınızı ve diğer yazılımları güncel tutun. Güncellemeler genellikle güvenlik açıklarını kapatır.
  • Şifre Yöneticisi Kullanın: Güçlü, benzersiz şifreler oluşturmak ve yönetmek için şifre yöneticisi kullanın. Her hesap için farklı bir şifre kullanmak önemlidir.
  • Güvenlik Yazılımları: Güncel bir antivirüs ve anti-malware yazılımı kullanın. Bu yazılımlar, zararlı bağlantıları ve ekleri tespit edebilir.
  • Sürekli Eğitim: Kendinizi ve çalışanlarınızı güncel phishing teknikleri hakkında eğitin. Farkındalık, en iyi savunma mekanizmalarından biridir.

Bu önlemleri uygulamak, phishing saldırılarına karşı korunma olasılığınızı önemli ölçüde artıracaktır.

Phishing Nasıl Temizlenir?

Eğer bir phishing saldırısına maruz kaldığınızı düşünüyorsanız, aşağıdaki adımları izlemelisiniz:

  • Öncelikle saldırıdan etkilenmiş olabilecek tüm hesapların şifrelerini hemen değiştirin. Bunu güvenli bir cihazdan yapın.
  • Mümkünse, tüm önemli hesaplarınız için iki faktörlü doğrulamayı etkinleştirin veya güncelleyin.
  • Kredi kartı veya banka bilgileriniz çalındıysa, ilgili finansal kurumları hemen bilgilendirin ve kartlarınızı iptal edin.
  • Cihazınızda kapsamlı bir virüs ve zararlı yazılım taraması yapın. Gerekirse cihazınızı fabrika ayarlarına sıfırlayın.
  • Saldırıyı ilgili kurumlara (banka, e-posta sağlayıcı, sosyal medya platformu) ve gerekirse yasal otoritelere bildirin.
  • Kimlik hırsızlığı ihtimaline karşı kredi raporunuzu düzenli olarak kontrol edin ve şüpheli işlemler için uyarı sistemleri kurun.

Phishing saldırısının ardından hızlı ve kapsamlı bir temizleme süreci, olası zararları minimize etmek için kritik öneme sahiptir.

Phishing Saldırılarının Cezası Nedir?

Phishing saldırıları, dünya genelinde ciddi siber suçlar olarak kabul edilir ve ülkelere göre değişen cezai yaptırımları vardır. Türkiye’de phishing saldırıları, Türk Ceza Kanunu (TCK) kapsamında değerlendirilir.

TCK’nın 243. maddesi “Bilişim Sistemine Girme” suçunu düzenler ve phishing yoluyla bir bilişim sistemine yetkisiz erişim sağlama eylemini kapsar. Bu suç için 1 yıldan 3 yıla kadar hapis cezası öngörülmüştür.

Eğer phishing saldırısı sonucunda veri çalınması, değiştirilmesi veya yok edilmesi söz konusu olursa, TCK’nın 244. maddesi uyarınca 2 yıldan 6 yıla kadar hapis cezası verilebilir.

Ayrıca, phishing yoluyla elde edilen bilgilerle dolandırıcılık yapılması durumunda, TCK’nın 158. maddesi uyarınca “nitelikli dolandırıcılık” suçu işlenmiş olur ve bu suç için 3 yıldan 10 yıla kadar hapis cezası öngörülmüştür.

Kurumsal bilgilere yönelik phishing saldırılarında, ticari sır niteliğindeki bilgilerin ele geçirilmesi durumunda, TCK’nın 239. maddesi uyarınca “ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması” suçu kapsamında da cezai yaptırımlar uygulanabilir.

Phishing saldırılarının cezaları, saldırının kapsamına, neden olduğu zarara ve mağdur sayısına bağlı olarak değişebilir. Bu tür siber suçlarla mücadele, hem ulusal hem de uluslararası düzeyde giderek daha fazla önem kazanmaktadır.

Teklif Al Şimdi Ara

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
İş Ortağı Olun

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
İş Ortağı Olun