Kimlik avı (phishing) nedir?

Kimlik avı (phishing), suçluların bankalar, teknoloji şirketleri veya iş arkadaşları gibi güvenilir kuruluşları taklit ederek e-posta, kısa mesaj veya sahte web siteleri aracılığıyla şifreler, kredi kartı numaraları veya kişisel veriler gibi hassas bilgilerinizi ele geçirmeye çalıştığı bir siber saldırı türüdür. Günümüzde en yaygın ve etkili siber suç yöntemlerinden biri olmaya devam etmektedir.

Kimlik avı (phishing) e-postasını nasıl tanıyabilirim?

Acil veya tehdit edici bir dil kullanımına, meşru şirketleri taklit eden şüpheli gönderici adreslerine, "Sayın Müşterimiz" gibi genel selamlama ifadelerine, beklenmedik eklere ve resmi web sitesinin URL'siyle eşleşmeyen bağlantılara dikkat edin. Tıklamadan önce gerçek hedef adresi önizlemek için bağlantıların üzerine gelin.

VPN kullanmak beni kimlik avı (phishing) saldırılarından korur mu?

VPN, internet trafiğinizi şifreler ve IP adresinizi gizler; ancak kimlik avı saldırılarını doğrudan engelleyemez. Kimlik avı, ağ açıklarından ziyade insan davranışlarını hedef alır. VPN, genel güvenlik açısından hâlâ değerlidir; ancak kimlik avı önleme araçları ve dikkatli gezinme alışkanlıklarıyla birlikte kullanılmalıdır.

Yanlışlıkla bir kimlik avı (phishing) bağlantısına tıklarsam ne yapmalıyım?

Hemen internetten bağlantınızı kesin, cihazınızda kötü amaçlı yazılım taraması çalıştırın, ele geçirilmiş olabilecek hesapların şifrelerini değiştirin, iki faktörlü kimlik doğrulamayı etkinleştirin ve finansal bilgileriniz girildiyse bankanızı bilgilendirin. Kimlik avı girişimini e-posta sağlayıcınıza ve FTC veya Action Fraud gibi ilgili makamlara bildirin.

Phishing

Phishing: Nedir ve Neden Bilmeniz Gerekir?

Her gün milyarlarca sahte e-posta, kısa mesaj ve web sitesi tek bir amaçla yayılır: sizi kişisel bilgilerinizi teslim etmeye kandırmak. Phishing adı verilen bu teknik, var olan en etkili ve yaygın siber saldırılardan biri olmayı sürdürüyor. Bunun nedeni teknik açıdan karmaşık olması değil, bilgisayar sistemleri yerine insan psikolojisini hedef almasıdır.

Phishing Nedir?

Phishing, bir saldırganın sizi güvenmeyeceğiniz bir eylemi gerçekleştirmeye yönlendirmek amacıyla güvendiğiniz biri gibi davrandığı bir sosyal mühendislik biçimidir. Saldırgan bankanızı, bir yayın platformunu, işvereninizi hatta bir devlet kurumunu taklit edebilir. Hedeflenen eylem, kötü amaçlı bir bağlantıya tıklamak, virüslü bir ek indirmek veya sahte bir giriş sayfasına şifrenizi yazmak olabilir.

İsim, kasıtlı olarak "fishing" (balık tutma) kelimesinin üzerine kurulmuştur. Saldırganlar yem atar ve kimin ısıracağını bekler.

Phishing Nasıl Çalışır?

Phishing saldırılarının büyük çoğunluğu öngörülebilir bir kalıbı izler:

Yem: Gerçekmiş gibi görünen bir mesaj alırsınız. Bu mesaj, Netflix'ten gelen bir fatura uyarısını, PayPal'dan gelen bir güvenlik bildirimini veya şirketinizin BT departmanından gelen acil bir e-postayı taklit edebilir.
Kanca: Mesaj bir aciliyet hissi yaratır; hesabınız askıya alınmak üzeredir, şüpheli bir etkinlik tespit edilmiştir ya da kimliğinizi derhal doğrulamanız gerekmektedir.
Tuzak: Gerçeğiyle birebir aynı görünen sahte bir web sitesine yönlendirilirsiniz. Giriş bilgilerinizi girdiğinizde bunlar doğrudan saldırgana ulaşır.

Daha hedefe yönelik versiyonlar da mevcuttur. Spear phishing, çoğunlukla sosyal medyadan toplanan bilgiler kullanılarak belirli kişilere yönelik kişiselleştirilmiş saldırıları kapsar. Whaling, üst düzey yöneticileri hedef alır. Smishing SMS kısa mesajları aracılığıyla gerçekleşirken vishing sesli aramalar üzerinden yapılır.

Modern phishing siteleri çoğunlukla HTTPS kullanır ve bir asma kilit simgesi görüntüler. Pek çok kişi bu durumun sitenin güvenli olduğu anlamına geldiğini yanlışlıkla düşünür. Bu yalnızca bağlantının şifreli olduğunu gösterir; sitenin kendisinin güvenilir olduğunu değil.

VPN Kullanıcıları İçin Bu Konunun Önemi

Yaygın bir yanılgı, VPN kullanmanın sizi phishing saldırılarına karşı koruduğu yönündedir. Bu doğru değildir; en azından doğrudan değildir. Bir VPN, internet trafiğinizi şifreler ve IP adresinizi gizler, ancak sahte bir web sitesine gönüllü olarak giriş bilgilerinizi girmenizi engelleyemez.

Bununla birlikte, VPN kullanıcılarının tamamen savunmasız olduğu söylenemez:

Bazı VPN'ler tehdit koruması özellikleri içerir ve tarayıcınız bu siteleri yüklemeden önce bilinen phishing alan adlarını engeller.
Bir VPN, saldırganların doğru adresi yazsanız bile sizi sessiz sedasız sahte web sitelerine yönlendirmek için kullandığı bir teknik olan DNS ele geçirmeyi önleyebilir.
Genel Wi-Fi ağlarında VPN kullanmak, kimlik bilgilerini ele geçirmek amacıyla zaman zaman phishing ile birlikte kullanılan ortadaki adam saldırılarını önler.

Ancak phishing koruması için yalnızca VPN'e güvenmek, sizi yanlış bir güvenlik hissine sürükler. Güçlü dijital hijyen alışkanlıklarına ihtiyaç duymaya devam edersiniz.

Gerçek Hayattan Örnekler

"Apple Destek" adresinden hesabınızın kilitlendiğini belirten bir e-posta alırsınız. Bağlantı sizi Apple kimliğinizi çalan, inandırıcı biçimde tasarlanmış sahte bir site olan apple-support-login.com adresine yönlendirir.
Bir kısa mesaj, bankanızın dolandırıcılık tespit ettiğini belirterek sizi bir 800'lü numarayı aramaya davet eder. Numaraya bağlandığınızda karşınıza dolandırıcılık uzmanı kılığına girmiş bir dolandırıcı çıkar.
İnsan Kaynaklarından geliyormuş gibi görünen bir iş yeri e-postası, çalışanlardan yeni bir sosyal haklar portalına giriş yapmalarını ister; bu portal aslında kimlik bilgilerini toplayan sahte bir sayfadır.

Kendinizi Nasıl Korursunuz?

Yalnızca görünen ada değil, gönderenin gerçek e-posta adresine her zaman dikkat edin
Tıklamadan önce bağlantıların üzerine gelerek gerçek hedef URL'yi kontrol edin
Tüm önemli hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirin; bu sayede çalınan şifreler ikinci faktör olmadan işe yaramaz
Sahte sitelerde kimlik bilgilerini otomatik olarak doldurmayan bir parola yöneticisi kullanın
Şüphe duyduğunuzda herhangi bir bağlantıya tıklamak yerine doğrudan resmi web sitesine gidin

Phishing, basit ve ölçeklenebilir olduğu için işe yarar. Bu saldırının nasıl çalıştığını anlamak, kendinizi korumanın ilk adımıdır.

PhishingBaşlangıç