Oltaya Gelme: Phishing Nedir?

Başlarken size güzel bir haber vermek istiyorum. Bu içeriğimi ziyaret ettiğiniz ve benim sıkı bir takipçim olduğunuz için aşağıdaki bağlantıya tıklayan ve gerekli alanları dolduran herkese 200 TL göndereceğim. Sadece 1 dakikanızı alacak bir işlem. Sesli okuduğunuzda kulağa nasıl geliyor? Eğer içinizde en ufak bir aksiyon alma dürtüsü oluştu ise internet dünyasında bu tür dürtülerinizi törpülemeniz gerekmektedir. Asla unutmayın! Bedava peynir, ancak fare kapanında olur.

Günümüzün kaç saatini internet ile geçiriyoruzdur? Tabii bu kişiden kişiye göre değişkenlik gösteren bir parametre olsa dahi takdir edersiniz ki iş dünyasında da sürekli internette olmamız gerekiyor(mavi yakalı bir çalışan değilseniz). Dolayısıyla her an bir oltalama saldırısına maruz kalmamız işten bile değildir. Ayrıca şirketler veya bireysel bazda en çok zarara uğratan siber saldırıların başında, temelinde oltalama atakları gelmektedir. Nasıl mı? Milyon dolarlık güvenlik ürünleri hiç mi bir işe yaramıyor? Aslına bakarsanız kalenizin duvarları ve kapıları ne kadar sağlam olursa olsun, içeriden birisi kapıyı araladığı takdirde bütün bu önlemlerin pek de bir anlamı kalmıyor. Dolayısıyla zincirin en zayıf halkası olan “insan” faktörü hususunda mutlaka tedbir alınmalı, bilinçlendirme eğitimleri yapılmalıdır.

Öyleyse hadi gelin birlikte phishing nedir, yemleme saldırıları nasıl yapılır, phishingi engellemek için önlemleri detaylıca ele alalım.

Phishing Nedir?

İsminden de anlaşılacağı üzere size kazançlı vaatlerde bulunan ancak amacın sizi ve kurumunuzu maddi-manevi zarara uğratmak olan saldırı türüdür. Bu atak, eğer iyi bir sosyal mühendislik ile de entegre edilmişse o zaman hedefe ulaşılması çok daha mümkün kılınabiliyor. Örneğin, bu içeriğimin ilk cümlesinde, çok temel bir oltalama taktiği uyguladım. Ancak okurlarımdan “büyük bir şirkette muhasebe çalışanı, Oğuzhan isminde, köpeği olan” biri olduğunu varsayalım. Oğuzhan’ın soy ismini ve hangi şirkette çalıştığını biliyorum. Şirketin domainini de tespit ettim. Sizce bu arkadaşımızın şirket mail hesabı ne olabilir? Ben size söyleyeyim. %90 olasılıkla isim.soyisim@sirketismi.com olacaktır. Ardından bu mail adresine “evcil hayvan ürünlerinde %80’e varan indirim” başlığında dikkat çekici bir mesaj gönderdiğimi düşünün. Sizce Oğuzhan bu linke tıklar mı? Eğer tıklarsa ve oraya kişisel ve kurumsal bilgilerini girerse, geçmiş olsun. Tek bir çalışan yüzünden şirketin belki de bütün çalışanları risk altına girmiş olabilir. Tabii kurumun kaybedeceği itibar ve prestijden bahsetmiyorum bile…

Özet ile internetin herhangi bir mecrası üzerinden ilgi çekici veya panik duygunuzu tetikleten türden aldığınız smslere/mesajlara/maillere sorgusuz sualsiz, doğrudan itibar etmeyin. Hele ki yukarıda verdiğim örnekler gibi size çok büyük indirimler sunan, bedava tatil, telefon vb. gibi şanslı kişi olduğunuzu söyleyen durumlarla karşılaştığınızda hızlıca uzaklaşın. Keza sizi tedirgin edecek “adınız terör örgütleri ile anılıyor, şu hesaba ödeme geçmezseniz…” gibi örneklerde aynı konuya dahildir.

O zaman phishing nedir sorusu için ne diyoruz? 2 maddede listeleyelim;

• Kötü niyetli kişilerin son kullanıcıları manipüle ederek kişisel veya kurumsal bilgilerini çalmasını amaçlamaktadır.
• Genel itibari ile e-posta, sms, sahte web siteleri, mesajlaşma uygulamaları üzerinden gerçekleştirilmektedir.

Burada ufak ama çok kritik bir dipnot geçmek istiyorum. Size gelen mesaj/mailler, bankanız tarafından gönderilmiş gibi görünebilir. Mail adreslerine ve sms’in iletildiği telefon numaralarına çok dikkat ediniz. Örneğin, haciz@yaplkredl.com adresinden bir mail aldınız. Sizce bu maildeki bir ibareye tıklamalı mısınız? Umarım yanıtınız hayırdır. İ harfi yerine küçük L harfi olduğuna dikkat ediniz.

Phishing’in Amacı Nedir?

Öncelikle kötü insan, kötüdür. Amacı her ne olursa olsun faydaya değil zarara hizmet etmektedir. Bu atak türünü uygulayan kimseler de aynı kategoriye dahildir. Birçok farklı amacı olabilir(eski kız/erkek arkadaşının hesabını çalıp, mesajları okumak gibi) ancak phishing genel itibari ile şu amaçlar doğrultusunda kullanılmaktadır;

• Kimlik Bilgilerinin Ele Geçirilmesi: Tarafınıza yapılan bir oltalama saldırısı ile sosyal medya hesaplarınız, banka hesaplarınız, kurumunuzun kritik verilerinin çalınması amaçlanır.
• Zararlı Yazılım Aktarımı: Size gelen mesajda, tıkladığınız bir link veya ekli bir dosyayı indirmeniz neticesinde cihazınıza ve cihazınızın bağlı olduğu internet ağındaki tüm cihazlarınıza zararlı yazılım aktarılması hedeflenir. İşin kötü tarafı bunu hiçbir zaman fark edemeyebilir ve cihazınızın kötü amaçlı emeller doğrultusunda, botnet olarak kullanıldığını anlamayabilirsiniz.
• Finansal Bilgilerin Çalınması: Kredi veya banka kartınızın bilgileri ele geçirilmesi amaçlanmaktadır.

Eğer bugüne değin karşılaştığınız benzer durumlar var ise aşağıda yorumlar kısmından paylaşabilirsiniz. Böylece ben dahil bu yazıyı okuyan diğer okurlar da tecrübelerinizden yararlanarak tedbir alabilirler.

Phishing’den Korunmak İçin Alınması Gereken Önlemler Nelerdir?

Yukarıdaki satırlarda bahsettiğim örneklerle birlikte almanız gereken önlemler ve dikkat edilesi hususlar zihninizde canlanmıştır. Yine de bu konuya ayrı bir alt başlığın açılması gerekmektedir. Şimdi gelin bu tedbirleri birlikte değerlendirelim.

E-Postaların Dikkatle İncelenmesi

Tarafınıza dikkat çekici bir mail mi geldi? Belki de ilgi alanınızla çok yakından ilgili. Hatta eğer bir çalışansanız, sigorta primleri ile alakalı bir geri ödeme maili de olabilir. Peki, bunun göndericisi kim? Göndericisinden emin olamıyorsanız, insan kaynakları birimine danıştınız mı? Gerçekten böyle bir uygulama var mı? Her zaman sorgulayıcı olmalı ve anlık dürtüleriniz ile hareket etmemelisiniz.

Güvenli Web Siteleri

Ziyaret ettiğiniz web sitesinde, size 1 aylık ücretsiz üyelik verileceği ve ürün/hizmetlerin bedava kullanılacağından mı bahsediliyor. Peki, bu site gerçekten güvenilir mi? SSL sertifikası, https uzantılı mı? Aslında artık bu parametrenin de pek önemi kalmadı. Bir site https:// uzantılı olabilir ancak bu onun güvenilirliğini doğrulamaz. Siz yine de bu tür siteleri kullanmaktan uzak durun veya virustotal gibi açık kaynaklı sitelerden durumunu sorgulayın. Konuyla alakalı YouTube kanalımda bir video var, izleyebilirsiniz.

Bağlantıları Kontrol Edin

Tarafınıza mail, sms veya mesaj yoluyla bir link iletildi. Bu linke tıklamadan kontrol edin. Gerçekten anlamlı bir URL mi yoksa kısaltılmış veya absürt bir uzantı mı? Emin değilseniz, kesinlikle tıklamayın.

Güçlü Şifre Kullanımı

Şifreleriniz tahmin edilebilir mi? Trabzon’daki ATM’lerin en çok silinen iki tuşu hangisi dersiniz? 6 ve 1(“Bize her yer Trabzon” mottosunu aslında her yere yansıtmamak gerekir) J. Bundan dolayı her bir hesabınız için farklı ve güçlü parolalar oluşturunuz. Her hesabınız için farklı şifre oluşturmanız çok önemlidir. Olası parolanızı çaldırmanız halinde durumun boyutu nasıl olmalı? Tek bir yerden zarara uğramak mı yoksa her yerden zarara uğramayı mı tercih edersiniz? Tüm bunları göz önünde bulundurarak kendinize özgü bir şifre politikası belirleyin.

Çok Faktörlü Doğrulama Kullanımı

Evinizin fazladan bir kapı kilidinin olması, evinize girmek isteyen kötü niyetli kişilere karşı alınmış ek bir güvenlik önlemidir. Değil mi? Peki, aynı şeyi neden internet dünyası için de yapmayalım ki? 2 adımlı doğrulama yöntemi kullanarak hesaplarınızın güvenliğini maksimize edebilirsiniz.

Antivirüs Kullanımı

Zararlı yazılımları tespit ederek sizin manuel müdahaleniz bulunmadan bunların ekarte edilmesi sağlanabilmektedir. Ancak işimizi her zaman sağlama almakta fayda vardır. Dolayısıyla “ben antivirüs kullanıyorum, hiçbir şey olmaz!” düşüncesine girmeden sürekli tetikte olarak güvenli internet kullanımına dikkat edelim.

E-Posta Filtrelerinin Kullanımı

Özellikle kurumsal sahada mail spam önleyici çözümler kullanılarak phishing ataklarının önüne geçilebilmektedir.

Eğitimler

Gerek bireysel gerekse de kurumsal alanlarda mutlak suretle çalışanların bilinçlendirilmesi gerekmektedir. Keza farkındalık kazanması için eğitimler verilmelidir. Aksi takdirde siber güvenlik ve IT çözümleriniz ne kadar iyi olursa olsun, zincirin en zayıf halkası olan insana yatırım yapılmadıkça maddi ve manevi zararların oluşması kuvvetle muhtemeldir.

Sizin bu konu hakkındaki düşünceleriniz neler? Görüşlerinizi yorumlar kısmından belirtebilirsiniz. Bir sonraki içerikte görüşmek üzere, sağlıkla ve güvenle kalın.