Daha önce herhangi bir kurumsal firmadan kimlik bilgilerinizi veya banka hesaplarınızı doğrulamanızı isteyen bir elektronik posta aldınız mı? Cevabınız evet ise aslında siz de bir tür siber saldırıya tanık olmuş olabilirsiniz. Peki aldığınız e-postanın aslında tanıdığınız ya da güvendiğiniz o firmadan gönderilmemiş olabileceğini söylesek. İşte buna İngilizce kullanımıyla phishing Türkçe karşılığı olarak da oltalama saldırısı deniliyor. Adından da anlaşılabileceği üzere bu saldırı ile sizi bir balık gibi oltaya düşürmeye çalışıyorlar. Nasıl mı?
Saldırganlar güvenilir bir firma veya banka gibi davranarak size bir e-posta yollarlar. Bu e-posta bilinen bir internet sitesinden ya da hizmet aldığınız bankanız tarafından gönderilmiş gibi görünür, dolayısıyla e-maili açtığınız anda bunun bir phishing saldırısı olabileceğini aklınızın ucundan bile geçirmeyeceksinizdir. Mailler size farklı içeriklerle gönderilebilir, örneğin bankanızdan yollanmış gibi bir görüntü verilerek hesabınızın güncellenebilmesi için kredi kartı numaranız, şifreniz gibi kişisel bilgilerinizi girmeniz talep edilir ya da "hediye kazandınız, indiriminiz var, almak için hemen tıkla!" şeklinde sizde heyecan ve merak yaratarak gönderilen linke tıklamanız sağlanır. Böylece siz linke tıkladığınızda başka bir web adresine (URL' ye) yönlendirilirsiniz. Yönlendirildiğiniz bu site aslında değiştirilmiş sahte bir sitedir ve bilgilerinizi bu siteye girdiğiniz anda bu bilgiler sizi oltalamaya çalışan saldırganın da eline geçmiş olur. Ele geçirilen bu hassas verileriniz daha sonra tehdit yoluyla sizden para talep etmek için kullanılır. Phishing yönetimi siber suçlular tarafından en çok tercih edilen saldırı yöntemidir ve bu yöntemden haberdar olmayan çoğu kişi bu tuzağa düştüğünden saldırının başarı oranı da oldukça yüksektir. Eğer bu saldırı yöntemi üst düzey yönetici gibi yüksek iş profiline sahip insanlara karşı kullanılırsa, çok daha yüksek meblağlarda para talep edildiğinden (büyük balığın peşinde olduklarından) "balina avı" olarak adlandırılır.
Oltalama saldırılarını nasıl ayırt edebiliriz?
• Kurumsal dil: Gönderilen mail resmi bir dil içermiyorsa veya bu dil daha önce kurumsal firma ya da bankanızdan almış olduğunuz mail ile uyuşmuyorsa bir yanlışlık var demektir.
• Kişisel bilgi talebi: Genellikle kurumsallaşmış firmalar kişisel verilerinizi mail yoluyla talep etmezler bu, oltacıların başvurduğu bir yöntemdir.
• Aciliyet yaratma: Oltalama mailleri sizi panikleterek ya da heyecanlandırarak talep edilen bilgileri en kısa sürede yazmaya teşvik ederler.
• Farklı web adresi(URL): Mutlaka internet sitesinin alan adının yazdığı bölümü kontrol ediniz. Kurumsal firmaların kendilerine ait kurumsal URL adresleri vardır. (Örneğin: .com/.net/.org/.gov/.edu/.info vb.)
Oltalama saldırılarından nasıl korunuruz?
• Öncellikle kişisel bilgilerinizi vermeyin. Kurumsal firmaların e-posta yoluyla sizden bu bilgileri talep etmeyeceğini unutmayın!
• Girdiğiniz kurumsal firmaların sitesinde kişisel haklarınızı korumak adına gizlilik sözleşmesi bulunur. Herhangi bir bilgini paylaşmadan önce bu anlaşmanın olup olmadığını kontrol edin.
• Tıklamak için acele etmeyin. Mailin yukarıdaki maddelerden herhangi birini içerip içermediğini dikkatlice inceleyin.
• Son olarak size gönderilen linkleri "Phishing Tank" (https://www.phishtank.com/) üzerinden sorgulayabilir, bu siteden size gönderilen web adresinin bir saldırı amacıyla yollanıp yollanmadığını öğrenebilirsiniz.