Phishing Nedir? Çevrimiçi Dolandırıcılıklardan Kendinizi Koruma İpuçları
Phishing, işletmeler ve bireyler için ciddi bir risk oluşturur. Bu, kullanıcıları kişisel bilgilerini paylaşmaya kandırmak için sosyal mühendislik tekniklerini kullanan bir tür siber saldırıdır. Bu makalede, phishing kavramını açıklayacak, sürecini anlatacak ve phishing içeren tipik dolandırıcılık örneklerini vereceğim. Phishing nedir, nasıl işler ve tehditler ile bunları tanıma yöntemleri hakkında bilgi sahibiyseniz, şirketinizi ve kendinizi zarardan koruyabilirsiniz.
Phishing Tam Olarak Nedir?
Phishing, sahtekarların parolalar gibi hassas bilgileri veya kişisel bilgileri çalmak için çeşitli teknikler kullandığı bir siber saldırı türüdür. Mağdurları kandırmak için manipülasyon psikolojik hilesini ve sosyal mühendislik yöntemlerini kullanırlar. Genellikle güvenilir bir kaynak gibi bir kuruluş, banka veya sosyal medya web sitesi veya devlet kurumu gibi görünerek, ikna etmeye çalıştıkları kişinin güvenini kazanmaya çalışırlar. Kurban kişisel ayrıntılarını vermesi için manipüle edildikten sonra dolandırıcılar bunu örneğin mali dolandırıcılık veya kimlik hırsızlığı gibi suçlar işlemek için kullanabilirler.
Phishing Nedir? Phishing Nasıl İşler?
Phishing saldırıları insan zayıflıklarını sömürür. Kurbanların özel bilgilerini ifşa etmelerini sağlamak için zihinlerini manipüle etmeyi kullanır. Dolandırıcılar genellikle phishing saldırıları gerçekleştirmek için e-posta dolandırıcılığı, sosyal mühendislik ve kötü amaçlı yazılımlar gibi bir dizi yöntem kullanırlar.
E-posta Sahteciliği
E-posta sahteciliği, phishing içeren dolandırıcılıklarda yaygın olarak kullanılan bir tekniktir. Dolandırıcılar, sahte e-posta adresleri oluşturabilirler, bu adresler kurum veya sosyal medya web sitesi gibi gerçek gibi görünür. E-postalar genellikle kullanıcıyı gerçek gibi görünen sahte bir web sayfasına yönlendiren bir bağlantı içerir. Kullanıcı oturum açtığında hesaba erişim kazanır.
Sosyal Mühendislik
Sosyal mühendislik, phishing dolandırıcılıklarında kullanılan farklı bir taktiktir. Dolandırıcılar, hedeflerinin güvenini kazanmak için birini tanıdığınız biri gibi gerçek gibi davranırlar. Kurbanı, bir bağlantıya tıklamaya veya bir ekli dosyayı indirmeye yönlendirebilirler, bu da bilgisayarlarına kötü amaçlı yazılım bulaştırabilir veya kişisel bilgilerini girmelerini isteyen sahte bir web sayfasına yönlendirebilirler.
Kötü Amaçlı Yazılım (Malware)
Phishing saldırıları ayrıca keylogger veya fidye yazılımını içeren kötü amaçlı yazılımların kullanımını içerebilir. Keylogger, kullanıcının giriş kimlik bilgileri de dahil olmak üzere tuş vuruşlarını takip eden programlardır, oysa fidye yazılımı kurbanın verilerini kilitleyip verileri kurtarmak için ödeme yapmasını gerektirir.
- Google Docs Phishing Dolandırıcılığı 2017 yılında büyük bir dolandırıcılık Gmail kullanıcılarına yönelik phishing hedefliyordu. Kullanıcıları Gmail hesaplarına erişimi teslim etmeye ikna etmek için sahte bir Google Docs daveti kullanıyordu. Phishing için kullanılan e-posta, tanımlanmış bir iletişimden gönderilmişti. Kullanıcıyı bir Google Docs belgesini incelemeye davet eden bir bağlantı içeriyordu. Kullanıcı bağlantıya tıkladığında, kullanıcıları sahte bir Google oturum açma sayfasına yönlendiren bir sayfaya yönlendirildi, bu sayfa kullanıcının şifresini ve e-posta adresini topladı. Google dolandırıcılığı durdurmadan önce milyonlarca kullanıcı etkilendi.
- Netflix Phishing Dolandırıcılığı 2018 yılında Netflix kullanıcılarını hedef alan bir phishing dolandırıcılığı keşfedildi. Dolandırıcılık, kullanıcılara fatura bilgilerini değiştirmelerini isteyen bir e-posta gönderme üzerine kuruluydu. E-posta, kullanıcıları sahte Netflix oturum açma sayfasına yönlendiren bir bağlantı içeriyordu, burada kullanıcılar hesap bilgilerini girmeleri isteniyordu. Dolandırıcılık, birçok kişiyi oturum açma bilgilerini ve kredi kartı bilgilerini vermek konusunda kandırmayı başardı.
- IRS Dolandırıcılığı – 2016 yılında, sahte bir e-posta aracılığıyla Amerika Birleşik Devletleri genelinde vergi mükelleflerini hedef alan bir phishing dolandırıcılığı gerçekleşti. E-posta, kullanıcıların sosyal güvenlik numaralarını ve diğer kişisel bilgilerini sağlamaları istenen sahte bir IRS web sitesine yönlendiren bir bağlantı içeriyordu. Dolandırıcılık, birçok insanı gizli bilgileri vermeye ikna etmeyi başardı ve IRS, bu tür dolandırıcılıklara karşı dikkatli olmaları konusunda mükelleflere uyarıda bulunmak zorunda kaldı.
- Apple Phishing Dolandırıcılığı 2020 yılında, Apple kullanıcılarını hedef alan sahte Apple Destek e-postalarıyla gerçekleşen bir dolandırıcılık. E-posta, kullanıcıları Apple Kimliğinin tehlikede olduğuna dair bilgilendirdi. E-posta ayrıca sahte bir Apple oturum açma sayfasına yönlendiren bir bağlantı içeriyordu, burada kullanıcıdan Apple hesap numarasını ve şifresini girmesi istendi. Dolandırıcılık, birçok kullanıcının oturum açma kimlik bilgilerini vermesini sağladı, bu bilgiler daha sonra Apple hesaplarındaki hesaplara ve kişisel verilere erişim sağlamak için kullanılabiliyor.
- COVID-19 Phishing Dolandırıcılıkları COVID-19 salgını sırasında, hastalıkla ilgili insanların korkularına ve endişelerine odaklanan birçok phishing dolandırıcılığı meydana geldi. Örneğin, dolandırıcılar Dünya Sağlık Örgütü tarafından gönderilmiş gibi görünen mesajlar gönderdiler, bağış istediler veya virüsle ilgili bilgiler sağladılar. Kullanıcılar e-postaların içindeki bağlantılara tıkladıklarında, sahte web sitelerine yönlendirileceklerdi, burada kurbanların kişisel bilgileri toplanacaktı. Bu tür dolandırıcılıklar, salgın devam ettikçe hala endişe kaynağı olmaya devam ediyor.
- Amazon Phishing Dolandırıcılığı Bu phishing dolandırıcılığında, suçlu bir Amazon’dan geldiğine dair görünen bir e-posta gönderir ve kurbanı hesaplarıyla ilgili bir sorun, örneğin çözülmemiş bir ödeme veya şüpheli etkinlik hakkında bilgilendirir. E-posta ayrıca kullanıcıyı sahte bir Amazon hesabı oturum açma ekranına yönlendiren bir bağlantı içerir, burada kullanıcının oturum açma kimlik bilgilerini girmesi istenir. Saldırgan kullanıcının hesabına erişim kazandığında, sahte ürünler satın alabilir veya hatta özel bilgileri çalabilir.
- Banka Phishing Dolandırıcılığı Bir dolandırıcılık sırasında saldırgan, mağdura kendi bankasından geldiği gibi görünen bir e-posta gönderir ve hesaplarında bir sorun veya güvenlik ihlali olduğunu bildirir. E-posta, kurbanı oturum açma bilgilerini girmeleri için sahte bir oturum açma sayfasına yönlendiren bir bağlantı içerir. Saldırgan kullanıcının hesabına erişim kazandığında, sahte işlemler yapabilir veya hatta özel bilgileri çalabilir.
- PayPal Phishing Dolandırıcılığı PayPal dolandırıcılığı, PayPal’dan geldiği gibi görünen bir e-posta göndermekle başlar ve kullanıcıları hesaplarında bir sorun, örneğin izinsiz bir işlem veya güvenlik sorunu olduğu konusunda bilgilendirir. E-posta, kullanıcıyı sahte bir PayPal hesabı oturum açma ekranına yönlendiren bir bağlantı içerir, burada kullanıcının oturum açma kimlik bilgilerini girmesi istenir. Saldırgan kullanıcının hesabına erişim kazandığında, sahte işlemler yapabilir veya özel bilgileri alabilir.
- Sosyal Medya Phishing Dolandırıcılığı Sosyal medya dolandırıcılığında bir saldırgan, bir arkadaş veya Facebook ve LinkedIn gibi sosyal medya sitesi üzerinden bir bağlantı gibi görünen bir e-posta veya ileti gönderir. Gönderi veya mesaj, kullanıcıyı, sosyal medya hesaplarının kimlik bilgilerini girmeleri için sahte bir oturum açma sayfasına yönlendiren bir bağlantı içerir. Saldırgan kullanıcının hesabına erişim kazandığında, kötü amaçlı veya spam bağlantıları yayınlayabilir veya kişisel bilgilere erişebilir.
- Çevrimiçi Perakende Phishing Dolandırıcılığı Phishing dolandırıcılığı içeren bir dolandırıcılık, Walmart veya Target gibi tanınmış bir çevrimiçi perakendeciden geldiği gibi görünen bir e-posta gönderir, kullanıcıyı satın alma işlemleriyle ilgili bir sorun veya özel bir fırsat hakkında bilgilendirir. E-posta, kullanıcıyı sahte oturum açma sayfalarına yönlendiren bir bağlantı içerir, burada kullanıcılar oturum açma kimlik bilgilerini girmeleri istenir. Saldırgan kullanıcının hesabına erişim kazandığında, sahte işlemler yapabilir veya kişisel verileri çalabilir.
Bazı Phishing Dolandırıcılığı Örnekleri
Phishing Türleri
E-posta Phishing Dolandırıcılığı
E-posta dolandırıcılıkları, en yaygın phishing dolandırıcılığı türlerinden biridir. Bu tür dolandırıcılıkta, dolandırıcılar banka veya sosyal medya platformu gibi güvenilir bir kaynaktan geldiği gibi görünen e-postalar gönderirler. E-postalar genellikle alıcıyı gerçek ile aynı olan sahte bir siteye götüren bağlantılar içerir. Kullanıcı oturum açar ve bağlantıya tıklar tıklamaz, dolandırıcılar hesaba erişir. Örneğin, bir dolandırıcı, hedefin hesabında şüpheli aktivite tespit edildiğini söyleyen bir e-posta gönderebilir ve hesap detaylarını onaylamak için bir bağlantıya tıklamalarını isteyebilir.
Ok İğneli Phishing Dolandırıcılıkları
Ok İğneli Phishing, hedeflenmiş bir phishing saldırısının bir türüdür. Dolandırıcılar hedeflerini araştırabilir ve ardından bir iş arkadaşı veya yönetici gibi güvenilir bir kaynaktan geldiği gibi görünen kişiselleştirilmiş bir ileti oluşturabilirler. İleti, hedeflenen bireyin adını veya son projelerini içeren kişiye özgü bilgiler içerebilir. Örneğin, bir dolandırıcı, muhasebe departmanının bir çalışanına, yöneticileri gibi davranarak ve belirli bir hesaba fon transferi yapmasını isteyen bir e-posta mesajı gönderebilir.
Smishing Dolandırıcılıkları
Smishing, e-posta yerine metin veya SMS mesajları kullanan bir tür phishing dolandırıcılığıdır. Bu tür dolandırıcılıkta, dolandırıcılar bir ajans veya banka gibi güvenilir bir kaynaktan geldiği gibi görünen bir SMS mesajı gönderirler. Metin mesajı genellikle, hedeflenen kişinin çevirmesi gereken bir adres veya telefon numarası içerir. Kurban yanıt verirse veya iletişime geçmeye başlarsa, hesap giriş bilgileri ve kredi kartı bilgileri gibi hassas verileri sağlamaları istenebilir. Örneğin, bir dolandırıcı, bankadaki hesaplarının tehlikede olduğunu iddia eden bir SMS mesajı gönderebilir ve sorunu çözmek için belirli bir numarayı tuşlamalarını isteyebilir.
CEO Dolandırıcılığı
CEO dolandırıcılığı, şirketlere yönelik bir tür phishing dolandırıcılığıdır. Bu dolandırıcılık türünde, suçlular CEO gibi yüksek rütbeli bir yöneticiyi taklit ederler ve ardından çalışanlara belirli bir hesaba para transfer etmelerini isteyen bir e-posta gönderirler. E-postalar genellikle acil bir dil kullanır ve çalışanların isteği hakkında anonim kalmalarını da isteyebilir. Örneğin, bir hırsız, finans departmanında bir çalışana CEO gibi davranarak ve çalışanı acil bir proje için fon transferi yapmaya çağırarak bir e-posta gönderebilir.
Pharming Dolandırıcılığı
Pharming, kurbanın rızası olmadan sahte bir siteye yönlendirilen bir tür phishing dolandırıcılığıdır. Dolandırıcı, kurbanın bilgisayarını DNS ayarlarını değiştiren kötü amaçlı yazılımla enfekte eder. Kurban, bankanın web sitesi gibi meşru bir siteye bağlanmaya çalışırsa, gerçek ile aynı olan sahte bir web sitesine yönlendirilir. Kullanıcı giriş bilgilerini girdiğinde, dolandırıcılar banka hesaplarına erişim kazanır. Örneğin, bir dolandırıcı, kurbanın bilgisayarını kötü amaçlı yazılımlarla enfekte edebilir ve kullanıcıları sahte bir siteye yönlendirebilir, böylece çevrimiçi banka hesabına erişim kazanabilir.
Nasıl Phishing Dolandırıcılığından Korunulur
- 🔴 Click the link veya özel bilgi sağlamayı isteyen metin mesajlarına dikkat edin. Her zaman yanıt vermeden önce mesajın kaynağını doğrulayın.
- 🔴 Yönlendirildiğiniz sitedeki URL’yi bildiğinizden emin olun. Dolandırıcılar genellikle meşru olanları andıran URL’ler kullanarak sahte web siteleri oluştururlar. Yazım hatalarına veya hatta adresin hafif değişikliklerine dikkat edin.
- 🔴 İmkânınız olduğunda çok faktörlü kimlik doğrulaması kullanın. Bu hesaplarınız için ek bir güvenlik katmanı sağlar ve yetkisiz erişimi önlemeye yardımcı olur.
- 🔴 İşletim sisteminizin ve yazılımınızın güncel olduğundan emin olun. Bu hesaplarınızı ve bilgisayarınızı siber saldırılardan, kötü amaçlı yazılımlardan ve diğer tehlikelerden korur.
- 🔴 Kendinizi ve çalışanlarınızı, phishing dolandırıcılığıyla ilgili bilgilendirin. Şirketinizdeki herkesin tehlikelerin farkında olduğundan ve şüpheli iletileri tespit edebilecek kadar yetkin olduğundan emin olun.
Nasıl Phishing E-postalarından Kaçınılır?
Phishing e-postalarına dikkat edin. Zor olabilir, ancak güvenliğinizi sağlayabileceğiniz yollar vardır. Bilgi çalma amaçlı phishing kullanan dolandırıcılıkların kurbanı olmaktan kaçınmanıza yardımcı olacak bazı öneriler:
- ✔️ Şüpheli veya hoşnutsuz edici e-postalara dikkat edin: Bilinmeyen gönderenlerden gelen e-postalara veya reklamlara dikkat edin. Çok gerçekçi görünen reklamlar veya kişisel veri talepleri gibi garip bilgiler içeren e-postalardan kaçının.
- ✔️ Gönderenin adresini kontrol edin: Her zaman gönderenin e-posta adresini doğrulayın ve iddia ettiği örgütün alan adıyla uyumlu olduğunu onaylayın. E-postanın şüpheli veya tanınmayan bir gönderenden geldiğini düşünüyorsanız, herhangi bir ek veya bağlantıya tıklamaktan kaçının.
- ✔️ Bağlantılara dikkat edin: Bilinmeyen veya şüpheli web sitelerine yönlendiren bağlantılara tıklamaktan kaçının, çünkü bunlar sahte siteler olabilir.
- ✔️ Gramer ve yazım hatalarını kontrol edin: Phishing e-postaları genellikle dilbilgisi ve yazım hataları veya tutarsız ifadeler içerir. Güvenilir şirketlerden gelen gerçek e-postalar genellikle iyi yazılmış ve hatalardan arındırılmıştır.
- ✔️ Kişisel bilgi vermeyin: E-postalara yanıt verirken giriş bilgileri, Sosyal Güvenlik numaraları, giriş bilgileri veya kredi kartı numarası gibi hassas veya kişisel bilgileri vermeyin. Gerçek şirketler bu tür bilgileri asla e-posta yoluyla istemez.
- ✔️ İki faktörlü kimlik doğrulamasını kullanma: İki faktörlü kimlik doğrulama, hesabınızı yetkisiz kişilerin erişimine karşı korur. Bu özelliği destekleyen çevrimiçi hesaplarınızın herhangi birinde bu özelliği etkinleştirmeyi düşünmelisiniz.
- ✔️ Yazılımınızın güncel olduğundan emin olun: İşletim sisteminizin, antivirüs yazılımınızın ve web tarayıcınızın en güncel yamalar ve güvenlik güncellemeleri ile güncel olduğundan emin olmalısınız.
- ✔️ Bilinçli olun: En yaygın phishing yöntemlerini öğrenin ve en son tehditler hakkında güncel kalın. Phishing içeren dolandırıcılıklara dikkat ederek bu dolandırıcılıkları tanımanıza ve kaçınmanıza yardımcı olur.
Bu kuralları izlerseniz ve iletiler alırken ve yanıtlarken dikkatli olursanız, kendinizi phishing dolandırıcılığına karşı koruyabilirsiniz. E-postayı aldığınızda şüpheli olduğundan şüphe duyduğunuzda, herhangi bir bağlantıya tıklamaktan veya kişisel bilgi girmekten kaçının.
Sonuç
Phishing günümüz dijital çağında büyük bir endişe kaynağıdır. Dolandırıcılar kişileri ve şirketleri özel bilgileri açıklamaya ikna etmek için çeşitli yöntemler kullanırlar. Phishing dolandırıcılığı türünün ve bu tehditleri nasıl tespit edeceğinizin farkında olarak, işinizi ve kendinizi potansiyel tehlikelerden koruyabilirsiniz. İstenmeyen e-postalara dikkat edin ve hassas bilgi taleplerinin kaynağını kontrol edin. Uyanık olun ve güvende kalın.
User Review
( votes)İngilizce Almanca Japonca İspanyolca Portekizce, Brezilya Fransızca Klasik Çince Kore dili Endonezya dili Hintçe İtalyanca