Phishing Saldırısı (Oltalama) Nedir? Korunma Yöntemleri Nelerdir?

Phishing Nedir?

Phishing saldırısı; kullanıcıların kişisel bilgilerini ele geçirmek amacıyla yapılan siber saldırı türlerinden biridir. Genellikle kişilerin e-posta adreslerine yada SMS yoluyla telefonlarına hediye, indirim, gibi cezbeden sahte duyurular göndererek kimlik bilgisi, parola, kredi kartı bilgisi gibi hassas verilerin çalınması amaçlanır. Tehlikeli, zarar verici ve giderek yaygınlaşan bir siber saldırı türüdür.

Phishing Türkçe Anlamı Nedir?

“Phishing” kelimesinin Türkçe’de “oltalama” olarak karşılık bulur. Bu terim, balık tutarken kullanılan olta ve yem kavramından türetilmiştir. Çünkü bu siber saldırı türünde de internet korsanları kişileri kandırarak hassas bilgilerini almaya çalışır.

Phishing Saldırısı Nasıl Olur?

Phishing saldırısı eylemlerinde; kişiler, genellikle ikna edici derecede meşru görünen bir web sitesi üzerinden, gizli bilgilerini vermeye ikna eden, güvenilir bir göndericiden gelen ve meşru görünen e-postalar, SMS’ler ya da diğer iletişim araçları ile kaldırılmaya çalışılır. Bu güvenilir gibi görünen adresler kimi zaman bir banka ya da tanınmış bir marka veya sosyal medya platformu gibi görünebilir.

Cezbedici mesajların yanı sıra phishing saldırısı içeriğinde acil durum ve korku yaratma taktiği de kullanılır. Alıcıları ekleri açmaya veya bağlantılara tıklamaya zorlamak için sıklıkla korku, merak ve aciliyet duygusu gibi taktiklere başvurulur. Hesabınızın ele geçirildiği, ödemelerinizin geciktiği ya da önemli bir belgeye hemen erişmeniz gerektiği gibi acil bir durum yaratılarak bağlantıların açılması zorlanılır.

Bu bağlantıya tıklayan kişiler, sahte bir web sitesine yönlendirilir. Ancak bu web sitesi genellikle gerçek siteye çok benzer. Kullanıcıdan siteye Kullanıcı Adı ve Şifre, Kredi Kartı Bilgileri ve kişisel bilgilerini girmesi istenebilir.

Böylece kullanıcının hassas bilgileri saldırganlar tarafından ele geçirilir. Saldırganlar bu bilgileri, kimlik bilgileri ile başkalarını dolandırmak, kredi kartı bilgileri ile para çekmek ya da alışveriş yapmak, şirket bilgilerini çalarak kurum sırlarına erişmek gibi amaçlarla kullanılabilir.

Örneğin, aşağıdaki phishing saldırısı örneğinde; “Tüm Hotmail kullanıcıları Outlook.com’a yükseltilmiştir. Hotmail Hesap hizmetlerinizin süresi doldu. Outlook’a yükseltilmiş yeni sistemimiz nedeniyle, aktif kalması için hesabınızı Outlook’a yeniden etkinleştirmek üzere aşağıdaki bağlantıyı takip edin.” ifadeleriyle kişinin bağlantıya tıklayarak kandırılması hedeflenmektedir.

Phishing Saldırısı ile Gelen Tehlikeler Nelerdir?

Phishing saldırıları birçok tehlike barındırır. Bu saldırılar hem bireyler hem de kurumlar için ciddi sonuçlara neden olabilir.
Kimlik hırsızlığı: Saldırı sonucu ele geçirilen kişisel bilgiler, kimlik hırsızlığı için kullanılabilir. Bu bilgiler, mağdurların kimliğini taklit ederek çeşitli dolandırıcılıklar yapılabilir.
Maddi kayıplar: Phishing saldırısı sonucunda alınan kart bilgileri ile mağdurların hesaplarından para çekilebilir veya yüklü alışverişler yapılabilir.
Şirket Bilgilerinin Yayılması: Kurumsal hassas bilgiler, saldırılar sonucu açığa çıkabilir. Yapılacak yeni proje detayları, ticari sırlar, çalışan bilgileri gibi hassas bilgiler kötü niyetli kişiler tarafından kötüye kullanılabilir. Ayrıca şirketlerin bilgi güvenliği da riske girerek kuruma büyük zarar verebilir.
Güven Kaybı: Yaşanan veri ihlalleri, hem bireylerin hem de kurumların itibarını zedeleyebilir. Müşterilerin ya da iş ortaklarının güvenini kaybeden şirketler uzun vadeli iş kayıpları yaşayabilir.
Yasal Sorunlar: Phishing saldırısı sonucunda gerçekleşen veri ihlalleri kişilerin ve kurumların yasal sorunlar yaşamasına neden olabilir. Büyük cezaları beraberinde getirebilir.

Phishing Saldırısından Korunma Yöntemleri Nelerdir?

Phishing saldırılarından korunmanın en etkili yolu bilinçli olmaktır. Saldırıyı tespit edebilmek için yapılan yazım hatalarına, sizden kişiler bilgilerinizin istenip istenmediğine, yönlendirme yapılan web sitesinin URL’si ile yasal şirketin URL’sini kontrol etmeye, acil eylem talep eden veya tehdit eden mesajlar olup olmadığına dikkat etmelisiniz.

• e-Posta mesajlarında gelen kısaltılmış linklere kesinlikle tıklamamalısınız.
• e-Posta hesabınızın şifresi ile diğer hesaplarınızın şifresi farklı olmalıdır. Ayrıca şifrelerinizi düzenli aralıklarla değiştirmelisiniz.
• Hiçbir kurumun sizden kişisel bilgilerinizi istemeyeceğini unutmayın.
• Phishing e-postalarını tanıyabilen ve engelleyebilen e-posta filtreleme yazılımları kullanabilirsiniz.
• Bilgisayar ve mobil cihazlara güçlü antivirüs yazılımları kurabilirsiniz.
• Tüm hesaplarınızda iki faktörlü kimlik doğrulama yöntemini kullanın.
• e-Posta veya mesajlardaki bağlantılara tıklamak yerine, güvenilir web sitelerine doğrudan tarayıcıdan erişebilirsiniz.
• Web sitelerinde SSL gibi güvenli bağlantıların (https://) kullanıldığından emin olun.
• İşletim sistemleri, tarayıcılar ve diğer yazılımların düzenli olarak güncellenmesi gerektiğini unutmayın.

Çalışanlar ve bireyler phishing saldırıları hakkında eğitilerek farkındalık sahibi olmalıdır. Gerçek dünyadan örnekler ve sahte e-postalar üzerinde çalışılarak dolandırıcılar ayırt edilmelidir.