Phishing (Oltalama) Saldırısı Nedir? Saldırıdan Nasıl Korunmalı?

Phishing (oltalama) saldırısı, bir online dolandırıcılık yöntemini ifade eder. Oltalama saldırısında dolandırıcılar, kullanıcı hesaplarına e-mail gönderir. Kullanıcılara ulaşan bu e-postalar bilinen web sitelerinden, bankadan, kredi kartı şirketinden ya da internet hizmet sağlayıcısı tarafından iletilmiş gibi görünür.

Fakat bu e-postalarda kullanıcıların farklı bir web sitesine gitmesini sağlayan URL bağlantısı vardır. Kullanıcılarının yönlendirildiği site, sahte veya değiştirilmiş bir web sitesidir. Bu siteye ulaşıldığında kullanıcılardan kişisel bilgilerinin girilmesi istenir. Peki, phishing saldırısı nasıl çalışır? Phishing ile hangi bilgiler çalınabilir? Phishing saldırılarına maruz kaldığınızda ne yapmalısınız ve hangi yöntemlerle saldırılardan korunabilirsiniz? Şimdi gelin, phishing saldırısı hakkında merak ettiğiniz soruları yanıtlayalım.

Phishing Saldırısı Nasıl Çalışır? En Yaygın Yöntemler

Phishing saldırısının çalışması için kullanıcıların, saldırganların yönlendirmelerine uyarak istenen bilgileri de girmiş olması gerekir. Saldırganlar; kullanıcıları ağına düşürebilmek için öncelikle alışveriş sitesi, banka, sosyal paylaşım sitesi, online oyun sitesi, e-posta servisi benzeri sistemlerin bir kopyasını hazırlar. Bu sistemlerin seçilmesinin nedeni, giriş yaparken kullanıcı adı ve parola gibi bilgilerin istenmesidir. Siber saldırganlar için diğer adım hedefledikleri ya da tamamen rastgele ellerinde olan e-mail hesaplarına bu e-postaları göndermek olur.

Hazırlanan sahte web sitelerine yönlendiren e-mailler, kullanıcılara iletilir. Yönlendirilen sahte web sitesinde kullanıcıdan bazı kişisel bilgilerini girmesi beklenir. Kullanıcının e-posta mesajında yer alan yönlendirmelere uyması ve yönlendirildiği sitedeki istekleri yerine getirilmesi kişisel verilerinin açığa çıkmasına neden olur. Çünkü bunun sonucunda özel bilgiler, veri hırsızlığı yoluyla saldırganlar tarafından çalınır.

Phishing saldırısı tam bir aldatmaca üzerine uyarlanır. Saldırgan hazırladığı “yem” ile oltaya “balık” gelmesini bekler. Yem için en yaygın kullanılan yöntemler arasında hediye, ücretsiz tatil, maaş zammı ve para ödülü yer alır. Bunların yanı sıra kurbanların dikkatini çekmek için “Şifreniz çalındı”, ”Fatura ödemeniz gecikti”, ”Kurumunuzdaki telefon değişiklikleri”, ”İzinlerin iptali ile ilgili”, ”E-mail kotanız doldu” ve ”Dikkat: hesabınız kapanacak” şeklinde gündeme de uygun olarak ilginizi çekmeye çalışan mailler gönderebilirler.

Phishing Saldırıları ile Hangi Bilgiler Çalınabilir?

Phishing saldırısı ile saldırganlar, kişisel veri hırsızlığı yaparak kullanıcıların bazı bilgilerini ele geçirmeyi amaçlar. Bu doğrultuda saldırganlar; kullanıcı parolaları, kredi kartı numaraları, kullanıcı hesap numaraları, internet bankacılığında kullanılan şifre, kullanıcı kodu gibi bilgileri çalmaya çalışır.

Phishing Saldırılarından Nasıl Korunabilirsiniz? Etkili Önlemler

“Phishing’den nasıl korunmalı? diye soruyorsanız birkaç ipucundan faydalanabilirsiniz. Ancak bu saldırıdan korunmak adına en etkili yolun bu konularda bilinçli olmak olduğunu unutmamalısınız. Phishing saldırılarından kaçınmak için bazı önlemler alabilirsiniz.

E-posta hesap güvenliğiniz için güvenli parola oluşturmalısınız. E-mail için belirlediğiniz şifrenizi, diğer hesaplarınızdan farklı olacak şekilde belirlemelisiniz. Size gelen bir e-postanın kaynağı ve kimden geldiği belli değilse dikkate almamalısınız. Bilinmeyen bir e-mail içerisinde yer alan ekteki dosyaları kesinlikle açmamalısınız.

E-posta yoluyla hiçbir şekilde kişisel bilgilerinizi, şifrelerinizi, kredi kartı numaralarınızı göndermemelisiniz. Hiçbir kuruluşun veya kurumun e-mail yoluyla sizden kişisel bilgilerinizi istemeyeceğini aklınızda bulundurmanızda fayda var. 

Kişisel bilgilerinizi gireceğiniz bir siteye ulaşmak istediğinizde web sitesinin URL’sini internet tarayıcınıza doğrudan girmelisiniz. E-mailde kısaltılmış URL linklerine asla tıklamamalısınız. Bunlar kendini tinyurl.com, goo.gl, bit.ly, tiny.cc, is.gd, cli.gs gibi şekillerde gösterebilir.

Antivirüs ve antispyware programları kullanmalısınız. Ayrıca kullandığınız antivirüs yazılımlarının güncel olup olmadığını belli aralıklarla kontrol etmelisiniz. Kişisel veri güvenliği için herhangi bir web sitesine kişisel bilgilerinizi girmeden önce sitenin SSL sertifikasını kontrol etmelisiniz. 

Phishing Saldırısına Maruz Kalındığında Ne Yapılmalı?

Phishing saldırısına uğradıysanız ilk olarak bilgilerinizi paylaştığınız sitelerdeki şifrenizi değiştirerek hesap güvenliği sağlamanız önemlidir. Mümkünse iki faktörlü kimlik doğrulamasını etkinleştirmelisiniz. Eğer saldırı yasal bir şirketle bağlantılı ise ilgili şirkete dolandırıcılığı bildirmeniz gerekir. Bu sayede kurum, sahte web sitesinin kapatılması ve siber saldırganın izinin sürülmesi gibi süreçleri başlatabilir.