PHISHING (OLTALAMA) NEDIR?

Phishing, dolandiricilarin rastgele kullanici hesaplarina e-mail gönderdikleri bir çevrimiçi saldiri türüdür. E-postalar, bilinen web sitelerinden veya kullanicinin bankasindan, kredi karti sirketinden, e-posta veya internet hizmeti saglayicisindan gönderilmis gibi gözükür. Genellikle hesaplari güncelleyebilmek için kredi karti numarasi veya sifre gibi kisisel bilgiler sorulur. Bu e-postalarda kullanicilari bir baska web sitesine yönlendiren URL baglantisi yer alir. Bu site aslinda ya sahte ya da degistirilmis bir web sitesidir. Kullanicilardan da bu siteye gittiklerinde phishing saldirisini yapan kisiye iletilmek üzere kisisel bilgilerini girmeleri istenir.

Phishing, genelde bir kisinin sifresini veya kredi karti bilgilerini ögrenmek amaciyla kullanilir. Bir banka veya resmi bir kurumdan geliyormus gibi hazirlanan e-posta yardimiyla bilgisayar kullanicilari sahte sitelere yönlendirilir. Phishing saldirilari için bankalar, sosyal paylasim siteleri, e-posta servisleri, online oyunlar vb. sahte web sayfalari hazirlanmaktir. Burada bilgisayar kullanicisindan kimlik bilgileri, kart numarasi, sifresi vb. istenir. E-posta mesajindaki ve sahte sitedeki talepleri dikkate alan kullanicilarin bilgileri çalinir.

Tam bir aldatmacadir. Saldiran kisi bir “yem” hazirlar ve bu yeme “baliklarin” takilmasini bekler. Büyük kayiplar yasanmamasi için bu tür sahtekarliklara karsi bilinçli olmak gerekmektedir.

Bu yazinin amaci da zaten bu bilinci yaratarak teknoloji kullanan insanlarin zarar görmesini engellemektedir.

Phishing saldirilariyla nelerin çalinmasi amaçlaniyor ?

Phishing yöntemi kullanarak bilgisayar kullanicilarini kandiran saldirganlar genellikle asagidaki bilgilere erismeyi hedeflemektedirler.

• Kullanici hesap numaralari  
• Kullanici sifreleri ve parolalari
• Kredi karti numaralari
• Internet bankaciliginda kullanilan kullanici kodu ve sifreleri vb.

E-Posta ile Phishing

E-posta yöntemini kullanan dolandiricilar burada da kullanicilari farkli sekillerde aldatma yoluna giderler.

a) E-postaniza devamli temas halinde oldugunuz kuruluslardan gönderiliyormus izlenimi verilen sahte bir e-posta gönderiliyor. Bu e-postalarda kullaniciya kurumun web sitesine gitmesinin gerektigi, sifresinin süresinin doldugu söylenir ve altta o sayfaya yönlendirilecegi bir link (baglanti) verilir. Dolandirici daha önceden hazirladigi ve kurulusun sitesinin aynisi veya benzeri olan bu siteye kullaniciyi getirdikten sonra, ondan sifreyi girmesini ister. Dolandirici bu sifreyi kullanarak internet araciligi ile para transferi, e-ticaret, sizin adiniza bagis toplama, reklam gönderme, çok sayida spam mesaj gönderme vb. isler yapabilir.

b) Bazi e-postalarda ise; bir yarisma düzenlendigi ve bu yarismaya katilmasi teklif edilen kullanicilara ödül olarak bir ürün kazandiklari ancak gerekli kisisel bilgileri vermeleri gerektigi söylenir. Bu gibi durumlarda bilgilerini veren kullanicinin tüm bilgileri dolandiricinin eline geçer.

c) Bir baska kullanilan teknikte ise; gelen e-postada müsteriye kisisel bilgilerini güncellemesi gerektigi, tüm bilgileri tekrar girmesi bunun kendileri açisindan daha iyi hizmet verebilmeleri için gerekli oldugu söylenir.

d) Bir baska teknikte ise; gelen e-postada kullanicinin e-posta kotasinin doldugu, eger bilgilerini güncellemezse hesabinin kapatilacagi söylenir.

e) Son zamanlarda bazi bankalarin baslatmis olduklari ve cep telefonlari ile para transferine imkân veren sistem kullanilarak banka müsterilerine sanki kendi hesaplarina para gönderilmis veya alinmis gibi gösterilip sahte banka sitesi linki (baglanti yolu) verilerek bu paranin tahsil edilebilmesi için bilgi güncellestirmesi istendigi bilinmektedir.

Phishing amaçli gönderilen e-postalar ve sahte web siteleri nasil tespit edilir?

• E-posta taninmis yasal bir e-ticaret sitesinden, finansal kurumdan, e-posta saglayicisindan, internet hizmet saglayicisindan mi geliyor?
• Kisisel bilgilerinizi vermeniz mi isteniyor?
• E-postada ya da web sitesinde yazim veya dilbilgisi hatalari var mi?
• E-posta ya da yönlendirildiginiz web sitesi, sizden yanit alabilmek için duygusal veya heyecan verici bazi sözler kullaniyor mu?
• Eger e-postadaki bir baglanti (link) araciligiyla bir web sitesine yönlendirilmisseniz, tarayicinin (browser) üst kisminda yazan URL ile ziyaret ettiginizi düsündügünüz yasal sirketin URL adresi birbirine uyuyor mu?

Phishing saldirisina hedef olduysaniz neler yapmalisiniz ?

Eger saldiri yasal bir sirketle iliskiliyse (yani phishing saldirisinda gönderilen e-posta taninmis bir e-ticaret sitesinden, finansal kurumdan, e-mail saglayicisindan, internet hizmet saglayicisindan geliyorsa) bu saldiriyi ilgili sirkete bildirin. Böylece, ilgili kuruma sahte web sitesini kapatma ve saldirganin izini sürmesini saglamak için yardimci olabilirsiniz.

E-posta hesabimin sifresi ele geçirildiginde ne olur?

• Gönderilecek mesajin görünen ismi, sizin isminiz yerine genellikle baska bir isimle degistirilir.
• Mesajin sonuna eklenecek olan imza metni degistirilir.
• Hesabinizda bulunan veya size sonradan gelecek olan mesajlar saldirgana yönlendirilir ve sizdeki kopyasi silinir.
• Hesabinizdaki mesajlarin tümü silinebilir.

Çevrimiçi dolandiriciliktan korunmanin yollari

E-posta hesabiniz için kullandiginiz sifre, diger hesaplarinizdaki sifrelerden farkli olmalidir.

Kisisel bilgilerinizi isteyen e-postalara yanit vermeyin.

Gelen e-postanin kimden geldiginden emin degilseniz dikkate almayiniz. Unutmayin hiç bir kurum veya kurulus e-posta yoluyla sizden kisisel bilgilerinizi istemez.

ÇALISTIGINIZ KURUM SIZE ASLA KISISEL BILGILERINIZ VEYA SIFRENIZI SORAN E-POSTA GÖNDERMEZ.

Süpheli gördügünüz e-postalardaki URL linklerini tiklamayin.

E-posta mesajlarindaki kisaltilmis URL linklerine ( bit.ly,ow.ly, tinyurl.com, is.gd, goo.gl, tiny.cc, cli.gs vb.) kesinlikle tiklamayin.

Süpheli veya bilmediginiz web sitelerine kisisel bilgilerinizi vermeyin.

Kisisel bilgilerinizi girmek için banka, kredi karti ve servis saglayicilarinin web sitelerini ziyaret ettiginizde, web sitesinin URL’sini internet tarayiciniza dogrudan yazin.

Güvenli olan sitelerde bile çevrimiçi olarak bir formu doldurmadan önce, sitenin üçüncü kisilerle bu bilgileri paylasip paylasmadigini belirten gizlilik anlasmasinin olup olmadigini kontrol edin.

Antispyware ve antivirüs programlari kullanin.

Yasal olmayan veya kaynagi belirsiz yazilimlari yüklemeyin ve çalistirmayin.

Kredi karti numaralari, kisisel bilgiler, e-posta dahil her türlü sifre hiç bir zaman e-posta ile açikça yollanmamalidir. Bir e-posta teknik olarak gidecegi yere varana kadar birçok noktadan geçmektedir. Bu noktalarda e-postalarin içeriginin "dinlenmesi" her zaman mümkündür.

Özellikle Kablosuz Internet'in kullanildigi alanlarda mecbur kalinmadikça banka gibi yerlere girilmemeli, kredi karti, sifre vs. ile ilgili islemler yapilmamalidir. Havadaki sinyaller üçüncü sahislar tarafindan dinlenebilir. Sinyaller sifreli dahi olsa unutulmamalidir ki tüm sifreleme yöntemleri sadece kirilincaya kadar güvenlidir.

Bu tip saldirilara karsi korunmanin en etkili yolu,bu konuda bilinçli ve bilgili olmaktir.