Phishing (Oltalama) veya “yemleme” adı verilen ve internet sitelerinin kopyalarını kullanarak kredi kartı, bankacılık şifresi vb. gibi önemli bilgilerinizi çalmak için gerçekleştirilen bir dolandırıcılık yöntemidir.

Ülkemizde özellikle bankalar, E-Devlet gibi kişisel bilgilerinize ulaşılabilecek web sitelerinin kopyaları kullanılarak gerçekleştirilir.

Adından da anlayacağınız üzere dolandırıcılığın bu yönteminde oltanın ucuna bir yem konur ve o yemi almaya çalışan kişiler oltaya yakalanarak dolandırılır.

Yazımızda phishing nasıl yapılır, phising çeşitleri nelerdir ve phishingten korunma yolları hakkında bilgiler bulabilirsiniz.

Phishing (Oltalama) Dolandırıcılık  Nasıl Yapılıyor?

İnternette, sosyal medyada, e-mail adresinizde “Birikmiş kredi kartı aidatlarını iade alın!”, “Herkese devlet destekli kefilsiz 5000 TL kredi.” , “Geri ödemesiz 1000 TL pandemi yardımı için tıklayın”, “Bankacılık sisteminde yapmış olduğumuz değişiklikleri onaylamak için giriş yapmanız gerekmektedir. “ gibi mesajlara denk gelmişsinizdir.

Bu şekilde mesaj reklam veya e-maillere tıklayarak onların verdiği linke gidip bir de kişisel bilgilerinizi girdiyseniz geçmiş olsun. Phishing mağduru biri oldunuz demektir.

İşlem adım adım nasıl gerçekleşiyor size açıklayalım:

  1. Öncelikle dolandırıcı oltalama yapacağı banka, e-devlet vs görünürde bir web sitesinin birebir aynısını yapar. Farklı metodlarla adres çubuğundaki adresi bile gerçek domaine benzeyen anlaşılmayacak ufak tefek farklarla kişinin dikkat etmediği sürece anlayamacağı şekilde gösterilir. (Örneğin “cazipbank.corn” veya “banka.corn” )
  2. Bu siteye sizi çekmek için sosyal medya reklamı, e-mail veya sms kullanılır. Bu mecralarda cazip tekliflerle çok sayıda kişiye ulaşmaya çalışılır.
  3. Farklı metodlarla size ulaşan bu cazip linklere tıkladığınızda sizi kandırmak için hazırlanan sahte web sitesine çekilirsiniz.
  4. Bu sahte web sitesinde sizden kredi kartı bilgileriniz, bankacılık şifreleriniz veya özel bazı bilgileriniz istenir.
  5. Sahte web sitesini kontrol eden kötü niyetli kişiler, girdiğiniz bilgiler sayesinde internet bankacılığı yoluyla veya kredi kartı harcaması şeklinde paranızı çalarlar.
  6. Siz olayı anladığınızda artık iş işten geçmiştir. Kendinizi bankanıza o harcamayı sizin yapmadığınızı anlatmaya çalışırken bulursunuz.

Phishing Çeşitleri

Birçok farklı metodla phishing ( oltalama ) yapılmaktadır. Gelin çeşitleri neymiş onları görelim.

Clone Phishing (Kopya Oltalama)

Saldırgan daha önceden kullanılan gerçek bir e-postayı kopyalar ve bu kopya mail ile sizi clone (kopya) siteye yönlendirmeye çalışır. Bu link üzerinden size ulaşılır ve kişisel bilgilerinizi ele geçirebilirler.

Spear Phishing ( Belli Bir Hedef Gözeten Oltalama)

Bu sistemde daha çok bir hedef üzerine odaklanıldığı için, önceden kurban hakkında bilgiler toplanmalıdır. Kurban kimlerle görüşür, ilgi alanları nedir, aile bireylerinin isimleri gibi.

Pharming Yöntemi

Sonrasında genelde tanınmış bir kişi veya kurumlar kullanılarak kişinin kötü amaçla oluşturulmuş siteye ziyareti sağlanır veya bir dosya indirmek suretiyle bilgisayarına sızılır. Böylece kişisel bilgiler elde edilerek kurban zarar uğratılır.

Kurban açısından anlaşılması en zor ve en tehlikeli yöntemdir. Bu sistemde genelde DNS serverları üzerinden, resmi web sitelerinin adres kontrolleri kötü niyetli kişilerce elde edilir.

Bu sitenin ziyaretçileri, farkettirmeden gerçek site yerine kopya siteye yönlendirilir. Alan adını doğru girseler bile yönlendirme ile işlem gerçekleştirilir. Yine kişisel bilgilerin çalınması yoluyla kurbanlar dolandırılır.

E-mail Spoofing( Sahte E-posta Saldırısı)

Bilindik sitelere ait sahte e-mailler yoluyla kurbana ulaşılır. E-postada belirtilen cazip teklifler vs ile kurbana bir linke tıklanması istenir. Linke tıklandığında keylogger veya trojan gibi bazı zaralı yazılımlar kurbanın bilgisayarına yüklenir, bu şekilde elde edilen bilgilerle kurban zarara uğratılır.

Hediye Çekilişleri Metodu

Özellikle sosyal medya mecralarında ünlü kişiler veya kurumların hediye çekilişi yaptığı yönünde mesajlar oluşturulur. Bu mesaj veya posta icabet eden ve kolay aldatılabilir kullanıcılar, mesajlaşma uygulamalarına çekilerek dolandırılmaya çalışılır.

Reklam Yöntemi

Bankalar veya farklı kuruluşların reklamı görünümünde cazip teklifler içeren internet ve sosyal medya reklamları oluşturularak kurbanlara ulaşma yöntemidir. Bu sayede ulaşılan kurban kopya sitelere yönlendirilerek kişisel bilgilerinin edinilmesi sağlanır.

Typosquatting (Alan Adı Benzerliği) Yöntemi

Bilindik finans kuruluşları ve kurumların alan adına çok benzer alan adları kullanılarak gerçekleşen phishing metodudur.  Kurban ya kendisi yanlışlıkla benzer domaini yazar ya da linkte farkedilemeyecek kadar yakın olan alan adları kurbanı şüphelendirmez.

Özellikle karışık ve yazımı zor olan domainler seçilerek yanlışlığın farkedilmesi zorlaşır. Domainleri el ile yazarken de defalarca kontrol etmenizde fayda vardır.

Phishing Mağduru Olmamak İçin Ne Yapmalıyım?

Böyle bir mağduriyet yaşamamak için dikkat edilip alışkanlık haline getirilmesi gereken birkaç konu vardır.

  • Farklı kanallardan gelen çekiliş hediye vb. cazip mesajlara temkinli yaklaşılmalıdır.
  • Cazip teklifle ilgileniyorsak bile, diğer kanallardan (Örneğin resmi web sitesi ) araştırma yapmalısınız.
  • Size “Giriş Yapın” şeklinde gelen mesajlardaki link yerine kendiniz tarayıcıyı açarak gerçek web sitesinin alan adını üzerinden giriş yapın.
  • Hiçbir kurum sizden mail yoluyla şifrenizi veya kişisel bilgilerinizi istemez. İsteniyorsa bir sorun olduğunu anlayabilirsiniz.
  • İnternet tarayıcısının adres çubuğunda web sitesine ait URL açılırken “HTTP” (Hyper Text Transfer Protocol) yerine güvenli şifreleme sistemi kullanan “HTTPS” (Secure Hyper Text Transfer Protocol) ibaresi olduğuna emin olun.
  • Sürekli iletişimde olduğumuz kanallardan gelen maillere bile şüpheyle yaklaşmalısınız.
  • HTTPS sistemi kullanılan web sitelerinde şifre hırsızlığı çok zor olmaktadır. Ancak unutmayın hackerların ”HTTPS” sistemini “HTTP” ye düşürme ( downgrade etme ) yöntemleri de vardır.
  • Her defasında URL’nin, “HTTPS” ile başladığına emin olun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir