PHİSHİNG (OLTALAMA)

Kimlik avı; bireyleri kişisel olarak tanımlanabilen bilgiler, bankacılık ve kredi kartı bilgileri ve şifreler gibi hassas verileri sağlamaya teşvik etmek için meşru bir kurum gibi davranan biri tarafından bir hedef veya hedefle e-posta, telefon veya kısa mesaj yoluyla iletişime geçildiği bir siber suçtur.

Bilgi daha sonra önemli hesaplara erişmek için kullanılır ve kimlik hırsızlığına ve mali kayba neden olabilir.

İlk phishing davasına konu web sitesi “America Online” nin taklidini oluşturulan Kaliforniya bir gence karşı 2004 yılında açılmıştır. Bu sahte web sitesi ile kullanıcılardan hassas bilgiler elde edilmiş ve hesaplarından para çekmek için kredi kartı bilgilerine erişilmiştir.

E-posta ve web sitesi kimlik avı dışında, ‘vishing’ (sesli kimlik avı), ‘smishing’ (SMS kimlik avı) ve siber suçluların sürekli olarak geliştirdikleri diğer kimlik avı teknikleri de vardır.

Kimlik Avı E-postalarının Ortak Özellikleri

Gerçek  Olamayacak Kadar İyi

Karlı teklifler ve göz alıcı veya dikkat çekici ifadeler, insanların dikkatini hemen çekmek için tasarlanmıştır. Örneğin, birçoğu bir iPhone, bir piyango veya başka bir lüks ödül kazandığınızı iddia eder. Şüpheli e-postalara asla tıklamayın. Unutmayın, doğru gibi görünüyorsa, muhtemelen öyledir!

Aciliyet Duygusu

Siber suçlular arasında en sevilen taktik, sizden hızlı davranmanızı istemektir çünkü süper fırsatlar yalnızca sınırlı bir süre için geçerlidir. Hatta bazıları size yanıt vermek için yalnızca birkaç dakikanız olduğunu söyleyecektir. Bu tür e-postalarla karşılaştığınızda, onları görmezden gelmek en iyisidir. Bazen, kişisel bilgilerinizi hemen güncellemediğiniz sürece hesabınızın askıya alınacağını söylerler. Güvenilir kuruluşların çoğu, bir hesabı sonlandırmadan önce bolca zaman ayırır ve kullanıcılardan kişisel bilgilerini İnternet üzerinden güncellemelerini asla istemezler. Şüphe duyduğunuzda, bir e-postadaki bir bağlantıya tıklamak yerine doğrudan kaynağı ziyaret etmelisiniz.

Köprüler

Bir bağlantı göründüğü kadarıyla olmayabilir. Bir bağlantının üzerine gelmek, tıkladığınızda yönlendirileceğiniz gerçek URL’yi gösterir. Tamamen farklı olabilir veya yanlış yazım içeren popüler bir web sitesi olabilir.

Ekler

Bir e-postada beklemediğiniz ya da anlamsız bir ek görürseniz asla açmayınız! Genellikle fidye yazılımı veya diğer virüsler gibi yükler içerirler. Her zaman tıklanması güvenli olan tek dosya türü bir .txt dosyasıdır.

Olağandışı Gönderen

Tanımadığınız birinden veya tanıdığınız birinden gelmiş gibi görünse de, sıra dışı, beklenmedik, karakter dışı veya genel olarak şüpheli bir şey varsa, üzerine tıklamayın!

Kimlik Avı Saldırılarını Önleyebilirsiniz:

Bilgisayar korsanları sürekli olarak yeni teknikler geliştiriyor olsalar da, kendinizi ve kuruluşunuzu korumak için yapabileceğiniz bazı şeyler vardır:

İstenmeyen postalara karşı koruma sağlamak için, istenmeyen posta filtreleri kullanılabilirsiniz. Genellikle filtreler, mesajın kaynağını, mesajı göndermek için kullanılan yazılımı ve spam olup olmadığını belirlemek için mesajın görünümünü değerlendirir. Bazen, spam filtreleri yasal kaynaklardan gelen e-postaları bile engelleyebilir, bu nedenle her zaman% 100 doğru değildir.

Sahte web sitelerinin açılmasını önlemek için tarayıcı ayarlarını değiştirilmelisiniz. Tarayıcılar sahte web sitelerinin bir listesini tutar ve web sitesine erişmeye çalıştığınızda adres engellenir veya bir uyarı mesajı gösterilir. Tarayıcının ayarları yalnızca güvenilir web sitelerinin açılmasına izin vermelidir.

Birçok web sitesi, kullanıcı resmi görüntülenirken kullanıcıların oturum açma bilgilerini girmelerini ister. Bu tür bir sistem güvenlik saldırılarına açık olabilir. Güvenliği sağlamanın bir yolu, parolaları düzenli olarak değiştirmek ve asla birden fazla hesap için aynı parolayı kullanmamaktır. Web sitelerinin daha fazla güvenlik için bir CAPTCHA sistemi kullanması da iyi bir fikirdir.

Bankalar ve finans kuruluşları, kimlik avını önlemek için izleme sistemleri kullanırlar. Bireyler, bu dolandırıcı web sitelerine karşı yasal işlemlerin yapılabileceği endüstri gruplarına kimlik avını bildirebilirler. Kuruluşlar, çalışanlara riskleri tanımaları için mutlaka güvenlik bilinci eğitimi vermelidir.

Kimlik avını önlemek için göz atma alışkanlıklarında değişiklik yapılması gerekir. Doğrulama gerekiyorsa, çevrimiçi olarak herhangi bir ayrıntı girmeden önce her zaman şirket ile kişisel olarak iletişime geçmelisiniz.

E-postada bir bağlantı varsa, önce URL’nin üzerine gelin. Geçerli bir Güvenli Yuva Katmanı (SSL) sertifikasına sahip güvenli web siteleri  “https” ile başlar. Sonuç olarak tüm sitelerin geçerli bir SSL’ye sahip olması gerekmektedir.

Genel olarak, siber suçlular tarafından gönderilen e-postalar maskelenir, bu nedenle alıcı tarafından hizmetleri kullanılan bir işletme tarafından gönderilmiş gibi görünürler. Kişisel bilgilerinizi belirli bir süre içinde güncellemediğiniz takdirde bir banka e-posta yoluyla kişisel bilgilerinizi istemeyecek veya hesabınızı askıya almayacaktır. Çoğu banka ve finans kurumu, e-postada genellikle güvenilir bir kaynaktan gelmesini sağlayan bir hesap numarası veya diğer kişisel ayrıntıları da sağlarlar.

Şüpheli ya da bilmediğiniz web sitelerine kişisel bilgilerinizi vermeyiniz.

Kişisel bilgilerinizi girmek için banka, kredi kartı ve servis sağlayıcılarının web sitelerini ziyaret ettiğinizde, web sitesinin URL’sini internet tarayıcınıza doğrudan yazarak giriş yapınız.

Şüpheli gördüğünüz e-postalardaki URL linklerini asla tıklamayınız.

E-posta mesajlarındaki kısaltılmış URL linklerine (goo.gl, tiny.cc, cli.gs, bit.ly, ow.ly, tinyurl.com, is.gd, vb.) kesinlikle tıklamayınız.

Güvenli olan sitelerde bile çevrimiçi olarak bir formu doldurmadan önce, sitenin üçüncü kişilerle bu bilgileri paylaşıp paylaşmadığını belirten gizlilik anlaşmasının olup olmadığını kontrol ediniz.

Antispyware ve antivirüs programlarını mutlaka kullanınız.

Yasal olmayan ya da kaynağı belirsiz yazılımları yüklemeyin ve çalıştırmayın.

Kredi kartı numaraları, kişisel bilgiler, e-posta dahil her türlü şifre hiç bir zaman e-posta ile açıkça yollanmamalıdır. Bir e-posta teknik olarak gideceği yere varana kadar birçok noktadan geçmektedir. Bu noktalarda e-postaların içeriğinin “dinlenmesi” her zaman mümkündür. Bu ayrıntıyı her zaman göz önünde bulundurunuz.

Özellikle Kablosuz Internet’in kullanıldığı alanlarda mecbur kalınmadıkça banka gibi yerlere girilmeyiniz, kredi kartı, şifre vs. ile ilgili işlemler yapmayınız. Wi Fi sinyalleri üçüncü şahıslar tarafından dinlenebilir. Sinyaller şifreli dahi olsa unutulmamalıdır ki tüm şifreleme yöntemleri sadece kırılıncaya kadar güvenlidir.

Kimlik Avı Dolandırıcılıklarından Kaçınmanın 10 Önemli Yolu

Kimse bir kimlik avı dolandırıcılığının kurbanı olmak istemez. Kimlik avı dolandırıcılıkları İnternetin başlangıcından bu yana pratikte ortalıkta dolaşıyor ve yakın zamanda da ortadan kalkmayacak önemde bir konu.

Kendinizi güvende tutmak için 10 temel kural:

1. Kimlik Avı Tekniklerinden Haberdar Olun

Her zaman yeni kimlik avı dolandırıcılıkları geliştirilmektedir. Bu yeni kimlik avı tekniklerine hakim olmadan, istemeden birinin avına düşebilirsiniz. Yeni kimlik avı dolandırıcılıklarıyla ilgili haberleri yakından takip ediniz. Onları olabildiğince erken öğrenirseniz, bir kişi tarafından yakalanma riskiniz çok daha düşük olacaktır. BT yöneticileri için, tüm kullanıcılar için sürekli güvenlik bilinci eğitimi ve simüle edilmiş kimlik avı, kuruluş genelinde güvenliğin akılda tutulması açısından oldukça önemlidir.

2. Tıklamadan Önce Düşünün!

Güvenilir sitelerdeyken bağlantılara tıklamanız sorun teşkil etmez. Ancak rastgele e-postalarda ve anlık mesajlarda görünen bağlantılara tıklamak o kadar akıllıca bir hareket değildir. Tıklamadan önce emin olmadığınız bağlantıların üzerine gelin. Önderlik etmeleri gereken yere mi gidiyorlar? Bir kimlik avı e-postası meşru bir şirketten geliyormuş gibi görünebilir ve web sitesinin bağlantısını tıkladığınızda, tam olarak gerçek web sitesi gibi görünebilir. E-posta sizden bilgileri girmenizi isteyebilir, ancak e-posta adınızı içermeyebilir. Kimlik avı e-postalarının çoğu “Sayın Müşterimiz” ile başlar, bu nedenle bu e-postalarla karşılaştığınızda uyanık olmanız gerekir. Şüphe duyduğunuzda, potansiyel olarak tehlikeli bir bağlantıya tıklamak yerine doğrudan kaynağa gitmeyi tercihe diniz.

3. Bir Kimlik Avı Önleme Araç Çubuğu Kurun

En popüler İnternet tarayıcıları, kimlik avı önleme araç çubuklarıyla özelleştirilebilir. Bu tür araç çubukları, ziyaret ettiğiniz siteler üzerinde hızlı kontroller gerçekleştirir ve bunları bilinen kimlik avı sitelerinin listeleriyle karşılaştırır. Kötü amaçlı bir siteye rastlarsanız, araç çubuğu sizi bu konuda uyaracaktır. Bu, kimlik avı dolandırıcılıklarına karşı yalnızca bir koruma katmanıdır ve tamamen ücretsizdir.

4. Bir Sitenin Güvenliğini Doğrulayın

Hassas finansal bilgileri çevrimiçi olarak sağlama konusunda biraz temkinli olmak doğaldır. Ancak güvenli bir web sitesinde olduğunuz sürece herhangi bir sorunla karşılaşmamalısınız. Herhangi bir bilgi göndermeden önce, sitenin URL’sinin “https” ile başladığından ve adres çubuğunun yanında kapalı bir kilit simgesi olduğundan emin olun. Sitenin güvenlik sertifikasını da kontrol edin. Belirli bir web sitesinin kötü amaçlı dosyalar içerebileceğini belirten bir mesaj alırsanız, web sitesini açmayın. Şüpheli e-postalardan veya web sitelerinden asla dosya indirmeyin. Arama motorları bile, kullanıcıları düşük maliyetli ürünler sunan bir kimlik avı web sayfasına yönlendirebilecek belirli bağlantılar gösterebilir. Kullanıcı böyle bir web sitesinde alışveriş yaparsa, kredi kartı bilgilerine siber suçlular erişecektir.

5. Çevrimiçi Hesaplarınızı Düzenli Olarak Kontrol Edin

Bir çevrimiçi hesabı bir süre ziyaret etmezseniz, birisi onunla bir gün geçiriyor olabilir. Teknik olarak ihtiyacınız olmasa bile, her bir çevrimiçi hesabınızı düzenli olarak kontrol edin. Parolalarınızı da düzenli olarak değiştirme alışkanlığı edinin. Banka kimlik avını ve kredi kartı kimlik avı dolandırıcılığını önlemek için, ekstrelerinizi kişisel olarak düzenli olarak kontrol etmelisiniz. Finansal hesaplarınız için aylık beyanlar alın ve bilginiz dışında hileli işlemlerin yapılmadığından emin olmak için her girişi dikkatlice kontrol edin.

6. Tarayıcınızı Güncel Tutun

Popüler tarayıcılar için her zaman güvenlik yamaları yayınlanır. Kimlik avcılarının ve diğer bilgisayar korsanlarının kaçınılmaz olarak keşfettiği ve istismar ettiği güvenlik açıklarına yanıt olarak yayınlanırlar. Genellikle tarayıcılarınızı güncellemeyle ilgili mesajları göz ardı ediyorsanız, durun. Bir güncellemenin mevcut olduğu dakika, onu indirin ve kurun.

7. Güvenlik Duvarlarını Kullanın

Yüksek kaliteli güvenlik duvarları siz, bilgisayarınız ve dışarıdan izinsiz girenler arasında tampon görevi görür. İki farklı tür kullanmalısınız: masaüstü güvenlik duvarı ve ağ güvenlik duvarı. İlk seçenek bir tür yazılımdır ve ikinci seçenek bir tür donanımdır. Birlikte kullanıldığında, bilgisayar korsanlarının ve kimlik avcılarının bilgisayarınıza veya ağınıza sızma olasılığını büyük ölçüde azaltırlar.

8. Pop-Up’lara Karşı Dikkatli Olun

Açılır pencereler genellikle bir web sitesinin yasal bileşenleri gibi görünür. Yine de çoğu zaman kimlik avı girişimleridir. Birçok popüler tarayıcı, açılır pencereleri engellemenize olanak tanır; bunlara duruma göre izin verebilirsiniz. Biri çatlaklardan geçmeyi başarırsa, “iptal” düğmesine tıklamayın; bu tür düğmeler genellikle kimlik avı sitelerine yönlendirir. Bunun yerine, pencerenin üst köşesindeki küçük “x” işaretini tıklayın.

9. Kişisel Bilgileri Asla Vermeyin

Genel bir kural olarak, kişisel veya finansal açıdan hassas bilgileri İnternet üzerinden asla paylaşmamalısınız. Şüpheye düştüğünüzde, söz konusu şirketin ana web sitesini ziyaret edin, telefon numarasını alın ve onları arayın. Kimlik avı e-postalarının çoğu sizi finansal veya kişisel bilgi girişlerinin gerekli olduğu sayfalara yönlendirecektir. Bir İnternet kullanıcısı asla e-postalarda verilen bağlantılar aracılığıyla gizli girişler yapmamalıdır. Asla kimseye hassas bilgiler içeren bir e-posta göndermeyin. Web sitesinin adresini kontrol etmeyi alışkanlık haline getirin.

10. Antivirüs Yazılımını Kullanın

Virüsten koruma yazılımı kullanmak için bir çok neden vardır. Virüsten koruma yazılımıyla birlikte gelen özel imzalar, bilinen teknoloji geçici çözümlerine ve boşluklara karşı koruma sağlar. Yazılımınızı güncel tuttuğunuzdan emin olun. Her zaman yeni tanımlar eklenir, çünkü her zaman yeni dolandırıcılıklar da hayal edilmektedir. Kimlik avı saldırılarını önlemek için casus yazılım koruması ve güvenlik duvarı ayarları kullanılmalı ve kullanıcılar programları düzenli olarak güncellemelidir. Güvenlik duvarı koruması, saldırıları engelleyerek kötü amaçlı dosyalara erişimi engeller. Virüsten koruma yazılımı, İnternet üzerinden bilgisayarınıza gelen her dosyayı tarar. Sisteminizin zarar görmesini önlemeye yardımcı olur.

Kimlik avı dolandırıcılığı korkusuyla yaşamak zorunda değilsiniz. Önceki ipuçlarını aklınızda tutarak, endişesiz bir çevrimiçi deneyimin keyfini çıkarabilmelisiniz.

Kimlik avı saldırılarından kaçınmanın tek ve kusursuz bir yolu olmadığını asla unutmayınız.