PHISHING NEDİR?

Phishing (Oltalama) Nedir?

Federal Ticaret Komisyonu'na (FTC) göre, phishing “bilinen bir kaynaktan geliyormuş gibi görünen bir e-posta göndererek tüketicileri hedefleyen bir çevrimiçi dolandırıcılık türüdür”. Dolandırıcılar bir internet servis sağlayıcısı, bir banka, bir ipotek şirketi veya diğer kuruluşlar gibi davranırlar.

Phishing yani oltama saldırısı günümüzdeki en yaygın siber saldırı türlerinden biri. Oltalama saldırısında saldırgan sahte bir mesaj, web sitesi veya posta hazırlayarak hassas bilgileri ele geçirmeye çalışır. Bu bilgiler kredi kartı numarası, cep telefonu numarası, online hesaplar veya şirket hesap bilgileri olabilir. Oltalama saldırıları, hackerların kullandığı diğer yöntemlere göre farklı bir yapıya sahiptir bu da onları özellikle tehlikeli yapıyor. Çünkü bu saldırılar hedeflerine insan hatalarından yararlanarak ulaşırlar yani şirketinizin sistemi ne kadar iyi ve güvenli olsa da sadece dijital önemler sizi bu tip saldırılardan koruyamaz.

Oltalama saldırıları hackerların en çok tercih ettiği yöntemlerden birisidir çünkü bu saldırılar ucuz, efektif ve kolaydır. Bu düşük risk yüksek ödül stratejisi siber suçlular tarafından masrafsız ve eforsuzca gerçekleştirilebiliyor.

Spear Phishing (Hedef Odaklı Oltalama) Nedir?

Bu, saldırganın belirli kişileri veya işletmeleri daha hedefli bir oltalama türüdür. Mesajlarını yani saldırılarını daha inandırıcı kılmak için hedeflerinin özelliklerine, iş pozisyonlarına ve kurbanlarının çevrelerine göre uyarlarlar. Hedef odaklı oltalama, fail adına çok daha fazla çaba gerektirir, haftalar hatta aylar sürebilir. Ustalıkla yapılırsa tespit edilmesi çok daha zordur ve klasik oltalama saldırılarına göre daha iyi başarı oranlarına sahiptirler.

Hedef odaklı oltalama için örnek bir senaryo böyle gerçekleşebilir. Saldırgan öncelikle hedefini belirler mesela şirketin pazarlama departmanından yeni bir çalışan. Sonra bu çalışanın etrafındaki departman yapısını ve rapor aldığı/verdiği kişileri inceler sosyal mühendislik gibi yöntemlerden yararlanarak şirket içi e-postaların yapısını ve üstlerinin isimlerini öğrenir. Sonrasında kurbanına IT departmanı adına bir e-posta atar. Bu e-postaya şirket içi bilgileri ve şifreleri ile giriş yapması gereken bir uygulama ekler. IT departmanından geldiğini düşünerek bilgilerini giren kurban hem kişisel hem de kurumsal bir açık oluşturmuş olur.

Avanan’ın 2019 raporuna göre:

• Oltalama e-postalarının %25’i Office 365 güvenliğini aşmayı başarıyor.
• Markalı her 25 e-postadan 1’i oltalama saldırısı.
• Kripto cüzdanı içeren maillerin neredeyse tamamı (%98) oltalama saldırılarından oluşuyor.
• Oltalama e-postalarının çoğu aynı zamanda içlerinde zararlı yazılım da barındırıyor.

Phishing’e Karşı Nasıl Önlemler Alabilirim?

• Çok faktörlü kimlik doğrulamayı kullanın - Saldırganların aradığı en değerli bilgi parçalarından biri kullanıcı kimlik bilgileridir. Çok faktörlü kimlik doğrulamayı kullanmak, sisteminizin güvenliği ihlal edildiğinde hesabınızın korunmasını sağlamaya yardımcı olur. Google Authenticator gibi uygulamalar bu iş için uygundur.
• Cazip tekliflere karşı dikkatli olun - Bir teklif çok cazip geliyorsa, gerçek olarak kabul etmeden önce iki kez düşünün. Konuyu araştırmak teklifin ne kadar gerçekçi olduğunu anlamanızda yardımcı olur.
• Bilgilerinizi kolayca paylaşmayın - Değerli bilgilerinizi talep eden e-postalara kuşkuyla yaklaşıp değerlendirin.

Organizasyonunuz için olarak alabileceğiniz önlemler:

• Çalışanlarınızın phishing (oltalama) siber saldırılarını / "cyber attack"leri tanıyabilmesi için onlara eğitim sağlayın.
• Sisteminizdeki hesaplar için en az ayrıcalık ilkesini kullanın yani her bir kullanıcıya sadece ihtiyacı kadar erişim verecek şekilde sisteminizi katmanlara ayırın.
• Tehlikeli bağlantılar veya kimlik avcılarından bilgi talepleri içeren sahte e-postaları tespit etmek için özel kimlik avı önleme çözümleri/yazılımları kullanın. E-posta servislerinin bunları ayırt etmede yeterli olmadığını görüyoruz ama kendi özelleştirilmiş yazılımlarınız ile bu saldırıları çok daha iyi filtreleyebilirsiniz.

Murat GÖĞEBAKAN
Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Öğrencisi