İnternetin yaygınlaşması ve internet üzerinden yapılan işlemlerin artması bir taraftan kullanıcılar için yeni fırsatlar yaratırken, bir taraftan da internet dolandırıcılarının iştahını kabartıyor. Yakın dönemde internet güvenliğini tehdit eden en önemli konulardan biri haline gelen phishing (oltalama) saldırısı nedeniyle bireysel kullanıcıların, şirketlerin, kamu kurum ve kuruluşlarının yaşadığı kayıplar hızla artmakta. İnterneti kullanırken bu gibi saldırılar nedeniyle herhangi bir kayıp yaşamamak için bazı konulara dikkat etmemiz şart. Ofix Blog‘da bugünkü yazımızda, phishing saldırısı konusunu ele alacağız ve phishing saldırısından korunma yolları hakkında faydalı bilgiler paylaşacağız.

Kısaca Phishing Saldırısı

Phishing saldırısı kısaca, internet kullanıcılarının e-posta hesaplarına yönelik çevrimiçi bir saldırı şeklidir. Phishing saldırısında internet dolandırıcıları tarafından kullanıcılara gönderilen e-postalar, iyi bilinen web siteleri, bankalar, alışveriş siteleri ve benzeri adreslerden gönderilmiş gibi gözükür. Özellikle de bir banka veya resmi kurumdan geliyormuş gibi hazırlanan e-postalar, kullanıcılar üzerinde daha etkili olur ve e-postanın açılması sağlanır. Bu kurumların yanı sıra sosyal paylaşım siteleri, internet hizmet sağlayıcıları, e-posta servisleri, online oyun siteleri gibi adreslerden gönderildiği düşünülen sahte e-postalar da aslında, internet kullanıcıları için bir tür “yem”dir. Oltaya takılan kullanıcıların tıkladıkları linkler üzerinden kredi kartı, şifre ve diğer kişisel bilgileri ele geçirilir.

Phishing saldırısı birçok amaçla yapılabilir. Bunlar içinde en önemlisi, kullanıcının kredi kartı bilgilerini ve şifrelerini ele geçirmektir. Bunun yanı sıra sosyal medya hesaplarının ele geçirilmesi, kurumsal şirketlerin veri tabanına sızma ve benzeri birçok amaçla da phishing saldırısı düzenlenebilir. Bu saldırılarda internet dolandırıcıları, özel olarak hazırlanmış URL bağlantılarını kullanır. Bağlantıları tıklayan kullanıcılar, orijinal siteye veya sayfaya çok benzeyen bir başka adrese yönlendirilir. Banka veya kart bilgileri ya da kullanıcı bilgileriyle siteye giriş yapan kullanıcılar, bu bilgilerini internet dolandırıcılarıyla paylaşmış olur. Dolandırıcılar eğer bir şirket çalışanının e-posta hesap bilgilerini ele geçirirse, çalışanın kullanıcı bilgilerini kullanarak şirketin veri tabanına sızabilir, bunu kopyalayabilir ve ticari amaçla kullanabilir.

Phishing saldırısından korunmak için neler yapmak gerekir?

Phishing saldırısı nedeniyle oluşabilecek kayıpların boyutlarını tahmin etmek oldukça güçtür. Yöntemin basit ve etkili oluşu internet dolandırıcılarının iştahını kabartırken, internet kullanıcılarının almaları gereken önlemler konusunda da uyarıcı olmakta. Başka deyişle, interneti kullanırken alabileceğiniz basit önlemlerle phishing saldırısından korunabilirsiniz. Yazımızın bu kısmında, phishing saldırısından korunma yolları hakkında faydalı bilgiler paylaşacağız.

Phishing saldırısı konusunda bilinçli olmalısınız.

Saldırı sırasında uygulanan yöntem aslında son derece basittir. Dolayısıyla, bu saldırıyla ilgili farkındalıklarınızı ne kadar yüksek tutarsanız, olası kayıplardan o kadar etkin bir şekilde korunabilirsiniz. Kurumsal bir şirkette ya da bir kamu kurum veya kuruluşunda çalışıyorsanız, ilgili birimler tarafından verilecek kullanıcı eğitimlerine mutlaka katılmalı, bilgilendirme e-postalarını takip etmeli, yapılan uyarılara dikkat etmelisiniz. Kullanıcı eğitimleri sayesinde, yaşanabilecek pek çok kaybın önüne kolaylıkla geçilmekte.

Kullandığınız siteleri iyi tanımalısınız.

İnternetin yaygınlaşması ve internet üzerinden yapılan işlemlerin artmasıyla birlikte internet sitelerinin sayısı da her geçen gün artıyor ve kullanıcılar daha fazla internet sitesini kullanmaya başlıyor. Fakat bu artış, aynı zamanda da güvenirlilik sorununu gündeme getiriyor. İnternette kullandığınız siteleri, özellikle de alışveriş yaptığınız siteleri ne kadar iyi tanırsanız, phishing saldırısı nedeniyle oluşabilecek kayıpları o kadar kolay önleyebilirsiniz.

Bu bağlamda, gönderilen e-postalarda site isminin doğru olduğuna çok dikkat etmelisiniz. Phishing saldırısı sırasında internet dolandırıcıları, çok bilinen birtakım sitelerin isimlerinden bir veya birkaç harf değiştirerek sahte sitelere yönlendirdikleri kullanıcıların banka hesaplarını ve diğer bilgilerini kolaylıkla ele geçirebilmekte. Bu gibi durumların önüne geçmek için tıkladığınız sitenin isminin doğru olup olmadığını tarayıcınızda yeni bir sayfa açarak mutlaka kontrol etmelisiniz.

E-postanıza gönderilen linklere dikkat etmelisiniz.

İnterneti etkin bir şekilde kullanıyor ve internet üzerinden alışveriş yapıyorsanız, e-posta adresiniz birçok sitenin veri tabanına kaydedilmiş demektir. E-posta adresinizi herhangi bir şekilde temin edebilecek internet dolandırıcıları, yollayacakları phishing e-postasıyla sizi sahte site veya sayfalara yönlendirmek isteyecektir. Bundan korunmak için, e-postanın gerçekten de üyesi olduğunuz site tarafından gönderilip gönderilmediğine dikkat etmeli, linki tıklamadan önce kaynağına mutlaka bakmalısınız.

Üyesi olduğunuz internet sitelerinden ve onayınız doğrultusunda gönderilecek e-postalar güvenli olmakla birlikte, kaynağını bilmediğiniz ve üyesi olmadığınız internet sitelerinden gönderilen linkleri tıklamamayı tercih edebilirsiniz. Acil cevap isteyen e-postalara karşı çok daha dikkatli olmalı, e-postada kullanılan yanıltıcı ifadeler nedeniyle telaş yapmamalısınız. Örneğin, “Banka hesabınız dolandırıcılar tarafından ele geçirildi. Hesabınızı kurtarmak için aşağıdaki linki hemen tıklayın.” türünden ifadeler phishing saldırısı sırasında en sık kullanılan ifadelerden biridir. Bu tür e-postalar nedeniyle kesinlikle panik yapmamalı, linkleri asla tıklamamalı, hesap güvenliğinizi kontrol etmek için bankanızla iletişime geçmelisiniz.

Kişisel bilgilerinizi e-posta yoluyla paylaşmamalısınız.

Bankanız veya alışveriş siteniz e-posta yoluyla sizden kişisel bilgilerinizi asla talep etmez, yolladıkları link üzerinden açılacak ekrana kişisel bilgilerinizi girmenizi istemez. E-posta kutunuza böyle bir talep veya link gelirse kesinlikle olumlu dönüş yapmamalı, kişisel bilgilerinizi girmeniz için gönderilen linkleri tıklamamalısınız. Bununla birlikte, bankanız veya alışveriş siteleri sisteme e-posta bilginiz işlendiğinde doğrulama amacıyla size e-posta gönderebilir. Bu e-postada gönderilen link sizin bilginiz ve talebiniz doğrultusunda gönderildiği için doğrulama işlemini yapabilirsiniz. Ancak bankanız veya alışveriş siteniz kişisel bilgilerinizi hiçbir zaman e-posta yoluyla talep etmez.

SSL sertifikası olmayan internet sitelerine güvenmemelisiniz.

SSL sertifikası, internet alışverişlerini güvenli hale getiren en önemli güvenlik önlemlerinden biridir. Bu sertifikaya sahip sitelerin adres çubuğunda http:// değil, https:// ifadesi bulunur. SSL sertifikasına sahip internet sitelerinde kullanıcıların kişisel bilgileri koruma altına alınır ve üçüncü şahıslarla veya kurumlarla paylaşılmaz. Banka bilgileri ise yalnızca ödeme sırasında kullanılır ve veri tabanında kayıt altına alınmaz. SSL sertifikası olmayan sitelerden uzak durursanız, phishing saldırısı risklerinin birçoğundan doğal yolla korunabilirsiniz.

Şifrelerinizi bilgisayarınıza kayıt etmemelisiniz.

Bilgisayar veya mobil araçlarınızda kullandığınız şifreler, istenmeyen birçok durumu önlemede oldukça faydalı. Bu araçları yalnızca siz kullansanız bile her ihtimale karşı şifrelerinizi kayıt etmemelisiniz. Ayrıca kolay tahmin edilebilen şifreler (doğrum tarihi, evlilik yıldönümü vb.) kullanmamaya dikkat etmeli, şifrelerinizi mümkünse ayda bir veya iki ayda bir yenilemelisiniz. Phishing saldırısı ile gönderilen linki tıklarsanız, açılacak ekran üzerindeki bölümleri doldurmasanız bile linkle birlikte bilgisayar veya mobil aracınızda kayıtlı şifrelerin ele geçirilmesi mümkündür.

Siz de çalışma alanınızı daha korunaklı hale getirmek istiyorsanız yazılım ürünleri kategorimiz içinde yer alan antivirüs ve güvenlik yazılımları ürünlerimizi incelemelisiniz.

Tüm okurlarımıza sağlıklı, keyifli ve bol kazançlı günler diliyoruz…