Teklif Al Biz Sizi Arayalım Canlı Sohbet Bize Ulaşın Whatsapp'tan Sor

İhtiyaç ve hedeflerinizi belirleyerek işletmeniz için en doğru planı seçin.

0 224 676 58 37 veya Biz Sizi Arayalım
Ücretsiz Deneyin

Kimlik Avı Dolandırıcılığına Dair Her Şey

Bu blog yazısında kimlik avı saldırılarının ne olduğunu ve bu saldırıların nasıl işlendiğini, kendinizi ve verilerinizi nasıl koruyabileceğinizi detaylı bir şekilde ele alacağız.

Dijital çağın getirdiği kolaylıklar, beraberinde yeni tehditleri de getirdi. İnternetin sunduğu sınırsız bilgi ve iletişim imkanları, maalesef kötü niyetli kişilerin de dikkatini çekiyor. Son zamanlarda özellikle kim avı saldırısı şikayetleri oldukça artmış durumda. "Phishing" olarak da bildiğimiz kimlik avı dolandırıcılığı, internet kullanıcılarının kişisel bilgilerini ele geçirmek amacıyla gerçekleştirilen sinsi ve tehlikeli bir siber saldırı türüdür.

Bu blog yazısında, kimlik avı saldırılarının ne olduğunu ayrıntılı şekilde anlattık. Bu saldırıların nasıl işlendiğini, kendinizi ve verilerinizi nasıl koruyabileceğinizi de detaylı bir şekilde ele alacağız. Hazırsanız siber güvenliğin bu karanlık yüzüne ışık tutmaya başlayalım.

Kimlik Avı Dolandırıcılığı Nedir?

Kimlik avı dolandırıcılığı, kullanıcıları kötü niyetli yazılımlar indirmeye, hassas bilgilerini ya da kişisel verilerini paylaşmaya yönlendiren sinsi bir saldırı türüdür. Örneğin kimlik numaraları ve kredi kartı bilgilerine ulaşmak, kimlik avı saldırıları amaçlarının başında gelir.

Buna ek olarak banka hesap ve giriş kimlik bilgileri de bu saldırılarla çalınmak istenen verilerdendir. İnsanları kandırmak için yaratılan sahte e-postalar, SMS'ler ve telefon çağrıları kimlik avı saldırılarının yaygın araçlarıdır.

Başarılı bir kimlik avı dolandırıcılığı ciddi sonuçlar doğurur. Bunlar arasında kimlik hırsızlığı, kredi kartı sahtekarlığı ve fidye yazılımı saldırıları gibi eylemleri sayabiliriz. Bu saldırılar aynı zamanda veri ihlallerine de yol açar. Bu ise hem bireyler hem de şirketler için büyük mali kayıplara neden olur.

Kimlik avı dolandırıcılığı, sosyal mühendisliğin en yaygın biçimlerinden biridir. Bu saldırıların temelinde başarılı olmak için insanları aldatmak ve zor durumda bırakmak yatar. Ayrıca hedef kişilerin yanlış kişilere bilgi veya varlık göndermeleri için manipüle etme uygulamasını içerir.

Sosyal mühendislik saldırıları, insan hatalarına ve baskı taktiklerine dayanarak başarı sağlar. Saldırganlar genellikle kurbanın güvendiği bir kişi veya kuruluş gibi davranır. Bu bir iş arkadaşı, patron veya kurbanın iş yaptığı bir şirket olabilir. Kurbanı aceleyle hareket etmeye zorlamak için bir aciliyet hissi yaratırlar.

Bilgisayar korsanları ve dolandırıcılar bu taktikleri özellikle tercih eder. Nitekim insanları kandırmak, bir bilgisayara veya ağa sızmaktan daha kolay ve daha ucuzdur. Kimlik avı e-postaları, bilgisayar korsanlarının fidye yazılımı dağıtmak için en popüler saldırı yöntemlerinden biridir.

2022 yılına ait bir rapora göre kimlik avı dolandırıcılığı, veri ihlallerinin en yaygın ikinci sebebidir. Kimlik avı saldırıları nedeniyle meydana gelen veri ihlalleri en maliyetli olanlardır. Bu ihlallerin mağdurlara ortalama 4,91 milyon dolara mal olduğu belirtilmiştir.

Bu raporlar şirketler üzerinden hazırlanmış olup, şirketlerin maruz kaldığı zararları göstermektedir. Bireysel kullanıcılar tarafında ise net bir veri bulunmamaktadır. Çünkü kişisel kullanıcılar genellikle bu tür saldırılar sonrası talep edilen paraları ödemezler. Dolayısıyla konu hakkında net bir veriye ulaşılamamaktadır.

Kimlik Avı Saldırılarının Geçmişi

1990'ların başında, Warez Group adlı bir grup, sahte AOL hesapları oluşturmak için rastgele kredi kartı numaraları üreten bir algoritma geliştirdi. Bu sahte hesaplar, diğer AOL kullanıcılarına spam gönderiyordu. Bazı kullanıcılar ise AOL ekran adlarını AOL yöneticisi gibi göstererek kimlik avı dolandırıcılığı yapmaya çalıştı. Bu şekilde AOL Messenger üzerinden kimlik avı girişimlerinde bulundu.

2000'lerin başında, kimlik avı saldırıları farklı şekillerde karşımıza çıkmaya başladı. Örneğin, "2000'lerin aşk böceği" adı verilen saldırı, kurbanlara "ILOVEYOU" başlıklı ve ekli bir e-posta gönderiyordu. Bu ek, kurbanın bilgisayarındaki dosyaları bozan bir solucan türüydü. Böylece kendini kurbanın kişi listesine kopyalıyordu. Aynı dönemde, kimlik avı dolandırıcılığı saldırganları sahte kimlik avı web siteleri oluşturmaya başladı.

Günümüzde ise kimlik avı saldırısı yöntemleri çok daha çeşitli ve tehlikeli hale geldi. Sosyal medya entegrasyonları ve "Facebook ile giriş" gibi yöntemler sayesinde, bir saldırgan tek bir kimlik avı şifresiyle birden fazla veri ihlaline neden olabiliyor. Bu da kurbanları fidye yazılımı saldırılarına karşı daha savunmasız hale getiriyor. Modern teknolojiler kullanılıyor olsa da günümüzde insanlar bu tür tehditlere karşı daha dikkatli olmalıdır.

Kimlik Avı Saldırısı Türleri

Bilgi teknolojileri uzmanları, kullanıcıları eğitip kimlik avı önleme stratejilerini uygulamaya devam ediyor. Bununla birlikte siber suçlular da mevcut kimlik avı saldırı tekniklerini geliştiriyorlar. Ayrıca yeni kimlik avı saldırı türleri yaratmaya devam ediyorlar. Şimdi en yaygın kimlik avı dolandırıcılığı türlerini inceleyeceğiz.

Mızrak Kimlik Avı

Mızrak kimlik avı saldırıları, belirli bir kişi veya kuruluşu hedef alır. Bu saldırı, kurbanın özel bilgilerini kullanarak mesajları gerçek gibi gösterir. Mızrak saldırılarında, mağdurun adı, konumu veya diğer kişisel bilgileri kullanılır. Bunun yanı sıra hedef kişinin iş yerindeki meslektaşlarının veya yöneticilerinin bilgileri de kullanılabilir. Bu şekilde kurbanın, mesajın gerçek olduğuna inanması sağlanır.

Balina Avı Saldırısı

Balina avı saldırıları ise, genellikle büyük miktarda veri çalmak amacı taşıyan bir saldırıdır. bir kuruluşun üst düzey yöneticilerini hedef alan bir tür mızrak kimlik avı saldırısıdır. Bu tür saldırılar "whaling" olarak da bilinir. Whalingde ödeme yetkisi olan bir çalışan hedef alınır. Kimlik avı dolandırıcılığı mesajı, genellikle bir yöneticiden gibi görünür. Bu saldırı, çalışandan büyük bir ödeme yapmasını isteyen bir komut içerir.

Pharming

Pharming, kullanıcıları meşru bir siteden sahte bir siteye yönlendirerek kimlik bilgilerini ele geçirmeyi amaçlar. Kullanıcılar, sahte siteye giriş yaptıklarında kişisel bilgilerini farkında olmadan saldırganlarla paylaşmış olurlar.

Klonlama Saldırısı

Klon kimlik avı saldırıları, daha önce gönderilmiş meşru e-postaların kopyalarını kullanır. Saldırganlar, yasal e-postanın bir klonunu yaparak bağlantıları veya ekleri kötü amaçlı içeriklerle değiştirirler. Orijinal e-postaya benzediği için, kurbanlar bu sahte bağlantıları tıklamaya veya ekleri açmaya yatkın olurlar.

Kimlik avcıları bazen sahte bir Wi-Fi erişim noktası kurarlar. Böylece meşru bir ağ gibi gözüken ancak kullanıcı bilgilerini çalmayı amaçlayan ikiz Wi-Fi saldırıları düzenlerler. Kurbanlar bu sahte ağa bağlandığında, saldırganlar kullanıcı kimlikleri ve şifreler dahil tüm bilgilere erişmeye çalışır.

Sesli Kimlik Avı Dolandırıcılığı

Kimlik avı dolandırıcılığı türlerinden bir diğeri sesli kimlik avıdır. Diğer adıyla vishing, IP üzerinden ses (VoIP) veya geleneksel telefon hizmetleri kullanılarak yapılır. Tipik bir vishing dolandırıcılığı, kurbanı bankadaki veya kredi hesabındaki şüpheli aktiviteler hakkında bilgilendirmek üzere tasarlanır.

Saldırganlar bunun için sesli iletişim yöntemlerini kullanır ve kimlik bilgilerini ele geçirmeyi hedefler. Kimlik avı saldırıları, her geçen gün daha sofistike hale geliyor. Dolayısıyla kullanıcıların bu tehditlere karşı bilinçlenmesi ve dikkatli olması büyük önem taşımaktadır.

Kimlik Ele Geçirme Teknikleri

Günümüzde kimlik avı saldırıları, siber suçluların kişisel ve hassas bilgileri ele geçirmek için kullandıkları çeşitli yöntemlerle her geçen gün daha karmaşık hale geliyor. Bu saldırılar SMS, sesli aramalar, sosyal medya ve popüler uygulamalar üzerinden gerçekleştiriliyor. Kimlik avı saldırıları için kullanılan çeşitli yöntemlere bir göz atalım.

SMS Kimlik Avı

SMS kimlik avı, cep telefonu veya akıllı telefon kısa mesajlarını kullanarak gerçekleştirilen bir kimlik avı dolandırıcılığı türüdür. En etkili kimlik avı dolandırıcılığı stratejileri bağlam içindedir; yani akıllı telefon yönetimi veya uygulamalarıyla ilişkilidir. Örneğin, alıcılar, kablosuz faturalarını ödedikleri için teşekkür mahiyetinde bir hediye sunan veya medya akış hizmetlerine devam edebilmeleri için kredi kartı bilgilerini güncellemelerini isteyen kısa mesajlar alabilirler.

Vishing - Sesli Kimlik Avı

Sesli kimlik avı ya da vishing, telefon görüşmeleri yoluyla yapılan bir kimlik avı dolandırıcılığı türüdür. VoIP teknolojisi sayesinde dolandırıcılar günde milyonlarca otomatik vishing çağrısı yapabilirler. Bu aramaların meşru kuruluşlardan veya yerel telefon numaralarından geldiğini zannedebilirsiniz.

Dolandırıcılar, arayan kimliği sahtekarlığı yaparak, alıcıları kredi kartı işlemleri, gecikmiş ödemeler veya vergi sorunları konusunda uyararak korkuturlar. Cevap verenler farkında olmadan siber suçlularla hassas verilerini paylaşmış olurlar. Bu sırada bazı suçlular, kurbanın bilgisayarlarının uzaktan kontrolünü bile sağlar.

Sosyal Medyada Kimlik Avı Dolandırıcılığı

Sosyal medya kimlik avı, kullanıcıların hassas bilgilerini ele geçirmek için sosyal medya platformlarının çeşitli özelliklerini kullanır. Dolandırıcılar, platformların mesajlaşma özelliklerini (örneğin, Facebook Messenger, LinkedIn mesajlaşma veya InMail, Twitter DM'leri) kullanır. Ayrıca geleneksel e-posta ve kısa mesajlarla benzer yöntemler de uygularlar.

Failler seçtikleri kurbanlara sosyal ağ sitelerinden geliyormuş gibi görünen kimlik avı e-postaları gönderirler. Bu şekilde alıcılardan oturum açma bilgilerini veya ödeme bilgilerini güncellemelerini isterler. Bu tür saldırılar, birden fazla sosyal medya sitesinde aynı oturum açma bilgilerini kullanan kurbanlar için özellikle zararlıdır. Üstelik bu yöntem oldukça yaygındır.

Kimlik Avı Saldırılarında Uygulama Kullanımı

Uygulama kimlik avı, popüler mobil uygulamalar ve web tabanlı hizmetler aracılığıyla yapılır. Kullanıcılarına düzenli olarak e-posta gönderen bu uygulamalar ve yazılım sağlayıcıları, kimlik avı dolandırıcılığı kampanyaları için cazip hedeflerdir.

Dolandırıcılar genellikle PayPal, Microsoft Office 365 veya Teams gibi popüler uygulamaları taklit eden e-postalar gönderirler. Kimlik avı dolandırıcılığı stratejileri ile kullanıcıları kandırarak kimlik bilgilerini ele geçirmeye çalışırlar.

Bu yöntemler, kimlik avı dolandırıcılığı tehdidinin ne kadar çeşitli ve yaygın olduğunu göstermektedir. Bu bağlamda kullanıcıların, istenmeyen sonuçlarla karşılaşmamak için oldukça dikkatli olması gerekir.

Av E-postalarını Nasıl Anlarsınız?

Başarılı kimlik avı dolandırıcılığı iletilerini, gerçek e-postalardan ayırt etmek oldukça zordur. Nitekim bu elektronik postalar genellikle tanınan bir şirketten veya bilinen bir kişiden gelmiş gibi görünürler. Bu tür e-postalar bazen şirket logoları ve diğer tanımlayıcı grafikler ile veriler içerir. Kimlik avı e-postalarını anlamak için bazı ipuçları şunlardır:

İletilerde farklı ve güvenilmeyen URL'ler ve alt alan adları (subdomain) mevcuttur.

E-posta gönderimi kurumsal bir adres yerine Gmail veya benzeri genel e-posta hizmetlerinden sağlanır.

Mesajlar, alıcıda korku ve aciliyet hissi uyandırmak amacıyla özellikle manipülatif şekildedir.

İletide, finansal bilgiler veya şifre gibi kişisel bilgilerin doğrulanması talep edilebilir.

Mesajın yazım dilinde hatalar olabilir veya cümleler bozuk ya da yazım yanlışları içerebilir.

Çevrim İçi Kimlik Avından Korunma Yöntemleri

Kimlik avı saldırılarına karşı korunmak için kullanıcıların bilinçlenmesi ve doğru önlemlerin alınması büyük önem taşır. İşte kimlik avı saldırılarından korunmanın püf noktaları:

Eğitim ve Farkındalık: Kullanıcılar, kimlik avı dolandırıcılığı yapan kişileri tanımak ve şüpheli e-postalarla başa çıkmak için düzenli olarak eğitim almalıdır. Şirketler, çalışanlarına hassas bilgi talepleri, para transferi talepleri ve beklenmeyen dosya ekleri gibi şüpheli durumları tanımayı öğretmelidir.

Politikalar ve Prosedürler: Kuruluşlar, kimlik avı saldırılarına karşı net ve açıklayıcı politikalar geliştirmelidir. Örneğin bir amir veya iş arkadaşının fon transferi talebini asla e-postayla göndermemesi gerektiği gibi prosedürler belirlenmelidir.

Doğrulama Yöntemleri: Çalışanlar, kişisel veya hassas bilgi taleplerini gönderenle doğrudan iletişime geçerek veya resmî web sitelerini ziyaret ederek doğrulamalıdır. Bu, kimlik avı dolandırıcılığı girişimlerini tespit etmede önemli bir adımdır.

Güvenlik Teknolojileri: Spam filtreleri, e-posta güvenlik yazılımı, antivirüs ve kötü amaçlı yazılımdan koruma sistemleri, kimlik avı dolandırıcılığı e-postalarını etkisiz hale getirme özelliğine sahiptir. Çok faktörlü kimlik doğrulama, ek güvenlik katmanı sağlayarak kimlik avı dolandırıcılıklarına karşı savunmayı güçlendirir.

Web Filtreleme: Kullanıcıların bilinen kötü amaçlı web sitelerini ziyaret etmelerini engelleyen web filtreleri kullanmak, kimlik avı saldırıları konusunda koruma sağlar. Şüpheli web sitelerine erişimi engellemelisiniz. Ayrıca kullanıcıları bu tür siteleri ziyaret ettiklerinde uyarmalısınız.

Bu yöntemler, kimlik avı dolandırıcılığı için güçlü bir savunma hattı oluşturur. Böylece hem bireyleri hem de kuruluşları bu tür saldırılardan korumak mümkündür.

Referanslar

Sektör uzmanlığı ve büyük marka deneyimi...

www.kamsansandalye.com
www.kamsansandalye.com
www.arslanjantlastik.com
www.arslanjantlastik.com
www.rengarenkpet.com
www.rengarenkpet.com
www.dantelistan.com
www.dantelistan.com
www.kssogutma.com
www.kssogutma.com
www.erlasjantlastik.com
www.erlasjantlastik.com
www.nesifeerdemgelinlik.com
www.nesifeerdemgelinlik.com
www.deryacorba.com.tr
www.deryacorba.com.tr
www.sekerfirin.com
www.sekerfirin.com
www.mertbilisimhizmetleri.com.tr
www.mertbilisimhizmetleri.com.tr
www.deryacorba.com
www.deryacorba.com
www.ozkervan.com
www.ozkervan.com
www.cayisi.com
www.cayisi.com
www.patimissveteriner.com
www.patimissveteriner.com
www.aselteknik.com
www.aselteknik.com
www.sunwatherm.com
www.sunwatherm.com
www.berfinkalaguzellikmerkezi.com
www.berfinkalaguzellikmerkezi.com
www.cihangirmekanik.com
www.cihangirmekanik.com
Müşteri Hizmetleri
Müşteri Hizmetleri

Genel Merkez

Ulutek Teknoloji Geliştirme Merkezi

İletişim Formuna Git
Biz Sizi Arayalım
Teklif Al