Statista’nın raporuna göre 2021’in ilk çeyreğinde, önceki çeyrekteki 637.302 benzersiz siteden yüzde dört artışla 611.877 benzersiz kimlik avı sitesi tespit edilmiştir. Bu bilgiler ışığında e-dolandırıcılık yöntemleri günümüzde giderek artmakta ve internet kullanıcılarına büyük sorunlar oluşturmaktadır.
Peki e-dolandırıcılıkta kullanılan bir kimlik avı yöntemi olan Phishing nedir? Nasıl tespit edilir ve phishing saldırısından nasıl korunulur? Bu soruların cevaplarını yanıtlıyoruz.
Phishing Nedir?
“Balık tutma” gibi telaffuz edilen kimlik avı yöntemi “Phishing” ya da Türkçe adıyla “Oltalama”, kullanıcıları dolandıran kötü niyetli bir kişi veya grubu tanımlamak için kullanılan bir terimdir.
Bunu, bir bireyin çevrimiçi banka, kredi kartı veya diğer oturum açma bilgilerini toplamak için tasarlanmış e-postalar göndererek veya web sayfaları oluşturarak yaparlar. Bu e-postalar ve web sayfaları yasal göründüğü için kullanıcılar onlara güvenir ve kişisel bilgilerini girerler.
Bir kimlik avı e-postasında, siber suçlular genellikle şu bilgileri isterler:
- Doğum tarihi
- TC. kimlik numarası
- Telefon numaraları
- Kredi kartı bilgileri
- Ev adresi
- Parola bilgileri
Siber suçlular daha sonra bu bilgileri kurbanın kimliğine bürünmek ve kredi kartları, krediler ve banka hesapları açmak gibi dolandırıcılık faaliyetleri için kullanırlar.
Online hizmetleri sıklıkla kullananlara bu e-postalar şirketten gelmiş gibi görünebilir. Ancak bu e-postalar, kullanıcının kullanıcı adları, şifreler, kredi kartı ve kişisel bilgiler gibi kişisel bilgilerini çalmasına yardımcı olan bir bağlantıya tıklamak istemesini sağlamak için tasarlanmıştır.
Aşağıda, bu e-postaların belirlenmesi ve bunların nasıl ele alınacağı konusunda bazı yararlı ipuçları bulunmaktadır.
Phishing E-postası Nasıl Tespit Edilir?
Phishing e-postasını tespit etmek e-dolandırıcılık yöntemlerinden kaçınmanın anahtarıdır. Peki phishing e-postası nasıl tespit edilir? Aşağıda kimlik avı saldırılarına karşı korunmanızı sağlayacak yöntemler listelenmiştir:
- Yanlış şirket – Bu e-postalar binlerce farklı e-posta adresine gönderilir ve genellikle bu e-postaları gönderen kişinin kim olduğu hakkında hiçbir fikriniz yoktur. E-posta adresinin geldiği varsayılan şirketle herhangi bir bağlantınız yoksa, sahtedir. Örneğin, e-posta işlem yapmadığınız bir bankadan geliyorsa sahtedir.
- Yazım ve dil bilgisi – Yanlış yazım ve dil bilgisi genellikle ölü bir hediyedir. Açık hataları arayın.
- Hesap bilgilerinden bahsedilmiyor – Şirket size hesabınızdaki hatalarla ilgili bilgi gönderiyor olsaydı, e-postada hesabınızdan veya kullanıcı adınızdan bahsederdi. Yukarıdaki örnekte, e-postada “Amazon müşterisi” yazıyor. Bu Amazon olsaydı, kullanıcı adınızdan bahsederdi. Yine de, saldırganın bazı kişisel bilgileri bildiği bir kimlik avı yöntemi de mevcuttur.
- Son Tarihler – Sahte e-postalar, belirli bir son tarih vererek anında yanıt ister. Örneğin, “24 saat içinde giriş yapıp hesap bilgilerinizi değiştirmeniz gerekiyor.” gibi bir mesaj kesinlikle sahtedir.
- Bağlantılar – Birçok kimlik avı e-postası, ziyaret ettiğiniz gerçek URL’yi gizleme konusunda giderek daha iyi olsa da, bu e-postalar genellikle şirketin URL’si ile ilgili olmayan bir URL listeler. URL’ler benzer olsa da aynı değildir.
Phishing Saldırısına Uğradım Ne Yapmalıyım?
Bir kimlik avı yöntemi olan phishing saldırısına maruz kaldıysanız ve kimlik bilgilerinizi verdiyseniz, olabilecek en hızlı şekilde hesaplarınızın şifrelerini değiştirip banka ve kredi kartı bilgilerinizi verdiyseniz de müşteri hizmetlerini arayarak kartlarınızı iptal edilmesi talebinde bulunabilirsiniz.
Ayrıca e-posta aracılığıyla bilgisayarınıza bir program indirdiyseniz programları silerek anti-virüs taraması yapmanız lehinize sonuçlar doğurur.