Kimlik avı saldırıları, kullanıcıları kötü amaçlı yazılım indirmeleri, hassas bilgileri veya kişisel verileri paylaşmalarını kapsar. Örneğin, Kimlik No ve kredi kartı numaraları kimlik avı dolandırıcılığında kullanılan en yaygın yöntemler arasında. Ayrıca banka hesap numaraları, oturum açma kimlik bilgileri de örnektir. İnsanları kandırmak üzere tasarlanmış sahte e-postalar, kısa mesajlar, telefon çağrıları, web siteleri de bu örnekler arasında.
Başarılı kimlik avı dolandırıcılığı genellikle kimlik hırsızlığına, kredi kartı sahtekarlığına, fidye yazılımı saldırılarına yol açar. Ayrıca veri ihlallerine, bireyler ve şirketler için büyük mali kayıplara sebep olur. Kimlik avı, sosyal mühendisliğin en yaygın türüdür. İnsanları kandırma, baskı yapma veya yanlış kişilere bilgi veya varlık göndermeleri için manipüle etme uygulamasıdır.
Sosyal mühendislik saldırıları, başarı için insan hatasına ve baskı taktiklerine dayanır. Saldırgan genellikle kurbanın güvendiği bir kişi veya kuruluş gibi davranır. Örneğin bir iş arkadaşı, bir patron, kurbanın veya kurbanın işvereninin iş yaptığı bir şirket olması mümkün. Kurbanı aceleci davranmaya iten bir aciliyet duygusu yaratır.
Bilgisayar korsanları ve dolandırıcılar bu taktikleri kullanır. Çünkü insanları kandırmak, bir bilgisayara veya ağa sızmaktan daha kolay ve daha ucuzdur. Kimlik avı e-postaları, bilgisayar korsanlarının fidye yazılımı dağıtmak için kullandığı en popüler saldırı yöntemidir. 2022 yılı için hazırlanan bir veri ihlali raporuna göre, kimlik avının veri ihlalinin en yaygın ikinci nedeni olduğu gösterilir. Geçen yıl dördüncü en yaygın nedendi. Kimlik avının neden olduğu veri ihlallerinin en pahalısı olduğunu gözler önüne seriyor. Mağdurlara ortalama 4,91 milyon ABD dolarına mal olduğunu ortaya çıkarıyor.
Yayınlanan rapor şirketler verileri üzerinden hazırlanmış bir rapor. Buradaki mağdurlar şirketler olduğu için bir hayli yüksek. Son kullanıcı tarafında ise hali hazırda ortaya çıkmış bir veri yok. Çünkü kişisel kullanıcılar genellikle bu tarz saldırıların ardından belirtilen bedeli ödemedikleri için verilerine ulaşamıyorlar.
Kimlik Avı Saldırısı Türleri
1. Toplu Kimlik Avı e-Postaları
Toplu e-posta kimlik avı, en yaygın kimlik avı saldırısı türüdür. Dolandırıcı, büyük, tanınmış meşru bir işletme veya kuruluştan geliyormuş gibi görünen bir e-posta mesajı oluşturur. Örneğin ulusal veya küresel bir banka, büyük çevrimiçi perakendeci, popüler bir yazılım uygulaması olabilir. Oluşturduğu mesajı milyonlarca kişiye gönderir. Toplu e-posta kimlik avı bir sayı oyunudur. Kimliğine bürünülen gönderen ne kadar büyük veya popüler olursa, müşterilere, abonelere ulaşma olasılığı da fazladır.
Siber suçlular, kimlik avı e-postasının meşru görünmesini sağlamak için çeşitli yollara başvurur. Genellikle e-posta kimliğine bürünülmüş gönderenin logosunu eklerler. Kimliğine bürünülmüş gönderenin alan adını içerecek şekilde ‘gönderen’ e-posta adresini maskelerler. Hatta bazıları, bir bakışta okunaklı görünmek için gönderenin alan adını bile taklit edebilir. Örneğin, ‘mashable.com’ yerine ‘rnashable.com’u kullanarak bunu yapar.
Konu satırı, kimliğine bürünen gönderenin güvenilir bir şekilde ele alabileceği şekilde kurgulanır. Alıcının dikkatini çekmek için korku, açgözlülük, merak, aciliyet duygusu veya zaman baskısına tutunur. Bu gibi güçlü duygulara hitap eden bir konuyu ele alır. Tipik konu satırları şunları içerir: ‘Lütfen hesap bilgilerinizi güncelleyin.’. Ya da ‘Gönderinizde sorun var.’, ‘İşlem bitirimi için belgeleri imzalayın.’, ‘Faturanız ektedir.’
E-postanın gövdesi, alıcıya tamamen makul görünen ve konuyla tutarlı görünen bir eylemde bulunması talimatını verir. Ancak alıcının hassas bilgileri ifşa etmesiyle veya alıcının cihazına veya ağına bulaşan bir dosya indirmesiyle sonuçlanacaktır. Bu hassas bilgiler kimlik no, banka hesap numaraları, kredi kartı numaraları gibi detayları içerir.
Örneğin, alıcılar ‘hesap bilgilerinizi güncellemek için burayı tıklayın.’ yönünde yönlendirilebilirler. Ancak altta yatan köprü onları, hesap güncelleme sürecinin bir parçası olarak gerçek oturum açma kimlik bilgilerini girmeleri için kandıran sahte bir web sitesine yönlendirir. Ya da meşru görünen (örneğin, ‘fatura10.xlsx’) ancak alıcının cihazına veya ağına kötü amaçlı yazılım veya kötü amaçlı kod dağıtan bir eki açmaları söylenebilir.
2. Yemleme Kancası
Spear phishing, belirli bir kişiyi hedef alan bir kimlik avı saldırısıdır. Genellikle hassas verilere veya ağ kaynaklarına ayrıcalıklı erişime sahip olan bir kişiyi hedefler. Ya da dolandırıcılık veya hain amaçlarla kullanabileceği özel yetkiye sahip bir kişiyi baz alır. Hedef odaklı kimlik avı dolandırıcılığı, hedefin gerçekten güvendiği bir kişi veya kuruluşu hedefler. Arkadaş, patron, iş arkadaşı, meslektaş, güvenilen satıcı veya finans kurumu olabilir.
İnsanların iş arkadaşlarını açıkça tebrik ettiği, meslektaşlarını ve satıcıları desteklediği platformlar olabilir. Toplantılar, etkinlikler veya seyahat planları hakkında gereğinden fazla paylaşım yapma eğiliminde olduğu sosyal medya hesapları hedeftir. Sosyal ağ siteleri, hedef odaklı kimlik avı araştırmaları için zengin bilgi kaynakları haline gelmiş durumda.
Hedef odaklı kimlik avcısı, bu bilgilerle hedefe belirli kişisel ayrıntıları gönderebilir. Ya da finansal bilgileri içeren bir mesaj ileterek, inandırıcı bir talepte bulunabilir. Örnek vermek gerekirse:
- ‘Hafta sonu konsere gideceğinizi biliyorum), ancak lütfen bu faturayı ödeyebilir misiniz.
- (TRXXX transfer edebilir misiniz? .XX bu hesaba) Lütfen ödemeyi gün bitmeden yapın?”
C düzeyindeki bir yöneticiyi, varlıklı bir kişiyi veya başka bir yüksek değerli hedefi hedef alırlar. Hedef odaklı kimlik avı saldırısına genellikle balina kimlik avı veya balina avcılığı saldırısı denir.
3. İş e-Postasının Ele Geçirilmesi (BEC)
BEC, şirketlerden veya kurumlardan büyük miktarlarda para veya son derece değerli bilgileri (örneğin ticari sırlar, müşteri verileri, finansal bilgiler) çalmaya çalışan bir hedef odaklı kimlik avı saldırısı sınıfıdır. BEC saldırıları birkaç farklı biçimde olabilir. En yaygın olanlardan ikisi şunlardır:
- CEO dolandırıcılığı: Dolandırıcı, C düzeyindeki bir yöneticinin e-posta hesabını taklit eder veya doğrudan hesaba girer. Daha düşük düzeydeki bir çalışana, sahte bir hesaba para aktarmasını talep eder. Sahte bir satıcıdan satın alma işlemi yapması veya para göndermesi talimatını verir.
- E-posta hesabı ele geçirme (EAC): Burada dolandırıcı, alt düzey bir çalışanın e-posta hesabına erişim kazanır. Bunu satıcılara sahte faturalar göndermek, diğer çalışanlara sahtekarlık yapma talimatı vermek için kullanır.
Bu saldırıların bir parçası olarak, dolandırıcılar genellikle bir yöneticiye veya çalışana e-posta hesabı kimlik bilgilerini (kullanıcı adı ve parola) ifşa etmesi için onları kandıran bir hedef odaklı kimlik avı mesajı göndererek şirket e-posta hesaplarına erişim elde eder. Örneğin ‘ Şifrenizin süresi dolmak üzere’ gibi bir mesaj. ‘Hesabınızı güncellemek için bu bağlantıya tıklayın.’. Hesap bilgilerini çalmak üzere tasarlanmış sahte bir web sitesine giden kötü amaçlı bir bağlantı gizlenir.
Kullanılan taktik ne olursa olsun, başarılı BEC saldırıları en maliyetli siber saldırılar arasında yer alıyor. BEC’nin en bilinen örneklerinden birinde, bir CEO’yu taklit eden bilgisayar korsanları, şirketin finans departmanını sahte bir banka hesabına 42 milyon Avro aktarmaya ikna etti.
4. Diğer Kimlik Avı Teknikleri ve Taktikleri
SMS Kimlik Avı
SMS kimlik avı, cep telefonu veya akıllı telefon kısa mesajlarını kullanarak yapılan kimlik avıdır. En etkili cezalandırma planları bağlamsaldır. Yani akıllı telefon hesap yönetimi veya uygulamalarıyla ilgilidir. Örneğin alıcılar, kablosuz faturayı ödedikleri için ‘teşekkür’ olarak bir hediye sunan veya bir medya akışı hizmetini kullanmaya devam etmek için kredi kartı bilgilerini güncellemelerini isteyen bir kısa mesaj alabilirler.
Sesli Kimlik Avı
Sesli kimlik avı veya vishing, telefon görüşmesi yoluyla yapılan kimlik avıdır. IP üzerinden ses (VoIP) teknolojisi sayesinde dolandırıcılar günde milyonlarca otomatik vishing çağrısı yapar. Aramalarının meşru kuruluşlardan veya yerel telefon numaralarından yapılmışcasına görünmesini sağlar. Bunun için sıklıkla arayan kimliği sahtekarlığını kullanırlar. Vızıldayan çağrılar genellikle alıcıları kredi kartı işlem sorunları, gecikmiş ödemeler veya IRS ile ilgili sorunlar konusunda uyarılarla korkutur. Cevap veren kişiler, siber suçlular için çalışan kişilere hassas veriler sağlıyor. Hatta bazıları, telefon görüşmesinin diğer ucundaki dolandırıcılara bilgisayarlarının uzaktan kontrolünü bile veriyor.
Sosyal Medya Kimlik Avı
Sosyal medya kimlik avı, üyelerin hassas bilgilerini ele geçirmek için bir sosyal medya platformunun çeşitli yeteneklerini kullanır. Dolandırıcılar, platformların kendi mesajlaşma yeteneklerini (örneğin, Facebook Messenger, LinkedIn mesajlaşma veya InMail, Twitter DM’leri) normal e-posta ve kısa mesaj kullandıkları yöntemlerle hemen hemen aynı şekilde kullanır. Ayrıca kullanıcılara sosyal ağ sitesinden geliyormuş gibi görünen kimlik avı e-postaları göndererek alıcılardan oturum açma kimlik bilgilerini veya ödeme bilgilerini güncellemelerini istiyorlar. Bu saldırılar, birden çok sosyal medya sitesinde aynı oturum açma bilgilerini kullanan kurbanlar için özellikle maliyetlidir; bu, çok yaygın bir saldırı türüdür.
Uygulama Kimlik Avı
Uygulama veya uygulama içi mesajlaşma. Popüler mobil cihaz uygulamaları ve web tabanlı ( hizmet olarak yazılım veya SaaS ) uygulamalar, kullanıcılarına düzenli olarak e-posta gönderir. Sonuç olarak bu kullanıcılar, uygulama veya yazılım satıcılarından gelen e-postaları taklit eden kimlik avı kampanyalarına hazırdır. Yine sayı oyunu oynayan dolandırıcılar, kimlik avı paralarının karşılığını en iyi şekilde almak için çabalar. Genellikle PayPal, Microsoft Office 365 veya Teams gibi en popüler uygulamalardan ve web uygulamalarından gelen e-postaları taklit ederler.
Kimlik Avı Dolandırıcılıklarına Karşı Korunma Yöntemleri
1. Güvenlik Farkındalığı Eğitimi ve En İyi Uygulamalar
Kuruluşların, kullanıcılara kimlik avı dolandırıcılığı yapan kişikeri nasıl tanıyacaklarını öğretmeleri ve şüpheli e-postalar ve kısa mesajlarla başa çıkmak için en iyi uygulamaları geliştirmeleri teşvik edilmektedir. Örneğin, kullanıcılara kimlik avı e-postalarının bu ve diğer karakteristik özelliklerini tanımaları öğretilmeli. Aşağıdaki örneklerden yararlanılması mümkün:
- Hassas veya kişisel bilgi talepleri ya da profil veya ödeme bilgilerinin güncellenmesi talepleri
- Para gönderme veya taşıma talepleri
- Alıcının talep etmediği veya beklemediği dosya ekleri
- “Hesabınız bugün kapatılacak…” “Bir iş arkadaşınızdan bir faturanın derhal ödenmesini talep etmesi”, hapis cezası tehditleri veya diğer gerçekçi olmayan sonuçlar aciliyet duygusu olduğunda neler yapılması gerektiği
- Hapis cezası tehdidi veya diğer gerçekçi olmayan sonuçlar
- Kötü yazım veya dilbilgisi
- Tutarsız veya sahte gönderen adresi
- Bit.Ly veya başka bir kısaltma hizmeti kullanılarak kısaltılmış bağlantılar
- Metin yerine kullanılan metin görselleri (mesajlarda veya mesajlarda bağlantı verilen web sayfalarında)
Bu sadece kısmi bir liste. Ne yazık ki bilgisayar korsanları, tespit edilmekten daha iyi kaçınmak için her zaman yeni kimlik avı teknikleri geliştiriyor.
Kuruluşlar ayrıca çalışanlar üzerinde kimlik avı dedektifleri olma yönünde daha az baskı oluşturan en iyi uygulamaları teşvik ederek, zorunlu kılabilir. Örneğin, kuruluşların açıklayıcı politikalar oluşturması önemlidir. Örneğin, bir amir veya iş arkadaşı asla fon transferi talebini e-postayla göndermez.
Çalışanların kişisel veya hassas bilgilere yönelik her türlü talebi, gönderenle iletişime geçerek veya gönderenin meşru sitesini doğrudan ziyaret ederek, mesajda belirtilenlerin dışındaki araçları kullanarak doğrulamasını talep edebilirler. Ayrıca çalışanların kimlik avı girişimlerini ve şüpheli e-postaları BT veya Güvenlik grubuna bildirmeleri konusunda ısrar edebilirler.
2. Kimlik Avına Karşı Mücadele Eden Güvenlik Teknolojileri
En iyi kullanıcı eğitimlerine ve en iyi uygulamalara rağmen kullanıcılar hâlâ hata yapıyor. Neyse ki, çeşitli yerleşik ve yeni gelişen uç nokta ve ağ güvenliği teknolojileri yanımızda. Bunlar güvenlik ekiplerinin kimlik avına karşı mücadeleyi eğitim ve politikanın bittiği yerden başlatmasına yardımcı olur.
- Spam filtreleri ve e-posta güvenlik yazılımı, şüpheli kimlik avı e-postalarını (ve diğer spam’leri) tanımlamak için mevcut kimlik avı dolandırıcılıkları ve makine öğrenimi algoritmaları hakkındaki verileri kullanır. Ardından bunları ayrı bir klasöre taşır ve içerdikleri bağlantıları devre dışı bırakır.
- Antivirüs ve kötü amaçlı yazılımdan koruma yazılımı, kimlik avı e-postalarındaki kötü amaçlı dosyaları veya kodları algılar ve etkisiz hale getirir.
- Çok faktörlü kimlik doğrulama, kullanıcı adı ve parolaya ek olarak en az bir oturum açma kimlik bilgisi gerektirir. Örneğin, kullanıcıların cep telefonuna gönderilen tek seferlik kod. Çok faktörlü kimlik doğrulama, kimlik avı dolandırıcılıklarına veya şifreleri başarılı bir şekilde ele geçiren diğer saldırılara karşı ek son savunma hattı sağlar. Hedef odaklı kimlik avı saldırılarını zayıflatılmasına ve BEC’nin önlenmesine yardımcı olur.
- Web filtreleri, kullanıcıların bilinen kötü amaçlı web sitelerini (“kara listeye alınmış” siteler) ziyaret etmesini engeller. Kullanıcılar, kötü amaçlı veya sahte olduğundan şüphelenilen web sitelerini ziyaret ettiğinde uyarı görüntüler.
Sizler de Mediamarkt üzerinden güvenlik yazılımları hakkında bilgi alabilirsiniz. Hızlı ve güvenli bir şekilde alışverişinizi tamamlayabilirsiniz.
