Kimlik Avı/Oltalama Saldırısı (Phishing) Nedir?

Phishing… Password ve Fishing kelimelerinin birleşiminden oluşturulmuştur. Anahtar kelimelerden tahmin edilebileceği gibi oltayla parola yakalamak anlamına geliyor. Yani, siber saldırganların “phishing”i bir sürü olta atarak masum balıkları yakalama yöntemidir.

Kimlik avı/oltalama saldırıları, saygın bir kaynaktan geliyormuş gibi görünen sahte iletişim gönderme uygulamasıdır. Genellikle e-posta yoluyla yapılır. Kimlik avı e-postalarının çoğu rastgele olarak çok sayıda alıcıya gönderilir ve başarı için sayıların ağırlığına güvenir. (Ne kadar çok e-posta gönderilirse, onları açacak bir kurban bulma olasılığı da o kadar yüksektir.) Amaç, kredi kartı ve şifre bilgileri gibi hassas verileri çalmak veya kurbanın makinesine kötü amaçlı yazılım yüklemektir. Kimlik avı, herkesin kendini korumak için öğrenmesi gereken yaygın bir siber saldırı türüdür.

Kimlik avı/oltalama, belirli bir kişiyi potansiyel olarak tanımlayabilecek herhangi bir veri olan giriş bilgileri veya diğer kişisel kimlik bilgileri (PII) gibi hassas bilgileri elde etmenin sahte bir girişimidir:

- Kullanıcı adları,

- Şifreler,

- Kredi kartı detayları,

- SSN (Sosyal Güvenlik Numarası),

- Banka hesabı bilgileri,

- E-posta,

- Telefon numarası,

- Gizli soru cevapları…

Kimlik Avı /Oltalama, En Tehlikeli ve En Etkili Siber Saldırı Türüdür!

Kimlik avı/oltalama, en basit siber saldırı türüdür ve aynı zamanda en tehlikeli ve etkilisidir. Bunun nedeni, en savunmasız ve güçlü olana yani, insan zihnine saldırmasıdır. ”Kimlik avcıları, cihazınızın işletim sisteminde teknik bir güvenlik açığından yararlanmaya çalışmazlar ,“ sosyal mühendisliği” kullanırlar. Windows ve iPhone'lardan Mac'lere ve Android'lere kadar, güvenliği ne kadar güçlü olursa olsun, hiçbir işletim sistemi kimlik avına karşı tamamen güvenli değildir. Çoğu zaman, bir güvenlik sistemindeki en zayıf halka bilgisayar koduna gömülü bir aksaklık değildir, bir e-postanın nereden geldiğini iki kez kontrol etmeyen bir “insan”dır.

Kimlik Avı/Oltalama Nasıl Çalışır?

Kimlik avı/oltalama saldırıları, genellikle üç aşamada gerçekleşmektedir. İlk aşamada oltalama saldırısı yapacak kişiler, gerçek bir kuruma (örneğin Paynet’ten geliyormuş gibi) aitmiş izlenimi veren sahte web sayfaları oluşturmaktadırlar. İkinci aşamada ise, büyük kullanıcı gruplarına, gerçek kurumlardan gelmiş izlenimi veren elektronik postalar (e-mail) atılmakta ve bu postalarda kullanıcılardan verilen linki açıp bilgilerini girmeleri istenilmektedir. Bu noktada genellikle kurumun veri tabanında problem oluştuğu için kullanıcı bilgilerinin silindiği bu sebeple bilgilerin tekrar girilmesi gerektiği gibi yalandan bir bahane ileri sürülmektedir. Bu aşamada, gelen elektronik postayı inandırıcı bulup, verilen linki açan ve bilgilerini giren kişilerin bilgileri saldırı yapanların eline geçmektedir. Saldırının üçüncü ve son aşamasında ise, elde edilen bu bilgiler kullanılarak kişilerin kredi kartları yasadışı yollarla kullanılmakta veya banka hesapları boşaltılmaktadır.

Kimlik avı/oltalama kampanyalarının çoğu iki temel yöntemden birini kullanır:

Kötü amaçlı ekler

Genellikle 'INVOICE' gibi cazip isimleri olan kötü amaçlı e-posta ekleri, açıldığında kurbanların makinelerine kötü amaçlı yazılım yükler.

Kötü amaçlı web sitelerine bağlantılar

Kötü amaçlı bağlantılar, genellikle meşru olanların klonları olan, kötü amaçlı yazılım indiren veya giriş sayfaları, kimlik bilgisi toplama komut dosyaları içeren web sitelerine işaret eder.

Kimlik Avı/Oltalama E-Postaları Nasıl Belirlenir?

Proofpoint'in 2019 Kimlik Avı Raporu'na göre, bilgi güvenliği profesyonellerinin % 83'ü 2017'de, % 76'sı 2018'de siber saldırı yaşadı.

Kuruluşunuzun güçlü teknik güvenlik önlemleri olsa bile bazı kimlik avı e-postaları kaçınılmaz olarak gerçekleşecektir. Bu nedenle, tüm çalışanların bu konuda bilinçli olması gerekir. Dikkat edilmesi gerekenler şunları içerir:

- Herkese açık e-posta alanları

- Yanlış yazılmış alan adları

- Kötü dilbilgisi ve imla

- Şüpheli ekler/bağlantılar

- Aciliyet duygusu

Kimlik Avı/Oltalama Saldırısı Türleri:

Clone phishing (Kopya Oltalama): Saldırgan daha önce gönderilmiş, meşru bir e-posta kullanır ve bunun içeriğini kötü niyetli bir siteye bağlantı bulunduran benzer bir e-postaya kopyalar. Saldırgan daha sonra bunun güncellenmiş ya da yeni bir bağlantı olduğunu ya da eski bağlantının süresinin dolduğunu iddia edebilir.

Spear phishing (Hedefli Oltalama): Bu tip bir saldırı genelde herkes tarafından tanınan bir kişi ya da kuruma odaklanmıştır. Bir spear saldırısı kişiye ya da kuruma özel hazırlandığından, diğer phishing türlerinden daha sofistikedir. Yani, saldırganın öncelikle kurban hakkında bilgi topladığı (örneğin arkadaşlarının ve aile üyelerinin isimleri) sonrasında bu bilgiye dayanarak esas amacı kurbanı kötü niyetli bir web sitesini ziyaret etmeye ya da zararlı bir dosyayı indirmeye ikna etmek olan bir mesaj hazırladığı anlamına gelir.

Pharming: Saldırgan bir DNS kaydını manipüle edecek ve pratikte meşru bir web sitesinin ziyaretçilerini kendisinin önceden hazırladığı sahte bir web sitesine yönlendirecektir. DNS kayıtları kontrolünde olmadığı için kullanıcıyı savunmasız bırakması nedeniyle tüm saldırılar içinde en tehlikeli olanıdır.

Whaling (Balina Avı): CEO’lar ya da hükümet yetkilileri gibi önemli ve varlıklı kişileri hedef alan hedefli oltalama türüdür.

Email Spoofing (Sahte e-Posta): Phishing e-postaları tipik olarak meşru şirketleri veya kişileri taklit eder. Söz konusu mailler, kurbanları zararlı sitelere yönlendiren linkler sunabilir. Saldırganlar, akıllıca tasarlanmış giriş sayfaları kullanarak şifreleri ve kişiyi ayırt edici bilgileri toplar. Sayfalar trojan (truva atı), keylogger (klavye dinleme sistemi) ve kişisel bilgileri çalan başka zararlı kodlar içerebilir.

Web Sitesi Yönlendirmeleri: Web sitesi yönlendirmeleri kullanıcıları ziyaret etmek istedikleri site yerine başka sitelere yönlendirir. Kullanıcı zafiyetlerini değerlendirmek isteyen saldırganlar yeniden yönlendirmeler kullanarak bilgisayarlara kötü niyetli yazılımlar yükleyebilir.

Typosquatting (Alan Adı Benzerliği): Typosquatting, yabancı dilde yazımları, genel olarak yapılan yazım yanlışlıklarını veya en üst düzey alan adlarının ufak farklarla yazılmış hallerini kullanarak sahte web sitelerine trafik yönlendirir. Saldırganlar meşru web sitelerinin ara yüzlerini taklit eden alan adları kullanarak alan adını doğru yazamamış ya da okuyamamış kullanıcıları suistimal eder.

Watering Hole (Su Kaynağı): Watering hole saldırısında, saldırganlar kullanıcıların profillerini çıkararak sık kullandıkları web sitelerinin hangileri olduğunu belirler. Zaaflarını bulmak için söz konusu siteleri incelerler ve eğer mümkünse bir sonraki ziyarette etkili olmak üzere kullanıcıları hedefleyen zararlı kodlar yerleştirirler.

Taklit Etme ve Hediye Çekilişleri: Etkili kişilerin sosyal medyada taklit edilmesi uygulanan bir diğer phishing yöntemidir. Saldırganlar şirketlerin önemli yöneticilerini taklit ederler ve kendisini takip eden kişilere hediye çekilişi reklamı yapabilir veya başka aldatıcı hareketlere kalkışabilirler. Kolay aldatılabilir kullanıcıları bulmak için kullanılan sosyal mühendislik işlemleri aracılığıyla seçilen kişiler bireysel olarak da hedef alınabilirler. Saldırganlar onaylanmış hesapları hackleyerek ve kullanıcı adlarını değiştirerek gerçek bir kişinin yerine geçebilir ve bu sayede doğrulanmış kişi statüsünü kullanmaya devam edebilir. Kurbanların etkili kişilerle (influencer) iletişim kurmalarının ve kişisel bilgilerini paylaşmalarının daha muhtemel olması saldırganlara bu bilgileri istismar etmek için bir fırsat yaratır. Son zamanlarda phishing saldırganları, sahte sohbet mesajları göndermek, etkili kişileri ve meşru servisleri taklit etmek gibi benzer amaçlar için Slack, Discord ve Telegram gibi platformları daha sık hedef almaktadır.

Reklamlar: Paralı reklamlar phishing için kullanılan bir diğer taktiktir. Bu sahte reklamlar saldırganların hazırladığı alan adı benzerliğinden (Typosquatting) yararlanan ve ödeme yapılarak arama sonuçlarında yukarıda görünmeleri sağlanmış siteleri kullanır. Binance gibi meşru şirket ve servislerin arama sonuçlarında bu siteler en üst sıralarda yer alabilir. Bu siteler sıklıkla, borsa hesabınıza giriş bilgileri gibi hassas bilgilerin çalınması için kullanılmaktadır.

Zararlı Uygulamalar: Phishing saldırganları, zararlı uygulamaları kötü amaçlı yazılım bulaştırmak amacıyla bir taşıyıcı gibi kullanarak, sizin hareketlerinizi takip edebilir ya da hassas bilgileri çalabilir. Uygulamalar; fiyat takipçileri, cüzdanlar ve kripto para sahibi olma ve ticareti yapma eğiliminde olan kişileri içeren bir kullanıcı tabanına sahip olan diğer kripto ile alakalı araçlar gibi gözükebilir.

Yazı ve Ses Oltalaması: Kısa mesaj bazlı bir phishing tipi olan SMS phishing ve bunun sesli/telefon dengi olan ‘vishing’ yöntemi de saldırganların kişisel bilgi elde etmeye çalıştığı diğer yöntemlerdir.

Kimlik Avı/Oltalama Saldırılarına Karşı Korunma

Kullanıcı Eğitimi

Kuruluşunuzu kimlik avından korumanın bir yolu kullanıcı eğitimidir. Eğitim tüm çalışanları kapsamalıdır. Üst düzey yöneticiler genellikle bir hedeftir. Bir kimlik avı e-postasını nasıl tanıyacakları ve bir e-posta aldıklarında ne yapacaklarını öğretilmelidir. Simülasyon egzersizleri, çalışanlarınızın aşamalı bir kimlik avı saldırısına nasıl tepki verdiğini değerlendirmek için önemlidir. Çalışanların kendisini oltalama saldırılarından korumayı öğrenmesi, aynı zamanda bütün bir kuruluşun siber güvenliğini riske atmalarını da önlemek anlamına geliyor.

Güvenlik Teknolojisi

Hiçbir güvenlik önleminin %100 bir güvenlik sağlamadığını, yalnızca güvenlik duruşumuzu sağlamlaştırdığını biliyoruz. Hiçbir siber güvenlik teknolojisi kimlik avı saldırılarını engelleyemez.

TOP
error: İçerik korunuyor !!