Bankanızdan geldiğini düşündüğünüz bir e-posta, şifrenizi güncellemenizi istiyor. Tıklıyorsunuz, sayfa tanıdık görünüyor, bilgilerinizi giriyorsunuz. Saatler sonra hesabınızın boşaltıldığını anlıyorsunuz. Bu senaryo her gün binlerce kişiyle gerçekleşiyor. Phishing, teknik açıdan değil psikolojik olarak sizi hedef alan en yaygın siber saldırı türü.
Phishing (oltalama), saldırganların güvenilir bir kurum veya kişi kimliğine bürünerek hedefi hassas bilgilerini paylaşmaya ya da zararlı bir bağlantıya tıklamaya ikna ettiği sosyal mühendislik saldırısıdır. Banka, kargo şirketi, e-posta sağlayıcısı veya tanıdık biri gibi görünen sahte iletişimlerle gerçekleşir.
Teknik bir açık değil insan psikolojisindeki açıklar hedef alındığından en güçlü güvenlik yazılımları bile phishing karşısında yetersiz kalabiliyor. Bu yüzden farkındalık en kritik savunma aracı.
E-posta phishing en yaygın form. Sahte gönderici adresi, aciliyet yaratan dil ve gerçeğini taklit eden bağlantılarla kurbanı tuzağa düşürür. Saldırganlar bazen alan adında küçük değişiklikler yapar: paypa1.com, arnazon.com gibi gözden kaçması kolay hatalar.
Spear phishing, belirli bir kişi veya kurumu hedef alan kişiselleştirilmiş saldırıdır. Hedef hakkında LinkedIn, sosyal medya veya sızdırılmış veri tabanlarından toplanan bilgiler kullanılarak son derece inandırıcı mesajlar oluşturulur. Genel phishing'e kıyasla çok daha tehlikeli.
Smishing, SMS üzerinden gerçekleşen phishing. "Paketiniz teslim edilemedi, güncelleme yapın" gibi mesajlar bu kategoride. Kargo şirketi, vergi dairesi veya bankacılık uyarısı görünümüyle gelir.
Vishing, telefon aramasıyla gerçekleştirilir. Banka güvenlik birimi veya teknik destek ekibi gibi davranan saldırganlar gerçek zamanlı baskı uygulayarak bilgilere ulaşır.
Clone phishing, daha önce aldığınız gerçek bir e-postanın kopyasını oluşturur. Yalnızca bağlantı veya ek dosyaları değiştirilir. Önceki iletişimi referans aldığı için son derece inandırıcı.
Gönderici adresini kontrol edin. Görünen isim güvenilir görünse de asıl e-posta adresi genellikle şüpheli. destek@banka.com.güvenlik-uyari.xyz gibi adreslerde asıl alan adı güvenlik-uyari.xyz'dir.
Aciliyet ve korku yaratma.} "Hesabınız 24 saat içinde kapatılacak", "Hemen harekete geçin" gibi ifadeler panik hissi yaratarak hızlı ve düşüncesiz karar verdirmeyi amaçlar.
Bağlantının üzerine gelin, tıklamayın. Fare imlecini bağlantının üzerine getirdiğinizde tarayıcının sol alt köşesinde gerçek URL görünür. Metin ile URL uyuşmuyorsa tehlike işareti.
Kişisel bilgi talebi. Hiçbir meşru kurum e-posta veya SMS yoluyla şifrenizi, PIN'inizi ya da tam kart numaranızı istemez.
Dil ve yazım hataları. Kötü çeviriler, garip ifadeler veya yazım hataları saldırının kalitesiz hazırlandığını gösterir. Ancak gelişmiş saldırılar mükemmel Türkçe veya İngilizce kullanabilir.
Web sitesi sahibi olarak phishing saldırıları hem sizin hem de ziyaretçilerinizin hedefi olabilir.
Bilgilerinizi girdikten sonra fark ederseniz paniklemeden şu adımları izleyin: etkilenen hesabın şifresini hemen değiştirin, aynı şifreyi kullandığınız diğer hesapları da güncelleyin, bankanızı veya ilgili kurumu arayın, olayı resmi mercilere bildirin ve iki faktörlü doğrulamayı aktif edin. Hız bu süreçte her şey — ne kadar erken müdahale ederseniz hasar o kadar sınırlı kalır.
