Phishing Nedir ?
Oltalama veya Phishing saldırısı nedir sorusunu kısaca “Sahte elektronik iletilere ve web sayfalarına gerçek görüntüsü verilerek hedef kullanıcıların hassas bilgilerini ele geçirme girişimi” şeklinde cevaplayabiliriz. Bu hassas bilgiler genelde kullanıcı adı ,şifre, kredi kartı bilgisi gibi özel bilgilerdir. Phishing tipik olarak sahte bir e-posta veya farklı elektronik ortam mesajları ile başlatılır. Genelde kullanıcıları gerçek gibi görünen sahte bir web sitesine yönlendirdikten sonra kişisel bilgilerini girmelerini talep ederek devam eder.
Phishing Saldırılarının sonuçları
Yapılan araştırmalarda Phishing’in siber suçlular tarafından en çok tercih edilen saldırı yöntemi olduğu görülmektedir. Verizon Firması tarafından 2022 yılında yayınlanan Raporda 2022 yılında gerçekleşen siber saldırıların %82’sinin sosyal mühendislik saldırısı olduğu görülüyor. Genelde Phishing yöntemi ile gerçekleştirilen Fidye yazılımı saldırılarının sayısının ise önceki 5 senenin toplamından %13 daha fazla olduğu görülüyor. Araştırma sonuçları Phishing saldırılarına karşı ciddi önlem alınması gerektiğini göstermektedir.
Phishing saldırıları neden başarılı olur?
Phishing nedir sorusundan sonra akla gelen en önemli sorulardan biri de bu saldırıların nasıl bu kadar başarılı olabildiğidir.
Siber suçlular Phishing veya Oltalama saldırılarını internet kullanan herkese karşı düzenleyebilirler. Phishing saldırılarında kullanılan mesaj ve web siteleri sahte olmakla birlikte gerçek gibi görünür. Birçok birey mesaj veya web sitesi içeriğinin gerçek olup olmadığını ayırt edemez ve sahte içeriklere güvenir. Siber saldırganların kullandığı sosyal mühendislik (bknz: Sosyal Mühendislik Nedir? ) yöntemleri hedeflerinin “oltaya gelmesini” daha da hızlandırır. Phishing saldırılarında kullanılan sosyal mühendislik yöntemlerinden bazıları şunlardır:
- Ödül vadetme: Hedef kullanıcıya bilgilerini girme veya bir bağlantıya tıklama karşılığında cep telefonu, bilgisayar, para ve benzeri ödüller vadedilir.
- Tehdit Etme / Şantaj: Hedef kullanıcıya bilgisayarının ve bilgisayarındaki bazı kişisel veya kurumsal hassas verilerin/içeriklerin ele geçirildiği ve söylenenleri yapmazsa bu bilgilerin herkese gönderileceği şeklinde mesaj iletilir.
- Korkutma: Hedef kullanıcıya endişe etmesine neden olacak (örneğin yüksek tutarlı bir fatura) bir sahte bilgi iletilir ve durum biran önce düzeltilmesi için bilgilerini web sitesine girmesi veya belirli bir bağlantıya tıklaması istenir.
Phishing yöntemleri nelerdir?
Siber suçlular gün geçtikçe daha gerçekçi ve etkili Phishing/Oltalama yöntemleri geliştirmektedirler. Yaygın olarak kullanılan yöntemlerden bazıları şunlardır:
- E-posta saldırısı: Saldırı bir e-posta üzerinden gerçekleştirilir.
- SMS Saldırısı: Saldırı SMS aracılığıyla gerçekleştirilir.
- Sosyal medya saldırısı: Saldırı sosyal medya platformlarında direkt mesaj veya reklam gösterimi yöntemiyle yapılır.
Alınması gereken önlemler
Sürekli içerik ve yöntem değiştirerek farklı güvenlik araçlarını devre dışı bırakan ve bireylere ulaşmayı başaran Phishing saldırılarını önlemenin en etkin yolu bireylerin farkındalığını artırmaktır . Bu amaçla birçok kurum tarafından farklı eğitim yöntemleri uygulanmaktadır. Fakat gelinen noktada geleneksel sınıf eğitimi veya e-posta yoluyla bilgilendirme gibi yöntemlerin reaktif kaldığı , fazla etkili olamadığı ve aynı zamanda da sonuçlarının ölçümlenemediği görülmüştür. Etkili bir Farkındalık eğitiminin kapsamı sadece Phishing nedir , korunma yöntemleri nelerdir gibi soruları cevaplandırmakla kalmamalıdır. Bu soruları cevaplandırmakla birlikte uygulamalı eğitimler aracılığıyla kullanıcıların Phishing saldırıları karşısında sergiledikleri davranışları da değiştirebilmelidir.
Farkındalık eğitimlerinin hedefinin bireyleri bilgilendirmek değil uygulamalı olarak ve ölçülebilir şekilde eğitmek olması gerekir.
PhishGuard ürün ve hizmetleri
PhishGuard bu hedefin gerçekleştirilmesi için gerekli tüm araçları bir arada, esnek yapısı ve seçenekleri ile birlikte hizmet olarak sunmaktadır. İlgili sayfalarımızdan Phishing Test ve Bilgi Güvenliği Farkındalık Eğitimi modüllerini inceleyebilirsiniz.
Ücretsiz Phishing Quiz ile Phishing saldırılarına karşı ne kadar hazırlıklı olduğunuzu test edin! PhishGuard Phishing Test ve Farkındalık Eğitimleri hizmetleri ile ilgili bilgi almak için lütfen iletişime geçin.