Gerek profesyonel bilgisayar kullanıcıları olarak yaygın bir biçimde, gerekse eğlence bazlı internet platformlarını ve şirket içi iletişim amaçlı mail hesaplarımızı yıllardır kullanmaktayız. Mail kutumuz ise gereksiz ve tanımadığımız mail adreslerinden gelen zararlı mailler ile gün geçtikçe daha da fazla dolmakta. Peki her kullanıcının artık sıklık ile maruz kaldığı bu tür mailler ne amaçlı gönderiliyor ve bunları tanıyıp korunmanın yolları nelerdir?
Bizleri farklı platformlara, linklere ya da harekete geçirici bir kurgu ile bir sahtekarlık hikayesinin içine sürükleyip kişisel bilgi hırsızlığı ve şifre avını amaçlayan dolandırıcılar, yasal olmayan yollardan elde ettikleri bu bilgiler ile artık çok fazla para kazanıyorlar. Bu dijital dolandırıcılığa ise “Phishing Attack” yani “Oltalama Saldırısı” adı veriliyor. Banka hesaplarından, kişisel bilgi ve parolalara ulaşmayı hedefleyen bu saldırılar, gönderilen ilgi çekici maillere tıklanılması yoluyla zararlı dosyaların çalıştırılıp bilgisayarın ele geçirilmesine sebep olabiliyor. Sadece gönderilen mail’e ya da içindeki herhangi bir linke tıklamanın yeterli olması, korkutucu bir duruma işaret ediyor. Çünkü iletilen mailler genellikle kurumsal görünüp ilgi çekici ve yüksek bir indirim, güzel bir teklif, ya da kazanılan bir yarışma/bilet müjdesi vererek alıcıyı harekete geçiriyor. Bazı durumlarda ise kart bilgilerinizin ya da kişisel bilgilerinizin olduğu bir belgenin çalındığına dair bilgi vererek iletişime geçmeniz gerektiğini ileten ve korkuyla harekete geçiren mailler de kurgulanabiliyor. Yazılımcıların ve sistem güvenlik danışmanlarının da çokça karşılaşıp , detaylara dikkat ederek tanıdığı oltalama örneklerinin bahdesilen iki türünün de gerçek örneklerini sizleri korumak adına paylaşmak isteriz.
1- İlgi çekici ve güzel bir teklif ile Oltalama Saldırısı Teşebbüsü
Norveçte bir avukat olduğunu ve bir alıcıyı temsil ettiğini söyleyen gönderici bir domain(alan adı) için 50.000 $ teklif ediyor, komisyon aldığını söylüyor. Tek istediğinin ise banka işlemleri için, talep ettikleri alan adının bir sertifikası olması. Bu sertifika değeri belirliyor ve ilettikleri bir linkten online olarak alınabiliyor. İletişim bilgilerini sosyal medya hesabı ile veriyor ve sertifika konusunda yardımcı olabileceğini söylüyor. Küçük ve hızlı bir şarta bağlanmış büyük ve güzel bir teklif gibi görünen bu tür iletilerde yapılması gereken en önemli şey satır aralarını okumaktır. Öncelikle internet üzerinde talep görebilecek bir ürününüz varsa, kimse sizin bunun için ne kadar ücret istediğinizi sormadan fiyat vermez. Doğru olmak için fazla iyi görünen bu tür fiyatlandırmalar genelde doğru değildir. En önemlisi ürün sizin olduğundan ve sizden talep edildiğinden sizin bir sertifikaya ihtiyacınız olmaz. Teklif götürülen kişi komisyon ile ilgilenmez, komisyon aracının müşterisinden tahsil edilir. Tüm bu detaylara dikkat edip internette küçük bir araştırma yaparak aslında bu tür maillerin, sertifika şirketlerinin bir dolandırması olduğunu, kazanacağınız paranın yanında bu sertifika için vereceğiniz tutarı küçük göstererek alıcının çekilmesi ile dolandırma ihtimalinizin yüksek olduğunu görebilirsiniz. Böylelikle herhangi bir linke tıklayıp oltalama saldırısı kurbanı olmazsınız.
2- Korkutucu bir durumla harekete geçiren Oltama Saldırısı Teşebbüsü
Bu örnekte ise , kişiye yönelik dolandırma girişimlerinin olduğu, bir çok vatandaşın bunu yaşadığını ve devlete ait bir komisyonun toplanıp bilgilendirme yapmak istediği belirtiliyor. Önce korku oluşturup sonra da bunun karşılığında bir tazminat olarak 2 milyon dolar tutarında limiti olan bir ATM kartının size gönderilmiş olduğu fakat teslim alınmadığının görüldüğü iletiliyor. Dolandırılmamak için önerilerle güven oluşturmayı amaçlayan iletide, bir mail adresi verilerek iletişime geçilmesi gerektiği söylenerek kişisel bilgilerin ele geçirilmesi hedefleniyor. Devlet ve komite kelime seçimleri ile ciddiyet oluşturup güven kazanılmaya çalışılan bu saldırı teşebbüsünde hem akıl dışı olması hem de devlet kurumu uzantısı olan .gov kullanılmaması , oltalama saldırısı olduğunu açıkça belli ediyor.
SALDIRILARDAN KORUNMAK İÇİN NE YAPMALIYIZ?
İki gerçek örnek ile bahsedilen bu saldırı türlerinde mutlaka detaylara dikkat etmemiz gerekiyor.
1- Katılmadığınız bir yarışmayı ya da lotoyu kazandığınızı, olmayan ürününüze gelen bir teklifi, var olan ürününüze gelen akıl dışı bir teklifi, ya da kişisel bilgilerinizi talep eden bir maili açmadan silin. Linklere tıklamayın.
2- Kurumsal ya da devlete ait hiç bir oluşum sizden kişisel bilgi talep etmeyecektir. Kişisel bilgilerinizi emin olmadığınız hiçbir platformda paylaşmayın.
3- Umudunuzu ya da korkunuzu kullanarak harekete geçiren iletileri internette araştırın. Çok kişi maruz kaldığından örnekleri paylaşılmış olabilir.
4- Bağış talep eden maillerden uzak durun. Dünya gündemini takip edip faydalanmak isteyen bir çok dolandırıcı vicdan duygusunu inandırıcı şekilde kullanabilmekte. Bağışlarınızı yasal kurumlara yapabilirsiniz.
5- Muhakkak tam koruma sağlayan lisanslı ve güncel bir antivirus program kullanın. İşletim sisteminizi sürekli güncel tutun.
6- Bu örnekler en kolay ve küçük çaplı saldırılar olup, şahsınızı ve şirketinizi korumak daha büyük saldırılarda bu önlemler yetmeyecektir. Bunlara ihtiyaç duymadan bilgilerinize erişmek isteyenler olabilir. Sistem güvenliğinizi arttırmak için danışmanlık alabilirsiniz.
Sistem güvenlliğinin gün geçtikçe daha da önemli olduğunu görmekteyiz. Şahsınız ve şirketiniz adına yaptığınız her internet eylemi güvenlik gerektirir. Sizleri ilk adımda kayıplardan koruyacak bilgileri gerçek örnekler ile iletmeyi amaçladık. Fakat internet çağıındaki yoğun iletişimde kayıplara uğramamak ve saldırıların kurbanı olmamak için Sistem Güvenlik Danışmanlığı almanız ideal bir yaklaşım olacaktır.