Phishing, internet tarihinin en eski ve en etkili saldırı türlerinden biridir. Oltalama saldırıları olarak bilinen bu saldırı türünde genel olarak kurbanların e-posta hesaplarına; hediye, indirim, veya benzeri cezbedici sahte iletiler gönderilerek parola, kimlik bilgisi veyahut benzeri hassas verilerin çalınması amaçlanır.
İletilen e-posta mesajlarındaki zararlı bağlantılar tıklandığı zaman kurbanın av olması sağlanabildiği gibi e-postalar ile birlikte ek olarak gönderilen virüslü dosyaların çalıştırılması ile de kurbanların bilgisayarları saldırganlar tarafından ele geçirilebilir.
Phishing Nedir?
Phishing, genel olarak bir kişinin parolasını, banka hesabını veya kredi kartı bilgilerini öğrenmek amacıyla kullanılır. Saldırgan tarafından özel olarak hazırlanan phishing e-postası resmi bir kurumdan geliyormuş gibi ya da gerçek bir e-posta şeklinde görülür. Hazırlanan e-posta yardımıyla bilgisayar kullanıcıları sahte sitelere yönlendirilerek parolalarını vermeleri sağlanır. Diğer bir yandan bu e-postalara eklenen dosyaların çalıştırılması ile kurbanların bilgisayarları ele geçirilerek saldırganın kontrolü altına girebilir.
Phishing saldırılarında saldırgan kişi bir “yem” hazırlar ve bu yeme kurbanların takılmasını amaçlar. Yem genelde maaş zammı, hediye, ücretsiz tatil, para ödülü şeklinde cezbedici senaryolardan oluşturulur. Kurumlar için büyük riskler oluşturan bu saldırı türüne karşı büyük kayıplar yaşanmaması için kurum çalışanlarının bilgilendirilmesi ve özel olarak eğitilmesi gereklidir.
Oltalama (Phishing) Saldırılarının Önemi
İnternet kullanımı yaygınlaştıkça, kurum çalışanları veya bireysel kullanıcılar daha fazla çevrimiçi olmak, ürün veya hizmetlere erişimde interneti kullanmayı talep etmektedir. Bu noktada internet kullanımının yaygınlaşması ile alışverişlerimiz, bankacılık işlemlerimiz, finansal işlemlerimiz, kurum içi iletişimlerimiz ve benzeri birçok kritik veri internet üzerinde yaygın olarak kullanılmaya başlanmıştır. Doğal olarak bu durum siber saldırganların bakış açısını değiştirerek hedefli saldırıların artırmasına sebep olmuştur.
Siber saldırganlar phishing yöntemleri ile bilinçsiz kullanıcıları hedefleyerek büyük zararlara sebep olmaktadır. Phising saldırıları hedefli olarak yapıldığı takdirde ise büyük bir başarı oranına sahiptir. Doğal olarak siber saldırganlar internet tarihinin en eski ve en etkili yöntemlerinden biri olan phishing saldırılarını sıklıkla kullanmaktadır. Sosyal mühendislik saldırıları ile birlikte gerçekleştirilen spear phishing saldırıları ise maalesef ki siber saldırganların elinde korunması zor ve tehlikeli bir siber silah olarak kurumları tehdit etmektedir.
Phishing saldırıları hem sosyal mühendislik hem de teknik altyapı kullanılarak gerçekleştirilen bir suç olarak tanımlanır. Yaygın olarak e-posta aracılığıyla gerçekleştirilen bu saldırılar günümüz sosyal ağlarının popüler olması ile evrim geçirerek çok daha büyük kitlelere ulaştığını, virüs worm gibi zararlı kodların yayılmasında etkili rol oynadığı göstermiştir.
Spear Phishing Nedir?
Spear Phisging hedefli oltalama saldırıları olarak tanımlanır. Amaç siber korsanlar tarafından seçilen kurbanların mahrem bilgilerin, finansal verilerini, banka hesapları gibi benzeri kritik verilerin çalınmasıdır. Rastgele kurban seçilebileceği gibi bir kişi veya kurum da hedef alınabilir. Bu durum phishing saldırılarının kurbana göre özelleştirilerek hazırlanmasını gerektirmektedir.
Bu saldırı yöntemi ile bir kuruluşun çalışanlarına ait kimlik bilgileri, sosyal medya hesapları, bankacılık işlemlerinde kullanılan bilgiler elde edilmeye çalışabilir. Biraz daha ileri boyutta geçtiğini düşünürsek ticari sırlar ve gizli bilgiler elde edilebilir. İnternet dünyasında ortaya çıkan phishing saldırılarına baktığımız zaman dünyanın en önemli kurumların dahi bu saldırılar karşısında yenik duruma düştüğünü görmekteyiz.
Spear Phishing saldırılarında öncelikle kurban olarak seçilen kişi ya da kuruluş hakkında bilgi toplanır. Bilgi toplama Spear Phishing saldırılarında (hedefli oltalama saldırıları) ilk ve en önemli adımdır. Kurbana iletilen e-posta da kullanılan isimler gerçek kişilere aittir. E-postayı gönderen kişi olarak, yöneticiler, iş arkadaşları veya kurbanın tanıdığı kişiler kullanılır. Aynı zamanda e-postanın içeriğini belirleyebilecek / etkileyebilecek yetkili bir kişi adı ve unvan da seçilir. Bu yöntem sayesinde kurbana, olağan akışta gelebilecek bir e-posta izlenimini verilerek şüphe edilebilecek durumlar ortadan kaldırılır.
Vishing Nedir?
Vishing, telefonla gerçekleştirilen phishing saldırıları için kullanılan teknik bir kavramdır. Hedef net olarak belirlenerek, doğrudan kurbana ulaşılır. Telefon ile yapılan bu saldırı türünde duygusal tetikleyiciler kullanılır. Vishing saldırılarına örnek olarak teknik destek dolandırıcılığı verilebilir. Her iki tür phishing saldırısında da ana amaç kullanıcıdan kritik bilgileri çalabilmektir.
Telefon ile gerçekleştirilen Vishing saldırıları genel olarak belirtilen işin acil olduğunu, aksi durumda çalışan bir servisin durması, veri kaybı olabileceği gibi ciddi zararlar yaşanabileceğini vurgulanarak kurbana korku verilir. Bu sayede karşıdaki kişiye yardım etmek istiyormuş izlenimi verilmiş ve güven sağlanmış olur. Aynı zamanda başarılı bir saldırı için kurbanın merak duygusu da tetiklenebilir.
Phishing saldırılarının etkinliği son yıllarda hızla değişmiştir; iyi tanımlanmış, küçük ölçekli bir işlemden, iyi tanımlanmış rollere sahip birden fazla oyuncuyu içeren, büyük ölçüde otomatikleştirilmiş bir işleme dönüşmüştür. Bu sayede Phishing kitleri yapılmaya başlanmış ve Deep Web adı verilen illegal internet dünyasında satışa sunulmuştur.
APWG Kimlik Avı Etkinliği Trend Raporu’na göre 2019 ilk çeyreğinde en fazla phishing saldırısı alan SaaS ve mail servisleri oldu.
Aynı zamanda 2018’in 3. ve 4. çeyreğine göre phishing saldırıları artış göstermiştir. Saldırılarda kullanılan SSL sertifikaları ise kurum çalışanlarına verilen farkındalık eğitimlerine paralel oranla yükselişe geçmiştir.
BGA Bilgi Güvenliği olarak kurum çalışanlarınızın bilgi güvenliği farkındalığını artırarak phishing (oltalama) saldırılarına karşı daha dikkatli olmanızı sağlıyoruz. Bilgi Güvenliği Farkındalık Eğitimlerimiz ve Simülasyon Testlerimiz ile kurumların phishing saldırılarına karşı durumlarını analiz ederek çalışanlarınızın durumları için özel raporlar sunmaktayız. Bu konuda bilgi@bga.com.tr adresimiz ile iletişime geçerek fiyat teklifi veya teknik ekibimiz ile kurumunuza özel çözümler için bilgi alabilirsiniz.