Merhaba Forumda Sık Sık Karşılaştığım Sorulardan Birisi Nasıl İnstagram Hacklerim VS. Oluyor Bu Sorunun Cevabı İçin Bu Konuyu Yazma Gereği Duyuyorum Umarım İşinize Yarar.
Müfredat:
- Phishing
1-) Phishing Nedir?
2-) Spear Phishing Nedir?
3-) Vishing Nedir?
4-) Phishing Saldırılarında En Çok Kullanılan Yöntemler
- Deceptive (Aldatıcı) Phishing
- Malwera Tabanlı Phishing
- Oturum Bilgilerini Çalma Yöntemi
- ClickJacking Phishing Saldırısı
- Host Ya da Desktop Phishing
- URL Yönlendirme
- Session-Riding Yöntemi
- Tabnabbing Yöntemi
- Sesli Phishing
- Sahte Mail Yöntemi
- SMS Yöntemi
5-) Oltalama (Phishing) Saldırılarının Önemi
Phishing
Phishing, internet tarihinin en eski ve en etkili saldırı türlerinden biridir. Oltalama saldırıları olarak bilinen bu saldırı türünde genel olarak kurbanların e-posta hesaplarına; hediye, indirim, veya benzeri cezbedici sahte iletiler gönderilerek parola, kimlik bilgisi veyahut benzeri hassas verilerin çalınması amaçlanır.
İletilen e-posta mesajlarındaki zararlı bağlantılar tıklandığı zaman kurbanın av olması sağlanabildiği gibi e-postalar ile birlikte ek olarak gönderilen virüslü dosyaların çalıştırılması ile de kurbanların bilgisayarları saldırganlar tarafından ele geçirilebilir.
Phishing Nedir?
Phishing, genel olarak bir kişinin parolasını, banka hesabını veya kredi kartı bilgilerini öğrenmek amacıyla kullanılır. Saldırgan tarafından özel olarak hazırlanan phishing e-postası resmi bir kurumdan geliyormuş gibi ya da gerçek bir e-posta şeklinde görülür. Hazırlanan e-posta yardımıyla bilgisayar kullanıcıları sahte sitelere yönlendirilerek parolalarını vermeleri sağlanır. Diğer bir yandan bu e-postalara eklenen dosyaların çalıştırılması ile kurbanların bilgisayarları ele geçirilerek saldırganın kontrolü altına girebilir.Phishing saldırılarında saldırgan kişi bir “yem” hazırlar ve bu yeme kurbanların takılmasını amaçlar. Yem genelde maaş zammı, hediye, ücretsiz tatil, para ödülü şeklinde cezbedici senaryolardan oluşturulur.
Spear Phishing Nedir?
Spear Phisging hedefli oltalama saldırıları olarak tanımlanır. Amaç siber korsanlar tarafından seçilen kurbanların mahrem bilgilerin, finansal verilerini, banka hesapları gibi benzeri kritik verilerin çalınmasıdır. Rastgele kurban seçilebileceği gibi bir kişi veya kurum da hedef alınabilir. Bu durum phishing saldırılarının kurbana göre özelleştirilerek hazırlanmasını gerektirmektedir.Bu saldırı yöntemi ile bir kuruluşun çalışanlarına ait kimlik bilgileri, sosyal medya hesapları, bankacılık işlemlerinde kullanılan bilgiler elde edilmeye çalışabilir. Biraz daha ileri boyutta geçtiğini düşünürsek ticari sırlar ve gizli bilgiler elde edilebilir. İnternet dünyasında ortaya çıkan phishing saldırılarına baktığımız zaman dünyanın en önemli kurumların dahi bu saldırılar karşısında yenik duruma düştüğünü görmekteyiz.
Spear Phishing saldırılarında öncelikle kurban olarak seçilen kişi ya da kuruluş hakkında bilgi toplanır. Bilgi toplama Spear Phishing saldırılarında (hedefli oltalama saldırıları) ilk ve en önemli adımdır. Kurbana iletilen e-posta da kullanılan isimler gerçek kişilere aittir. E-postayı gönderen kişi olarak, yöneticiler, iş arkadaşları veya kurbanın tanıdığı kişiler kullanılır. Aynı zamanda e-postanın içeriğini belirleyebilecek / etkileyebilecek yetkili bir kişi adı ve unvan da seçilir. Bu yöntem sayesinde kurbana, olağan akışta gelebilecek bir e-posta izlenimini verilerek şüphe edilebilecek durumlar ortadan kaldırılır.
Vishing Nedir?
Vishing, telefonla gerçekleştirilen phishing saldırıları için kullanılan teknik bir kavramdır. Hedef net olarak belirlenerek, doğrudan kurbana ulaşılır. Telefon ile yapılan bu saldırı türünde duygusal tetikleyiciler kullanılır. Vishing saldırılarına örnek olarak teknik destek dolandırıcılığı verilebilir. Her iki tür phishing saldırısında da ana amaç kullanıcıdan kritik bilgileri çalabilmektir.Telefon ile gerçekleştirilen Vishing saldırıları genel olarak belirtilen işin acil olduğunu, aksi durumda çalışan bir servisin durması, veri kaybı olabileceği gibi ciddi zararlar yaşanabileceğini vurgulanarak kurbana korku verilir. Bu sayede karşıdaki kişiye yardım etmek istiyormuş izlenimi verilmiş ve güven sağlanmış olur. Aynı zamanda başarılı bir saldırı için kurbanın merak duygusu da tetiklenebilir.
Phishing saldırılarının etkinliği son yıllarda hızla değişmiştir; iyi tanımlanmış, küçük ölçekli bir işlemden, iyi tanımlanmış rollere sahip birden fazla oyuncuyu içeren, büyük ölçüde otomatikleştirilmiş bir işleme dönüşmüştür. Bu sayede Phishing kitleri yapılmaya başlanmış ve Deep Web adı verilen illegal internet dünyasında satışa sunulmuştur.
Phishing Saldırılarında En Çok Kullanılan Yöntemler
Phishing, bir diğer adıyla oltalama olarak bilinen internet saldırıları her geçen gün artıyor. İnternet kullanıcıların çeşitli yollarla bilgilerini ele geçiren phishing saldırıları, dolandırıcıların kullandığı en etkili ve eski yöntemlerden biri. İnternet dolandırıcılığının ilk yayıldığı dönemlerde sahte e-posta üzerinden toplanan kişisel bilgiler, dijital alanın gelişmesiyle daha çok alana yayıldı. Facebook, Instagram, Twitter üzerinden gönderilen sahte kampanya, ödül, maaş zammı, tatil gibi anahtar kelimelerle kullanıcıların bilgilerine sahip olunuyor.Phishing kavramı çok teknik olduğu kadar aynı zamanda kullanıcıların da ayırt edebileceği kadar yaygın bir duruma geldi. Bilinçli kullanıcılar yaratmak ve phishing saldırıları için önlem alabilmek adına en çok kullanılan yöntemleri sizler için sıraladık.
Deceptive (Aldatıcı) Phishing
Phishing saldırılarının en temel yöntemi olan, genellikle e-mail’in kullanıldığı sistemdir. Çekiliş, ödül, acil yardım isteği gibi bahanelerle karşılık beklenen mail aracılığı ile internet kullanıcısının kişisel bilgileri ele geçirilir.Malware Tabanlı Pishing
İnternet dünyasında kullanıcıların anında fark edemeyeceği phishing sistemidir. Bilgisayarınızın iyi korunmadığı durumlarda, bilmediğiniz bir web sitesine girdiğinizde farkında olmadan bazı yazılımlar indirilir. Bu yazılım ekranınızda sürekli pop-up çıkmasını sağlar ve bu sayfalar üzerinden kişisel verilerinizin almasına ön ayak olunur.Oturum Bilgilerini Çalma Yöntemi
Herhangi bir web sitesine üye olduğunuzda girdiğiniz kişisel bilgileriniz cookie’ler aracılığıyla kayıt altına alınır. Siz o site üzerinde istediğiniz gibi vakit geçirirken, internet dolandırıcıları bu cookie sistemine sızarlar. Kişisel bilgilerinizin olduğu cookie sayfası ele geçirildikten sonra da sizin hesabınızla oturum açarak phishing sistemine dahil olurlar.ClickJacking Phishing Saldırısı
İstenilen linke tıklanması için kurulan bu sistem üzerinde siz farkında olmadan dolandırıcılık sistemine katkı sağlamış olabilirsiniz. Bir haber sitesinde ya da oyun sitesinde tıkladığınız görsel ya da yazılarda saklı link’ler olabilir. Siz fark etmeden bu alanlara tıkladığınızda, saldırganların istediği web sitesine yönlendirilmiş olursunuz.Host ya da Desktop Phishing
Bilgisayarınızdaki internet sisteminin kontrolünü ele geçirerek yapılan dolandırıcılık örneğidir. Sizin için karmaşık ya da uygulanması zor gibi gözükse de dolandırıcılar için oldukça basit. Bu şekilde internet kontrolünüz ele geçirildiğinde, dolandırıcıların istediği sayfaya yönlendirilmesi sağlanabilir.URL Yönlendirme
Son dönemlerde özellikle sosyal medya üzerinden uygulanan bu yöntem, kullanıcıların farklı internet adreslerine yönlendirilmesini sağlar. Web sitesinin sahibi ya da kullanıcı farklı mecralardan yönlendirildiği linkin doğruluğunu kontrol etmiyor ya da doğruluğundan emin değilse, dolandırıcılar bu adres üzerinden istedikleri işlemi yaptırabilir.Sahte Mail Yöntemi
İnternet üzerinden ya da dolandırıcıların kendi yazdıkları kodlarla düzenledikleri sahte mail adresleri üzerinden gönderilen mail’ler ile istenilen sayfaya yönlendirme yapılır. Bu web sitesi üzerinden kullanıcıların kişisel bilgileri ele geçirilir.SMS Yöntemi
İlk başta da bahsettiğimiz, phishing için en çok kullanılan ödül, haber, yardım yöntemleri SMS ile gerçekleştirilir. Genellikle kurumların isimleri, bazen de direkt telefon numarası ile gönderilen mesajlar ile kullanıcılardan direkt para alınması ya da kişisel bilgilerin ele geçirilmesi sağlanır.İnternet dünyası var oldukça phishing konusunda yöntemler artıyor ve dolandırıcılar yeni yöntemler üzerinden çok daha etkili bir sistem uygulayabiliyor. Bu konuda verilen linklerin kontrol edilmesi, kurumların ismi kullanılsa bile direkt olarak verilerin girilmemesi oldukça kritik.
Oltalama (Phishing) Saldırılarının Önemi
İnternet kullanımı yaygınlaştıkça, kurum çalışanları veya bireysel kullanıcılar daha fazla çevrimiçi olmak, ürün veya hizmetlere erişimde interneti kullanmayı talep etmektedir. Bu noktada internet kullanımının yaygınlaşması ile alışverişlerimiz, bankacılık işlemlerimiz, finansal işlemlerimiz, kurum içi iletişimlerimiz ve benzeri birçok kritik veri internet üzerinde yaygın olarak kullanılmaya başlanmıştır. Doğal olarak bu durum siber saldırganların bakış açısını değiştirerek hedefli saldırıların artırmasına sebep olmuştur.Siber saldırganlar phishing yöntemleri ile bilinçsiz kullanıcıları hedefleyerek büyük zararlara sebep olmaktadır. Phising saldırıları hedefli olarak yapıldığı takdirde ise büyük bir başarı oranına sahiptir. Doğal olarak siber saldırganlar internet tarihinin en eski ve en etkili yöntemlerinden biri olan phishing saldırılarını sıklıkla kullanmaktadır. Sosyal mühendislik saldırıları ile birlikte gerçekleştirilen spear phishing saldırıları ise maalesef ki siber saldırganların elinde korunması zor ve tehlikeli bir siber silah olarak kurumları tehdit etmektedir.
Phishing saldırıları hem sosyal mühendislik hem de teknik altyapı kullanılarak gerçekleştirilen bir suç olarak tanımlanır. Yaygın olarak e-posta aracılığıyla gerçekleştirilen bu saldırılar günümüz sosyal ağlarının popüler olması ile evrim geçirerek çok daha büyük kitlelere ulaştığını, virüs worm gibi zararlı kodların yayılmasında etkili rol oynadığı göstermiştir.
Son düzenleme: