Phishing nedir ?
Phishing arkadaşlar kısaca internet dolandırıcılığı tekniklerinden biridir diyebiliriz. Yöntemin amacı kişinin gizli bilgilerini ele geçirmek suretiyle dolandırmaktır. Bu yöntem kullanılarak kredi kartı bilgileriniz banka hesap bilgileriniz, facebook vs. sosyal paylaşım sitelerinizdeki üyelik bilgileriniz ve daha bir çok kişisel bilgileriniz başkaları tarafından ele geçirilebilir. Bu bilgileri ele geçiren biride emin olun bunları silip atmaz kullanır. Buda sizin açınızdan ciddi maddi sonuçlar hatta hukuki sonuçlar doğuran eylemlerle son bulabilir.
Phishing yöntemi nasıl kullanılır ?
Phishing yöntemi ile kişisel bilgilerinizin ele geçirilmesini istemiyorsanız ilk yapmanız gereken bu yöntemin işleyişini anlamaktır. Arkadaşlar Phishing yöntemi son yıllarda kullanımı en hızlı artan dolandırıcılık yöntemlerinden birisidir. Bu yöntemlerle ele geçirilen bilgiler bizzat bilgileri çalan şahıslar tarafından kullanıldığı gibi bazende ciddi paralar karşılığında satılabiliyor. Ülkemizde bildiğiniz neredeyse bütün bankaların müşterileri böyle yöntemler yardımıyla dolandırıcılığa maruz kalmıştır.
Bankalar bir yana dursun bildiğiniz büyük mail servislerindeki şifreleriniz sosyal paylaşım sitelerindeki şifreleriniz hatta knight tarzı online oyunlardaki şifreleriniz bile aslında tam anlamıyla güvende değil.
Bu yöntemi kullanan bilgisayar korsanları genelde kişisel bilgileri ele geçirmek amacıyla elektronik postalar ve sahte web sayfaları kullanır. Yani kurbana güven verir. Güncelleme vs. sebeblerle sizleri gizli bilgilerinizi ele geçirmek amacıyla sahte web sayfalarına yönlendirirler ve gizli bilgilerinizi kullanmanızı sağlarlar. Giriş yaptığınız andada bilgileriniz uçmuş olur. Arkadaşlar yönlendirildiğiniz sayfalar o kadar gerçeğine sadık kalarak hazırlanmıştırki sahte olduğunu anlayamazsınız.
Son yıllarda adını sıkça duyduğunuz sosyal mühendislik yöntemi ile hazırlanan e-mailllerle sizleri tuzağa çekerler. Adındanda anlayacağınız gibi yöntem balık tutmak olarak isimlendirilmiştir. Kusura bakmayın ama korsan balıkçı sizde onun gözünde balıksınız, internet alemi deniz ve e-mailde olta. Lütfen gördüğünüz maillere hemen atlamayın. :)
Şimdi bir senaryo çizelim: Mailinizi açtınız baktınız bankadan size bir e posta gelmiş. İçeriğinde son derece iyi ve ikna edici bir dille yazılmış bir kaç cümle birkaç link ve sizin için bir kaç direktif. Linklere tıkladınız bir sayfa açıldı herşey normal görünüyor. Her zamanki işlemleri yaptınız bilgileri girdiniz. Yemi yuttunuz. Artık balıkçının sizi sudan çekmesi kaldı. Sayfa hata verdi diyelim bir kaç yenileme işlemi baktınız olmuyor. Sonra bankanın sitesini kendiniz girdiniz işlemlerinizi kontrol edeceksiniz. Hesabınıza ulaştınız baktınız paralar uçmuş. Sizinle alakası olmayan işlemler yapılmış. Siz ise şoktasınız…
Bir başka farklı senaryo çizelim: Mailinize girdiniz bir e posta çok uygun fiyata bir atıyorum bilgisayar var ama gerçekten çok ucuz. Size çok cazip geldi ve ihtiyacınızda var. Oturdunuz klasik satınalma işlemlerini yaptınız. Eğer banka sizi yeterince hesap konusunda koruyamıyorsa size bilgisayar yerine bir bardak soğuk su gelir. Ama hesabınıza bakarsınız bilmem ne ülkesinde alışveriş yapılmış. Sonuç siz şoktasınız…
Ne oldu balıkçı sizi maalesef sudan çekti. Bu örnekleri artırabiliriz. Bu maili bir sosyal paylaşım ağından aldığınızı düşünün. Yine aynı hikaye. Ne yapacaksınız? Büyük ihtimalle savcılığa gidip suç duyurusunda bulunacaksınız. Sonuç alırsınız alamazsınız bilemem ama çok ciddi anlamda canınız sıkılacak. Adam 10000 kişiye mail atsın. Bunlardan 1000 tanesi maili okusun. Bu okuyanlardan 10 tanesi yemi yutsun. Bu on taneden bir yada iki tanesi uyanmadan işlemleri yapsın. Adam işi bitirdi. Sonuçta taş atıp kolu yorulmadı.
İşte arkadaşlar Phishing yönteminin mantığı budur.
Phishing yönteminin başka türleri var mı?
Elbette arkadaşlar. Buraya kadar anlattıklarım en sık kullanılanları. Mesela bir mail aldınız ve bu sefer sizi bir siteye yönlendirmek yerine sadece bir telefon numarası vermişler.
Aklınıza gelmeyecek çok farklı şekillerde olabilir. Mesela bazı durumlarda ise dolandırıcı hacker arkadaşımız istenilen bilgileri elde edebilmek amacı ile e-posta iletisini alan kullanıcıyı başka bir siteye yönlendirmeyi gerçekleştirmeden bir hizmet telefonunu verebilmektedirler. Kurban bu telefon numarasını ararsa karşıdaki kişi yine sosyal mühendislik yöntemi ile karısındakinden istediği bilgileri alabilir. Gerçekten bu kişiler size bankadan arayan görevlilerden daha inandırıcı gelecektir. Fakat bu yöntemin zayıf yanı yöntemi uygulayan kişinin yakalanma olasılığını artırmasıdır. Buda yöntemin çok sık kullanılmamasına neden olmaktadır.
Başka bir yöntem daha. Yine size mail yoluyla ulaşırlar. Güzel hazırlanmış e-posta ile istenilen linke tıklamanız sağlanır. Bunun sonucunda bilgisayarınıza casus yazılım indirmiş olursunuz. Bu satten sonra giziliniz saklınız kalmaz. Proğram kendine emredileni yapar ve bütün girdiğiniz şifreler vs. yazılımın sahibine postalanır.
Phishingten Nasıl Korunurum?
Şimdiye kadar hep dolandırıcılık yöntemlerinden bahsettik şimdide korunmak için neler yapabiliriz ona bakalım.
Şüpheci olun. E-mail in gönderildiği adresi inceleyin. Alakasız bir e-mail adresi direkt silin.
Size acilen harekete geçmenizi sözleyen, yazılanları yapmadığınız takdirde zarar göreceğinizi söyleyen e-postalara daha fazla dikkat edin. Özellikle kişisel bilgilerinizi istiyorsa. Bankalar bu tarz işlemler için e mail yöntemini kullanmaz direkt telefonunuzu arar.
Firewall (Güvenlik duvarı) kullanınız.
Güncel bir virüs koruma programı kullanınız.
Kredi kartınızın ve banka hesablarınızın ekstrelerini düzenli olarak kontrol edin. Şüpheli gördüğünüz durumlarda bankanız ile irtibata geçin.
Phishing e-postalar çoğunlukla şahıslardan değil, bankalardan veya ticari kurumlardan gelmiş gibi görünür. Girdiğiniz sayfaların linklerini kontrol edin. Mesela ziraatbank.com.tr/… şeklinde bir sayfaya değilde //ziraat.******.com.re gibi bir sayfayla karşılaşırsanız kesinlikle girmeyin ve mümkünse bankaya haber verin. Bütün bankalar SSL sistemi ile korunur. Sayfaya girdiğinizde adres satırının başında yeşil renkli bir işaret görürsünüz yada bu konuda bilgilendirme uyarısı alırsınız. Eğer almıyorsanız sayfa https:// şeklinde değilde http:// şeklinde başlıyorsa sıkıntı var demektir. Uzak durun.
Şüphelendiğiniz elektronik posta içeriklerindeki linklere kesinlikle tıklamayınız. İlgili kurumu Google amcaya sorarak bütün iletişim bilgilerine ulaşabilirisiniz. Bu şekilde girmek çok daha güvenlidir.
Kesinlikle güncel internet tarayıcılar kullanın. Ülkemizdeki bilgisayarların çok büyük kısmında windows kullanılıyor ve dolayısıyla üzerinde hazır olarak gelen internet explorer en çok kullanılan tarayıcı durumunda. Buda korsanları internet explorerın açıklarını kullanmaya itiyor. Bunun yerine Chrome eya Monzilla Firefox kullanabilirsiniz. Bu konuyla ilgili yazıya buradan ulaşabilirisiniz.
İnternet cafe gibi güvenliğin sağlamanın zor olduğu bilgisayarlardan yada bilmediğiniz ağlardan nete girerek bankacılık işlemleri yapmayınız.
Şifrelerinizi seçerken dikkatli olun. Birden fazla hesabınızda farklı şifreler kullanın.
Farkındayım arkadaşlar biraz uzun bir yazı oldu ama önemli bir konudur. Umarım faydalı olur.
Yorumlarınızı esirgemeyin arkadaşlar.