Balık yakalarken kullanılan zoka diye bir şey vardır. Çok renklidir ve albenisi olur. Balık onu gördüğünde hemen atlar ve genelde de yakalanır. En erken atlayan sazan mıdır kefal midir? Dolandırıcı için bunun pek de bir önemi yoktur. Onun tek derdi sizin bilgilerinizi çalmaktır. İşte “Phising (Oltalama)” bunun teknolojik adıdır.

Peki Phising (Oltalama) tanımı nedir?

Dolandırıcılar tarafından e-posta adresinize gönderilen ve sizi kandırmaya çalışan bir dolandırıcılık yöntemidir. Bu yöntem ile amaçlanan, kullanıcının erişim bilgilerini ele geçirmektir. Bunun yanı sıra, kredi kartı bilgileri de oltalama saldırısı hedeflerinden birisidir.

              Oltalama saldırılarında gönderilen e-posta sanki kurumun kendisinden geliyormuş gibi bir izlenim oluşturulur. Hatta kurumun gönderdiği e-posta şablonu birebir kopyalanıp içeriği değiştirilerek sizden aslında istenmemesi gereken bilgiler talep edilir.

              Birkaç oltalama örneği ile konuya devam edelim.

  • Devamlı kullanılan, fatura, ekstre gönderen kuruluşlara aitmiş gibi gönderilen bir e-posta ile içindeki linke tıkladığınızda kurumun web sayfasına benzer şekilde açılan bir sayfa aracılığı ile sizden şifreniz talep edilebilir.
  • Bir yarışma düzenlendiği ve bu yarışmada ödül kazandığınıza dair uydurma bir e-posta alırsınız. Tek yapmanız gereken linke tıklayıp bilgileri doldurmaktır. Ne güzel!
  • Bilgilerinizde eksikler vardır. Bankanız bunları tamamlamanızı istemektedir. Aslında doldurduğunuz form bu bilgileri saldırgana gönderir.
  • Sahte banka siteleri oluşturularak para transferine onay vermenizi isteyen bildirimler alırsınız. Bu sırada bazı bilgiler eksiktir ve sizden tamamlamanız istenir. Unutmayın bankalar asla web üzerinden böyle bilgiler istemezler.

Yukarıdaki örneklerde gördüğünüz gibi aslında dolandırıcı hep sizden bir şeyleri doldurmanızı, yani kendi bilgilerinizi girmenizi istemektedir. Kesinlikle bu yanlışı yapmayın. Hiçbir kurum böyle bir talepte bulunmaz.

Ayrıca unutmayalım ki kimse kimseye bedava bir şey vermez. Hayat adildir ancak aynı zamanda acımasızdır da… Sizin iyi niyetinizi kötüye kullanacak birçok insan şu anda bilgisayarının başında yeni dolandırıcılık yöntemleri planlıyor.

Böyle ne olduğu belli olmayan yerlerde katıldığınız çekilişte kazandığınız telefon asla size ulaşmaz. Kasa her zaman kazanır. Siz kazandıran olmayın!

Peki her şey bu kadar apaçık ortadayken neden mi kandırılıyorsunuz? Kolay yoldan kazanmak istediğiniz için mi bu tuzaklar size güzel görünüyor? Sorular arttırılabilir, cevap belli. Oltaya gelmeyin!

Unutmayın, şirketiniz size bedava scooter vermez! Sağlık sigortanızda olmadığı halde “bir check-up hediye edeyim de memnun olsunlar” diye bir düşünceye ancak hedeflerindeki kullanıcılar inanır! Şüpheli diyeceğimiz bu tür bir teklif aldığınızda iki değil beş kere düşünün. Sizin iyiliğinizi düşünen bir firma böyle bir teklifi sadece e-posta ile göndermez.

Peki korunmak için ne yapmalıyız?

Öncelikle farkındalığımızı arttırmamız gerekiyor. “Bilgi Güvenliği ve Farkındalığı” başlıklı yayınladığım yazıda bu konu hakkında daha detaylı bilgi alabilirsiniz.

Temelde yapılması gereken en önemli adımları şöyle sıralayabiliriz.

  • Gelen e-posta’nın hangi adresten gönderildiğine iyice bakın. Saldırganlar genelde orijinaline çok benzeyen isimler ve alana adları kullanırlar. Tek bir harf değişikliği bile gözünüzü yanıltarak sizin oltaya yakalanmanızı sağlayabilir.
  • Gelen e-posta içeriğini dikkatlice inceleyin. Genelde orijinaline sağdık kalınarak hazırlanırlar ancak mutlaka devrik cümle, hatalı görseller v.b. içerik yanlışları barındırabilmektedirler.
  • Tıklanması istenen bir link varsa tıklamadan önce mutlaka iyice inceleyin. E-posta adresinde olduğu gibi burada da sahte alan adları ve uzun ön alan adları ile kafanızı karıştıracak linkler yer alabilmektedir. Ayrıca bazı linklerin görünen kısmı sadece “tıklayınız” gibi bir yazı şeklinde görünebilir. Bu tür linklere tıklamadan önce imleci üzerine getirip orijinal linkin ne olduğunu inceleyin. Kısaltılmış linklere de tıklamamakta fayda vardır. Emin olmadığınız hiçbir linke hemen gitmeyin.
  • Her ne şekilde olursa olsun hiçbir resmi kurum sizden şifrenizi istemez. Şifrenizi kesinlikle paylaşmayın.
  • Güvenli olmayan veya genele açık bir kablosuz ağdan giriş yaptıysanız hiçbir şekilde kurumsal işlemlerinizi gerçekleştirmeyin. Şifre isteyen sayfalarınıza giriş yapmayı denemeyin. Bu tür güvensiz kablosuz ağlar, saldırganlar tarafından dinleniyor olabilir ve bilgilerinizi ele geçirebilirler.

Sonuç olarak sizi kandırmaya çalışan dolandırıcılar her geçen gün farklı senaryolarla farklı yöntemlerle saldırılarını yapıyorlar. Evet büyük balık küçüğü yer, ancak eninde sonunda o da yakalanır. Hiçbir suç cezasız kalmaz. Yaşadığımız bilgi ve teknoloji çağında artık hepimiz farkındalığımızı arttırmalı ve bu tür oltalara gelmemek için çaba göstermeliyiz.