Phishing

Kimlik phishing nedir?

Phishing ı, saldırganların bireyleri hassas bilgiler vermeleri veya kötü amaçlı yazılım yüklemeleri için kandırmaya çalıştığı bir siber saldırı türüdür. Genellikle e-postalar, kısa mesajlar ve hatta telefon görüşmeleri gibi elektronik iletişimlerde güvenilir bir kuruluşu veya kişiyi taklit ederler. Amaç, oturum açma bilgileri, kredi kartı numaraları veya diğer finansal bilgiler gibi kişisel verileri çalmaktır; bu bilgiler daha sonra dolandırıcılık faaliyetleri için kullanılabilir.

Yaygın phishing yöntemleri

E-posta phishing

Saldırganlar, bankalar, sosyal medya siteleri veya diğer güvenilir kuruluşlar gibi meşru kaynaklardan geliyormuş gibi görünen e-postalar gönderir. Bu e-postalar genellikle acil mesajlar veya tehditler içererek alıcıyı kötü amaçlı bir bağlantıya tıklamaya veya bir eki indirmeye yönlendirir.

Bir e-posta phishing avı girişiminin yaygın göstergeleri

Phishing girişimleri, güvenilir bir varlık gibi görünerek hassas bilgileri elde etmeye yönelik hileli girişimlerdir. phishing avı girişimlerinin yaygın göstergeleri şunlardır:

1. Şüpheli gönderici adresi

Gönderenin e-posta adresi yasal bir adrese benzeyebilir ancak küçük değişiklikler olabilir.

Örnek: İşteyken, şirketinizin BT departmanı gibi görünen bir yerden şifrenizi sıfırlamanızı isteyen bir e-posta alırsınız. Gönderenin e-postası neredeyse doğru görünüyor, ancak daha yakından incelediğinizde "it -support[@]cmpany [.]com" yerine "it-support[@]company[.]com" olduğunu fark ediyorsunuz. Bu küçük değişiklik yaygın bir phishing taktiğidir.

2. Genel selamlaşma

Phishing avı e-postalarında genellikle size isminizle hitap etmek yerine"Sayın Müşterimiz" gibi genel selamlama ifadeleri kullanılır.

Örnek: Bir sabah gelen kutunuzda şöyle bir e-posta buluyorsunuz:"Sayın Müşterimiz, Hesabınız ele geçirildi.Lütfen bilgilerinizi derhal doğrulayın." Bankanızdan sık sık kişiselleştirilmiş e-postalar aldığınızdan, bu genel karşılama kırmızı bayrak kaldırır.

3. Acil veya tehditkar dil

Phishing avı e-postaları genellikle aciliyet veya korku hissi yaratarak olumsuz sonuçlardan kaçınmak için derhal harekete geçilmesi gerektiğini iddia eder.

Örnek: Büyük bir projenin teslim tarihinden hemen önce,"admin[@]hrdepartment[.]com" adresinden bir e-posta alırsınız,"İşiniz risk altında! Bilgilerinizi 24 saat içinde teyit edin ya da işinize son verilsin." Acil ve tehditkar ton, sizi panikleterek düşünmeden yanıt vermenizi sağlamak için tasarlanmıştır.

4. Kişisel bilgi talebi

Yasal şirketler nadiren e-posta yoluyla hassas bilgiler (şifreler, Sosyal Güvenlik numaraları veya kredi kartı bilgileri gibi) ister.

Örnek: "payroll[@]companyfinance[.]com" adresinden gelen bir e-posta, maaşınızın işlenmesi için Sosyal Güvenlik numaranızı ve banka hesap bilgilerinizi onaylamanızı istiyor. İK'dan gelen meşru taleplerin bu tür hassas bilgileri asla e-posta yoluyla istemeyeceğini bildiğinizden, bunun bir phishing girişimi olduğundan şüphelenirsiniz.

5. Sahte web sitelerine bağlantılar

E-posta, yasal olanları taklit eden web sitelerine yönlendiren bağlantılar içerebilir. URL'de küçük değişiklikler veya yazım hataları olup olmadığını her zaman kontrol edin.

Örnek: En sevdiğiniz çevrimiçi mağaza gibi görünen bir yerden, son siparişinizle ilgili bir sorun olduğunu iddia eden bir e-posta alırsınız. E-posta"www[.]amaz0n-support[.]com" ("o" yerine sıfır olduğuna dikkat edin) bağlantısını içeriyor. Bağlantının üzerine geldiğinizde, URL'nin resmi Amazon sitesi olmadığını görürsünüz.

6. Kötü dilbilgisi ve yazım

Birçok phishing e-postası, göze çarpan yazım ve dilbilgisi hataları içerir.

Örnek: Bir ekip toplantısından sonra,"ceo[@]companyy[.]com" adresinden"Performans değerlendirmenizle ilgili önemli bilgiler için lütfen ekteki dosyayı inceleyin" şeklinde bir e-posta alırsınız. Kötü dilbilgisi ve yazım hataları, bunun gerçek CEO'nuzdan gelmediğini gösterir.

7. Beklenmeyen ekler

Ekleri olan istenmeyen e-postalar kırmızı bayrak olabilir. Bu ekler malware içerebilir.

Örnek: Bir rapor gönderdikten hemen sonra,"support[@]techservices[.]com" adresinden "invoice_12345[.]zip" adlı bir ek içeren bir e-posta alırsınız. Herhangi bir hizmet talebinde bulunmadığınız için, bu istenmeyen ek şüphe uyandırır.

8. Gerçek olamayacak kadar iyi teklifler

Hiç katılmadığınız bir piyangoyu kazanmak gibi gerçek olamayacak kadar iyi görünen tekliflere karşı dikkatli olun.

Örnek: "reward[@]employeeappreciation[.]com" adresinden, üstün performansınızdan dolayı 1000 dolarlık bir hediye kartı kazandığınızı iddia eden bir e-posta alıyorsunuz. İşin püf noktası? Ödülü talep etmek için kredi kartı bilgilerinizi vermeniz gerekiyor. Teklif gerçek olamayacak kadar iyi görünüyor ve muhtemelen bir phishing dolandırıcılığı.

9. Tutarsız e-posta biçimlendirmesi

Tutarsız yazı tipleri, logolar veya renkler gibi alışılmadık biçimlendirmelere dikkat edin.

Örnek: "info[@]bankingservice[.]com" adresinden gelen bir e-postada tutarsız yazı tipleri, uyumsuz logolar ve alıştığınız resmi markayla uyuşmayan renkler var. Bu tutarsızlıklar bir phishing girişiminin işaretidir.

10. Sahte URL'ler

Gerçek URL'yi görmek için bağlantıların üzerine gelin. Phishing avı girişimleri genellikle yasal görünen ancak küçük sapmaları olan URL'ler kullanır.

Örnek: E-postaları kontrol ederken,"support[@]softwareupdate[.]com" adresinden sizi en son güncellemeyi indirmeye çağıran bir e-posta alırsınız. Bağlantı"www[.]update-software[.]com" gibi görünüyor, ancak üzerine geldiğinizde gerçek URL'nin"www[.]malicious-site[.]com/update" olduğunu görüyorsunuz. Bu sahte URL, phishing açık bir işaretidir.

11. Olağandışı talepler

Para havalesi veya hediye kartı satın alma gibi olağandışı işlemler talep eden e-postalar genellikle phishing avı girişimleridir.

Örnek: Uzun bir günün ardından,"manager[@]companyprojects[.]com" adresinden bir müşteri toplantısı için birkaç hediye kartı satın almanızı ve kodları geri göndermenizi isteyen bir e-posta buluyorsunuz. Özellikle e-posta yoluyla gelen bu olağandışı talep, klasik bir phishing senaryosudur.

Bu göstergelerin farkında olmak, phishing girişimlerini belirlemenize ve bunlardan kaçınmanıza yardımcı olabilir.

Mızrakla phishing

Bu, saldırganın e-postayı alıcının belirli bilgilerine göre özelleştirdiği ve daha meşru görünmesini sağladığı daha hedefli bir phishing biçimidir. Örneğin, daha ikna edici bir mesaj oluşturmak için alıcının adını, pozisyonunu veya diğer ayrıntılarını kullanabilirler.

Spear phishing girişiminin yaygın göstergeleri

1. Kişiselleştirme

‍E-posta, adınız, iş unvanınız veya rolünüz ya da son faaliyetleriniz hakkında belirli ayrıntılar kullanılarak son derece kişiselleştirilmiştir.

Örnek: "Merhaba [Adınız], son pazarlama konferansına katıldığınızı fark ettim. Bir sonraki toplantımız için lütfen ekteki sunumu inceleyebilir misiniz?"

2. Bağlamsal uygunluk

Mesaj bağlamla ilgilidir ve genellikle yakın zamandaki olaylara, projelere veya iletişimlere atıfta bulunur.

Örnek: "Geçen haftaki toplantımızın ardından, lütfen ekteki belgeyi inceleyin."

3. İnanılır gönderici

‍E-postabir iş arkadaşınızdan, üstünüzden veya sık sık etkileşimde bulunduğunuz birinden geliyor gibi görünüyor.

Örnek: Doğrudan yöneticinizden veya düzenli olarak birlikte çalıştığınız bir ekip üyesinden gelmiş gibi görünen bir e-posta.

4. Aciliyet

‍Mesaj, kapsamlı bir inceleme yapılmadan hızlı bir şekilde harekete geçilmesini sağlayacak bir aciliyet veya önem duygusu yaratır.

Örnek:"Lütfen ekteki görevi gün sonuna kadar tamamlayın."

Balina avcılığı

Bir kuruluştaki yöneticiler veya üst düzey yöneticiler gibi yüksek profilli kişileri hedef alan bir tür spear phishing . Mesajlar, bu kişilerin özel rollerine ve sorumluluklarına hitap edecek şekilde uyarlanır.

Bir balina avı girişiminin yaygın göstergeleri

1. Yöneticilere yönelik

Mesaj, kuruluş içindeki yöneticiler veya üst düzey yöneticiler gibi yüksek profilli kişilere yöneliktir.

Örnek: CEO'ya gönderilen ve hassas şirket bilgilerini talep eden bir e-posta.

2. Yüksek seviyeli dil

Üslup ve dil, hedefin kıdemine uygun olarak profesyoneldir.

Örnek: "Sayın CEO, lütfen bu gizli mali raporu inceleyin."

3. Makam itirazı

‍E-postalargenellikle otoriteye veya aciliyete hitap ederek yöneticinin karar verme gücünden yararlanır.

Örnek:"Ekteki icra emri konusunda derhal harekete geçilmesi gerekmektedir."

4. Güvenilir varlıkların kimliğine bürünme

‍Gönderengenellikle kuruluş içinden biri veya güvenilir bir ortaktır.

Örnek: Bir yönetim kurulu üyesinden veya yüksek profilli bir müşteriden gelmiş gibi görünen bir e-posta.

Smishing ve Vishing

Smishing, SMS metin mesajları yoluyla phishing avını içerirken, vishing sesli aramaları içerir. Her iki yöntem de alıcıyı kişisel bilgilerini vermesi veya para aktarması için kandırmayı amaçlar.

Oltalama girişiminin yaygın göstergeleri

1. Beklenmedik mesajlar

‍Bilinmeyennumaralardan istenmeyen kısa mesajlar almak.

Örnek: Tanımadığınız bir numaradan gelen ve bankanız olduğunu iddia eden bir mesaj.

2. Kısaltılmış URL'ler

‍Mesaj, gerçek hedefi gizleyen kısaltılmış URL'ler içerir.

Örnek:"Hesabınızı doğrulamak için buraya tıklayın: bit[.]ly/12345."

3. Acil dil

‍Mesajbir aciliyet veya tehdit hissi yaratır.

Örnek:"Hesabınız ele geçirildi. Güvenliğini sağlamak için hemen harekete geçin."

4. Kişisel bilgi talebi

‍Metinparolalar, PIN'ler veya kredi kartı bilgileri gibi kişisel bilgiler ister.

Örnek:"Sosyal Güvenlik numaranızı vererek kimliğinizi doğrulayın."

Bir vishing girişiminin yaygın göstergeleri

1. İstenmeyen aramalar

Bilinmeyen veya sahte numaralardan beklenmedik çağrılar almak.

Örnek: Bankanız olduğunu iddia eden bir numaradan gelen ancak arayan kimliğinde yerel bir numara görünen bir arama.

2. Acil talepler

Arayan kişi, genellikle olumsuz sonuçlarla tehdit ederek bir aciliyet duygusu yaratır.

Örnek:"Kimliğinizi şimdi doğrulamazsanız hesabınız kilitlenecektir."

3. Hassas bilgi talebi

Arayan kişi şifreler, hesap numaraları veya sosyal güvenlik numaraları gibi hassas bilgiler ister.

Örnek:"Kimliğinizi doğrulamak için lütfen PIN kodunuzu girin."

4. Güvenilir varlıkların kimliğine bürünme

Arayan kişi güvenilir bir kurum veya kişinin kimliğine bürünür.

Örnek: Bankanızın dolandırıcılık departmanından olduğunu iddia eden birinin doğrulama bilgilerini istemesi.

Klon Phishing

Saldırganlar, daha önce güvenilir bir kuruluş tarafından gönderilen meşru bir e-postanın neredeyse aynı kopyasını oluşturur. Ek veya bağlantıyı kötü niyetli bir bağlantıyla değiştirerek alıcının orijinal mesaj olduğuna inanarak tıklayacağını umarlar.

Klon phishing girişiminin yaygın göstergeleri

1. Benzer ancak biraz değiştirilmiş gönderen adresi

E-posta güvenilir bir kaynaktan geliyor gibi görünüyor ancak gönderenin adresi biraz farklı.

Örnek:"support[@]paypal[.]com" yerine"support[@]paypa1[.]com".

2. Yinelenen e-posta içeriği

‍E-postaiçeriği daha önce aldığınız yasal bir mesajla neredeyse aynıdır, ancak kötü amaçlı bir bağlantı veya ek içerir.

Örnek: İK departmanınızdan gelen önceki bir e-postanın aynısı gibi görünen ancak farklı bir ek içeren bir e-posta.

3. Değiştirilen bağlantılar veya ekler

The cloned email has links or attachments that lead to malicious websites or files.

Örnek: Daha önce PDF eki olan bir e-posta artık bir ZIP dosyasına sahip.

4. Beklenmedik takip

Daha önce tamamladığınız bir eylem için yeni bir bağlantıya tıklamanızı isteyen bir takip e-postası almak.

Örnek:"Önceki e-postamızdaki formu doldurmadığınızı fark ettik. Lütfen güncellenmiş bağlantıyı burada bulabilirsiniz."

Bilgisayar korsanları neden phishing tekniklerini kullanır?

Bilgisayar korsanları phishing tekniklerini kullanırlar çünkü teknolojik zayıflıklardan ziyade insani açıklardan faydalanırlar. Phishing sosyal mühendisliğe dayanır, bireyleri hassas bilgileri ifşa etmeleri veya güvenliği taviz atan eylemler gerçekleştirmeleri için manipüle eder. Sistemleri doğrudan ihlal etmek için genellikle önemli teknik beceri gerektiren geleneksel bilgisayar korsanlığının aksine, phishing nispeten düşük çabayla gerçekleştirilebilir. Bilgisayar korsanları, meşru görünen aldatıcı mesajlar oluşturarak bireyleri şifrelerini, kredi kartı numaralarını veya diğer kişisel bilgilerini vermeleri için kandırabilirler. Bu yöntem oldukça etkilidir çünkü birçok teknik güvenlik önlemini atlayarak bunun yerine insan unsurunu hedef alır.

Dahası, phishing avının ölçeklenebilir ve uyarlanabilir olması onu bilgisayar korsanları için çok yönlü bir araç haline getirmektedir. Minimum maliyet ve çabayla kolayca binlerce phishing e-postası veya mesajı gönderebilirler ve bu da başarı şansını önemli ölçüde artırır. Siber savunmalar geliştikçe, bilgisayar korsanları daha inandırıcı ve sofistike görünmek için phishing taktiklerini sürekli olarak geliştirmektedir. Saldırılarını belirli kişi ya da kuruluşlara göre uyarlayarak (spear phishing ve whaling) başarı olasılığını artırmaktadırlar. Sosyal medyada ve diğer platformlarda kişisel bilgilerin yaygın olarak bulunması, bilgisayar korsanlarının ikna edici, kişiselleştirilmiş phishing avı girişimleri hazırlamasına yardımcı oluyor. Bu uyarlanabilirlik ve erişim, phishing avını siber güvenlik ortamında kalıcı ve tehlikeli bir tehdit haline getirmektedir.

phishing ile başlayan bir saldırı örneği

Aşağıdaki görsel, saldırganın bilgi toplamak için ilk olarak LinkedIn'deki bir çalışanı hedef aldığı ve güvenliği aşmak için WhatsApp'ı kullanarak kurumsal bir dizüstü bilgisayarı tehlikeye attığı simüle edilmiş bir phishing saldırısını göstermektedir.

Saldırgan daha sonra Zero Trust Ağ Mimarisi (ZTNA) üzerinden uzaktan komuta hizmeti kullanarak veri merkezine gider ve keşif yapmak üzere kalıcı erişim için Command and Control (C2) yükler.

Saldırgan sunucudan yönetici kimlik bilgilerini çalar ve bunları yanlara doğru hareket ederek diğer sunuculara erişim sağlamak için kullanır.

Bu süreç boyunca Vectra AI , gizli HTTPS tünelleri, dosya paylaşımı numaralandırma, bağlantı noktası taramaları ve ayrıcalıklı erişim anormallikleri dahil olmak üzere çeşitli şüpheli etkinlikleri tespit eder. Analist kılavuzu, araştırmalardan elde edilen toplu verilerden yararlanılmasını, daha derin içgörüler için günlük verilerinin incelenmesini ve saldırıyı durdurmak için virüslü hesapların kilitlenmesini önerir.