Phishing ı, saldırganların bireyleri hassas bilgiler vermeleri veya kötü amaçlı yazılım yüklemeleri için kandırmaya çalıştığı bir siber saldırı türüdür. Genellikle e-postalar, kısa mesajlar ve hatta telefon görüşmeleri gibi elektronik iletişimlerde güvenilir bir kuruluşu veya kişiyi taklit ederler. Amaç, oturum açma bilgileri, kredi kartı numaraları veya diğer finansal bilgiler gibi kişisel verileri çalmaktır; bu bilgiler daha sonra dolandırıcılık faaliyetleri için kullanılabilir.
Saldırganlar, bankalar, sosyal medya siteleri veya diğer güvenilir kuruluşlar gibi meşru kaynaklardan geliyormuş gibi görünen e-postalar gönderir. Bu e-postalar genellikle acil mesajlar veya tehditler içererek alıcıyı kötü amaçlı bir bağlantıya tıklamaya veya bir eki indirmeye yönlendirir.
Phishing girişimleri, güvenilir bir varlık gibi görünerek hassas bilgileri elde etmeye yönelik hileli girişimlerdir. phishing avı girişimlerinin yaygın göstergeleri şunlardır:
Gönderenin e-posta adresi yasal bir adrese benzeyebilir ancak küçük değişiklikler olabilir.
Örnek: İşteyken, şirketinizin BT departmanı gibi görünen bir yerden şifrenizi sıfırlamanızı isteyen bir e-posta alırsınız. Gönderenin e-postası neredeyse doğru görünüyor, ancak daha yakından incelediğinizde "it -support[@]cmpany [.]com" yerine "it-support[@]company[.]com" olduğunu fark ediyorsunuz. Bu küçük değişiklik yaygın bir phishing taktiğidir.
Phishing avı e-postalarında genellikle size isminizle hitap etmek yerine"Sayın Müşterimiz" gibi genel selamlama ifadeleri kullanılır.
Örnek: Bir sabah gelen kutunuzda şöyle bir e-posta buluyorsunuz:"Sayın Müşterimiz, Hesabınız ele geçirildi.Lütfen bilgilerinizi derhal doğrulayın." Bankanızdan sık sık kişiselleştirilmiş e-postalar aldığınızdan, bu genel karşılama kırmızı bayrak kaldırır.
Phishing avı e-postaları genellikle aciliyet veya korku hissi yaratarak olumsuz sonuçlardan kaçınmak için derhal harekete geçilmesi gerektiğini iddia eder.
Örnek: Büyük bir projenin teslim tarihinden hemen önce,"admin[@]hrdepartment[.]com" adresinden bir e-posta alırsınız,"İşiniz risk altında! Bilgilerinizi 24 saat içinde teyit edin ya da işinize son verilsin." Acil ve tehditkar ton, sizi panikleterek düşünmeden yanıt vermenizi sağlamak için tasarlanmıştır.
Yasal şirketler nadiren e-posta yoluyla hassas bilgiler (şifreler, Sosyal Güvenlik numaraları veya kredi kartı bilgileri gibi) ister.
Örnek: "payroll[@]companyfinance[.]com" adresinden gelen bir e-posta, maaşınızın işlenmesi için Sosyal Güvenlik numaranızı ve banka hesap bilgilerinizi onaylamanızı istiyor. İK'dan gelen meşru taleplerin bu tür hassas bilgileri asla e-posta yoluyla istemeyeceğini bildiğinizden, bunun bir phishing girişimi olduğundan şüphelenirsiniz.
E-posta, yasal olanları taklit eden web sitelerine yönlendiren bağlantılar içerebilir. URL'de küçük değişiklikler veya yazım hataları olup olmadığını her zaman kontrol edin.
Örnek: En sevdiğiniz çevrimiçi mağaza gibi görünen bir yerden, son siparişinizle ilgili bir sorun olduğunu iddia eden bir e-posta alırsınız. E-posta"www[.]amaz0n-support[.]com" ("o" yerine sıfır olduğuna dikkat edin) bağlantısını içeriyor. Bağlantının üzerine geldiğinizde, URL'nin resmi Amazon sitesi olmadığını görürsünüz.
Birçok phishing e-postası, göze çarpan yazım ve dilbilgisi hataları içerir.
Örnek: Bir ekip toplantısından sonra,"ceo[@]companyy[.]com" adresinden"Performans değerlendirmenizle ilgili önemli bilgiler için lütfen ekteki dosyayı inceleyin" şeklinde bir e-posta alırsınız. Kötü dilbilgisi ve yazım hataları, bunun gerçek CEO'nuzdan gelmediğini gösterir.
Ekleri olan istenmeyen e-postalar kırmızı bayrak olabilir. Bu ekler malware içerebilir.
Örnek: Bir rapor gönderdikten hemen sonra,"support[@]techservices[.]com" adresinden "invoice_12345[.]zip" adlı bir ek içeren bir e-posta alırsınız. Herhangi bir hizmet talebinde bulunmadığınız için, bu istenmeyen ek şüphe uyandırır.
Hiç katılmadığınız bir piyangoyu kazanmak gibi gerçek olamayacak kadar iyi görünen tekliflere karşı dikkatli olun.
Örnek: "reward[@]employeeappreciation[.]com" adresinden, üstün performansınızdan dolayı 1000 dolarlık bir hediye kartı kazandığınızı iddia eden bir e-posta alıyorsunuz. İşin püf noktası? Ödülü talep etmek için kredi kartı bilgilerinizi vermeniz gerekiyor. Teklif gerçek olamayacak kadar iyi görünüyor ve muhtemelen bir phishing dolandırıcılığı.
Tutarsız yazı tipleri, logolar veya renkler gibi alışılmadık biçimlendirmelere dikkat edin.
Örnek: "info[@]bankingservice[.]com" adresinden gelen bir e-postada tutarsız yazı tipleri, uyumsuz logolar ve alıştığınız resmi markayla uyuşmayan renkler var. Bu tutarsızlıklar bir phishing girişiminin işaretidir.
Gerçek URL'yi görmek için bağlantıların üzerine gelin. Phishing avı girişimleri genellikle yasal görünen ancak küçük sapmaları olan URL'ler kullanır.
Örnek: E-postaları kontrol ederken,"support[@]softwareupdate[.]com" adresinden sizi en son güncellemeyi indirmeye çağıran bir e-posta alırsınız. Bağlantı"www[.]update-software[.]com" gibi görünüyor, ancak üzerine geldiğinizde gerçek URL'nin"www[.]malicious-site[.]com/update" olduğunu görüyorsunuz. Bu sahte URL, phishing açık bir işaretidir.
Para havalesi veya hediye kartı satın alma gibi olağandışı işlemler talep eden e-postalar genellikle phishing avı girişimleridir.
Örnek: Uzun bir günün ardından,"manager[@]companyprojects[.]com" adresinden bir müşteri toplantısı için birkaç hediye kartı satın almanızı ve kodları geri göndermenizi isteyen bir e-posta buluyorsunuz. Özellikle e-posta yoluyla gelen bu olağandışı talep, klasik bir phishing senaryosudur.
Bu göstergelerin farkında olmak, phishing girişimlerini belirlemenize ve bunlardan kaçınmanıza yardımcı olabilir.
Bu, saldırganın e-postayı alıcının belirli bilgilerine göre özelleştirdiği ve daha meşru görünmesini sağladığı daha hedefli bir phishing biçimidir. Örneğin, daha ikna edici bir mesaj oluşturmak için alıcının adını, pozisyonunu veya diğer ayrıntılarını kullanabilirler.
E-posta, adınız, iş unvanınız veya rolünüz ya da son faaliyetleriniz hakkında belirli ayrıntılar kullanılarak son derece kişiselleştirilmiştir.
Örnek: "Merhaba [Adınız], son pazarlama konferansına katıldığınızı fark ettim. Bir sonraki toplantımız için lütfen ekteki sunumu inceleyebilir misiniz?"
Mesaj bağlamla ilgilidir ve genellikle yakın zamandaki olaylara, projelere veya iletişimlere atıfta bulunur.
Örnek: "Geçen haftaki toplantımızın ardından, lütfen ekteki belgeyi inceleyin."
E-postabir iş arkadaşınızdan, üstünüzden veya sık sık etkileşimde bulunduğunuz birinden geliyor gibi görünüyor.
Örnek: Doğrudan yöneticinizden veya düzenli olarak birlikte çalıştığınız bir ekip üyesinden gelmiş gibi görünen bir e-posta.
Mesaj, kapsamlı bir inceleme yapılmadan hızlı bir şekilde harekete geçilmesini sağlayacak bir aciliyet veya önem duygusu yaratır.
Örnek:"Lütfen ekteki görevi gün sonuna kadar tamamlayın."
Bir kuruluştaki yöneticiler veya üst düzey yöneticiler gibi yüksek profilli kişileri hedef alan bir tür spear phishing . Mesajlar, bu kişilerin özel rollerine ve sorumluluklarına hitap edecek şekilde uyarlanır.
Mesaj, kuruluş içindeki yöneticiler veya üst düzey yöneticiler gibi yüksek profilli kişilere yöneliktir.
Örnek: CEO'ya gönderilen ve hassas şirket bilgilerini talep eden bir e-posta.
Üslup ve dil, hedefin kıdemine uygun olarak profesyoneldir.
Örnek: "Sayın CEO, lütfen bu gizli mali raporu inceleyin."
E-postalargenellikle otoriteye veya aciliyete hitap ederek yöneticinin karar verme gücünden yararlanır.
Örnek:"Ekteki icra emri konusunda derhal harekete geçilmesi gerekmektedir."
Gönderengenellikle kuruluş içinden biri veya güvenilir bir ortaktır.
Örnek: Bir yönetim kurulu üyesinden veya yüksek profilli bir müşteriden gelmiş gibi görünen bir e-posta.
Smishing, SMS metin mesajları yoluyla phishing avını içerirken, vishing sesli aramaları içerir. Her iki yöntem de alıcıyı kişisel bilgilerini vermesi veya para aktarması için kandırmayı amaçlar.
Bilinmeyennumaralardan istenmeyen kısa mesajlar almak.
Örnek: Tanımadığınız bir numaradan gelen ve bankanız olduğunu iddia eden bir mesaj.
Mesaj, gerçek hedefi gizleyen kısaltılmış URL'ler içerir.
Örnek:"Hesabınızı doğrulamak için buraya tıklayın: bit[.]ly/12345."
Mesajbir aciliyet veya tehdit hissi yaratır.
Örnek:"Hesabınız ele geçirildi. Güvenliğini sağlamak için hemen harekete geçin."
Metinparolalar, PIN'ler veya kredi kartı bilgileri gibi kişisel bilgiler ister.
Örnek:"Sosyal Güvenlik numaranızı vererek kimliğinizi doğrulayın."
Bilinmeyen veya sahte numaralardan beklenmedik çağrılar almak.
Örnek: Bankanız olduğunu iddia eden bir numaradan gelen ancak arayan kimliğinde yerel bir numara görünen bir arama.
Arayan kişi, genellikle olumsuz sonuçlarla tehdit ederek bir aciliyet duygusu yaratır.
Örnek:"Kimliğinizi şimdi doğrulamazsanız hesabınız kilitlenecektir."
Arayan kişi şifreler, hesap numaraları veya sosyal güvenlik numaraları gibi hassas bilgiler ister.
Örnek:"Kimliğinizi doğrulamak için lütfen PIN kodunuzu girin."
Arayan kişi güvenilir bir kurum veya kişinin kimliğine bürünür.
Örnek: Bankanızın dolandırıcılık departmanından olduğunu iddia eden birinin doğrulama bilgilerini istemesi.
Saldırganlar, daha önce güvenilir bir kuruluş tarafından gönderilen meşru bir e-postanın neredeyse aynı kopyasını oluşturur. Ek veya bağlantıyı kötü niyetli bir bağlantıyla değiştirerek alıcının orijinal mesaj olduğuna inanarak tıklayacağını umarlar.
E-posta güvenilir bir kaynaktan geliyor gibi görünüyor ancak gönderenin adresi biraz farklı.
Örnek:"support[@]paypal[.]com" yerine"support[@]paypa1[.]com".
E-postaiçeriği daha önce aldığınız yasal bir mesajla neredeyse aynıdır, ancak kötü amaçlı bir bağlantı veya ek içerir.
Örnek: İK departmanınızdan gelen önceki bir e-postanın aynısı gibi görünen ancak farklı bir ek içeren bir e-posta.
Klonlanmış e-posta, kötü amaçlı web sitelerine veya dosyalara yönlendiren bağlantılar veya ekler içerir.
Örnek: Daha önce PDF eki olan bir e-posta artık bir ZIP dosyasına sahip.
Daha önce tamamladığınız bir eylem için yeni bir bağlantıya tıklamanızı isteyen bir takip e-postası almak.
Örnek:"Önceki e-postamızdaki formu doldurmadığınızı fark ettik. Lütfen güncellenmiş bağlantıyı burada bulabilirsiniz."
Bilgisayar korsanları phishing tekniklerini kullanırlar çünkü teknolojik zayıflıklardan ziyade insani açıklardan faydalanırlar. Phishing sosyal mühendisliğe dayanır, bireyleri hassas bilgileri ifşa etmeleri veya güvenliği taviz atan eylemler gerçekleştirmeleri için manipüle eder. Sistemleri doğrudan ihlal etmek için genellikle önemli teknik beceri gerektiren geleneksel bilgisayar korsanlığının aksine, phishing nispeten düşük çabayla gerçekleştirilebilir. Bilgisayar korsanları, meşru görünen aldatıcı mesajlar oluşturarak bireyleri şifrelerini, kredi kartı numaralarını veya diğer kişisel bilgilerini vermeleri için kandırabilirler. Bu yöntem oldukça etkilidir çünkü birçok teknik güvenlik önlemini atlayarak bunun yerine insan unsurunu hedef alır.
Dahası, phishing avının ölçeklenebilir ve uyarlanabilir olması onu bilgisayar korsanları için çok yönlü bir araç haline getirmektedir. Minimum maliyet ve çabayla kolayca binlerce phishing e-postası veya mesajı gönderebilirler ve bu da başarı şansını önemli ölçüde artırır. Siber savunmalar geliştikçe, bilgisayar korsanları daha inandırıcı ve sofistike görünmek için phishing taktiklerini sürekli olarak geliştirmektedir. Saldırılarını belirli kişi ya da kuruluşlara göre uyarlayarak (spear phishing ve whaling) başarı olasılığını artırmaktadırlar. Sosyal medyada ve diğer platformlarda kişisel bilgilerin yaygın olarak bulunması, bilgisayar korsanlarının ikna edici, kişiselleştirilmiş phishing avı girişimleri hazırlamasına yardımcı oluyor. Bu uyarlanabilirlik ve erişim, phishing avını siber güvenlik ortamında kalıcı ve tehlikeli bir tehdit haline getirmektedir.
Aşağıdaki görsel, saldırganın bilgi toplamak için ilk olarak LinkedIn'deki bir çalışanı hedef aldığı ve güvenliği aşmak için WhatsApp'ı kullanarak kurumsal bir dizüstü bilgisayarı tehlikeye attığı simüle edilmiş bir phishing saldırısını göstermektedir.
Saldırgan daha sonra Zero Trust Ağ Mimarisi (ZTNA) üzerinden uzaktan komuta hizmeti kullanarak veri merkezine gider ve keşif yapmak üzere kalıcı erişim için Command and Control (C2) yükler.
Saldırgan sunucudan yönetici kimlik bilgilerini çalar ve bunları yanlara doğru hareket ederek diğer sunuculara erişim sağlamak için kullanır.
Bu süreç boyunca Vectra AI , gizli HTTPS tünelleri, dosya paylaşımı numaralandırma, bağlantı noktası taramaları ve ayrıcalıklı erişim anormallikleri dahil olmak üzere çeşitli şüpheli etkinlikleri tespit eder. Analist kılavuzu, araştırmalardan elde edilen toplu verilerden yararlanılmasını, daha derin içgörüler için günlük verilerinin incelenmesini ve saldırıyı durdurmak için virüslü hesapların kilitlenmesini önerir.
Phishing ı, gizlenmiş e-postayı bir silah olarak kullanan bir siber saldırıdır. Amaç, e-posta alıcısını mesajın istediği veya ihtiyaç duyduğu bir şey olduğuna inandırmak - örneğin bankalarından gelen bir talep veya şirketlerinden birinden gelen bir not - ve bir bağlantıyı tıklamasını veya bir eki indirmesini sağlamaktır.
Saldırganlar, finans kurumları, teknoloji sağlayıcıları veya iş arkadaşları gibi güvenilir kaynaklardan geliyormuş gibi görünen e-postalar hazırlar. Bu e-postalar genellikle alıcıyı bir bağlantıya tıklamak, giriş bilgilerini girmek veya bir eki indirmek gibi acil eylemlerde bulunmaya teşvik eder, bu da malware bulaşmasına veya veri hırsızlığına yol açabilir.
Yaygın işaretler şunları içerir: Hassas bilgiler için istenmeyen talepler. Genel selamlar veya yazım hataları. Şüpheli bağlantılar veya e-posta adresleri. Acil eylem çağrısı yapan acil veya tehditkar dil. Beklemediğiniz veya mantıklı olmayan ekler.
Koruyucu önlemler şunları içerir: Kullanıcıları phishing avı riskleri ve belirtileri konusunda eğitmek. phishing avı girişimlerini yakalamak için e-posta filtreleme çözümleri uygulamak. Ekstra bir güvenlik katmanı eklemek için çok faktörlü kimlik doğrulama (MFA) kullanımını teşvik etmek. İstismar risklerini azaltmak için sistemleri düzenli olarak güncellemek ve yamalamak. Şüpheli e-postaları ele almak için açık politikalar ve prosedürler oluşturmak.
phishing avı önleme araçları, şüpheli e-postaları kullanıcıya ulaşmadan önce tespit edip engelleyerek başarılı kimlik avı saldırıları riskini önemli ölçüde azaltsa da hiçbir çözüm %100 koruma sağlayamaz. Sürekli eğitim ve farkındalık, kapsamlı bir savunma stratejisinin temel bileşenleridir.
phishing ı saldırısından şüpheleniyorsanız: Şifrelerinizi ifşa ettiyseniz derhal değiştirin. Kuruluşunuzun BT veya güvenlik ekibini uyarın. phishing avı girişimini ilgili makamlara veya kuruluşlara bildirin. Olağandışı faaliyetler için hesaplarınızı izleyin.
Phishing avı saldırıları mali kayıplara, veri ihlallerine, malware bulaşmalarına, tüketici güveninin kaybedilmesine ve itibar kaybına yol açabilir. İşletmeler için, sonuçlar önemli yasal ve düzenleyici yansımaları da içerebilir.
Spear phishing , daha meşru görünmek için genellikle sosyal medyadan veya diğer kaynaklardan toplanan bilgileri kullanarak kişiselleştirilmiş mesajlarla belirli kişileri veya kuruluşları hedef alır. Balina avcılığı, özellikle üst düzey yöneticileri veya bir kuruluş içindeki diğer yüksek profilli hedefleri hedef alan bir mızrakla phishing biçimidir.
Makine öğrenimi ve yapay zeka, phishing avı girişimlerini daha doğru bir şekilde tanımlamak ve engellemek için e-posta içeriğini, gönderen davranışını ve diğer özellikleri analiz ederek phishing avı savunmalarını geliştirebilir. Bu teknolojiler zaman içinde yeni phishing taktiklerine uyum sağlayarak etkinliklerini artırabilir.
Gelecekteki eğilimler arasında saldırganların phishing avı e-postalarını büyük ölçekte otomatikleştirmek ve kişiselleştirmek için yapay zeka kullanımının artması, mobil phishing avı saldırılarının giderek yaygınlaşması ve yeni vektörler aracılığıyla kurbanlara ulaşmak için yeni teknolojilerin ve platformların kullanılması yer alabilir.