Phishing Saldırılarında En Çok Kullanılan Yöntemler

Phishing, bir diğer adıyla oltalama olarak bilinen internet saldırıları her geçen gün artıyor. İnternet kullanıcıların çeşitli yollarla bilgilerini ele geçiren phishing saldırıları, dolandırıcıların kullandığı en etkili ve eski yöntemlerden biri. İnternet dolandırıcılığının ilk yayıldığı dönemlerde sahte e-posta üzerinden toplanan kişisel bilgiler, dijital alanın gelişmesiyle daha çok alana yayıldı. Facebook, Instagram, Twitter üzerinden gönderilen sahte kampanya, ödül, maaş zammı, tatil gibi anahtar kelimelerle kullanıcıların bilgilerine sahip olunuyor.

Phishing kavramı çok teknik olduğu kadar aynı zamanda kullanıcıların da ayırt edebileceği kadar yaygın bir duruma geldi. Bilinçli kullanıcılar yaratmak ve phishing saldırıları için önlem alabilmek adına en çok kullanılan yöntemleri sizler için sıraladık.

Deceptive (Aldatıcı) Phishing

Phishing saldırılarının en temel yöntemi olan, genellikle e-mail’in kullanıldığı sistemdir. Çekiliş, ödül, acil yardım isteği gibi bahanelerle karşılık beklenen mail aracılığı ile internet kullanıcısının kişisel bilgileri ele geçirilir.

Malware Tabanlı Pishing

İnternet dünyasında kullanıcıların anında fark edemeyeceği phishing sistemidir. Bilgisayarınızın iyi korunmadığı durumlarda, bilmediğiniz bir web sitesine girdiğinizde farkında olmadan bazı yazılımlar indirilir. Bu yazılım ekranınızda sürekli pop-up çıkmasını sağlar ve bu sayfalar üzerinden kişisel verilerinizin almasına ön ayak olunur.

Oturum Bilgilerini Çalma Yöntemi

Herhangi bir web sitesine üye olduğunuzda girdiğiniz kişisel bilgileriniz cookie’ler aracılığıyla kayıt altına alınır. Siz o site üzerinde istediğiniz gibi vakit geçirirken, internet dolandırıcıları bu cookie sistemine sızarlar. Kişisel bilgilerinizin olduğu cookie sayfası ele geçirildikten sonra da sizin hesabınızla oturum açarak phishing sistemine dahil olurlar.

ClickJacking Phishing Saldırısı

İstenilen linke tıklanması için kurulan bu sistem üzerinde siz farkında olmadan dolandırıcılık sistemine katkı sağlamış olabilirsiniz. Bir haber sitesinde ya da oyun sitesinde tıkladığınız görsel ya da yazılarda saklı link’ler olabilir. Siz fark etmeden bu alanlara tıkladığınızda, saldırganların istediği web sitesine yönlendirilmiş olursunuz.

Host ya da Desktop Phishing

Bilgisayarınızdaki internet sisteminin kontrolünü ele geçirerek yapılan dolandırıcılık örneğidir. Sizin için karmaşık ya da uygulanması zor gibi gözükse de dolandırıcılar için oldukça basit. Bu şekilde internet kontrolünüz ele geçirildiğinde, dolandırıcıların istediği sayfaya yönlendirilmesi sağlanabilir.

URL Yönlendirme

Son dönemlerde özellikle sosyal medya üzerinden uygulanan bu yöntem, kullanıcıların farklı internet adreslerine yönlendirilmesini sağlar. Web sitesinin sahibi ya da kullanıcı farklı mecralardan yönlendirildiği linkin doğruluğunu kontrol etmiyor ya da doğruluğundan emin değilse, dolandırıcılar bu adres üzerinden istedikleri işlemi yaptırabilir.

Session-Riding Yöntemi

Bu saldırı yönteminde dolandırıcılar cookie ile uğraşmadan yönlendirilen sahte bir link ile ilerlerler. Örneğin kullanıcıların çok sık kullandıkları bir alışveriş sitesi tasarlayarak kullanıcıların buradaki içerikler üzerinden kişisel verilerinin girişi sağlanır.

Tabnabbing Yöntemi

Son dönemlerde en çok kullanılan ve sinsi bir sistemle ilerleyen Tabnabbing, kullanıcıların bir diğer sayfasına erişim sağlar. Dolandırıcıların açmış olduğu sayfada uygulanan kodlama doğrultusunda, diğer bir sekmede kullandığı mail, sosyal medya hesapları gibi adreslerden kişisel bilgiler çekilir.

Sesli Phishing

En eski yöntemlerden biri olan sesli phishing’de kullanıcılar telefon ya da diğer iletişim kaynaklarından aranarak bilgi alınır. Bir firma adına aradığını iddia eden dolandırıcıların ikna yeteneğine göre direkt olarak kişisel bilgilerin elde edilmesinin önü açılır.

Sahte Mail Yöntemi

İnternet üzerinden ya da dolandırıcıların kendi yazdıkları kodlarla düzenledikleri sahte mail adresleri üzerinden gönderilen mail’ler ile istenilen sayfaya yönlendirme yapılır. Bu web sitesi üzerinden kullanıcıların kişisel bilgileri ele geçirilir.

SMS Yöntemi

İlk başta da bahsettiğimiz, phishing için en çok kullanılan ödül, haber, yardım yöntemleri SMS ile gerçekleştirilir. Genellikle kurumların isimleri, bazen de direkt telefon numarası ile gönderilen mesajlar ile kullanıcılardan direkt para alınması ya da kişisel bilgilerin ele geçirilmesi sağlanır.

İnternet dünyası var oldukça phishing konusunda yöntemler artıyor ve dolandırıcılar yeni yöntemler üzerinden çok daha etkili bir sistem uygulayabiliyor. Bu konuda verilen linklerin kontrol edilmesi, kurumların ismi kullanılsa bile direkt olarak verilerin girilmemesi oldukça kritik.