Oltalama saldırıları günümüzde en yaygın kullanılan kandırma yöntemleridir. Kişisel bilgilerden, kurumunuza ait kritik öneme sahip bilgilere kadar pek çok veriniz bu yolla başkalarının eline geçebilir. Siber dünyada önlemlerin alınması ise bireyde başlar. Birey önce kendi güvenliğini sağlamalıdır. Devletlere yapılan birçok siber saldırıda da yine başlıca unsur olarak insan ögesi kullanılmıştır. Bu açıdan baktığımızda oltalama saldırılarında sosyal mühendislik yöntemi ön plana çıkmaktadır. Amaç, karşı tarafı kandırarak verileri ele geçirmek olduğu için insan ögesi de destekleyici olarak işin içinde yer alabilir.
Sosyal mühendislik saldırılarının temelinde, insan davranışlarının derinlemesine analizi sonucunda hassas veriyi kişinin kendisinden elde edebilmek ve bu doğrultuda insanları ikna edebilecek durumlar oluşturmak yatmaktadır.
• Başının belada olduğuna inanan,
• Zor durumda olduğuna inandığı ya da güvenilir olduğunu düşündüğü birine yardım etmek isteyen,
• Bir ödül kazanmak üzere olduğunu düşünen,
• Aceleyle karar vermesi beklenen,
Kişileri aldatarak güvenlik riski oluşturacak bir işlem yaptırmak daha kolaydır. Oltalama saldırıları da yaygın olarak yukarıda belirtilen durumlardan birini ya da birden fazlasını birlikte kullanarak amacına ulaşmayı hedefler.
Bir oltalama saldırısı en yaygın şekilde;
E-posta gönderimi
Kısa mesaj (SMS)
Sosyal medya ve internet reklamları ile düzenlenebilir.
E-posta saldırılarında genellikle saygın bir kurum ya da kişiden gönderildiği imajı oluşturulmak istenir. Örneğin geçtiğimiz günlerde dünyada en çok Türkiye’ye gönderilen bir oltalama saldırısı e-posta üzerinden gerçekleşti. Dünya Sağlık Örgütü tarafından gönderildiği düşünülen e-postada ekte yer alan dosya indirilip kurulduğunda, kişi birçok verisini paylaşmış oldu. Buna benzer gönderilen e-posta örneklerine çok fazla sayıda rastlamak mümkündür. Bunun önüne ancak bilinçli kullanıcı olarak geçebiliriz.
Yine cep telefonlarına gönderilen “hediye kazandınız, acil durum bilgisi için formu doldurun ya da ödülü alabilmek için son 15 dk. bağlantıyı aç formu doldur ödül kapına gelsin” gibi kısa mesajlar ile kişisel bilgiler alınmak isteniyor. Kısa mesajda yer alan bağlantıya tıklayıp açılan formu doldurduğunuzda tüm bilgilerinizi karşı tarafla paylaşmış oluyorsunuz. Bu gibi durumlarda temel kullanılan yöntem karşı tarafı hizmetin gerçek olduğu ve yapılabildiği konusunda inandırmaktır. İşte bu noktada sosyal mühendislik devreye giriyor ve insani duygularla oynanıyor, kişiyi acele etmeye zorlayıp sağlıklı düşünmeden formun doldurulması isteniyor. Farkında olunması gereken durum ise kimse bedava ürün dağıtmaz ya da bir ürünü ederinin çok altında bir fiyata size satmaz. Bu gibi durumlarda daha dikkatli olunması gerekir.
Sosyal medya ve internet sitelerinde yer alan reklamlar da sizleri doğrudan tuzağa çekebilir. “Kredi kartı aidatlarınızı e-Devlet Kapısı üzerinden geri alın” reklamlarına son günlerde sosyal medyada sıkça rastlanıyor. Bu reklamlara tıklayıp çıkan formu doldurduğunuzda ise hesap bilgilerinizi karşı tarafla fark etmeden paylaşmış oluyorsunuz. Bu konuda her gün birçok sahte reklamı yayından kaldırmak için çalışmalar yapıyoruz. Ancak asıl önlem bireyde olmalıdır. Bu konuda alınması gereken bazı temel önlemler mevcut. Bunların başlıcaları;
• Kimlik doğrulama gerektiren kurumsal hesaplar, sosyal medya hesapları, elektronik ticaret siteleri gibi farklı platformlar için ortak parola kullanımından kaçınılmalıdır.
• Oltalama saldırısı olduğu düşünülen e-postada yer alan hiçbir bağlantıya tıklanmamalıdır. Herhangi bir veri girişi yapmadan, sadece oltalama saldırısı içeriğindeki bağlantının açılması durumunda bile zararlı kodların çalıştırılması ya da bazı kişisel verilerinize erişilmesi mümkündür.
• Hiçbir koşulda kullanıcı adı, parola, doğum tarihi, kimlik numarası gibi kişisel bilgiler e-posta içeriğinde ya da size gelen bir e-posta içerisindeki bağlantı tıklanarak paylaşılmamalıdır.
• Oltalama saldırısı dâhil şüphelenilen her türlü siber olay için kurum politikaları uyarınca belirlenen güvenlik süreçleri uygulanmalı ve vakit kaybedilmeden ilgililere bilgi verilmelidir.
Son olarak unutmayın bu tarz bilgilerin tek doğru adresi vardır o da ilgili resmi sayfalarıdır. Önce resmi sayfayı inceleyin bilgi resmi sayfada yer almıyorsa güvenmeyin.