Kimlik avı nedir? Mevcut Tehdidi Ortaya Çıkarma

Ağustos 9, 2023 By Janne Smith Yorum yok 9 dakikadır.

"Kimlik avı nedir" diye düşünürken, şeride geri dönüyoruz. Kayıp Balık Nemo çocukluğumuzu bunun heyecanıyla doldurdu ve onlarca yıllık favorimiz olarak kaldı. Ne yazık ki, kimlik avı siber güvenlik alanında büyük ölçüde farklılık göstermektedir.

Balonu patlatan kimlik avı saldırıları, bir kullanıcının bankacılık bilgileri ve sosyal medya hesap bilgileri gibi kişisel bilgilerini - kısaca bir yabancının erişmesini asla istemediğiniz her şeyi - kandırmak ve elde etmek için yapılan siyah bir şapka girişimidir. Ve Birleşik Krallık şirketlerinin %83'ü 2022'de kimlik avı saldırılarına kurban gittiğini bildirdi.

Ama korkma! ile kişisel bilgilerinizi güvende tutabilirsiniz. siber güvenlik farkındalığı ve sağlıklı dozda şüphecilik. Bu nedenle, dikkatli olun ve kişisel bilgilerinizi çevrimiçi paylaşmadan önce iki kez düşünün.

Her şeyden bahsetmek için, kimlik avının ne olduğu, türleri ve bir kimlik avı saldırısının nasıl hafifletileceği hakkında her şeyi ele alırken kemerlerinizi bağlayın. Kemer bağlamak!

Basit Kelimelerle Kimlik Avı Nedir?

Kimlik avı saldırısı, kurbanların bir e-posta, kısa mesaj aldığı veya başka bir biçimde iletişim kurduğu bir siber suçtur. Amaç, hedefi saldırgana kredi kartı bilgileri veya kimlik şifreleri gibi kişisel bilgiler sağlamaya ikna etmektir. Daha sonra bilgiler, kurbanın bilgisi olmadan hesaplara erişmek için kullanılır.

Şöyle ifade edelim, kişisel, kurumsal bir e-posta adresiniz var ve neredeyse gerçek görünümlü bir e-posta adresinden kurumsal bir e-posta alıyorsunuz. Sizden yeni mesajlaşma yazılımını yüklemenizi ister ve yasal göründüğü için onu yüklersiniz. 

İşte böyle; şirket ağına fidye yazılımı yüklediniz. A 2022 raporu kuruluşların %92'sinin oltalama saldırılarına kurban gittiğini belirtiyor.

Kimlik Avı Saldırıları Nereden Geliyor?

Kimlik avı terimini 90'larda icat eden American Online'dır (AOL). Hikaye, kendilerini tüm AOL kullanıcılarının bilgilerini isteyen AOL çalışanları olarak gizleyen bir grup siyah şapka olarak başlar. login kimlik bilgileri.

Kimlik avı karlı bir siber suç faaliyeti haline geldi ve bugün ölü sayısı XNUMX'e yükseldi. 3.4 milyar günlük olarak gönderilen kimlik avı e-postaları.

Ancak, hikayenin başka bir tarafı da var. Birkaç uzman, "oltalama" adının, bilgisayar korsanlarının bir kullanıcı denizinden bir hedefin hassas bilgilerini "avladığı" balık tutma tekniğinden geldiğini söylüyor.

Kimlik Avı Saldırısı Suç mu? Kimlik Avı Bilgisayarınıza Ne Yapabilir?

Eyaletten eyalete değişir. Genel olarak, doğası gereği yasal değildir; kullanıcıların uyanık olması ve bilgilerini gizli tutması gerekir. Öte yandan, birkaç eyalette kullanıcıların bu saldırılara karşı korunmasına yönelik yasa ve yönetmelikler bulunmaktadır. Yine de bu yasalar, kimlik avından yasa dışı bir uygulama olarak açıkça bahsetmez; bilgi gizliliği için başka kanunlar uygulanabilir. 

Confense 3'in 2021. Çeyreği modern siber suçların %93'ünü oluşturan kimlik avından bahsediyor. Artan oranına tanıklık eden farklı federal yasalar, kimlik avı saldırısını kimlik hırsızlığı suçlarından biri olarak belirterek yaptırımların uygulanmasına neden olabilir. Altta yatan niyet, diğer bazı kurallarla birlikte, bir suçu kategorize etmede önemli bir faktördür. 

Özellikle yasa dışı olarak kişisel bilgi toplamak için oluşturulmuş, aktif olarak kontrol edilen platformlar olan hileli web siteleri, meşru web siteleriyle aynı kimlik avı düzenlemelerine tabidir. Bu web siteleri, güvenen kurbanları yanıltma niyetindedir.

Bunun dışında bir phishing saldırısı bilgisayarınıza zarar verebilir; bunun için tasarlandılar. Hesap erişim bilgilerinizi sağladığınızda, bir bilgisayar korsanı bilgisayarınıza kötü amaçlı yazılım bulaştırabilir.

Kimlik Avı Nasıl Çalışır?

Bu örnekle oltalamanın nasıl çalıştığını, bu saldırının kurbanı olduğunuz yeri öğrenelim. 

Güvenilir bir kaynaktan veya tanıdığınız birinden geliyormuş gibi görünen bilinmeyen bir ileti aldığınızı varsayalım. 

Acil işlem yapılmasını isteyen bir ek veya bağlantı olacaktır. Ve kötü amaçlı bir dosya ekiyle etkileşime geçtiğinizde veya bir köprüyü tıkladığınızda, kötü amaçlı bir internet konumuna yönlendirileceğinizi ve işte burada, bir kimlik avı saldırısının kurbanı olduğunuzu hissedin. 

Amaç, cihazınıza kötü amaçlı yazılım bulaştırmak veya sizi kötü amaçlı içeriğe sahip bir siteye yönlendirmektir. Bu sahte web siteleri, şifreler, hesap numaraları veya kredi kartı bilgileri gibi kişisel bilgileri ifşa etmeniz için sizi kandırmak üzere tasarlanmıştır.

Siber suçlular, hedef kişinin kişisel bilgilerini ve geçmişini sosyal ağlardan toplar. Bu kanallar rutin olarak olası hedefler hakkında bilgi bulmak için kullanılır. Saldırgan daha sonra edindiği bilgileri ustalıkla makul bir kimlik avı e-postası oluşturmak için kullanabilir.

4 Tür Kimlik Avı Nedir?

Kimlik avı, kullanıcıları parolalar, sosyal güvenlik numaraları, OTP vb. gibi kişisel veya finansal bilgileri ifşa etmeleri için kandırmayı içeren kötü amaçlı faaliyetler için kullanılan genel bir terimdir. Kimlik avının türünü en nihayetinde hedefi belirler. 

Yaygın olarak uygulanan kimlik avı saldırıları şunlardır:

1. Mızrak Phishing
2. Balina Saldırısı
3. Smishing Saldırısı 
4. Balıkçı Kimlik Avı

1. Mızrak Kimlik Avı

Mızrak Phishing çok sayıda insan yerine belirli bir grubu hedefler. Yüzlerce veya binlerce insanı hedefleyen, herkese uyan tek bir tekniktir. Denize büyük bir balık ağı atmak ve birkaç yakalama beklemek gibi.

Buna karşılık, hedef odaklı kimlik avı, çok fazla hazırlık ve o grup veya kişiye özel bir mesaj içerir. Örneğin, genellikle bir kuruluşun orta düzey çalışanlarını hedef alacaktır. Spear Phishing, aşinalık oluşturmak için hedefi bilmeyi gerektirir. 

Birkaç kişinin bilmesini beklediğiniz bir bilgi veya kuruluşunuzla ilgili bir şey olabilir. Siber suçlular bir satıcının kimliğine bürünebilir ve finans departmanını hedef alarak ödeme isteyebilir.

Güven sağlandıktan sonra, siber suçlular sizden bir ek indirmenizi isteyerek cihazınıza kötü amaçlı yazılım bile yükleyebilir. Kötü amaçlı yazılım genellikle cihazdan bilgi kaydeden casus yazılımdır ve ayrıca solucan benzeri ağ üzerinden yayılma kabiliyetine sahip olabilir. 

Cihazdaki verileri şifreleyerek fidye ödemeden önemli dosyalara erişmenizi engelleyen fidye yazılımı da olabilir.

2. Balina Saldırısı

A Balina Saldırısı bir kuruluşun CEO'su, CFO'su veya CTO'su gibi bir üst düzey hedefe odaklanır. Hedef büyük. Bu nedenle hazırlık, tipik bir kimlik avı saldırısının on katı olacaktır. Siber suçlular, diğer sosyal mühendislik teknikleriyle toplanan bilgileri kullanacak.

Üst düzey bir çalışanın cihazına virüs bulaştırmak, gizli bilgilere erişim anlamına gelir. Ayrıca, CEO'nun e-posta adresini kullanarak finans departmanından acil para talep etmek ve tespit edilmekten kaçınan belirli ayrıntılar dahil etmek gibi diğer çalışanlara yönelik kimlik avı saldırılarını güçlendirmek için siber suçlulara yeterli bilgiyi de verebilir.

Kötü amaçlı yazılım yüklemenizi sağlamanın başka bir yolu da BT departmanının kimliğine bürünmektir. Siber suçlular, saldırıyı acil ve önemli bir güncelleme gibi göstererek başarılı olabilir.

3. Yumruklama Saldırısı

E-postalar, siber suçluların kullandığı tek ortam değildir. Smishing, SMS yoluyla phishing anlamına gelir. Siber suçlular, bankanızı veya bir hizmet sağlayıcıyı taklit ederek size belirli bir eylemin gerekli olduğunu bildiren bir mesaj gönderebilir.

Bir bağlantı içerebilir veya görüşmede bilgileri yanıtlamanız istenebilir.

4. Fener Saldırısı

In olta balıkçılığı, bir bilgisayar korsanı sahte bir hesap oluşturur - Y kuşağı olarak sizin de muhtemelen deneyimlemiş olduğunuz bir durum - ve cana yakın bir müşteri destek temsilcisinin kişiliğini göstererek kimliği gizler. Daha sonra sizden kişisel bilgilerinizi isterler veya kötü niyetli bağlantılara tıklamanızı isterler. 

Bu bağlantıları indirmek sizi bir botnet'e katılma riskine sokar. Kişisel bilgiler verirseniz, olası veri ihlallerinden veya anonim finansal işlemlerden haberdar olun. Önceki kimlik avı girişimlerinde olduğu gibi, amaç bir sosyal ağ kullanıcısını kandırarak finansal kazanç elde etmek veya bilgilere erişim elde etmek için kişisel bilgilerini ifşa etmesidir.

Vishing nedir?

Vishing, aramaları içeren başka bir kimlik avı biçimidir. Finansal bilgiler herhangi bir suçlu için çok değerli olduğundan, siber suçluların en çok banka kimliğine büründüğünü görürsünüz. Ziyaretçi sizden bazı banka ayrıntılarını doğrulamanızı ve hesabınız aracılığıyla gönderilen bir OTP'yi (Tek Kullanımlık Parola) tekrarlamanızı isteyebilir.

Ziyaretçi, OTP gibi iki faktörlü kimlik doğrulama bilgilerini ele geçirirse, banka hesabınıza girebilir. OTP, siber suçlunun hesabınız üzerinden yapmaya çalıştığı bir işlemi de doğrulayabilir.

Sextortion Dolandırıcılığı nedir? Kimlik Avı Daha Agresif Olduğunda

Sizden bilgi isteyen kibar görünen bir e-postayı her zaman alamayabilirsiniz. Sextortion, hedefin korkusuyla oynayan, yükselen bir dolandırıcılıktır. Gasp kelimesinden türetilen cinsel taciz e-postaları, genellikle kullanıcıya, gönderenin gizliliği ihlal eden resimlerinize veya videolarınıza sahip olduğunu ve son zamanlarda pornografi web sitelerinde aktif olduğunuzu bildirir.

E-posta, fotoğrafın/videonun web kameranızın veya telefonunuzun kamerasının cihazınıza yüklenen casus yazılım aracılığıyla hacklenerek çekildiğini söyleyecektir. Siber suçlu, resmin/videonun dışarı sızmasını istemiyorsanız, genellikle kripto para birimi olmak üzere ödeme talep edecektir.

Dert etmeyin. Bunlar ödemenizi sağlamak için korkutma taktikleri. Mesajı daha ciddiye almanız için şifrenizi bile içerebilir. Ancak, sosyal mühendislik tekniklerinden toplanan bilgileri veya bir veri ihlalinden elde edilen şifreleri kullanan bir dolandırıcılıktır.

Kimlik Avı Saldırıları Nasıl Önlenir?

Bir kimlik avı saldırısını önlemenin en iyi 3 yolu:

Bir VPN kullanın

Bir kimlik avı saldırısını önlemenin en iyi yolu VPN kullanmaktır. Ancak ücretsiz veya başka bir sıradan VPN'den daha fazlasına ihtiyacınız olacak. gibi özel özelliklere erişmek için premium bir VPN kullanmalısınız. FastestVPN. Ve işte en iyi kısım, diğer birinci sınıf seçeneklerin aksine, bu size bir kol ve bir bacağa mal olmaz. 

Bir VPN kullanarak IP adresinizi maskeleyebilir ve orijinal konumunuzu gizleyebilirsiniz. Bununla birlikte, bağlantınız her zaman korunduğundan, kimlik avcıları bilgilerinize erişemez!

Aldığınız Her Bağlantıya Tıklamayın

Gönderen tanıdığınız biri olsa bile, genellikle e-posta veya mesajlardaki (SMS) bağlantılara tıklamak iyi bir fikir değildir. 

Bazı kimlik avı girişimleri karmaşıktır ve tuş vuruşlarını kaydetmek veya gizlice bilgi toplamak için hedef URL'yi meşru bir web sitesi gibi gösterir. login/kredi kartı bilgisi. Sağlanan bağlantıya güvenmek yerine doğrudan web sitesini bulmak için bir arama motoru kullanmanız önerilir.

Dönüşümlü Şifreleri Koru

Şifreleri düzenli olarak değiştirmek için bir sistem kurmak, çevrimiçi hesapları olan kişiler için çok önemlidir. Bu prosedür önleyici bir önlemdir ve saldırganların yetkisiz erişim elde etmesini engeller. Parola döndürme, bir güvenlik katmanı ekler, devam eden girişimleri engeller ve olası işgalcileri kısıtlar, keşfedilmeden güvenliği ihlal edilmiş hesaplar olasılığını göz önünde bulundurur.

Son Not

İster bir kuruluş, ister bir birey olun, kimlik avı ve diğer çeşitli siber suçlar konusunda acilen eğitime ihtiyaç vardır. Kimlik avı, yıllar boyunca pek çok kurbanın kurbanı oldu.

Bir dolandırıcılık kurbanı olduysanız, eyaletinizdeki/ülkenizdeki siber suçları önleme kuruluşlarından yardım isteyin.

haberlere kayıt ol

Haftanın trend olan gönderilerini ve en son duyuruları şu adresten alın: FastestVPN e-posta bültenimiz aracılığıyla.

Eposta Adresi