Kimlik avı saldırısı nedir?

Kimlik avı, tipik olarak, siber korsanların e-posta yoluyla kullanıcı veya şirket bilgilerini çalmak için kullandığı sosyal mühendislik tekniklerini tanımlar. Kimlik avı saldırıları en çok, kullanıcılar bunun olduğunun farkında olmadığında etkilidir.

Kimlik Avı

Kimlik avı, 1990'ların ortalarından beri var olan bir saldırı yöntemidir. Bir grup genç, AOL yöneticilerinin kimliğine bürünmek için AOL'nin sohbet odası özelliğini tasarlamasıyla başladı. Her zaman AOL erişimine sahip olmak istiyorlardı. Bu nedenle kredi kartı numaralarına ihtiyaç duyuyorlardı.

AOL'nin "yeni üye sohbet odası", kullanıcıların siteye erişimine yönelik yardım almaları için tasarlandı. Siber korsanlar "BillingAccounting" gibi geçerli AOL yöneticilerinin ekran adlarını kopyaladılar ve kullanıcılara hesaplarında bir sorun olduğunu bildirdiler.

Kullanıcıdan sorunların çözülmesi için bir kart numarası vermesi istendi. Suçlular daha sonra kart numaralarını kendi hesaplarına ödeme yapmak için kullandılar. "Kimlik avı" terimi bu saldırıyı ve buna benzer diğerlerini tanımlamak için icat edilmiş olsa da, artık öncelikle e-posta dolandırıcılıklarıyla ilişkilendirilmeye başlandı. Kimlik avı dolandırıcılıkları bugün de popülerliğini koruyor. Verizon 2021 Veri İhlali Araştırmaları Raporuna (DBIR) göre, ihlallerin %36'sı kimlik avı içeriyor.

Kimlik avı öncelikle sosyal mühendisliğe dayandığından, tüm kullanıcıların saldırganların insan doğasını sömürmek için nasıl çalıştıklarını anlamaları büyük önem taşıyor. Birincisi, sosyal mühendislik, bilgisayar korsanlarının kullanıcıları normalde yapmayacakları bir şeyi yapmaya ikna etmek için kullandıkları bir hiledir.

Sosyal mühendislik, bir kapının açılmasını isteyen elleri dolu biri kadar basit olabilir. Benzer şekilde, bir sosyal mühendislik saldırısı, birisinin bir otoparkta "aile fotoğrafları" etiketli USB flash sürücülerini düşürmesiyle başlayabilir. USB flash sürücü, bilgisayara yüklenen ve bir şekilde güvenliği tehlikeye atan bir kötü amaçlı yazılım parçasına sahip olabilir. Bu yemleme olarak bilinir.

Kimlik avı, öncelikle genel e-posta saldırılarına atıfta bulunmak için kullanılır. Bu, bir saldırganın PayPal veya Bank of America gibi yaygın hizmetleri kullanarak mümkün olduğu kadar çok adrese e-posta göndermesidir.

E-posta, hesabın güvenliğinin ihlal edildiğini belirtir ve hesabın meşru olduğunu doğrulamak için bir bağlantıya tıklamanızı ister. Bağlantı genellikle iki şeyden birini veya her ikisini birden yapar:

  1. Sizi orijinal siteye benzeyen kötü amaçlı bir web sitesine götürebilir, örneğin "www.PayPal.com" yerine "www.PayPals.com" gibi. Web adresinin sonundaki “s” harfine dikkat edin. Kötü amaçlı web sitesine gittiğinizde, oturum açmaya çalıştığınızda bilgisayar korsanı kullanıcı kimliğinizi ve şifrenizi ele geçirebilir.

    Bilgisayar korsanı artık banka hesabına erişebilir ve herhangi bir yere para aktarabilir. Korsan bu bilgileri başka bir amaç için daha kullanabilir. Siber korsanın artık Amazon veya eBay dahil olmak üzere diğer hesaplarınız için kullanılabilecek bir parolası olabilir.
  2. İndirilen kötü amaçlı yazılımları bilgisayarınıza bulaşabilir. Yazılım yüklendikten sonra gelecekteki saldırılar için kullanılabilir. Kötü amaçlı yazılım, oturum açma bilgilerini veya kredi kartı numaralarını yakalayan bir tuş vuruşu kaydedici olabilir veya sürücü içeriklerini şifreleyen ve bunları genellikle Bitcoin biçiminde fidye için tutan fidye yazılımı olabilir.

    Bu noktada siber korsanın virüslü bilgisayarı Bitcoin madenciliği yapmak için kullanması mümkündür. Kötü amaçlı yazılım bunu siz bilgisayar başında değilken yapabilir veya sizi her zaman CPU'nun yeteneğinin bir kısmından mahrum bırakabilir. Bilgisayar korsanı artık Bitcoin için başarılı bir şekilde madencilik yapabilir ve bilgisayarınız genellikle daha yavaş çalışır.

Kimlik avı, yıllar içinde farklı veri türlerine yönelik saldırıları içerecek şekilde gelişmiştir. Saldırılar, paraya ek olarak hassas verileri veya fotoğrafları da hedef alabilir.

Kimlik avı saldırıları

Kimlik avı saldırısı, bilgisayar korsanının kullanıcıyı sömürmek için yaptığı eylem veya eylemler dizisidir. E-postalardaki dil bilgisi ve/veya yazım hataları nedeniyle e-posta kimlik avı düzenlerini tespit etmek genellikle kolaydır. Ancak saldırılar teknik olarak karmaşık hale geliyor ve yeni saldırılar, sizi dahil etmek için korku, öfke ve merak gibi insani duyguları kullanmaya odaklanıyor.

2011 yılında RSA'ya yönelik yapılan saldırı, organizasyon içindeki sadece 4 kişiyi hedef aldı. E-postanın kendisi çok karmaşık değildi, ancak belirli kişileri hedef aldığı için başarılı oldu. Kuruluştaki diğer kişilerin ilgisini çekmeyebilecek "2011 İşe Alım planı.xls" başlıklı e-posta, özellikle bu kişilerin ilgisini çekmek için tasarlandı.

Kimlik Avı Türleri

Kimlik avı saldırılarının pek çok farklı türü vardır. Bunlara klasik e-posta saldırısı, sosyal medya saldırıları ile smishing ve vishing gibi garip adlı saldırılar da dahildir.

  • Kimlik avı – genellikle e-posta ile yapılır
  • Hedefli kimlik avı – iyi hedeflenmiş e-posta
  • Whaling - Genellikle yöneticilere yönelik tam hedefli e-posta saldırısı
  • Dahili kimlik avı – bir kuruluş içinden kaynaklanan kimlik avı saldırıları
  • Vishing – telefon görüşmeleri ile yapılır
  • Smishing – kısa mesajlarla yapılır
  • Sosyal medya kimlik avı – Facebook veya diğer sosyal medya gönderileri ile yapılır
  • Pharming – DNS önbelleğinin ele geçirilmesi
     

Dahili Kimlik Avı

Dahili kimlik avı saldırıları giderek artan bir endişe kaynağı haline geliyor. Güvenilir bir kullanıcı aynı kuruluştaki bir başkasına kimlik avı e-postası gönderdiğinde meydana gelir. Kaynak kullanıcı güvenilir olması nedeniyle, alıcıların bir bağlantıyı tıklaması, bir eki açması veya istenen bilgilerle yanıt vermesi daha olasıdır.

Saldırgan, dahili kimlik avı e-postaları göndermek için ele geçirdiği kimlik bilgileriyle kullanıcının e-posta hesabını kontrolü altına alır. Saldırgan kullanıcı cihazının kontrolünü, cihazın kaybolması veya çalınması nedeniyle fiziksel olarak veya cihazdaki kötü amaçlı yazılım sayesinde de de elinde tutabilir. Dahili kimlik avı e-postaları, fidye yazılımlarıyla şantaj veya finansal ya da fikri varlıkların çalınması gibi nihai hedefi olan çok aşamalı bir saldırının parçasıdır.

Smishing (SMS ile kimlik avı)

Smishing, mobil cihazları kullanan bir saldırı yöntemidir. Günümüzde kişisel bilgisayarlardan daha fazla mobil cihaz satıldığı için bilgisayar korsanları kişisel verileri çalmak için bu platforma akın etti. Smishing saldırıları genellikle, saldırganlar telefon numaranıza, hesabınızla ilgili bir sorun olduğunu bildiren bir mesaj ve sorunu çözmek için aranacak bir geri dönüş numarası içeren bir mesaj gönderdiğinde meydana gelir. Geri arama, sizi genellikle kişisel olarak bilgisayar korsanıyla veya dolandırıcılığa devam etmesi için tehdit aktörü tarafından tutulan bir "çalışan" ile temasa geçirir.

Size yapılan aramaya geri dönmezseniz, bilgisayar korsanları bu kez sizi arayarak "hesabınızın saldırıya uğradığını ve sorunu çözmek için hesap ayrıntılarını paylaşmanız gerektiğini" bildirebilir. Bilgisayar korsanları genellikle başarı için giden çağrıların miktarına güvenir. Buna Vishing adı verilir.

Smishing hakkında daha fazla bilgi alın.

Sosyal medya üzerinden kimlik avı

Sosyal medya, çevrimiçi dünyamızın önemli bir parçası haline geldi. Bu, bilgisayar korsanlarının kimlik avı dolandırıcılıklarını yürütmek için kolayca kullanabilmesine olanak tanıyor. Yaygın bir Facebook kimlik avı planı, "arkadaşlar" hesaplarında "fırsatlar" veya "teklifler" yayınlamayı ve tıklama talimatlarını içerir. Bu dolandırıcılığı yapabilmeleri için bilgisayar korsanlarının hesabınıza erişmesi gerekir.

Başka bir şirkete ait çevrimiçi sunucularında parola sızıntılarıyla sonuçlanan bir ihlal varsa, bunu birçok hesapta yapmak kolay olabilir. Bilgisayar korsanları, Facebook veya LinkedIn gibi diğer yaygın platformlarda aynı e-posta ve şifre kombinasyonlarını dener.

Sosyal medya üzerinden kimlik avı hakkında daha fazla bilgi alın.

Pharming

Kullanıcılar kimlik avı saldırıları konusunda daha bilgili hale geldikçe, bilgisayar korsanları yeni saldırı yöntemleri geliştirdi. Pharming, bilgisayarınızdaki Etki Alanı Adı Sistemi (DNS) önbelleğinin ele geçirilmesidir. Bu “drive-by download” yardımıyla yapılır.

Birisi web sitelerine göz atarken ve birinden diğerine tıklayıp geçiş yaparken, saldırgan genellikle web sitelerinde bulunan güvenlik açıklarından yararlanır. Bir web sitesinin HTML metnini değiştirmek oldukça kolaydır, böylece biri web sitesine ulaştığında veya tıkladığında bilgilerin indirilmesini sağlar.

E-postayı tıklamazsanız, saldırgan bankaya bağlanmanızı bekler. Değiştirilen DNS önbellek bilgileri, sizi gerçek banka sitesi yerine korsanın hazırladığı sahte siteye yönlendirir. Kimliğinizi ve parolanızı girerek saldırgana banka hesabınıza erişmesi ve para çalması için kimlik bilgilerinizi vermiş olursunuz.

Kimlik avı nasıl engellenir?

Kimlik avını engellemenin ve bireylerin kendilerini korumalarının çeşitli yöntemleri vardır:

  • Mümkünse iki faktörlü kimlik doğrulama (2FA) kullanma
  • Kötü amaçlı yazılımları engelleyen güvenlik yazılımları
  • Güvenlik duvarları
  • Açılır pencereler hakkında daha dikkatli olma
  • Bilinen ve bilinmeyen kaynaklardan gelen e-postalar konusunda daha dikkatli olma
  • Bilinen ve bilinmeyen kaynaklardan bir hedefe tıklamanızı isteyen veya kişisel bilgilerinizle ilgili bir sorguya neden olan kısa mesajlardan veya anlık iletilerden her zaman şüphe duyun
  • Kişisel bilgilerinizi kimseye vermeyin.

Bireysel kullanıcılara yönelik yukarıdaki tavsiyelere ek olarak, bir kuruluş aşağıdakileri yapmalıdır:

  • Ağ geçidinde kimlik avı e-postası ve kötü amaçlı web trafiği için filtre kullanma
  • Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) kullanarak e-posta gönderenlerin kimliğini doğrulama
  • Kimlik avı e-postalarını gönderene ve içeriğe göre filtreleyin ve statik ve dinamik teknikler kullanarak URL'leri ve ekleri kötü amaçlı öznitelikler için analiz edin
  • BEC e-postalarını ve kimlik bilgisi çalma saldırılarını tespit etmek için yapay zeka kullanan gelişmiş filtreleme teknikleri kullanın
  • API'leri kullanarak bulut veya şirket içi e-posta platformunuza bağlanan hizmet ve tümleşik bir güvenlik çözümüyle dahili kimlik avı saldırılarını önleyin. Bunlar Microsoft 365, Google G Suite, Microsoft Exchange Server ve IBM Domino sunucusu için mevcuttur

İlgili Makaleler

İlgili Araştırmalar