Kimlik avı, tipik olarak, siber korsanların e-posta yoluyla kullanıcı veya şirket bilgilerini çalmak için kullandığı sosyal mühendislik tekniklerini tanımlar. Kimlik avı saldırıları en çok, kullanıcılar bunun olduğunun farkında olmadığında etkilidir.
Kimlik avı, 1990'ların ortalarından beri var olan bir saldırı yöntemidir. Bir grup genç, AOL yöneticilerinin kimliğine bürünmek için AOL'nin sohbet odası özelliğini tasarlamasıyla başladı. Her zaman AOL erişimine sahip olmak istiyorlardı. Bu nedenle kredi kartı numaralarına ihtiyaç duyuyorlardı.
AOL'nin "yeni üye sohbet odası", kullanıcıların siteye erişimine yönelik yardım almaları için tasarlandı. Siber korsanlar "BillingAccounting" gibi geçerli AOL yöneticilerinin ekran adlarını kopyaladılar ve kullanıcılara hesaplarında bir sorun olduğunu bildirdiler.
Kullanıcıdan sorunların çözülmesi için bir kart numarası vermesi istendi. Suçlular daha sonra kart numaralarını kendi hesaplarına ödeme yapmak için kullandılar. "Kimlik avı" terimi bu saldırıyı ve buna benzer diğerlerini tanımlamak için icat edilmiş olsa da, artık öncelikle e-posta dolandırıcılıklarıyla ilişkilendirilmeye başlandı. Kimlik avı dolandırıcılıkları bugün de popülerliğini koruyor. Verizon 2021 Veri İhlali Araştırmaları Raporuna (DBIR) göre, ihlallerin %36'sı kimlik avı içeriyor.
Kimlik avı öncelikle sosyal mühendisliğe dayandığından, tüm kullanıcıların saldırganların insan doğasını sömürmek için nasıl çalıştıklarını anlamaları büyük önem taşıyor. Birincisi, sosyal mühendislik, bilgisayar korsanlarının kullanıcıları normalde yapmayacakları bir şeyi yapmaya ikna etmek için kullandıkları bir hiledir.
Sosyal mühendislik, bir kapının açılmasını isteyen elleri dolu biri kadar basit olabilir. Benzer şekilde, bir sosyal mühendislik saldırısı, birisinin bir otoparkta "aile fotoğrafları" etiketli USB flash sürücülerini düşürmesiyle başlayabilir. USB flash sürücü, bilgisayara yüklenen ve bir şekilde güvenliği tehlikeye atan bir kötü amaçlı yazılım parçasına sahip olabilir. Bu yemleme olarak bilinir.
Kimlik avı, öncelikle genel e-posta saldırılarına atıfta bulunmak için kullanılır. Bu, bir saldırganın PayPal veya Bank of America gibi yaygın hizmetleri kullanarak mümkün olduğu kadar çok adrese e-posta göndermesidir.
E-posta, hesabın güvenliğinin ihlal edildiğini belirtir ve hesabın meşru olduğunu doğrulamak için bir bağlantıya tıklamanızı ister. Bağlantı genellikle iki şeyden birini veya her ikisini birden yapar:
Kimlik avı, yıllar içinde farklı veri türlerine yönelik saldırıları içerecek şekilde gelişmiştir. Saldırılar, paraya ek olarak hassas verileri veya fotoğrafları da hedef alabilir.
Kimlik avı saldırısı, bilgisayar korsanının kullanıcıyı sömürmek için yaptığı eylem veya eylemler dizisidir. E-postalardaki dil bilgisi ve/veya yazım hataları nedeniyle e-posta kimlik avı düzenlerini tespit etmek genellikle kolaydır. Ancak saldırılar teknik olarak karmaşık hale geliyor ve yeni saldırılar, sizi dahil etmek için korku, öfke ve merak gibi insani duyguları kullanmaya odaklanıyor.
2011 yılında RSA'ya yönelik yapılan saldırı, organizasyon içindeki sadece 4 kişiyi hedef aldı. E-postanın kendisi çok karmaşık değildi, ancak belirli kişileri hedef aldığı için başarılı oldu. Kuruluştaki diğer kişilerin ilgisini çekmeyebilecek "2011 İşe Alım planı.xls" başlıklı e-posta, özellikle bu kişilerin ilgisini çekmek için tasarlandı.
Kimlik avı saldırılarının pek çok farklı türü vardır. Bunlara klasik e-posta saldırısı, sosyal medya saldırıları ile smishing ve vishing gibi garip adlı saldırılar da dahildir.
Dahili kimlik avı saldırıları giderek artan bir endişe kaynağı haline geliyor. Güvenilir bir kullanıcı aynı kuruluştaki bir başkasına kimlik avı e-postası gönderdiğinde meydana gelir. Kaynak kullanıcı güvenilir olması nedeniyle, alıcıların bir bağlantıyı tıklaması, bir eki açması veya istenen bilgilerle yanıt vermesi daha olasıdır.
Saldırgan, dahili kimlik avı e-postaları göndermek için ele geçirdiği kimlik bilgileriyle kullanıcının e-posta hesabını kontrolü altına alır. Saldırgan kullanıcı cihazının kontrolünü, cihazın kaybolması veya çalınması nedeniyle fiziksel olarak veya cihazdaki kötü amaçlı yazılım sayesinde de de elinde tutabilir. Dahili kimlik avı e-postaları, fidye yazılımlarıyla şantaj veya finansal ya da fikri varlıkların çalınması gibi nihai hedefi olan çok aşamalı bir saldırının parçasıdır.
Smishing, mobil cihazları kullanan bir saldırı yöntemidir. Günümüzde kişisel bilgisayarlardan daha fazla mobil cihaz satıldığı için bilgisayar korsanları kişisel verileri çalmak için bu platforma akın etti. Smishing saldırıları genellikle, saldırganlar telefon numaranıza, hesabınızla ilgili bir sorun olduğunu bildiren bir mesaj ve sorunu çözmek için aranacak bir geri dönüş numarası içeren bir mesaj gönderdiğinde meydana gelir. Geri arama, sizi genellikle kişisel olarak bilgisayar korsanıyla veya dolandırıcılığa devam etmesi için tehdit aktörü tarafından tutulan bir "çalışan" ile temasa geçirir.
Size yapılan aramaya geri dönmezseniz, bilgisayar korsanları bu kez sizi arayarak "hesabınızın saldırıya uğradığını ve sorunu çözmek için hesap ayrıntılarını paylaşmanız gerektiğini" bildirebilir. Bilgisayar korsanları genellikle başarı için giden çağrıların miktarına güvenir. Buna Vishing adı verilir.
Smishing hakkında daha fazla bilgi alın.
Sosyal medya, çevrimiçi dünyamızın önemli bir parçası haline geldi. Bu, bilgisayar korsanlarının kimlik avı dolandırıcılıklarını yürütmek için kolayca kullanabilmesine olanak tanıyor. Yaygın bir Facebook kimlik avı planı, "arkadaşlar" hesaplarında "fırsatlar" veya "teklifler" yayınlamayı ve tıklama talimatlarını içerir. Bu dolandırıcılığı yapabilmeleri için bilgisayar korsanlarının hesabınıza erişmesi gerekir.
Başka bir şirkete ait çevrimiçi sunucularında parola sızıntılarıyla sonuçlanan bir ihlal varsa, bunu birçok hesapta yapmak kolay olabilir. Bilgisayar korsanları, Facebook veya LinkedIn gibi diğer yaygın platformlarda aynı e-posta ve şifre kombinasyonlarını dener.
Sosyal medya üzerinden kimlik avı hakkında daha fazla bilgi alın.
Kullanıcılar kimlik avı saldırıları konusunda daha bilgili hale geldikçe, bilgisayar korsanları yeni saldırı yöntemleri geliştirdi. Pharming, bilgisayarınızdaki Etki Alanı Adı Sistemi (DNS) önbelleğinin ele geçirilmesidir. Bu “drive-by download” yardımıyla yapılır.
Birisi web sitelerine göz atarken ve birinden diğerine tıklayıp geçiş yaparken, saldırgan genellikle web sitelerinde bulunan güvenlik açıklarından yararlanır. Bir web sitesinin HTML metnini değiştirmek oldukça kolaydır, böylece biri web sitesine ulaştığında veya tıkladığında bilgilerin indirilmesini sağlar.
E-postayı tıklamazsanız, saldırgan bankaya bağlanmanızı bekler. Değiştirilen DNS önbellek bilgileri, sizi gerçek banka sitesi yerine korsanın hazırladığı sahte siteye yönlendirir. Kimliğinizi ve parolanızı girerek saldırgana banka hesabınıza erişmesi ve para çalması için kimlik bilgilerinizi vermiş olursunuz.
Kimlik avını engellemenin ve bireylerin kendilerini korumalarının çeşitli yöntemleri vardır:
Bireysel kullanıcılara yönelik yukarıdaki tavsiyelere ek olarak, bir kuruluş aşağıdakileri yapmalıdır: