Kimlik Avı (Phishing) Saldırıları

Siber Güvenlik

Kimlik Avı (Phishing) Saldırıları

Kimlik avı saldırıları (Phishing) siber suçluların en sık kullandığı yöntemlerden biridir. Kullanıcıları kandırarak hassas bilgilerini ele geçirmek için sahte e-postalar, web siteleri ve mesajlar kullanılır.

1. Kimlik Avı (Phishing) Saldırısı Nedir?

Kimlik avı saldırısı, bir saldırganın güvenilir bir kurum, kişi veya hizmet gibi davranarak kurbanları kandırmasıdır. Amaç genellikle:
Şifreleri, kredi kartı bilgilerini veya kimlik bilgilerini ele geçirmek
Kullanıcıyı kötü amaçlı yazılımlara yönlendirmek
Hassas şirket verilerini çalmak

Bu saldırılar genellikle sahte e-postalar, sosyal mühendislik teknikleri ve zararlı bağlantılar üzerinden gerçekleştirilir.

2. Kimlik Avı Saldırı Türleri

A. E-posta Kimlik Avı (Email Phishing)

Saldırganlar, güvenilir bir şirketten veya kuruluştan geliyormuş gibi görünen sahte e-postalar gönderirler.

Örnek Senaryo:

  • Kullanıcı, “Banka Hesabınızda Şüpheli İşlem Tespit Edildi” başlıklı bir e-posta alır.
  • E-postada yer alan sahte bağlantıya tıklayan kullanıcı, banka giriş bilgilerini girerek saldırgana teslim eder.

🔴 Nasıl Anlaşılır?
✔ Gönderen e-posta adresini kontrol edin (@bankam.com yerine @bankam-security.com gibi sahte adresler kullanılır).
✔ E-postada aciliyet vurgusu varsa dikkatli olun (“Hemen giriş yapmazsanız hesabınız kapanacak” gibi ifadeler tehlikeli olabilir).
✔ Bağlantıyı kontrol etmek için üzerine gelin ama tıklamayın (Sahte siteler gerçekmiş gibi görünebilir).

B. Mızrak Kimlik Avı (Spear Phishing)

Genel e-postalar yerine bireysel hedeflere özel saldırılar düzenlenir.

Örnek Senaryo:

  • Saldırgan, bir şirketin CEO’su gibi davranarak muhasebe departmanına e-posta gönderir.
  • “Acil ödeme talebi” gibi bir mesaj içeren bu e-posta, kurbanın banka bilgilerini paylaşmasını veya belirli bir hesaba para göndermesini sağlayabilir.

🔴 Nasıl Korunulur?
E-posta başlıklarını dikkatle inceleyin ve göndereni doğrulayın.
✔ Hassas bilgileri paylaşmadan önce resmi bir kanal üzerinden doğrulama yapın.
Çok faktörlü kimlik doğrulama (MFA) kullanarak ekstra güvenlik sağlayın.

C. Kötü Amaçlı Bağlantılar ve Web Siteleri (Website Phishing)

Saldırganlar, gerçek web sitelerini taklit eden sahte siteler oluşturur ve kullanıcıları giriş yapmaya zorlar.

Örnek Senaryo:

  • Kullanıcı, sosyal medya üzerinden “Hesabınızın güvenliği için giriş yapın” mesajı alır.
  • Tıkladığında, gerçek Facebook veya Instagram gibi görünen bir siteye yönlendirilir.
  • Kullanıcı bilgilerini girerse, saldırganın eline geçer.

🔴 Nasıl Anlaşılır?
URL adresini dikkatlice kontrol edin (Gerçek site facebook.com iken sahte site faceb00k-login.com olabilir).
HTTPS sertifikası olmayan sitelere giriş yapmayın.
İlk kez giriş yapacağınız bir siteyi Google’dan aratarak resmi bağlantıyı bulun.

D. Telefon ve SMS Kimlik Avı (Vishing & Smishing)

Telefon aramaları veya SMS mesajları ile kullanıcıları kandırarak bilgilerini çalmaya çalışırlar.

Örnek Senaryo:

  • Kullanıcı, “Kredi kartınızda şüpheli işlem tespit edildi” şeklinde bir SMS alır.
  • Aramak için verilen sahte numarayı tuşladığında saldırganın tuzağına düşebilir.

🔴 Nasıl Korunulur?
✔ Bankaların veya resmi kurumların asla telefon üzerinden şifre sormayacağını unutmayın.
✔ Gelen SMS’lerdeki bağlantıları kontrol etmeden tıklamayın.
✔ Bilinmeyen numaralarla şifre veya kişisel bilgileri paylaşmayın.

3. Kimlik Avı Saldırılarından Korunma Yöntemleri

A. E-posta Güvenliği Önlemleri

Gönderen e-posta adreslerini her zaman kontrol edin.
✅ Gelen e-postalarda bilinmeyen bağlantılara tıklamadan önce doğrulama yapın.
Şüpheli ekleri açmadan önce antivirüs taramasından geçirin.

B. İki Faktörlü Kimlik Doğrulama (MFA) Kullanın

Şifreye ek olarak bir SMS kodu veya doğrulama uygulaması ile giriş yapın.
Google Authenticator veya Microsoft Authenticator gibi araçlar kullanın.

C. Tarayıcı Güvenliğini Artırın

HTTPS olmayan web sitelerine giriş yapmayın.
Tarayıcıda kimlik avı saldırılarına karşı uyarılar veren güvenlik eklentileri kullanın.

D. Kimlik Avı Eğitimleri ve Farkındalık Çalışmaları

Kurum içi eğitimler düzenleyerek çalışanların farkındalığını artırın.
Siber güvenlik konusunda güncel kalmak için düzenli testler yapın.

4. Kimlik Avı Saldırılarına Maruz Kalırsanız Ne Yapmalısınız?

Kimlik avı saldırısına uğradığınızı düşünüyorsanız aşağıdaki adımları izleyin:

1️⃣ Hemen şifrenizi değiştirin ve çok faktörlü kimlik doğrulamayı etkinleştirin.
2️⃣ İlgili şirket veya banka ile iletişime geçin ve durumu bildirin.
3️⃣ Eğer bilgisayarınıza kötü amaçlı bir yazılım bulaştıysa, antivirüs ile tarama yapın.
4️⃣ Yetkisiz işlemleri engellemek için banka hesaplarınızı kontrol edin.
5️⃣ Kimlik avı e-postalarını spam olarak işaretleyerek diğer kullanıcıları da koruyun.

Özetle;

Kimlik avı saldırıları, günümüzün en yaygın siber tehditlerinden biridir. Ancak doğru önlemler alındığında bu tür saldırılardan korunmak mümkündür.

🔹 E-postalar ve mesajlar konusunda dikkatli olun.
🔹 Şifrelerinizi güçlü tutun ve iki faktörlü kimlik doğrulama kullanın.
🔹 HTTPS sitelerini tercih edin ve bilinmeyen bağlantılara tıklamaktan kaçının.

Kimlik avı saldırılarından korunmak için bilinçli ve dikkatli olmak en güçlü savunma yöntemidir!

Benzer Yazılar

Yorum gönder

This site uses Akismet to reduce spam. Learn how your comment data is processed.