İçeriğe geçmek için "Enter"a basın

Oltalama Saldırısı Nedir ve 8 Maddede Oltalama Saldırısından Korunma

Oltalama Saldırısı Nedir?

Oltalama Saldırısı diğer adıyla “Phishing” siber saldırganların “fishing”i yani bir sürü olta atarak masum balıkları yakalama yöntemi (güncel tabiriyle sazan avı demek de çok yanlış olmayacaktır.)

Oltalama saldırıları günümüzde zararlı yazılımları geçecek denli büyük bir tehdit ve iş dünyasına yapılan saldırılarda en başta geliyor.

Güvenlik zafiyetlerinin %90’ının sorumlusu olarak görülüyor.

Bu denli büyük bir tehdit olmasının ardında yatan neden ise aldığımız siber güvenlik önlemlerinin tümünden bağımsız, çalışanların eğitim ve dikkatine bağımlı bir saldırı türü olması.

oltalama saldırılarından korunma yolları

Oltalama saldırıları zararlı yazılım barındıran bir linke tıklanması yöntemiyle yapılıyor ve genellikle kurban gerçek gibi görünen ama aslında siber saldırganlar tarafından yönetilen bir web sayfasına yönlendiriliyor.

Oltalama saldırısı mesajları e-posta olarak geldiği gibi, SMS mesajı, tweet, sosyal medyadan gelen direkt mesajlar hatta Facebook durum güncellemeleri olarak da karşımıza çıkıyor.

Bankadan yapılan bir bilgilendirme gibi görüneninden, gerçek olamayacak kadar iyi bir indirim yapan sosyal medya hesaplarına, ödenmemiş faturalardan, dondurulmuş üyeliklere varana kadar çok çeşitli konuyla dünyanın her yerindeki internet kullanıcıları hedef alınıyor.

Oltalama saldırısı yapılan ülkelerin başında sırasıyla Amerika, İngiltere ve Almanya gelse de, bu saldırılara ülkemizde de azımsanmayacak derecede sık rastlanıyor.

Sonuç olarak tüm oltalama saldırıları kurbanın “şüphelenmemesi” üzerine kurulu bir senaryoda işliyor.

E-posta içerisinde veya e-posta eki içerisinde yer alan bir linke şüphelenmeden tıklaması sağlanan kurbanın bilgisayarına bu eylem sonucu zararlı yazılım indiriliyor veya kullanıcı bilgilerinin çalınacağı sayfaya yönlendiriliyor.

Saldırganlar açısından oltalama saldırısı çok kârlı: “Tam otomatik oltalama saldırısı kiti” ile 500.000 e-posta göndermek 65 Dolar. Günlük olarak yaklaşık 100 milyon oltalama e-postasının atıldığı ve Cisco’nun yaptığı bir araştırmaya göre 1 milyon kişiden 8 tanesinin bu saldırının kurbanı olduğu, kişi başı zararın ise 2000 Doları bulabildiği ortaya çıkmış. Yani, 65 Dolar yatırım yapıp 8000 Dolar kazanabiliyorlar ki bu da oltalama saldırılarını siber suç dünyasının olabilecek en zahmetsiz ve kârlı yatırımlardan biri haline getiriyor.    

Hiçbir güvenlik önleminin %100 bir güvenlik sağlamadığını, yalnızca güvenlik duruşumuzu sağlamlaştırdığını biliyoruz. Antivirüsler, güvenlik duvarları, zafiyet taramaları, sızma testleri, güncellemeler ve daha nicesi ile korumaya çalıştığınız siber güvenliğinizin en önemli halkası ise çalışanların eğitimi.

Kuruluş çalışanlarının düzenli hatırlatmalar ve güncel bilgiler ile kendilerini oltalama saldırılarından nasıl koruyabileceklerini öğrenmeye ihtiyacı var çünkü siber saldırganlar kendini sürekli geliştiriyor ve taktik değiştiriyor.

Çalışanların kendisini oltalama saldırılarından korumayı öğrenmesi aynı zamanda bütün bir kuruluşun siber güvenliğini riske atmalarını da önlemek anlamına geliyor.

Oltalama saldırısı konusunda çalışanlarınızı bilgilendirmeniz gereken öncelikli ve basit 8 madde var. Bu maddeler konusunda bir bilinç yaratabilirseniz kuruluşu ve çalışanlarınızı “oltaya gelmekten” koruyabileceğinize inanıyoruz.

  1. İyi bir açıklama: Oltalama saldırısı; siber suçluların kişisel verileri veya kullanıcı bilgilerini ele geçirmeye çalıştıkları bir saldırı yöntemi. Bunun için özellikle güvenilen markaları veya kullanıcıların tıklaması muhtemel dosya başlıklarını kullanarak zararlı yazılım içeren linkler, web sayfaları, dosyalar, fotoğraflar, dokümanlar kullanıyorlar.

    “Netflix hesabınız donduruldu” diyen web sayfası linkinden, “Maaş zamları açıklandı” diyen Word dosyasına varana dek pek çok çeşidine rastlıyoruz.

    Bilindik marka logosunu ve web sayfasını birebir kopyalayarak hazırlanmış olan e-posta ve sahte web sayfasında, oltalama konusunda daha önce eğitim almamış kullanıcılar bunun bir saldırı olduğunu anlayamadan bilgilerini çaldırıyor.

    Burada önemli bir nokta var; örneğin Office 365 kullanıcı bilgilerini çaldıran kişi Skype, OneDrive, SharePoint gibi bağlantılı hesaplarını da çaldırıyor. Dahası, bu kullanıcı bilgileri olası diğer tüm hesaplarda da deneniyor.
  2. Her şey taklit edilebilir: E-posta adreslerine sadece “görünen”e bakarak güvenmemek gerekiyor. (Aslında internet öyle bir halde ki, hiçbir şeyin görünen kısmına bakarak güvenmemek gerekiyor. )

    Siber suçluların, zararlı yazılım içeren e-postaları gerçek ve güvenilir bir kaynaktan geliyor gibi göstermek için pek çok yöntemi var.

    Bu yöntemlerden en sık kullanılanı; e-postaların gönderici isim ve soyadı kısmına microsoftsupport@microsoft.com gibi güvenli bir kaynak adı yazılması ve kurbanların bunun göndericinin e-posta adresi olduğunu zannetmesinin sağlanması.

    Aslında gönderici e-posta adresi sinem@yahoo.com iken, kurbanların çoğu gönderici adı yazılı alanı e-posta adresi zannediyor.

    Özellikle mobil cihazlarda görüntülenen e-postalarda, gönderici e-posta adresi gizli kaldığı ve çoğu kullanıcı e-posta adresini görüntüle seçeneğini kullanmadığı için saldırganların en sık kullandığı yöntem de bu oluyor.  

    Bir diğer dikkat edilmesi gereken konu ise tek harf değişikliği yapılan oltalama saldırıları. sparta@sparta.com.tr yerine sparta@spartan.com.tr gibi bir harfi değiştirerek dolandırıcılık yapılmaya çalışılan oltalama saldırılarına da çok sık rastlıyoruz. Benzeri şekilde apple.com yerine apple.co gibi örnekleri de olabiliyor.

    Uzantılar ile yapılan sahteciliklere de dikkat etmek gerekiyor. Sadece microsoft.com olması gerekirken microsoft-support.org, microsoft-logins.net, microsoft-securities.com gibi gerçek olmayan alan adları veya aşırı uzun ve karışık alt alan adlarının kullanımı da oltalama saldırılarında karşımıza çıkıyor (icloud.accounts@apple.it.support.zqa.ca gibi)
  3. Hızlı oyna yanlış oyna kuralı: Oltalama saldırısı yapan siber suçluların işi sosyal mühendislik ve bu nedenle insan psikolojisinden anlamak zorundalar. Kurbanlarını panik, aciliyet veya merak duyguları ile fazla düşünmeden hareket etmeye zorlamak için konu başlıklarını buna göre seçiyorlar.

    Cazip teklifler: “Bu e-postayı yanıtlayan ilk 100 kişiye Migros’tan 50TL indirim çeki”,
    Korkutucu haberler: “Whatsapp hesabınıza erişim sağlandı”,
    Merak uyandırıcı başlıklar: “2019 yılı ikinci dönem maaş zamları” gibi konu başlıkları ile gönderilen e-postalar genellikle kullanıcı bilgilerinin çalınması veya finansal zarara uğranması gibi olaylar ile sonuçlanıyor.

    Bu e-postaların ortak özelliği kişide hemen hareket etme isteği uyandırması ve bu sayede sahteciliğe dikkat edilememesi.

    En sık karşılaşılan iki örnek kullanıcının kritik bir hesabının (veya hesaplarının) kapatıldığı veya faturası ödenmediği için bir hesabın askıya alındığı şeklinde.

    Benim bu sıralar karşılaştığım bir örnek ise “iCloud alanınız dolmak üzere” e-postası. Oysa ben ICloud kullanmıyorum 😊

    Kuruluş çalışanlarından birinden geliyormuş gibi görünen ve acil eylem isteyen e-postalar ise çok sık karşılaştığımız BEC (Business E-mail Comprimise) olaylarına neden oluyor.

    CEO’dan finans müdürüne gelen ve belirtilen havale yapılmasını isteyen sahte e-postalar veya bir çalışanın maaş hesabına bağlı banka hesap bilgilerinin değiştiğine dair sahte bilgilendirmeler sonucu kuruluşlar ciddi zararlara uğrayabiliyor. (Hemen hatırlayalım: https://sibersavascephesi.com/oltalama-saldirisi-ile-maas-odemeleri-hacklenmek-istendi/ )
  4. Seni seçtim Pikaçu – Hedefli oltalar: Eskiden oltalama saldırıları aynı anda büyük bir gruba gönderilen ve sadece “düşenleri” yakalamaya yönelik saldırılardı. Bu e-postalar jenerik olarak hazırlanıyordu ve kimseyi direkt olarak hedef almıyordu, bu nedenle de sakınması daha kolaydı. Kullanıcıların çoğu kendisine gelen e-postanın adına hitaben yazılması gerektiğini bildiğinden kolaylıkla oltalama e-postalarını ayırt edebiliyordu.

    Günümüzde ise oltalama saldırıları kurbanların isimlerinin yer aldığı e-postalar ile kişiye özel olarak yapılıyor hatta konu başlığında kurbanın adı geçiriliyor.

    Hatırlarsanız daha da ileriye gidip “porno içerikli görüntüleriniz elimizde” denilen e-postalarda telefon numarası, çoğunlukla eskiden kalma bir parola bilgisi gibi daha kişisel verilere de yer verilmişti. (Veri ihlalleri /data breach’ler sağolsun).
  5. Bu mesaji heman yanitlamelisiniz: Çalışanların kendilerine gelen her e-postayı çok dikkatli okuması gerekiyor. Kimimize günde 150 civarı e-posta geldiğini düşünürsek bu gerçekten çok zor ancak oltalama saldırılarının önemli bir kısmı hedefli oltalama saldırısı haline geldi ve direkt kişiyi hedefleyerek yapıldığı için gerçek bir e-postadan ayırt etmek çok güçleşti. Oltalama saldırılarının çoğu yabancı ülkelerden yapıldığı için en iyi ayırt etme yöntemlerinden biri yazım yanlışları veya düşük cümleleri fark etmek.
  6. Bir link nelere kâdir: Her oltalama e-postasında kandırmaya yönelik bir bağlantı adresi (link) bulunuyor. Linkte yazılı olan metin “Microsoft hesabınıza gidin” derken, tıkladığınızda yönlendirildiğiniz yer Microsoft’a benzer şekilde hazırlanmış bir sayfa oluyor.

    Çalışanlarınızın her bir linke tıklamadan önce fare imleci ile o link üzerine gelerek yönlendirildikleri gerçek sayfayı görüntülemeyi alışkanlık edinmesiyle oltalama saldırılarının büyük bir kısmı engellenebilecektir.

    Burada önemli olan ve dikkat edilmesi gereken nokta ana URL’nin doğru olması. Özellikle .com veya .org ile bitmeyen, yine Microsoft örneğinde olduğu gibi gerçek Microsoft.com adresi yerine microsoft-destek.com tarzı adreslere bağlantı veren linklere tıklamamak gerekiyor.  

    Önemli noktalardan bir başkası; linke tıkladıktan sonra sayfanın sahte olduğunu anlamak yeterli olmayabiliyor. Bağlantıya tıklanması bilgisayara zararlı yazılımın yüklenmesi için yetebiliyor.

    Oltalama saldırısı yapan kişilerin yeni favorilerinden bir tanesi de kısaltılmış URL’ler kullanmak. Bu sayede hem e-posta filtrelerini atlatabiliyor hem de kullanıcıları kandırabiliyorlar. Özellikle kısaltılmış URL’lere tıklarken ekstra düşünülmesi gerekiyor.

Emin olmadığınız bütün linkler için isitphishing.ai sayfasını kullanmanızı öneririz.

7. Eski fotoğraflarını buldum, ekte gönderiyorum: Her oltalama e-postasında bir link var dedik ancak bu link e-postanın metin kısmında yer almak zorunda değil. Hatta e-posta güvenlik filtrelerini atlatabilmek için e-postanın içerisinde olmaması siber saldırganlar adına daha mantıklı.

Metine yerleştirilen oltalama bağlantıları yerine PDF, Word dokümanı vb. gibi ekler ile amaçlarına daha kolay ulaşabiliyorlar.

Sandbox gibi teknolojiler e-posta eklerinin zararlı yazılım barındırıp barındırmadığını kontrol ediyor ancak bu eklerin içeriğinde yer alan linklerin ne olduğuna bakmadığı için kolaylıkla temiz görünebiliyorlar.

Siber saldırganlar, güvenilir bir iş arkadaşı, firma veya markadan geliyor gibi görünen ve ekte iletilen dokümanı açmanızı isteyen e-postaların içerisinde “güncellemeleri görmek için aşağıdaki linke tıkla” tarzı yazılar ile kurbanlarına rahatça ulaşıyorlar.

8. Sahte mi Gerçek mi?: Markalara ait görsellerin kullanılması, hatta aynı font, aynı tarz, aynı renk olması, logo, isim ve hatta imza barındırması o e-postanın gerçek olduğu anlamına gelmiyor. Tüm bunlar birebir (ve çok kolayca) kopyalanabiliyor. Hatta e-postaların sonlarına bilindik anti-virüs markalarının logo ve yazılarını eklemek (Bu e-posta … antivirüs ile taranmıştır” gibi) de gördüğümüz kullanıcı kandırmaya yönelik hareketlerden.

Eyvah! Oltalama e-postası geldi. Şimdi ne yapıyoruz?

Oltalama saldırısı e-postalarının sonuçları ile uğraşmak, baştan engel olmaktan çok daha zor. Hem zaman hem de maddi kayıplar düşünüldüğünde önlem almak ciddi bir avantaj sağlıyor.  

Düşüncesizce tıklanan tek bir bağlantının tüm ağı tehdit ettiği düşünüldüğünde, bütün çalışanların aynı dikkat ve özeni göstermesi ve sorumluluk alması, ayrıca dikkatsiz davranışların olası sonuçlarından haberdar olması sonradan ciddi şekilde baş ağrıtacak bir çok olayın önüne geçebiliyor.

Türkiye’de çalıştığımız kuruluşların çoğunda bu konuda ciddi bir bilinçlendirme çalışması yapıldığını görüyoruz.

Periyodik sosyal mühendislik testleri ve ardından çalışanlara yapılan geri bildirimler ve verilen eğitimlerin, aynı kuruluşta bir sonraki sosyal mühendislik testinde gözle görülür bir fark yarattığına şahit oluyoruz.

(Sparta Bilişim olarak yapmakta olduğumuz Sosyal mühendislik testleri hakkında detaylı bilgi almak veya kuruluşunuzda sosyal mühendislik testi yapılması için teklif almak isterseniz hemen sparta@sparta.com.tr adresine mail atabilir ve %15 özel indirimli teklifinizi alabilirsiniz. Yapılacak olan sosyal mühendislik testinin ardından sonuçlar raporlanıp birlikte değerlendirilecek ve ücretsiz olarak tüm kuruluş çalışanları için farkındalık eğitimi verilecektir. Teklif talebinizde lütfen bu yazıyı referans gösteriniz.)

Sosyal mühendislik testleri dışında yapılması gerekenlerin başında ise tüm saldırıların raporlanabileceği bir sistem oluşturmak ve tüm çalışanların bu gibi tehditleri bildirmenin ne kadar önemli olduğunu anlamasını sağlamak geliyor.

Oltalama saldırısı olduğundan şüphelenilen e-postayı silmek çözüm değil. Kuruluş IT ekibinin konu hakkında bilgilendirilmesi ve bu sayede kuruluşun saldırılarda hedeflendiğinden haberdar olması lazım.

Kuruluş çalışanlarınızı oltalama saldırısına rastladıkları takdirde IT departmanı ile neden iletişime geçmeleri gerektiği konusunda bilgilendirin: IT departmanı bu şekilde e-posta filtrelerini iyileştirebilir ve gerekli aksiyonlar alınabilir.

Yıllık veya 6 ayda bir yapılacak eğitimler ile, kuruluş çalışanlarının güncel tehditler konusunda bilgilendirilmesi, siber saldırganların sürekli yeni yöntemler bulduğu ve kendisini geliştirdiği bir ortamda büyük önem taşıyor.

Bu eğitimlerin yapılmasını beklemeden, IT ekibinin bilgilendirme e-postaları göndermesi, kuruluş içerisinde ortak alanlara bilgilendirme notları asması, bilgilendirme için ilave materyaller paylaşması da faydalı olacaktır.

Paylaş

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir