Kimlik avı saldırısı nedir?
Kimlik avı, şifreleri çalmak, hesapları ele geçirmek ve yetkisiz sistemlere girmek için kullanılan en yaygın “hack’tir”. Teknik anlamda gerçek bir saldırıdan ziyade çoğunlukla bir sosyal mühendislik saldırısıdır. Bu nedenle, savunmak çok daha zor.
Kimlik avı herhangi bir kanaldan yapılabilir: telefon, e-posta, bir web sayfası veya hatta bizzat. Kısacası, bir sırrı ifşa etmeniz için sizi kandırmaya çalışmaktır (şifreniz veya diğer veriler gibi).
E-dolandırıcılık kelimesi, “şifreler için balıkçılık” da olduğu gibi balıkçılık terimini ifade eder ve muhtemelen telefon ve balıkçılık için bir portmantodur. Kimlik avı, internetin yükselişinden önce bile zaten yaygın bir sosyal mühendislik taktiği olduğundan, muhtemelen hack’leme erken bir dönem olan phreaking ile de ilgilidir..
Sembol <>< botların geçerli HTML koduna benzerliği sayesinde botların tespit etmesi veya engellemesi zor olduğundan çevrimiçi forumlarda çalınan veya kimlik avı yapan bilgileri belirtmek için kullanıldı.
Kimlik avı saldırılarına karşı savunma
Herhangi bir kimlik avı saldırısının çekirdeği genellikle insanların birbirlerini kolayca doğrulayamamalarıdır. Bilgisayar sistemleri de genellikle kimlik doğrulama sorunları göz önünde bulundurularak yapılmaz ve kriptografik imza şemalarını doğru bir şekilde doğrulamak için önemli miktarda çaba harcanır..
Telefon kimlik avı
Arayanın kimliğini doğrulamak zor olabilir. Arayan kimliğinde görünen numaraların taklit edilmesi kolaydır, bu nedenle yetkili kişinin telefon numarası bilinmesine veya telefon defterine kaydedilse bile, hattın diğer tarafındaki kişinin söylediklerine dair bir garanti yoktur..
Sadece numarayı geri aramak, gerçekten arayan kişiye ait olduğunun kanıtıdır, ancak o zaman bile internette veya telefon rehberinde arayarak numarayı doğrulamak önemlidir. Ayrıca, örneğin bir kartvizit aracılığıyla şahsen toplanıp toplanmadığını da doğrulayabilirsiniz..
Bankalar, hükümetler veya mahkemeler sizi kişisel bilgi istemeye çağırmaz. Varsa, arayanın adını, unvanını ve departmanını isteyin, ardından o kurumun herkese açık olarak listelenen ve mevcut bir numarasıyla geri arayın.
E-posta
Kimlik avı e-postaları en yaygın tehdittir. Saldırganlar, bir kullanıcıyı web sitelerini ziyaret etmeleri için kandırmak için finansal kurumlardan, resmi kuruluşlardan veya piyango gibi genel şemalardan meşru görünen e-postalar gönderecek.
Saldırganlar, örneğin, yeterince gerçekçi görünen ve kullanıcıdan kişisel bilgi girmesini isteyecek sahte bir bankacılık web sitesi kurabilir. Böyle bir kimlik avı sitesi kimlik hırsızlığı programlarında kullanmak için şifre, kredi kartı bilgileri veya genel kişisel bilgiler isteyebilir.
Gerçekliği doğrulamanın en sağlam yolu PGP’dir, ancak birkaç kişi ve site tarafından ayarlanmıştır.
Kural olarak, e-postalardaki bağlantıları, özellikle de beklenmedik yazışmalardaki bağlantıları tıklamamak gerekir. Bunun yerine, kullanıcılar doğrudan web sitesine gitmeli ve oradaki istemleri izlemelidir. Destek ekibiyle iletişim kurmak için web sitesindeki formları kullanın.
Web siteleri
Kimlik avı siteleri, mağdurun düzenli olarak ziyaret ettiği bir siteyi taklit edebilir. Ayrıca, kullanıcıyı sahte bir müşteri destek numarasını araması için kandırmak veya örneğin bir piyango ikramiyesini bildirerek kullanıcılardan kredi kartı bilgilerini almak için de kullanılabilirler..
Kimlik avı sitesi kurbanları genellikle dört farklı kanal kullanan sitelere yönlendirilir:
- E-postalar: “Hesap doğrulaması gerekiyor.”
- Reklamlar: “Siz şanslı kazanıyorsunuz!”
- Yazım hatası alma: google.com yerine googelçcom
- Arama motorları: “Bankanızı aradınız, işte“ bankanız ”
Bir kimlik avı sitesine kurban gitmekten kaçınmak için, ziyaret ettiğiniz sitelerin URL’lerini her zaman kontrol etmek ve ideal olarak yalnızca kaydedilmiş yer işaretlerini kullanarak bu sitelere gitmek iyi bir fikirdir..
Donanım iki faktörlü bir kimlik doğrulama yöntemi kullanmak, tüm siteler bunu sunmasa da, kimlik avından korunmak için harika bir yoldur. Bazı şifre yöneticileri, şifrelerinizi yalnızca daha önce kimliğini doğruladıkları sitelere otomatik olarak dolduracakları için kimlik avı sitelerini belirlemenize yardımcı olabilir..
Kişisel bilgilerinize dikkat edin
Sizi “hesabınızı doğrulamanıza” veya “hesabınızı açık tutmaya” zorlayan e-postalar, neredeyse her zaman mağdurları bağlantıları tıklamaya ve aceleyle bilgi girmeye zorlamaya yönelik kimlik avı girişimleri.
Bu tür e-postalar veya telefon görüşmeleri alırken sakin olun ve evde masaüstü bilgisayarınız veya birincil akıllı telefonunuz gibi rahat bir cihaza dönene kadar bekleyin.
Kimlik avı saldırılarına karşı güvenlik açığını azaltmak için yer imleri, parola yöneticileri ve donanım iki öğeli kimlik doğrulama belirteçlerini kullanın. Son olarak, bilgileri doğrulamaktan çekinmeyin ve e-postalara, reklamlara ve telefon görüşmelerine her zaman güvensizlik gösterin.
17.04.2023 @ 19:17
Kimlik avı, şifreleri çalmak, hesapları ele geçirmek ve yetkisiz sistemlere girmek için kullanılan en yaygın hack yöntemidir. Bu saldırı genellikle sosyal mühendislik taktikleri kullanılarak gerçekleştirilir ve savunması oldukça zordur. Kimlik avı saldırıları telefon, e-posta, web siteleri gibi herhangi bir kanaldan yapılabilir. Bu nedenle, kişisel bilgilerinizi korumak için dikkatli olmanız gerekmektedir. Telefon kimlik avı saldırılarına karşı arayanın kimliğini doğrulamak önemlidir. E-posta kimlik avı saldırıları en yaygın tehdittir ve kullanıcıları finansal kurumlardan, resmi kuruluşlardan veya piyango gibi genel şemalardan meşru görünen e-postalar göndererek kandırmaya çalışırlar. Kimlik avı siteleri, mağdurun düzenli olarak ziyaret ettiği bir siteyi taklit edebilir ve kullanıcıları sahte bir müşteri destek numarasını aramaya veya kredi kartı bilgilerini vermeye ikna edebilir. Bu nedenle, ziyaret ettiğiniz sitelerin URLlerini kontrol etmek ve yalnızca güvenilir kaynaklardan bilgi almak önemlidir.