Her gün milyonlarca kullanıcı, gerçek bir banka, kargo firması ya da teknoloji şirketinden geliyormuş gibi görünen sahte e-postalara tıklıyor. Bu sahte mesajlar yalnızca bireyleri değil, kurumsal yapıları da hedef alarak büyük veri ihlallerine yol açabiliyor. Peki bu saldırılar nasıl gerçekleşiyor, nasıl fark edilir ve daha da önemlisi nasıl önlenir?
Phishing Nedir?
Phishing (oltalama), siber saldırganların kullanıcıları kandırarak şifre, kredi kartı bilgisi veya kurumsal hesap erişimi gibi kritik verileri ele geçirmeye çalıştığı bir sosyal mühendislik yöntemidir. Bu saldırılar genellikle e-posta, SMS, sahte web siteleri ya da hatta doğrudan telefon aramaları yoluyla gerçekleştirilir. Amaç kullanıcıyı ikna ederek kendi elleriyle bilgilerini paylaşmasını sağlamaktır.
Phishing Türleri ve Örnekleri
Phishing saldırıları çeşitli şekillerde karşımıza çıkabilir. Bunların bazıları güvenir bir kurumdan gelen bir e-posta gibi hazırlanır, bazıları ise sizi hemen harekete geçirme görevini üstlenir. Oltalama türleri şöyle sıralanabilir:
E-posta Phishing
Saldırgan, güvenilir bir kurum gibi görünerek kullanıcıya e-posta gönderir.
Örnek: “Bankanızdan gelen” bir e-postada “Hesabınız askıya alındı, buradan giriş yapın” ifadesiyle sahte bir giriş sayfasına yönlendirilirsiniz.
Spear Phishing
Hedefi belirgin saldırılardır. Saldırgan, kurbanın adı, pozisyonu, çalıştığı firma gibi bilgileri kullanarak kişiye özel mesaj oluşturur. Örnek: Muhasebe çalışanına, yöneticisi gibi davranarak ödeme talimatı içeren bir belge gönderilir.
Smishing ve Vishing
SMS yoluyla link gönderilir (smishing) ya da doğrudan telefonla aranarak bilgi istenir (vishing). Örnek: “Kargonuz teslim edilemedi, takip etmek için buraya tıklayın.” gibi mesajlar sıklıkla kullanılır.
Clone Phishing
Daha önce gönderilmiş gerçek bir e-posta kopyalanır, içeriğindeki linkler zararlı hale getirilir ve yeniden gönderilir.
Phishing Saldırıları Nasıl Anlaşılır?
Gelişmiş oltalama kampanyaları oldukça ikna edici olabilir. Ancak aşağıdaki teknik işaretlere dikkat ederek şüpheli durumları fark edebilirsiniz:
- Alan adı benzerlikleri: Örneğin amaz0n.com veya secure-paypal-login.net gibi sahte domain’ler.
- SSL kullanımı eksikliği: Gerçek siteler çoğunlukla HTTPS ile korunur. Ancak saldırganlar da artık SSL kullanabildiği için sadece kilit simgesi yeterli değildir. Alan adı mutlaka kontrol edilmelidir.
- Header analizi: Kurumsal mail sistemlerinde gelen e-postanın “Received” ve “Return-Path” bilgileri incelenerek sahte kaynaklar tespit edilebilir.
- E-posta kimlik doğrulama eksikliği: SPF, DKIM ve DMARC kayıtları olmayan alan adlarından gelen e-postalar güvenilir olmayabilir.
- Dil bilgisi hataları ve aciliyet vurgusu: “Hemen tıklayın!”, “Son uyarı!”, “Hesabınız askıya alınacak!” gibi panik oluşturan cümleler.
Phishing’ten Nasıl Korunulur?
Phishing saldırılarından korunmak için yalnızca teknik önlemler yetmez, kullanıcıların da güvenlik bilinci kazanması gerekir.
Bireysel Önlemler:
- Asla doğrudan e-postadan gelen linke tıklamayın; adresi manuel yazın.
- Tanımadığınız kişilerden gelen eklere tıklamayın.
- Şüpheli durumlarda kurumu doğrudan arayarak doğrulama yapın.
- Parolalarınızı paylaşmayın, çok faktörlü kimlik doğrulama (MFA) kullanın.
Kurumsal Önlemler:
- SPF, DKIM ve DMARC politikaları etkinleştirilmelidir.
- Güçlü e-posta güvenlik çözümleri kullanılmalıdır (örneğin sandbox ortamında eklenti testleri).
- Kullanıcılara düzenli oltalama simülasyonları ve farkındalık eğitimleri verilmelidir.
- Erişim kontrolleri ve oturum yönetimi iyileştirilmelidir.
Örnek Bir Vaka
Gelen phishing mail:
(Please kindly forward this to your CEO, because this is urgent. If you believe this has been sent to you in error, please ignore it. Thanks)
Dear CEO,
We are the domain name registration service company in China. We received an application from Hongfei Ltd on April 1, 2025. They want to request “xx” as their internet keyword and China (CN) domain names (xx.cn, xx.com.cn, xx.net.cn, xx.org.cn). But after checking it, we find this name conflict with your company name or trademark. In order to deal with this matter better, it’s necessary to send email to you and confirm whether this company is your distributor or business partner in China?
Bu mailin phishing olduğunu nasıl tespit ettik?
- Çin merkezli bir alan adı, bu tarz alan adları (org.cn) genellikle güvenilmez. Org alan adları sivil toplum kuruluşları tarafından kullanılır. Kurumsal bir alan adı değildir.
- Bu alan adı gerçek bir domain kayıt firması mı? Belirsiz. Who is kaydında bilgi bulunmuyor. Pishing saldırılarında sahte alan adları kullanılır.
- “Lütfen bu e-postayı CEO’nuza iletin” gibi ifadeler genelde aciliyet hissi yaratmak için kullanılır. Bu, klasik bir sosyal mühendislik taktiğidir.
- “Bir firma sizin alan adınızı almak istiyor” içeriği, phishing saldırılarında çok sık rastlanan bir taktiktir.
Phishing saldırıları geliştikçe siber güvenlik önlemleri de sıklaşıyor. Bu noktada önem kazanan “teknolojik korumayı doğru kullanıcı davranışıyla birleştirme” oluyor.
