Phishing Nedir, Phishing Saldırılarından Nasıl Kaçınırız?

Phishing Nedir, Phishing Saldırılarından Nasıl Kaçınırız?

Son Güncellenme: 3 Haziran 2021

Türkçede oltalama olarak da bilinen phishing, yemleme veya kimlik avı, çeşitli yöntemlerle kullanıcıların şifrelerinin veya bilgilerinin elde edilmesi işlemidir.

Phishing (oltalama) ile ilgili bu rehber yazıda şunları ele alacağız:

Phishing (Oltalama) Nedir?

Phishing, İngilizce "balık tutma" anlamına gelen "Fishing" kelimesinin başındaki "f" harfinin, "password harvesting" yani şifre elde edilmesi anlamındaki ibarenin kısaltması olan "ph" ile değiştirilmesiyle oluşturulmuş bir kelime olup; Türkçe'de de yaygın olarak oltalama, yemleme veya kimlik avı olarak ifade edilir.

Siber suçluların kurbanlarına, kişisel verilerini paylaşmaları ya da cihazlarına kötü amaçlı yazılımları yerleştirmeleri için sahte web siteleri oluşturarak, sahte mesajlar ve e-postalar göndermesi ile vücut bulan bir siber suç ve sosyal mühendislik türü olan phishing; BTK tarafından da "bilgi girmeyi gerektiren bir internet sayfasının kopyasının yapılarak, kullanıcının hesap bilgilerini çalmayı amaçlayan internet dolandırıcılığı" olarak tanımlanır. 2021 yılı itibariyle siber suçlar arasında açık ara en yaygın olan phishing; hackleme vakalarının da %92'sini oluşturur. Çoğu zaman mağdurlarının cep telefonlarına gönderilen "Yeni sezon kombine bileti kazandınız.", "Ücretsiz tatil kazandınız.", "30 liralık çip para kazandınız." tarzı ücretsiz fırsatlardan yararlanma vaadi içeren SMS ile kart ve kimlik bilgilerinin girilmesinin istenmesi şeklinde veya "Hesabınızın şifresi değiştirildi. Siz yapmadıysanız eğer, size oluşturulan bu bağlantıdan lütfen hesabınızı doğrulayın.", "Eski kullanıcı adını ve şifrenizi giriniz." tarzı e-postalar ile kayıtlı şifre bilgilerinin girilmesinin istenmesi şeklinde görülür. Unutulmaması gerekir ki "Bedava peynir, fare kapanında olur."

Phishing vakalarının önlenmesi ve azaltılmasına yönelik girişimler ise; mevzuat düzenlemeleri, kullanıcı eğitimi, kamu bilincinin artırılması ve teknik güvenlik önlemlerinin alınması olarak sayılabilir.

Phishing (Oltalama) Türleri Nelerdir?

Phishing türleri, e-posta yoluyla, sesli, SMS yoluyla ve web sayfalarının ele geçirilmesiyle olmak üzere dört çeşittir.

E-posta yoluyla phishing

Bu tip phishing saldırıları, kişiselleştirilmemiş, belirli bir özel ya da tüzel kişiliği veya kitleyi hedef almayan toplu e-postaların gönderilmesi şeklinde gerçekleşebileceği gibi; saldırganın, belirli bir kişi veya kurumu hedef alması ve hedefindeki kişi veya kurumla ilgili önceden araştırma yapması ile başarı şansını artırması şeklinde de görülebilir. Hedefe yönelik phishing saldırılarında, hedef genellikle üst düzey yöneticiler veya kuruluşun hassas finansal verilerine ve hizmetlerine erişimi olan finans departmanlarını çalışanlarıdır. Ayrıca önceden teslim edilmiş gerçek bir e-postanın içeriğinin ve alıcı adreslerinin çalınması, ardından da e-postadaki ek veya bağlantıların, kötü amaçlı bir sürüm ile değiştirilmesi ve bu klon e-postanın, orijinal olanın güncellenmiş versiyonu olduğu iddiası ile, orijinal göndericiden geliyormuş gibi yeniden gönderilmesi yoluyla da phishing saldırılarına da zaman zaman rastlanır.

Sesli phishing

Bu tip phishing saldırıları genellikle, IP üzerinden ses telefonu kullanılması suretiyle gerçekleştirilir. Saldırganlar çoğunlukla rastgele telefon numaraları çevirerek, kurbanlarına banka hesaplarında veya kredi kartlarında sahtekarlık faaliyeti olduğunu iddia ederler. Metinden konuşma sentezleyiciler kullanılarak yapılan otomatik kayıtların oynatılması suretiyle de bu saldırıların gerçekleşmesine sıkça rastlanır. Daha sonra kurban, saldırganlar tarafından kontrol edilen bir numarayı aramaya yönlendirilir; bu numara, sözde sahtekarlığı çözmek için otomatik olarak kişisel bilgilerin girilmesini ister.

SMS yoluyla phishing

E-posta yoluyla phishing saldırılarına benzemekle birlikte bu tip phishing saldırılarında saldırgan, kurbanlara gönderdiği metin mesajı ile onları bir bağlantıyı tıklamaya, bir telefon numarasını aramaya veya SMS yoluyla saldırgan tarafından sağlanan bir e-posta adresiyle iletişime geçmeye; sonrasında da kişisel verilerini sağlamaya davet eder. Akıllı telefonların yaygınlaşması ile artık herkesin telefonlarında internet bağlantısı bulunması sayesinde, SMS yoluyla phishing de e-posta yoluyla gerçekleşen kadar yaygınlaşmıştır.

Web sayfasının ele geçirilmesi yoluyla phishing

Kullanıcıları, web siteleri arası komut dosyası oluşturma yoluyla kötü amaçlı bir web sitesine yönlendirmek için, gerçek bir web sayfasının kullanılması yoluyla gerçekleşir.

Phishing (Oltalama) Saldırılarından Nasıl Kaçınırız?

Oltalama saldırılarından kaçınmak için kullanıcıların alması gereken önlemler olduğu gibi, alınması gereken çeşitli teknik önlemler de vardır.

Kullanıcıların üzerine düşenler

Kullanıcıların alacakları önlemlerin başında, internet kullanımı sırasında kişisel bilgilerin paylaşılmaması, şüpheli linklere tıklanmaması ve güvenilir bir web sitesinin "https" protokolüne sahip olması gerektiğinin unutulmaması gelir.

Bunun yanı sıra, kullanıcıların eğitilmesi de büyük önem arz eder. Kullanıcılar, phishing girişimlerini tanımak ve bunlarla başa çıkmak konusunda eğitilmelidirler. Ülkemizde de İçişler Bakanlığı ve Emniyet Genel Müdürlüğü işbirliği ile kurulmuş olan SİBERAY (Siber Suçlarla Mücadele Daire Başkanlığı) bu konuda kamu spotu yayınlanması gibi çalışmalar yürütmektedir. Dünya çapında ise Google'ın yayınlamış olduğu eğitici video, kullanıcılar için büyük fayda sağlamaktadır.

Ayrıca kullanıcıların tarama alışkanlıklarında yapacakları; e-posta'nın gerçekliğini teyit etmek için göndericiyle iletişime geçmek ya da şüpheli bir SMS ile kendilerine iletilen linke tıklamak yerine, tarayıcının adres çubuğuna orijinal web sitesinin adresini bizzat yazmak gibi ufak değişiklikler de güvenliklerini artıracaktır.

Bir diğer önemli nokta ise, kurumsal şirketlerin müşterilerine gönderdikleri e-postalarda çoğunlukla isimleri ile hitap ettiklerini bilmek (örn: Sayın Timur Özçelik) ve bu kurumsal şirketlerden gelen toplu mesajlara (örn: Sayın Turkcell Müşterisi) şüphe ile yaklaşmak olacaktır.

Teknik önlemler

Phishing saldırıları için alabileceğiniz teknik önlemler aşağıdaki gibidir.

E-posta filtreleme

Özel spam filtreleri, muhataplarının gelen kutularına ulaşan phishing e-postalarının sayısını azaltabilir. Bu filtreleme işlemi, phishing e-postalarını sınıflandırılması ve sahte adreslere sahip e-postaların reddedilmesi için bir dizi teknik geliştirilmesi şeklinde gerçekleşir.

Kullanıcıları sahte web sitelerine karşı uyaran tarayıcılar

Phishing saldırıları ile mücadele için başvurulan bir diğer teknik önlem ise, bilinen phishing web sitelerinin bir listesini tutulması ve bu listeye göre gerekli kontrollerin yapılmasıdır. Buna Güvenli Tarama Hizmeti de denir. Google Chrome, Edge, Mozilla Firefox, Safari ve Opera gibi web tarayıcılarının tümü bu yöntemi kullanır.

Parola girişlerini artırmak

Kullanıcıların, oturum açmaları sırasında, kullanıcı adı parola vb. bilgileri girdikleri oturum açma formunun gerçek olduğunun kolayca anlaşılması için, daha önce kullanıcının kendisi tarafından seçilmiş ir görüntünün, oturum açma formuna eklenmesi şeklinde, yaygın olarak dünyada bankacılık ve finans sektöründe uygulanan bir teknik, buna örnek gösterilebilir. Görüntünün kendisi, kullanıcı ve web sitesi arasında değil, yalnızca kullanıcı ve tarayıcı arasında paylaşılır.

İzleme ve yayından kaldırma

Phishing saldırganlarının en muhtemel hedeflerinden biri olan bankacılık ve diğer finans kuruluşlarına, phishing için kullanılan web sitelerini izleyip analiz etme ve yayından kaldırma hizmeti sunan bir çok özel kuruluş vardır. Ancak phishing içeriğinin otomatik olarak algılanması için içerik tabanlı analizde başarı oranı %80 - %90'lara ulaşmış olsa da, doğrudan eylem için hala kabul edilen seviyelerin altındadır. Bu nedenle araçların çoğu, algılamayı onaylamak ve yanıtı yetkilendirmek için manuel adımlar içerir. Kullanıcılar da karşılarına çıkan phishing saldırganlarını, cyscon veya PhishTank gibi sektör gruplarına veya Google'a bildirerek katkıda bulunabilirler.

İşlem doğrulama ve imzalama

Bankacılık işlemlerinin doğrulanması ve yetkilendirilmesi için ikinci bir kanal olarak, akıllı telefonların kullanılmasını içeren yöntemler vardır.

Çok faktörlü kimlik doğrulama

En yaygın yöntemlerden biri olarak bu yöntem, kullanıcıların oturum açarken kimliklerini doğrulamaları için en az iki faktörlü bir sistemin belirlenmesini ifade eder. Böylece, başarılı bir phishing neticesinde parolalar çalınmış olsa bile, tek başlarına kullanılamayacakları için risk büyük ölçüde ortadan kalakr. Ancak bu sistemi alt edebilen birkaç phishing tekniği geliştirilmiştir.

E-posta içeriği redaksiyonu

Kolaylık yerine güvenliğe öncelik veren kuruluşlar, kullanıcılarının URL'lerinde, e-postalarından çıkaran bir işlemci kullanmalarını gerektirebilir, böylece e-posta okuyucusunun bir bağlantıya tıklamasını veya bir URL'yi kopyalamasını imkansız hale getirebilir. Kullanıcılara zorluk yaratsa da bu sistem, e-posta yoluyla phishing tehlikesini neredeyse tamamen ortadan kaldırır.

Her ne kadar, phishing saldırılarını önlemek için yıllardır uygulanan ve her gün geliştirilen bir çok teknoloji olsa da, phishing saldırılarının hala önüne geçilememesinin sebebi Ağustos 2014'te Forbes'te yayınlanan bir makalede; phishing'in, insanların zayıflıklarından yararlanan bir sosyal mühendislik olması ve teknolojinin, insan zayıflıklarını telafi etmekte yetersiz kalması, olarak açıklanmıştır.

Phishing (Oltalama) Saldırılarına Karşı Hukuki Başvuru Yolları ve Yaptırımlar Nelerdir?

Önemle belirtmek gerekir ki, siber suçların, fiziksel olarak işlenen tehdit, şantaj, hakaret, hırsızlık, dolandırıcılık gibi suçlardan hiçbir farkı yoktur; dolayısıyla da hukuk devletinde yaptırımsız kalması mümkün değildir. Phishing ya da başka bir siber suça maruz kalan mağdurların derhal emniyet birimleri ya da Cumhuriyet Başsavcılıklarına başvurarak, şikayette bulunmaları gerekir.

5237 sayılı Türk Ceza Kanununda bilişim suçlarını düzenleyen maddelere baktığımızda, phishing ya da oltalama ile ilgili doğrudan bir düzenlemeye rastlamayız. Ancak phishing, aynı kanununda düzenlenen dolandırıcılık suçunun, daha çok cezayı gerektiren bir nitelikli halini teşkil eden; "bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle nitelikli dolandırıcılık suçu" kapsamında değerlendirilir ve "dört yıldan az olmamak üzere on yıla kadar hapis ile suçtan elde edilen menfaatin iki katından az olmamak üzere beş bin güne kadar adlî para cezası" ile cezalandırılır. Almanya ise aynı suça, 2 yıla kadar hapis veya seçenek yaptırım olarak adli para cezası öngörmüş olup, ülkemize göre daha esnek bir yaklaşım gösterir.


Yazar: Timur Özçelik

Timur Özçelik, uzun yıllar çeşitli platformlarda teknoloji üzerine içerik ürettikten sonra, 2021 yılında Güvenli Sörf için yazmaya başlamıştır. Özgür yazılımı savunan ve gizliliğe önem veren Timur, tutkulu bir Ubuntu kullanıcısıdır.