Kimlik Avı Nedir?
Bankacılık dolandırıcılığından endüstriyel casusluğa, kimlik avının neden bu kadar kazançlı olduğuna bakıyoruz
Her gün her türden kaynaktan gelen sayısız e-posta ile, her birini dikkatle incelemek ve masum olduğu kanıtlanana kadar suçlu gibi davranmak yorucu bir iştir. Ne yazık ki, bunu yapmamak, kimlik avının bu kadar kazançlı bir hackleme tekniği olarak kalmasının nedenidir.
Kimlik avı, kurbanı, para, tanımlanabilir veri veya oturum açma kimlik bilgileri gibi güvenilir bir kaynağın sizden bir şeye ihtiyacı olduğuna inandırmaya çalışan e-postalar yoluyla en yaygın olarak iletilen bir saldırı yöntemidir.
Uzun zamandır en yaygın ve maliyetli saldırı yöntemi olmasına rağmen, 2020’de saldırı sayısının %200 artmasıyla, oltalama özellikle pandemi sırasında tercih edilir hale geldi.
Kötü niyetli e-posta eklerini açmak basit bir saldırı yöntemidir, ancak en etkili yöntemlerden biri olduğunu kanıtlamaya devam ediyor. Bu, birçok organizasyonun ulaştığı, siber güvenliğin insan unsurunun en zayıf halka olduğu sonucunu desteklemektedir.
Karşılaşabileceğiniz bazı oltalama saldırıları türleri ve saldırganların motivasyonları hakkında bilmeniz gerekenler burada.
Kimlik Avı Geçmişi
Teorik bir kimlik avı tekniği ilk olarak 1987’de tanımlanmış olsa da, bu tür saldırılar, tüketici internetinin ortaya çıkmasıyla 1990’larda gerçekten popülerlik kazanmaya başladı.
Kimlik avının en eski örneklerinden biri AOHell olarak biliniyordu ve bir müşteri hizmetleri hilesiydi. Bu bilgisayar korsanlığı aracı, AOL kullanıcılarını hedef aldı ve saldırganın müşteri hizmetleri temsilcisi gibi görünmesine izin verdi. Hedef kullanıcı, şifresini verdiyse, vermesi için teşvik edilir, ardından saldırgan hesabını kötü amaçlarla kullanabilir.
Türlerin ve tekniklerin sayısı önemli ölçüde artmış olsa da, bu gizli taktikleri kullanma unsuru, kimlik avının tanımlayıcı özelliği olmaya devam ediyor.
Phishing Saldırısı Nasıl Anlaşılır
Çoğu kullanıcı, kötü niyetli e-postalar şeklinde kimlik avı saldırıları ile karşılaşacaktır. Yukarıdaki resimde gösterildiği gibi, bunların çoğu servis sağlayıcının yerleşik filtreleri tarafından yakalanacak ve bu filtreler kullanıcıyı şüpheli içerik veya gönderenin adresiyle ilişkili son saldırılar konusunda uyaracaktır. Bununla birlikte, bazı kötü niyetli e-postalar ağ üzerinden kayıp gidecektir, bu nedenle, özellikle de hiçbir anlaşmanızın olmadığı şirketlerden geldiği iddia edilen herhangi bir beklenmedik e-postadan her zaman şüphelenmek önemlidir.
Olağandışı Gönderen Adresi
Meşru bir şirketten gelen bir e-posta normalde oldukça standart bir adres kullanır – bu, markayı temsil eden bir şeydir. PayPal.com yerine PayPal.net kullanmak gibi karmaşık saldırılar taklit ettikleri şirket gibi görünmeye çalışsa da, birçoğu bu çabadan vazgeçecek ve kurbanın fark etmeyeceği umuduyla açıkça şüpheli e-posta adresleri kullanacak. Yukarıdaki resimde görebileceğiniz gibi, bu e-postanın DHL Express’ten geldiği iddia ediliyor, ancak mesaj tamamen tanınmaz bir adresten gönderilmiş.
Yazım Hataları, Dilbilgisi Hataları, Garip İfadeler
Meşru e-postalar, özellikle otomatikleştirilmişlerse, gönderilmeden önce normalde birçok doğrulama ve kontrol katmanından geçirilir. Bu, yazım ve dilbilgisi hatalarının veya kulağa tam olarak doğru gelmeyen cümlelerin anında kırmızı bayrak olması gerektiği anlamına gelir. Özellikle e-posta otomatik olarak görünmüyorsa, ara sıra yapılan yazım hataları anlaşılabilir, ancak yine de bariz hatalardan şüphelenmelisiniz.
Yukarıdaki resimde görebileceğiniz gibi, e-posta, kulağa pek de doğru gelmeyen resmi bir onayla geliyor.
Belirsiz Bilgi veya İstekler
Şirketler genellikle müşteri yazışmalarını, genellikle e-postayı hesap bilgilerinden alınan belirli bir isme yönlendirerek veya yakın tarihli bir siparişten çok özel bilgiler kullanarak kişiselleştirmeye çalışacaklardır. Bu durumda, özellikle e-posta bir ‘Efendim/Madam’ veya ‘Alıcı’ya gönderildiğinde veya e-postada yakın tarihli bir siparişe ilişkin belirsiz referanslar varsa, bu kişiselleştirilmiş bilgilerin eksikliği başka bir tehlike işaretidir. Kötü amaçlı e-postalar, bu belirli bilgi eksikliğini, bir bağlantıya tıklamak veya bir eki açmak gibi ikincil bir eylemi teşvik etmek için kullanır.
İşletmeler yeni çalışma yöntemleri ve çalışanları güvence altına almak için mücadele ederken, bilgisayar korsanları pandemi fırsatının üzerine hızla atladı.
Bilgisayar korsanlarının kötü niyetli e-postalara tıklamaları sağlamak için insanların virüs korkularını oynamasıyla, iletişimlerin çoğu da koronavirüs etrafında toplandı.
Geçen yıl Mayıs ayında Microsoft, kötü amaçlı Excel 4.0 makroları içeren ekler göndermek için koronavirüs temalı e-postaları kullanan “büyük” bir kimlik avı kampanyası konusunda uyardı. Konu satırında “WHO COVID-19 DURUM RAPORU” olan bu kötü amaçlı yazılım yüklü e-postaların, Johns Hopkins Sağlık Güvenliği Merkezi’nden geldiği iddia edildi ve ABD’deki koronavirüs vakalarını gösterdiğini iddia eden bir grafik gösterdi.
Ayrıca Google, pandemi sırasında gönderilen kimlik avı e-postalarında büyük bir artış kaybetti. Şirket, şu anda günlük olarak yaklaşık yüzde 20’si COVID-19 ile ilgili olan 100 milyondan fazla kimlik avı e-postasını engellediğini söyledi. Genellikle devlet kurumlarının ve şirket müşterilerinin kimliğine bürünen bu e-postalar, evden çalışan çalışanları, küçük işletmeleri ve hükümet kaynaklı karantinadan etkilenen kuruluşları hedeflemek üzere tasarlanmıştır.
Kimlik avı e-postalarıyla hedef alınanlar yalnızca evden çalışan sıradan çalışanlar değil. NHS ayrıca kriz sırasında e-postalarla dolup taştı ve NHS personeli, pandeminin başlangıcından bu yana yaklaşık 43.108 kötü niyetli e-posta aldı ve bunların yarısı yalnızca mart ayında teslim edildi.
Dünya Sağlık Örgütü ayrıca , salgının ilk birkaç haftasında kimlik avı saldırılarında beş kat artış olduğunu bildirdi. Bu saldırılar, pandemi hakkında gizli bilgiler elde etmeyi veya onunla mücadele etmeye çalışanları rahatsız etmeyi amaçlıyordu. Bu, bildirildiğine göre aşı üreten şirketleri kimlik avı yapmaya çalışan bilgisayar korsanlarına dönüştü.
Finansal Kimlik Avı Saldırıları
Mali güdümlü oltalama saldırıları uzun süredir kullanılmaktadır ve birçok farklı kılığa bürünmektedir.
Birçoğumuz sözde Nijeryalı Prens dolandırıcılık e-postalarına aşina olacağız; bu e-postalar sayesinde, herhangi bir nedenle servetinin bir kısmını ülke dışına aktarmak isteyen bir Nijeryalı prensin temsilcisi olduğunu iddia eden bir kişi kurbanla iletişime geçer ve dolandırıcının bankalarını bir kanal olarak kullanmasına izin verirlerse kurbana bir miktar para verir. Diğer varyasyonlar, uzun süredir kayıp bir akrabanın veya daha yakın zamanda, tatildeyken soyulan ve acil krediye ihtiyacı olan bir arkadaş veya aile üyesinin ölümüdür.
Normalde, bu dolandırıcılık para kaybına neden olur – banka bilgilerinin verilmesi nedeniyle değil, kurbandan önce dolandırıcıya para ödemesi istendiği için ve bu dolandırıcıdan bir daha haber alınamaz.
Bu, finansal oltalama saldırısının çok basit bir şeklidir ancak diğerleri çok daha karmaşıktır. Dolandırıcılar, gerçek bankalardan gerçek mesajlar gibi görünen, giderek daha iyi hazırlanmış e-postalar gönderiyor. Bu tür bir saldırı, bir kullanıcının tüm banka veya kredi kartı bilgilerini, kimlik avı e-postasındaki bir bağlantı aracılığıyla erişilen ve orijinal makaleye benzeyen ancak aslında suçlulara ait olan bir web sitesine girmesini amaçlar. Bu yapıldıktan sonra, kimlik avcısı ayrıntıları yasal kart sahibi veya banka müşterisiymiş gibi kullanabilir.
Hesap Devralma
Hesap ele geçirme, ilk kimlik avı saldırılarının hedeflendiği şeydir – sosyal medya, e-posta, forum veya başka bir şey üzerinden başka bir kişinin çevrimiçi hesabına erişim sağlamak ve ardından kontrolü ele geçirmek.
Bu genellikle meşru görünen bir e-posta, anlık mesaj veya doğrudan mesajla gönderilen kötü amaçlı bir bağlantı aracılığıyla yapılır. Kullanıcı tıkladığında, saldırganlar tarafından işletilen gerçekçi görünümlü bir web sitesine yönlendirilecek ve yukarıda bahsedilen bankacılık saldırılarında olduğu gibi, kullanıcı adı ve şifresini girmesi istenecektir.
Bir hesabın ele geçirilmesinin amacı, o e-posta adresinden veya sosyal medya hesabından spam göndermek olabilir; finansal bilgiler veya diğer hassas veriler dahil olmak üzere kişi hakkında daha fazla bilgi edinmek; ya da bir protesto biçimi olarak. Örneğin siyasetin kıyısındaki rakip ideolojilerin, rakiplerinin hesaplarını devraldığı ve kapattığı biliniyor.
Siber Casusluk
Bu kategori hem endüstriyel casusluğu hem de devlet düzeyinde gözetlemeyi kapsar. Her iki durumda da amaç, rakibinizi alt etmek veya bazı durumlarda sabote etmek amacıyla rakibiniz hakkında bilgi edinmektir.
Bu durumda, e-posta normalde bir tedarikçiden veya belki de şirket içindeki kıdemli bir kişiden gelmiş gibi görünecek ve aciliyet duygusuna sahip olacak şekilde hazırlanır. Bunun, e-postanın alıcısının bilgiyle daha hızlı yanıt verme olasılığını artıracağı ve ortaya çıkan herhangi bir şüpheyi ortadan kaldıracağı umulmaktadır.
Bu, casus yazılımlar ve endüstriyel makinelere veya ulusal altyapıya zarar vermek için özel olarak oluşturulmuş kötü amaçlı yazılımlar gibi diğer birçok siber saldırı türünü içeren çok daha uzun bir kampanyanın parçası olabilir.
Kimlik Avı Alt Türleri
“Kimlik avı” şemsiyesi altında, güvenlik araştırmacıları, yaklaşımlarında daha da fazla hedeflenen bir dizi alt grup belirlediler; en yaygın ikisi zıpkınla kimlik avı ve balina avcılığı.
Yemleme Kancası
Hedefli kimlik avı, belirli bir kişiyi veya şirketi hedefleyen bir kimlik avı kampanyasıdır. Kişiselleştirilmiş bir kimlik avı e-postası oluşturmak için daha fazla arka plan araştırması yapmaları gerektiğinden, bu teknik siber suçlunun biraz daha fazla çaba göstermesini gerektirir. Araştırmaya göre, dünya çapındaki kuruluşların %88’i 2019’da hedef odaklı kimlik avı saldırıları bildirdi.
Balina Avcılığı
Balina avcılığı mızrakla kimlik avına benzer, ancak bir işletmedeki CEO’lar ve CFO’lara odaklanarak daha da hedeflenir . Bu e-postalar, müşteri şikayeti veya mahkeme celbi gibi bir işletmedeki kıdemli bir kişinin bakması gereken acil bir öğe gibi görünmek üzere hazırlanmıştır. Dolandırıcılar genellikle daha sonra büyük miktarda para transferini talep eder.
Symantec raporu, “bu dolandırıcılıkların çok az teknik uzmanlık gerektirdiği için zarar verici olabileceği, ancak suçlular için büyük mali ödüller ve ilgili şirketler için önemli kayıplar elde edebileceği” belirtildi. Örneğin, 2016’nın başlarında, bir Avusturya havacılık şirketi CEO’sunu bunun üzerine kovdu. BEC dolandırıcılarına neredeyse (USD) 50 milyon dolar kaybetti.”
Yazının orijinali için tıklayınız.