Phishing (Oltalama) Nedir?

Oltalama; yasa dışı yollarla kişilerin şifrelerini veya kredi kartı bilgileri gibi gizli bilgilerini elde etmek için dolandırıcılar tarafından kullanılan bir yöntemdir. Bu yöntemde genellikle, banka gibi bir kurumdan geldiği intibası verilen elektronik posta (e-mail) kullanılmaktadır. Oltalama kavramı 1995 yılında ortaya atılmıştır ve kelime balık avına yönelik bir analojiden gelmektedir. Buna göre, internette başkalarının şifre gibi gizli bilgilerini edinmek isteyen kişiler, adeta bir balıkçı gibi olta atmaktadır ve bu oltaya takılan şifreleri elde etmektedirler.

Phishing saldırıları genellikle kullanıcı isimleri, şifreler, kredi kartı bilgileri, ağ kimlik bilgileri gibi hassas ve gizli bilgilere ulaşmak amacıyla yapılan saldırılardır. Siber saldırganlar, telefon veya e-posta yoluyla normal bir birey veya kurum gibi görünerek mağdurları belirli eylemleri - zararlı bir bağlantıya veya eke tıklamak gibi - gerçekleştirmeleri veya isteyerek gizli bilgileri açıklamaları için manipüle etmek üzere sosyal mühendisliği kullanırlar.

Burada amaç; e-postayı alan kişiyi, mesajda istediği veya ihtiyacı olduğu bir şey olduğuna – müşterisi olduğu bankadan gelen bir istek veya şirketindeki çalışma arkadaşından gelen e-posta gibi – inandırmaktır. Phishing dolandırıcılığı, mağdurları hassas bilgileri sağlama konusunda kandırmak için e-posta dışında, telefon görüşmelerini, kısa mesajları ve sosyal medya araçlarını da kullanabilir.

Oltalama saldırıları, genellikle üç aşamada gerçekleşmektedir. İlk aşamada oltalama saldırısı yapacak kişiler, gerçek bir kuruma (örneğin Paynet’ten geliyormuş gibi) aitmiş izlenimi veren sahte web sayfaları oluşturmaktadırlar. İkinci aşamada ise, büyük kullanıcı gruplarına, gerçek kurumlardan gelmiş izlenimi veren elektronik postalar (e-mail) atılmakta ve bu postalarda kullanıcılardan verilen linki açıp bilgilerini girmeleri istenilmektedir. Bu noktada genellikle kurumun veri tabanında problem oluştuğu için kullanıcı bilgilerinin silindiği bu sebeple bilgilerin tekrar girilmesi gerektiği gibi yalandan bir bahane ileri sürülmektedir. Bu aşamada, gelen elektronik postayı inandırıcı bulup, verilen linki açan ve bilgilerini giren kişilerin bilgileri saldırı yapanların eline geçmektedir. Saldırının üçüncü ve son aşamasında ise, elde edilen bu bilgiler kullanılarak kişilerin kredi kartları yasadışı yollarla kullanılmakta veya banka hesapları boşaltılmaktadır.

Oltalama saldırıları her zaman elektronik posta yoluyla gerçekleştirilmemektedir. Bazen de yine gerçek bir kurumdan geliyor izlenimi yaratacak şekilde, kişiler telefonla aranmakta, çeşitli bahaneler sunularak kandırılan kişiden şifre gibi bilgilerini tuşlaması istenilmektedir.

Nelere Dikkat Edilmeli?

Bu noktada özellikle beklenmedik bir elektronik posta aldığımız zaman durumdan şüphelenmeliyiz. Gelen elektronik postada yazım hataları olması da, oltalama saldırısına maruz kaldığımızın belirtisi olabilir. Kurumsal firmalardan gelen elektronik postalarda yazım hataları olması sık rastlanan bir durum değildir. Bazı durumlarda, gelen elektronik postanın ekinde fatura vs. gibi bir evrak olduğu belirtilmektedir, bu noktada şüphelendiğimiz elektronik postaların eklerini de kesinlikle açmamalıyız. Oltalama saldırılarına maruz kalmamak için, kişisel bilgilerimizi isteyen hiçbir elektronik postayı dikkate almamalıyız. Hiçbir kurum müşterilerinden elektronik posta yoluyla bilgi istemez. Bu sebeple kişisel bilgilerimizi isteyen elektronik posta aldığımız durumda, ilgili elektronik postayı silmeli ve kullandığımız sistemin eğer sistem yöneticisi varsa kendisini bilgilendirmeliyiz. Böylelikle dünya genelinde oldukça yaygın olan oltalama saldırılarından kendimizi koruyabiliriz.

Sertifika Kontrolü

Paynet ekranlarına giriş yapmak için aşağıdaki adımları izlemeli ve sertifika kontrolü yapmalısınız. Paynet web sitesine, internet tarayıcısının adres çubuğuna "www.paynet.com.tr" yazılarak erişim tercih edilmelidir.

Dolandırıcılar sizden, sahte SMS, e-posta ve sosyal medya (Facebook, Instagram vb.) üzerinden Paynet’e ait gibi görünen sahte hesaplar, reklamlar veya arama motorları üzerinden ulaştığınız sahte internet siteleri aracılığıyla kimlik bilgilerinizi, şifre, pin, parola, annenizin evlenmeden önceki soyadı ve benzeri gizli bilgilerinizi isteyebilirler. SMS, e-posta ve sosyal medya üzerinden yönlendirildiğiniz veya arama motorları üzerinden giriş yaptığınız web sitelerinin adreslerini ve sertifikalarını mutlaka kontrol edin. Paynet’in web uygulamalarında “Issued to: *.paynet.com.tr” ibaresini görmelisiniz. (Görseli aşağıdadır.) Sertifikada sorun görürseniz kesinlikle işlem yapmayın ve bankanıza bilgi verin.

sertifika kontrol

Cep telefonlarınıza yüklemek istediğiniz Paynet uygulamasını mutlaka resmi uygulama mağazalarından (Google PlayApple Store gibi) indiriniz. Resmi olmayan uygulama mağazalarından veya internet sitelerinden indireceğiniz uygulamalar nedeniyle telefonunuza virüs bulaşabilir. Ayrıca, telefon rehberiniz, size gelen SMS'ler ve bankacılık bilgileriniz ele geçirilebilir.