Artan ve Maalesef Başarılı Olan Oltalama (Phishing) Saldırıları

Phishing (oltalama) bilgi güvenliği dünyasının dışında kalan pek çok kullanıcının da artık farkına vardığı bir konu.


Bu saldırı metodu ile saldırganlar bizden;

- finansal, kişisel, kullanım bilgilerimiz vb. bilgiler çalıyor,
- bilgilerimizin teyidini yaparak daha emin tuzaklar kurabiliyor,
- bilgisayarlarımıza uzaktan erişim sağlama avantajı ile yine bizden faydalanıyorlar.







Türkiye'de son aylarda başarı yüzdesinin arttığı bu saldırı metodu yoğun olarak e-posta ile bizlere ulaşıyor. Son haftaların en popüler faciası ise "PTT Posta Hizmetleri" maskesi ile meydana çıktı.

Bu son saldırıda gerçekten başarılı bir çalışma yapan (!) hırsızların, bizim gündelik zaaflarımızı nasıl takip ettiklerini, bizi pek çok firmayı taklit ederek yakalamaya çalıştıklarını görmekteyiz.

Üstelik bizden bilgi çalma aşaması bir sonraki aşamaya, fidye istemeye kadar uzandı!

Kargo, telefon operatörü, internet servis sağlayıcı  gibi dev firmalarımızın adreslerini ve kimliklerini taklit eden saldırganlar Türkiye'de faaliyet göstermeye oldukça kararlı görünüyor.

Gönderilen oltalama (phishing) mesajları ile indirilen dosya neticesinde sistemimizde yer alan ve genellikle bizim için önem taşıyan dosyalar kriptolanarak bu dosyaların kullanımı engelleniyor.

Bir ücret karşılığında da kullanıma açılabileceğine dair mesaj gönderilip, peşin ödeme indirimi (!) de sunuluyor.

Ransomware (fidye) olarak bilinen bu metot maalesef dünya genelinde teknoloji yatırımını kısmen yapan ancak henüz "güvenlik" alışkanlıkları ve altyapı yatırım seviyesi yetersiz ülkeleri özellikle hedef almakta.

Günümüzde artık saldırganlar "hedef" seçerek daha akıllıca ilerliyor

Saldırganların artık daha tertipli ve organize olarak düzenledikleri bu saldırılar karşısında güvenlik camiası bir çok noktada ilk saldırılara önlem almakta yetersiz kalıyor. Çünkü saldırı türleri çeşitleniyor ve değişik coğrafyalara yaygınlaşıyor. Bu tip saldırıların ise ilk görüldüğü andan itibaren tespiti ayrı bir uzmanlık konusu.

Geliştirilen önlemlerin çoğunda insan faktörü dolayısıyla başarı düzeyinin yetersiz olduğu görülüyor. Zincirin en önemli parçası ve zafiyet kaynağı olan insanlar her ne kadar bilinçli olsalar dahi yeni metotlar karşısında yetersiz kalıyor, sorumluluklarını yerine getirmeyi unutuyor, ya da çoğu zaman "dalgınlığına geliyor".

Herkesin satın alabileceği ve içi rahat şekilde uzmanı olmadıkları bu tehlikeli konuları emanet edebileceği bir çözüm ne kadar güzel olurdu değil mi?

Neyse ki ISR Bilgi Güvenliği bu konudaki çalışmalarını neredeyse tamamlamak üzere. Bu tip saldırıların etkilerini daha ortaya çıktıkları ilk günden bertaraf edecek çözümler geliştirmek üzerine çalışmalarını hızla sonuçlandırıyor..

Artarak Devam Eden Çağrı Merkezi Aramaları ve Güvenlik Zorlamaları

Gündelik hayatımızda aldığımız elektrik, su, TV, internet, telefon vb. altyapı hizmetleri, gerekse gıda, giyim ve ihtiyaç malzemeleri gibi temel alışverişlerimizde hepimiz kişisel bilgilerimizi vermek durumunda kalabiliyoruz.

Hizmetin kalitesini artırma ve hızlı iletişim gerekliliği gibi sebepler dolayısıyla belirtmek zorunda kaldığımız bu bilgilerimiz, paylaştığımız kurum tarafından pek çok sefer bizden izin alınmadan amacı dışında 3. taraflarla; çeşitli kurumlara da dağıtılıyor.

Bilgileri elde edilen kişinin eziyet derecesinde reklam iletişimlerine, otomatik reklam aramalarından tutun da ilgisi dahilinde olmayan pek çok konu ile tacize maruz kalması bir yana, bilgileri kullanılan bizlerin hakları iyiden iyiye hiçe sayılarak adeta aşağılanıyoruz.

Bilginin izinsiz paylaşımı ile müşteri bilgilerinin güvenliğini hiçe sayan kurumlar bu verileri ilettikleri kurumlara bilgi kaynağının açıklanmaması üzere ciddi talimatlar vermekteler. Bu durumda bilgisi izinsizce el değiştiren, güvenliği hiçe sayılan bizler, tarafımıza gelen çağrılarda size nasıl ulaştıklarını sorduğunuzda aşağılarcasına bilgi kaynağının gizlilik taşıdığını saçmalar vaziyetteler.

Bu tip aramaların - e-postaların çokluğu bizim için zaman kaybından öte duyarsızlık gibi kötü bir alışkanlık kazanmamıza yol açıyor. Bilgimizin güvenliğinin sağlanamamasından şikayetçi olmayı bırakıp durumu kabullenerek bize önerilen hizmet ve/veya tarafımıza yönlendirilen soruları kolaylıkla yanıtlar hale geliyoruz.

Bu konuda en açık örnek yakın dönemlerde yaşanan bilindik çağrı merkezi benzeri numaraların lokal (0216 , 0212 , 0312, 0262 vb.) alan kodları ile aramalara yanıt verenlerin kurum aldatmacası çerçevesinde pek çok kullanıcıyı dolandırıcılık seviyesinde kandırması ve bilgi toplaması.

Unutmayalım ki karşımızdaki kurum ister devlet kurumu ister özel bir kurum olsun telefon üzerinden hukuken geçerli olan resmi bir bildirimde bulunamaz. Ses kaydı alındığını belirterek özellikle kayıt güncelleme, ihbar iletimi gibi konulara ilişkin bizleri arayanlar bu bildirimleri resmi çerçevede gerçekleştirme yetkisine sahip değildir.

Sizi arayıp hesabınızın, hattınızın, işlemin güvenliği vb sebepler ile kimliğinizi teyit etmek zorunda olduğunu belirten ve kimlik bilgilerinizi, özel bilgilerinizi "teyit amaçlı" isteyen, özellikle de daha önce tanımadığınız, genel markaların çağrı merkezi numaralarına benzemeyen şüpheli numaralardan gelen talepleri asla muhatap almayınız.

Unutmayınız ki güvenlik teyidi tek taraflı olamaz; arayan kişinin de aramakta olduğu kurumu, yetkili bulunduğunu, kimliğini size doğrulayabiliyor olması gereklidir ki bu doğrulama yapılmadan verilen bilgiler yüzünden pek çok vatandaşımız mağdur durumda kalmaktadır. Pek çok kurum bu dolandırıcılıkların önüne geçebilmek için görevlendirdikleri kişi ve/veya şirketleri kendi bünyesinde olmasa dahi web sayfaları ve/veya çeşitli reklamlarında anons ettiği çağrı merkezi numaraları üzerinden aramaktadır.

Şüpheli bir aramayla karşılaştığınız takdirde herhangi bir bilgi vermek istemediğinizi belirtmeli ve arayan kişi ikna sürecine girmeye çalışmadan görüşmeyi derhal sonlandırmalısınız. Görüşmenin gerekliliği had safhada belirtiliyor, acil olduğu belirtiliyor ve/veya inandırıcılığının yüksek olduğunu düşünüyorsanız bu durumda sizin ilgili kurumun beyan ettiği iletişim bilgilerü üzerinden iletişime derhal geçeceğinizi belirterek, görüşmeyi derhal sonlandırarak ilgili kuruma telefon veya bizzat başvuru ile sizin ulaşıyor olmanız hem olası bilgi çalınma - dolandırıcılık girişimini önleyecek hem de bildiri konusu gerçek ise gerekenin yerine getirilmesini sağlamış olacaktır.

Bu tip girişimlerde "saldırganlar" senaryo bazlı çalışmalarda bulunup ikna gücü yüksek kurgular ile sizden bilgi elde etmeye ve nihayetinde çıkarları doğrultusunda kullanmayı, size zarar vermeyi hedeflemektedirler. Teknolojinin yaygınlaşması dolayısıyla saldırı mecraları artık fiziki dolandırıcılık - saldırı safhasından da ileriye gitmekte; telefon ile saldırılara, e-posta, web türü elektronik saldırılara dönmüş bulunmaktadır.

Kullanıcısı olduğumuz teknolojik cihazların ve methotların bize sağladığı faydaların yanında risklerin de bilgisine sahip olmak; farkında olmak, kullanım sıklığınızın gerektirdiği ölçüde periyodik olarak fayda ve zararları hakkında bilgi araştırması yapmak, eğitimler almak artık çağımızda bir zorunluluk halini almıştır.