İlk olarak “Phishing (Oltalama) nedir?” sorusuna yanıt verelim. Günümüz teknoloji çağında bilgisayar, telefon, tablet gibi internet tabanlı akıllı cihazların kullanımı son derece yaygındır. Bu gibi cihazlara internet aracılığıyla gerçekleştirilen ve sistemin çökertilip tüm kişisel verilere erişim sağlanan saldırılar siber saldırı olarak ifade edilir. Bugün sıklıkla karşılaştığımız siber saldırılardan biri de Phishing’dir.

Phishing, art niyetli insanların kötü amaçlarla birtakım kurum ya da kuruluşların, güvenli olduğu düşünülen tüketicilerin kredi kartı, banka ve kimlik bilgilerinin ele geçirilmesi amacıyla yapılan bir saldırıdır. Temeli insan hatasına dayanan bu tür kötü eylemler, ayrıca mühendislik saldırısı şeklinde de isimlendirilir.

Kripto para piyasalarında da adını sıklıkla duyduğumuz bu siber saldırı, çoğu zaman e-posta ya da elektronik ortamda gönderilen mesajlar sayesinde gerçekleştirilir. Kripto para oltalaması adıyla bilinen bu saldırılardaki amaç, tüketicinin sanal cüzdanında yer alan kripto paraları hacklemektir. Genellikle sahte internet siteleri üzerinden yapılan bu eylemlerde, kripto para piyasalarının neredeyse birebir internet sitesi kullanılır. Dolayısıyla durumunu anlayamayan birçok tüketici sahte siteye kendi bilgileri ile giriş yaparak bilgilerinin art niyetli kişilerce kullanılmasına ve hesabının hacklenerek Phishing saldırısına neden olabilir.

Phishing Saldırısı Nasıl Yapılır?

Phishing Saldırısının nasıl yapıldığı hakkında bilgi edinmek, çoğu zaman olası saldırılara karşı tedbirli olabilmek konusunda fayda sağlar. Gelişen teknoloji siber suçluların da kendisini geliştirebilmesine olanak sağlayabiliyor. Bu nedenle de gerçekleştirilen Phishing Saldırısı her geçen gün değişiklik gösterebilir.

• Yemleme Kancası, Phishing Saldırısının farklı bir yöntemi olarak karşımıza çıkar. Spear Phishing adıyla bilinen bu yöntemde detaylı araştırmalar yapılarak kurbanlar hakkında pek çok bilgiye erişim sağlanır.
• Başka bir yöntem olarak karşımıza çıkan “Oturum Çalma” yöntemiyse Session Hijacking adıyla bilinir. Bu siber saldırıda suçlular insanların web oturumları üzerinden kontrol sağlayabilir. Bu durumda yasa dışı yollardan web sunucusuna erişim sağlayarak kişisel bilgileri çalar ve Phishing Saldırısı gerçekleştirmiş olur.
• En sık mağduriyet yaşanan Phishing Saldırı yöntemiyse e-postadır. Spam e-posta olarak siber saldırganlar tarafından gönderilen bu iletilerde genellikle bir link bulunur. Tuzağa düşüp linke tıklayan tüketiciler ne yazık ki saldırganların kişisel bilgilerine erişmesine imkan sağlamış olur.
• Kripto para piyasalarına yönelik gerçekleştirilen Phishing Saldırısı İçerik Jenerasyonu’dur. Content Injection adıyla da bilinen bu saldırı web siteleri üzerinden gerçekleştirilir. Örneğin; güvenilirliği ispatlamış bir web sitesinin birebir kopyası olarak tasarlanan bu web sitelerinde, yalnızca küçük dokunuşlarla farklılıklara yer verilir. Dolayısıyla kullanıcılar çoğu zaman ayrıntıları fark edemeyip sahte site üzerinden kullanıcı adı ve şifre gibi kişisel bilgilerini girebilir. Bu durum karşısında her ne kadar site tarafından “kullanıcı adı ya da şifre yanlıştır” uyarısı alınsa da, bu esnada korsan yazılım devreye girerek girilen bu bilgileri saklar. Kullanıcı aynı bilgileri ikinci kez tekrar ettiğindeyse kopyalayarak kendi havuzuna aktarır.  Saldırganlar, bu şekilde elde ettikleri bilgileri gerçek web sitesinde kullanarak hesapta bulunan tüm dijital varlıkları başka bir hesaba aktarabilir.

Phishing’den Nasıl Korunabilirsiniz?

Oltalama, hemen her alanda tüketicilerin dikkat etmesi gereken önemli bir konudur. Bu nedenle Phishing’den korunma yöntemleri de hayati bir önem taşıyor. Bu gibi saldırılardan korunmak için şu hususlara dikkat edilmesi önemlidir:

• Tüketicilerin ilk olarak işlem yaptıkları piyasalarda doğru bir URL üzerinden sisteme giriş yapmaya çalışması gerekir.
• Kripto para piyasalarının neredeyse hepsi, kullanıcılarının güçlü bir şifre belirlemesinin ardından güvenlik resmi belirlemesini de ister. Güvenlik resmiyle tüketicilerin sisteme güvenli bir giriş yapması sağlanabilir.
• Oltalama ya da bu gibi tüm siber saldırılara karşı önlem alabilmek adına tüketicilerin lisanslı siber güvenlik yazılımları kullanması önerilir.
• Tüketici ve yatırımcıların kişisel bilgilerini talep eden mesaj ya da elektronik postalara itibar etmemesi gerekir.
• Tüketicilere üyesi olduğu borsaların e-posta adresine benzer bir adresten mesaj gönderilebilir. Bu yöntemle tüketicinin cihazına virüs bulaştıran saldırganlar kişisel bilgilere erişim sağlayabilir. Tüketicilerin bu gibi durumlarda da dikkatli olması, spam klasöründeki iletileri silmesi gerekir.
• Tüketicinin e-posta hesabındaki şifresinin, diğer hesaplarındakinden farklı olması önemli bir ayrıntıdır.
• Kripto para piyasasında işlem yaparken, WİFİ yerine hücresel verinin kullanılması önemlidir.
• Kripto para cüzdan şifresi her bir tüketicini en özel bilgileri arasında yer alır. Dolayısıyla güvenlik açısından tüketicinin şifresini herhangi bir kişiyle kesinlikle paylaşmaması gerekir.

Tüketici ve yatırımcıların hiçbir kurum ya da kuruluşun e-posta yoluyla kişisel bilgilerini talep etmeyeceğini de unutmaması gerekir.  

Phishing Saldırılarından Örnek

Phishing saldırılarından örnek göstermek gerekirse; en yaygın olarak kullanılan yöntem e-posta ve mesaj yöntemidir. Siber saldırganlar genellikle kripto para yatırımcılarına e-posta ya da sosyal medya hesabı üzerinden link içeren bir ileti gönderebilir. Linke tıklayan tüketici ne yazık ki kişisel bilgilerinin kopyalanmasına neden olabilir. Bu gibi örneklerde ciddi mağduriyetler söz konusudur.

Phishing saldırısının yasal bir şirketle alakalı olması durumunda bu saldırıya maruz kalan tüketicinin durumunu mutlaka ilgili şirkete bildirmesi gerekir. Bu sayede tüketici, ilgili şirketin sahte web sitesini kapatabilmesine ve suçluların takip edilerek yakalanmasına destek olabilir.