Herhangi bir bankadan sizden kişisel bilgilerinizi talep eden bir e-posta aldınız mı? Aşağıdaki bağlantıya acilen tıklamanızı isteyen bir tanıtım e-postası? Ya da hesabınızın ele geçirildiğini ve hemen şifre değiştirmeniz gerektiğini söyleyen bir e-posta? Peki adını hiç duymadığınız bir seyahat acentasından tesisinize rezervasyon yapıldığını belirten bir e-posta? Umarız bu gibi durumlarda hiçbir şeye tıklamamışsınızdır, zira bir ‘phishing’ saldırısı kurbanı olmanızı hiç istemeyiz.
‘Phishing’ (oltalama/yemleme) bir siber saldırı çeşididir. Bu saldırılarda, kötü niyetli kişiler e-posta, mesaj, arama gibi çeşitli yöntemlerle size ulaşarak kişisel bilgilerinizi ele geçirmeyi amaçlarlar. Bu saldırılar maalesef her zaman bariz olmuyor. 1990’ların ortalarında resmi olarak tanımlanan ‘phishing’ saldırılarının en tehlikeli yanı bu kişilerin size tanıdığınız ve en önemlisi güvendiğiniz kişi ve kurumları taklit ederek yaklaşmalarıdır. Size attıkları e-postada bir neden yaratarak kişisel bilgilerinizi isteyebilir, güvenilir olmayan bağlantılara tıklamanızı sağlayabilir, bilgisayarınıza erişim sağlayabilir ve daha pek çok kötü amaç için sizi manipüle etmeye çalışabilirler. Sonuç olarak dolandırılabilir ve şahsınıza ve işletmenize dair hassas bilgileri ele verebilirsiniz.
Teknolojinin son hız ilerlemesi maalesef ‘phishing’ için de geçerli. Profesyonel bilgisayar korsanları her geçen gün yeni bir yöntem geliştirerek gittikçe fark edilmesi daha zor senaryolarla karşımıza çıkıyorlar. Örneklere yetişmek mümkün değil. Ancak durum bu kadar endişe verici olmak zorunda da değil. Birkaç basit noktaya dikkat ederek işlerinizi sorunsuz ve güvenli bir şekilde yürütebilirsiniz.
Hassas bilgileriniz sadece size özeldir
Unutmamanız gereken ilk ve en önemli nokta, hiçbir kurum veya kuruluş e-posta üzerinden sizden şifreniz gibi kişisel bilgilerinizi istemeyeceği. Proaktif bir şekilde bu ve benzeri durumların önüne geçmek için çeşitli hesaplarınız için kullandığınız şifrelerin birbirinden farklı olmasına dikkat edin ve belirli aralıklarla şifrelerinizi güncelleyin. İki faktörlü (two-factor veya 2FA) doğrulama sistemlerini kullanarak ve en önemlisi şifrenizi hiç kimseyle paylaşmayarak hesaplarınızı kolaylıkla güvence altına alabilirsiniz.
Gönderen URL adresini dikkatli okumanız yeterli
Kimden geldiğinden emin olmadığınız ya da şüpheli görünen e-postalardaki yönlendirme ve bağlantıları kesinlikle takip etmeyin, tıklamayın. Örneğin, yıllardır birlikte çalıştığınız ve güvendiğiniz “HotelRunner” markasının nasıl yazıldığını bilmeniz ve contact@hootel-runner.com gibi bir adresten gelen e-postadan şüphelenmeniz gerekir. Sizi kullanıcı adınız ve şifrenizi talep eden bir web sitesine yönlendiren bir bağlantıya tıkladıysanız bile, tarayıcınızın adres çubuğundaki adresin doğru olduğundan hassas bilgilerinizi girmeden önce mutlaka emin olmalısınız. Aynı zamanda ziyaret ettiğiniz sitenin bir güvenlik sertifikasına sahip olduğunu da adresin başında “https://” ibaresini görerek teyid edebilirsiniz. Böyle bir durumda çalıştığınız firmayla iletişime geçerek onları durumdan haberdar etmek saldırının önüne geçmek için faydalı olacaktır.
Aciliyet duygusuna yenik düşmeyin
“24 saat içinde şifrenizin süresi dolacaktır, hemen aşağıdaki bağlantıya tıklayarak yenileyin.” gibi bir e-posta aldıysanız bu e-postanın bir ‘phishing’ saldırısı olma ihtimalini göz önünde bulundurun. Bu tarz saldırılar ödül/ceza sistemi ile sizi harekete geçirerek hızlıca aksiyon aldırmaya yöneliktir. Örneğin, birileri severek kullandığınız bir sosyal medya uygulamasını taklit ederek ve aciliyet duygusu yaratarak bilgilerinizi ele geçirmeye çalışıyor olabilir. Böyle bir durumda e-postanın kimden geldiğine dikkatle bakın ve kısaltılmış URL bağlantılarına (ow.ly, tinyurl.com, is.gd, goo.gl, tiny.cc, cli.gs gibi) emin olmadan tıklamayın.
Phishing çeşitleri ve yöntemleri sürekli gelişmeye ve hayatımızda olmaya devam edecek. Telefon ve e-posta gibi iletişim yöntemlerini hayatımızdan çıkarmamız mümkün değil. Dolayısıyla güvenli bir şekilde işlerimizi ve hassas kişisel bilgilerimizi yönetmeyi öğrenmemiz gerekiyor.
‘Phishing’ saldırılarından korunmak için yapmanız gereken yeni bir e-posta aldığınızda gerçekten “e-postayı dikkatli okumak”.
