PHISHING Nedir?
Phishing, bir kullanıcıya e-mail göndererek, onun bilgisayarında kullandığı banka, kredi kartı bilgileri veya kullanıcıya ait herhangi bir bilginin, internet ortamında çalınmaya çalışılmasına denir.
Klasik olarak, kullanıcıya, banka, kredi kartı veya ticari bir amaçla üye olduğu web sitelerinde (Amerika’da ebay, amazon, Türkiye’de hepsiburda, estore vs gibi) kullanıcı bilgilerinin update edilmesi gerektiğini ifade eden bir e-mail gönderilir. Ancak, bu e-maildeki sözü geçen web sitelerin linki farklı linklerdir.
Örneğin; www.asılsite.com e-mail gönderilen kullanıcının kullandığı bir alışveriş sitesi olsun. Gönderilen e-mail’da, lütfen update edin gibi bir link bulunur. Ancak, bu linkin gideceği adres, www.asılsite.com değildir. Daha farklı bir sitedir. Sitenin domaini farklı olmasına rağmen içeriği o gerçek alışveriş sitesiyle aynı şekilde yapılmıştır. Bu nedenle, böyle bir yanlışı fark edemeyen internet kullanıcısı, login ve şifre kısmına, kullanıcı adı ve şifresini yazdığı anda, e-maili gönderen internet korsanı tarafından bu bilgiler ele geçirilir.
Dolayısıyla, kullanıcının alışveriş sitesinde, profil kısmında ödeme şekli olarak kullandığı banka veya kredi kartı bilgileri, internet korsanının eline geçmiş olur. Ne yazık ki, o internet korsanı, artık şifreleriniz bildiği için, gerekirse adres değişikliği yaparak, kredi kart limitinizi bitirene kadar alışveriş yapabilir.Amerika’da, özellikle Ebay, Paypal, Amazon kullanıcılarının başına phishing olayları hergün gelmektedir. Ülkemizde de, böyle olaylar ortaya çıkmıştır. Ayrıca, ülkemizde bazı bankalar, kredi kartlarını kullanan insanları uyarmak amacıyla, uyarıcı nitelikte e-mailler göndermiştir.Neler Çalınıyor?
Phishing yöntemi kullanarak bilgisayar kullanıcılarını tuzaklarına düşüren dolandırıcılar özellikle aşağıda belirtilen işlemleri çalıyorlar
1. Kredi, Debit/ATM Kart Numaraları/CVV2
2. Şifreler ve Parolalar
3. Hesap Numaraları
4. İnternet Bankacılığına Girişte Kullanılan Kullanıcı Kodu ve Şifreleri
E-Posta ile Phishing
E-posta yöntemini kullanan dolandırıcılar burada da kullanıcıları üç şekilde aldatma yoluna gidiyorlar. Şöyle ki:
a) E-postanıza devamlı temas halinde olduğunuz kuruluşlardan gönderiliyormuş izlenimi verilen sahte bir posta gönderiliyor. Bu e-postalarda kullanıcıya kurumun web sitesine giderek şifresinin süresinin dolduğu söyleniyor ve altta o sayfaya yönlendirileceği bir link(bağlantı yolu) veriyor. Korsan daha önceden hazırladığı ve kuruluşun sitenin aynısı olan bu siteye kurbanına getirdikten sonra, ondan şifreyi girmesini istiyor, sonra da kullanıcı kendi şifresini yeni şifresiyle değiştiriyor (normal de tabii ki değiştirmiyor. Esasen eski şifre hala geçerli olduğu için korsan bu şifre ile internet aracılığı ile para transferi, e-ticaret vb. işler yapabiliyor)
b) Bazı e-postalarda ise; bir yarışma düzenlendiği ve bu yarışmaya katılması teklif edilen kullanıcılara ödül olarak BMW marka bir araç kazandıkları ancak gerekli kişisel bilgileri vermeleri gerektiği söyleniyor. Bu gibi durumlarda bilgilerini veren kullanıcının tüm bilgileri dolandırıcının yani korsanın eline geçiyor.
c) Bir başka kullanılan teknikte ise; gelen e-posta da müşteriye kişisel bilgilerini güncellemesi gerektiği tüm bilgileri tekrar girmesi bunun kendileri açısından daha iyi hizmet verebilmeleri için gerekli olduğu söyleniyor.
d) Son zamanlarda bazı bankaların başlatmış oldukları ve cep telefonları ile para transferine imkân veren sistem kullanılarak banka müşterilerine sanki kendi hesaplarına para gönderilmiş veya alınmış gibi gösterilip sahte banka sitesi linki (bağlantı yolu) verilerek bu paranın tahsil edilebilmesi için bilgi güncelleştirmesi istendiği belirtilmektedir.Phishingten Nasıl Korunulur?
Unutulmaması gereken nokta her türlü online dolandırıcılık, sahtekarlık ve virüslere karşı en büyük korunma aracı, bu konuda bilinçli ve bilgili olmaktır. Bunu aklımızın bir kenarında devamlı bulundurmalıyız.Tabii ki internette güvenli alışveriş yapmayı istiyorsak.
1. E-postanıza gelen mesajların doğruluğunu ispatlayın. Tanımadığınız kimselerden gelen mesajları silin, asla cevap vermeyin. "Aşağıdaki bağlantıya tıklayın"gibi e-posta isteklerine ASLA YANIT VERMEYİN
2. İşlemlerinizi online yaparken, işlem yaptığınız web sayfasının güvenli olup olmadığını MUTLAKA kontrol edin !
İnternet tarayıcınızın üst kısmında bulunan adres bölümünde bulunan adresin "https://" olup olmadığını kontrol edin. “https://”’in sonunda bulunan “s” harfi bu sayfanın güvenli ve çeşitli şifreleme metotları ile işlem yaptırdığını belirtir.
Ek olarak, internet tarayıcınızın sağ alt kısmında yer alan kapalı kilit işareti, yine güvenli ve şifrelenmiş bir sayfada işlem yaptığınızı gösterir.
Bu işaret sayfanın SSL ile şifrelendiğini ve sitenin gerçekten çalıştığınız kuruluşa ait olup olmadığını göstermektedir, üzerine iki kez tıklandığında ise; aşağıdaki örnekte görüldüğü gibi bir mesaj çıkacaktır.
-ÖRNEKTİR-
"Issued to: www.abidayibank.com.tr ve "Issued by: www.verisign.com/CPS Incorp.by Ref.LIABILITY LTD.(c)97 VeriSign" bilgileri kontrol edilmelidir.
Unutulmaması gereken noktaların başında ise yukarıda anlatılan bu iki güvenlik önlemi de dolandırıcılar tarafından tekrar oluşturulabiliyor. Bu sebeple; eğer internet bankacılığını veya e-alışveriş yapmak istiyor iseniz yapmanız gereken şey, işlem yapmak istediğiniz sayfayı kendinizin girmesi en güvenilir yoldur.
3. İnternet adresi olarak sayısal rakamlar içeren adresler ile karşılaşırsanız kullanmadan önce MUTLAKA kontrol edin !
Ziyaret ettiğiniz web sitelerinde; adresler çoğunlukla adres kısmı, ardından firmanın ve şirketin ismine ek olarak, com, org, net gibi uzantılar ile biter.
4. Size ulaşan e-posta’nın kimden geldiğinden ve doğruluğundan mutlaka EMİN OLMALISINIZ!
Öncelikle gelen e-postanın kimden geldiğine muhakkak emin olmalısınız eğer ki e-posta’nın kimden geldiğinden emin olamıyor veya gönderilen içerik ile ilgili bazı şüpheleriniz oluyor ise mutlaka direkt olarak sizden bilgi talep ettiğini öne süren gerçek kuruluş ile irtibata geçiniz. ÇÜNKÜ ÇALIŞTIĞINIZ KURUM SİZE ASLA KİŞİSEL BİLGİLERİNİZ VEYA ŞİFRENİZİ SORAN E-POSTA GÖNDERMEZ. BUNU SAKIN UNUTMAYIN!!!
5. Güvenmediğiniz Network(Ağlarda) kesinlikle elektronik işlem yapmayınız. Kullandığınız bilgisayar güvenilir olsa bile eğer networke(Ağa) güvenmiyorsanız ELEKTRONİK İŞLEM YAPMAYINIZ!!!
6. Bankanızdan gelen kart ekstrelerini, hesabınızı düzenli olarak kontrol etmeyi unutmayın. Olası aksiliklerde bankanızla ile irtibata KESİNLİKLE GEÇİN.
7. Sisteminizi düzenli olarak kontrol edin. İşletim sisteminizin güvenlik yamalarını yükleyin, antivirüs yazılımınızı devamlı olarak güncelleyin. İNTERNET TARAFINDAN GÜNCEL KALMASINI SAĞLAYIN
8. Çeşitli kurumlardaki hesaplarınızı veya eğer ki birden fazla e-posta adresiniz var ise kesinlikle kendinizi her biri için FARKLI ŞİFRELER BELİRLEYİN
9. Belirlediğiniz şifreleri belli aralıklar ile muhakkak değiştirin. Bunu kendinize ALIŞKANLIK HALİNE GETİRİN.
10. PHİSHİNG SALDIRILARINA ARACI OLMAYIN!
Dolandırıcılığı gerçekleştirecek kişi veya kişiler phishing yöntemi ile ele geçirdikleri kurumsal veya finansal bilgileri kullanarak hesaplar üzerinden paraları ele geçirme imkânına sahip olurlar. Paranın hesaptan çekilmesi aşamasında kendilerinin tespitini zorlaştırmak yada hiçbir şekilde tespit edilmemelerini sağlamak için ise şüphelenilmeyecek kişilere Internet üzerinde iş ilanları sunmaktalar. Bu ilanlarda çaba harcamadan kolay para kazanılacağı bunun çok kolay bir iş olduğu şeklinde bilgi verilmektedir.
İnternette verilen bu ilan ile bulunan kişilerin banka hesapları kullanılarak phishing yöntemi ile çalınan hesaplardan para transferi yapılmaktadır. Yine ilan ile bulunan kişiler hesaplarından bu paraları çekmek ve belirli bir komisyon karşılığı dolandırıcılığı gerçekleştiren kişilere parayı uluslararası para transferi yapan şirketler aracılığı ile transfer etmek için kullanılmaktadırlar. Böylece dolandırıcılığı gerçekleştiren kişi yada kişiler kimliklerini gizlemiş olup, ilan aracılığı ile bu işe başvuran kişilere suçu atmış olmaktadırlar.
Bu tip belirli bir parayı alıp, komisyon karşılığında başka bir yere transfer etmek şeklindeki iş ilanları konusunda ÇOK DİKKATLİ olunması gerekmektedir. Bu şekilde yapılan işlem kara para aklama işlemi olup, sonucu kanuni takibata varacak şekilde bitmektedir.
11. Eğer böyle bir eyleme maruz kalırsanız size gelen e-postayı kesinlikle silmeyin ve yönlendirdiği web sitesiyle ilgili bilgileri toplamayı deneyin. Örneğin ripe.net’ten whois sorgulaması yapıp ilk bilgileri toplamaya çalışın. Derhal üstlerinize ve bilgi işlem departmanına haber verin. Eğer bireysel kullanıcıysanız bir dilekçe ile hemen savcılığa başvurup ilgili polis birimlerine elden havale alın ve yazıyı polise götürün. Bu tür suçlarda zamanın çok önemli olduğunu hiçbir zaman AKLINIZDAN ÇIKARTMAYIN.http://doctus.org
http://www.guncelyorum.comBilgi: http://www.bidb.hacettepe.edu.tr/spam-aciklama.shtml
By Vangie Beal
(fish´ing) (n.) The act of sending an email to a user falsely claiming to be an established legitimate enterprise in an attempt to scam the user into surrendering private information that will be used for identity theft.
Phishing email will typically direct the user to visit a website where they are asked to update personal information, such as a password, credit card, social security, or bank account numbers, that the legitimate organization already has. The website, however, is bogus and will capture and steal any information the user enters on the page.
Examples of Phishing Scams
2003 saw the proliferation of a phishing scam in which users received emails supposedly from eBay claiming that the user's account was about to be suspended unless he clicked on the provided email link and updated the credit card information that the genuine eBay already had. Because it is relatively simple to make a website look like a legitimate organization's site by mimicking the HTML code, the scam counted on people being tricked into thinking they were actually being contacted by eBay and were subsequently going to eBay's site to update their account information.
Why is Phishing Successful for Scammers?
Phishing emails are blindly sent to thousands, if not millions of recipients. By spamming large groups of people, the "phisher" counts on the email being read by a percentage of people who actually have an account with the legitimate company being spoofed in the email and corresponding webpage.
Phishing, also referred to as brand spoofing or carding, is a variation on "fishing," the idea being that bait is thrown out with the hopes that while most will ignore the bait, some will be tempted into biting.