Phishing, internet kullanıcılarını tehdit eden en büyük tehlikelerden birisi. Nokta! Özellikle son dönemlerde insanlar marifetlerini başkalarına karşı phishingte kullanıyorlar. Elbette phishing başarılı bir sosyal mühendislik gerektiriyor. Düzgün şekilde hazırlandığında ise neye uğradığınızı dahi anlayamıyorsunuz.
Son zamanlarda devamlı kimlik avına dair haberler duyuyoruz. PayPal phishing siteleri bir dönem gündemi meşgul etti. Daha sonra INC.com kullanıcıları Amazon phishing şemalarına karşı uyardı. Ve geçen hafta da, bir Kanada Üniversitesi phishing mağduru olarak tam 12 milyon dolar para kaybetti.
Kanada’daki MacEwan Üniversitesi’ndeki son örnek, phishing dolandırıcılıklarının ne kadar zekice olabildiğini göstermesi açısından önemli bir örnek. Ülkedeki Edmonton şehri etrafındaki inşaat şirketlerinin sahte web sitelerini yapan hackerlar, ardından bu firmaların potansiyel iş ortaklarına phishing e-postaları gönermeye başladılar ve hedeflerine ulaştılar.
Şimdi biraz konuyu inceleyelim. Kanada Alberta’daki bir inşaat firmasının, phishing hedefi olacağını düşündüğünü zannetmiyoruz. Maalesef konu phishing olunca çok fazla yanılıyoruz. Bunlardan en önemlisi de, insanların phishing hedefinde sadece belli firmaların olduğunu zannetmesi. Son örnekte de görüldüğü gibi, bu açıkça yanlış.
Tabii bir de okul meselesi var. MacEwan Üniversitesi muhtemelen sahte e-postalar ve web siteleriyle hackerların hedefi olacağını asla düşünmemiştir. Fakat olan oldu ve ikna edici bir internet sitesi, iyi hazırlanmış e-postalarla ciddi miktarda ödeme alındı.
Phishinge Karşı En İyi Savunma Yöntemi: Eğitim
Eğitim ihtiyacını sık sık vurguluyoruz ve bu yüzden de kimisinin kulağına artık anlamsız gelebilir fakat sakın hafife almayın. Kimlik avına karı en iyi savunma her zaman eğitimdir.
Kimlik avına karşı sınırlı fayda sağlayan bazı savunma imkanları var, örneğin SSL bunlardan birisi. SSL ile gerçek web sitelerini sahte web sitelerinden ayırt eden kimlik doğrulamaları ortaya çıkıyor. Fakat yüksek doğrulamalı SSL sertifikaları, yeterli eğitim olmadan yine bir işe yaramıyor çünkü kullanıcı buna dikkat dahi etmiyor.
Şu andaki phishing sorunu için bazı püf noktaları şöyle:
- Yetersiz ve çoğu zamanda tutarsız olan eğitim, internet kullanıcılarının bağlantı güvenliği ve göstergeleri konusunda kafalarının karışmasına sebep oluyor.
- Son internet tarayıcısı değişiklikleri, düzgün bir SSL şifrelemesiyle korunan web sitelerine ‘güvenli’ etiketi ekleyerek kafa karışıklığını daha da ileriye taşıyor. Birçok kullanıcı ‘Güvenli’ ibaresiyle ‘Tehlikesiz’ arasındaki farkı algılayamıyor.
- Phishing uzmanları artık ücretsiz SSL sertifikaları kullanmaya başladılar ve bu sayede yasal olmayan web sitelerine, ‘meşru’ bir görünüm kazandırıyorlar.
Bu püf noktalardan sonuncusu, belki de konuya hakim olmayan kullanıcılar için en kafa karıştırıcı durum. Ücretsiz SSL kullanan bir web sitesine girenler, ‘Güvenli’ ibaresini görerek hemen aldanıyorlar.
Bir kere daha tekrar etmek gerekirse, en kesin savunma her zaman iyi eğitimdir.
Genişletilmiş Doğrulamalı (EV) SSL de Tamamen Eğitime Bağlıdır
Genişletilmiş Doğrulamalı (EV – Extended Validation) SSL türü de, yeşil adres çubuğunu kullanmak için tercih ediliyor. Bu SSL ile web sitelerinin adres çubuğuna özel bir yeşil logo eklenir, diğer sitelerinden ayrılır.
Diğer yandan, şimdi de EV’nin gerçek değeri hakkında çeşitli tartışmalar dönüyor: gerçekten faydalı mı, yoksa sertifika otoritelerinin bir oyunu mu? İşin aslı, EV değerli bir sistem fakat kullanıcı ne anlama geldiğini bilmiyorsa yine bir faydası olmayacaktır.
Son zamanlarda devamlı kimlik avına dair haberler duyuyoruz. PayPal phishing siteleri bir dönem gündemi meşgul etti. Daha sonra INC.com kullanıcıları Amazon phishing şemalarına karşı uyardı. Ve geçen hafta da, bir Kanada Üniversitesi phishing mağduru olarak tam 12 milyon dolar para kaybetti.
Kanada’daki MacEwan Üniversitesi’ndeki son örnek, phishing dolandırıcılıklarının ne kadar zekice olabildiğini göstermesi açısından önemli bir örnek. Ülkedeki Edmonton şehri etrafındaki inşaat şirketlerinin sahte web sitelerini yapan hackerlar, ardından bu firmaların potansiyel iş ortaklarına phishing e-postaları gönermeye başladılar ve hedeflerine ulaştılar.
Şimdi biraz konuyu inceleyelim. Kanada Alberta’daki bir inşaat firmasının, phishing hedefi olacağını düşündüğünü zannetmiyoruz. Maalesef konu phishing olunca çok fazla yanılıyoruz. Bunlardan en önemlisi de, insanların phishing hedefinde sadece belli firmaların olduğunu zannetmesi. Son örnekte de görüldüğü gibi, bu açıkça yanlış.
Tabii bir de okul meselesi var. MacEwan Üniversitesi muhtemelen sahte e-postalar ve web siteleriyle hackerların hedefi olacağını asla düşünmemiştir. Fakat olan oldu ve ikna edici bir internet sitesi, iyi hazırlanmış e-postalarla ciddi miktarda ödeme alındı.
Phishinge Karşı En İyi Savunma Yöntemi: Eğitim
Eğitim ihtiyacını sık sık vurguluyoruz ve bu yüzden de kimisinin kulağına artık anlamsız gelebilir fakat sakın hafife almayın. Kimlik avına karı en iyi savunma her zaman eğitimdir.
Kimlik avına karşı sınırlı fayda sağlayan bazı savunma imkanları var, örneğin SSL bunlardan birisi. SSL ile gerçek web sitelerini sahte web sitelerinden ayırt eden kimlik doğrulamaları ortaya çıkıyor. Fakat yüksek doğrulamalı SSL sertifikaları, yeterli eğitim olmadan yine bir işe yaramıyor çünkü kullanıcı buna dikkat dahi etmiyor.
Şu andaki phishing sorunu için bazı püf noktaları şöyle:
- Yetersiz ve çoğu zamanda tutarsız olan eğitim, internet kullanıcılarının bağlantı güvenliği ve göstergeleri konusunda kafalarının karışmasına sebep oluyor.
- Son internet tarayıcısı değişiklikleri, düzgün bir SSL şifrelemesiyle korunan web sitelerine ‘güvenli’ etiketi ekleyerek kafa karışıklığını daha da ileriye taşıyor. Birçok kullanıcı ‘Güvenli’ ibaresiyle ‘Tehlikesiz’ arasındaki farkı algılayamıyor.
- Phishing uzmanları artık ücretsiz SSL sertifikaları kullanmaya başladılar ve bu sayede yasal olmayan web sitelerine, ‘meşru’ bir görünüm kazandırıyorlar.
Bu püf noktalardan sonuncusu, belki de konuya hakim olmayan kullanıcılar için en kafa karıştırıcı durum. Ücretsiz SSL kullanan bir web sitesine girenler, ‘Güvenli’ ibaresini görerek hemen aldanıyorlar.
Bir kere daha tekrar etmek gerekirse, en kesin savunma her zaman iyi eğitimdir.
Genişletilmiş Doğrulamalı (EV) SSL de Tamamen Eğitime Bağlıdır
Genişletilmiş Doğrulamalı (EV – Extended Validation) SSL türü de, yeşil adres çubuğunu kullanmak için tercih ediliyor. Bu SSL ile web sitelerinin adres çubuğuna özel bir yeşil logo eklenir, diğer sitelerinden ayrılır.
Diğer yandan, şimdi de EV’nin gerçek değeri hakkında çeşitli tartışmalar dönüyor: gerçekten faydalı mı, yoksa sertifika otoritelerinin bir oyunu mu? İşin aslı, EV değerli bir sistem fakat kullanıcı ne anlama geldiğini bilmiyorsa yine bir faydası olmayacaktır.
