Kimlik avı, aldatıcı e-postalar ve web siteleri kullanarak kişisel bilgi toplamaya çalışma yöntemidir. Bu siber saldırı biçimi hakkında bilmeniz gerekenler şunlardır:
Kimlik avı, gizlenmiş e-postayı silah olarak kullanan bir siber saldırıdır. Amaç, e-posta alıcısını, mesajın istedikleri veya ihtiyaç duydukları bir şeye (örneğin bankalarından bir talep veya şirketlerindeki bir kişiden gelen bir not) inanması için kandırmak ve bir bağlantıyı tıklamak veya bir eki indirmektir.
Kimlik avını gerçekten ayıran şey, mesajın aldığı biçimdir: saldırganlar, genellikle gerçek veya makul olarak gerçek bir kişi veya kurbanın iş yapabileceği bir şirket gibi güvenilir bir varlık olarak görünür.
2019 Verizon Veri İhlali Soruşturması Raporuna göre, geçen yılki tüm ihlallerin yaklaşık 1/3’ü kimlik avı içeriyordu. Siber casusluk saldırıları için bu sayı %78’e ulaşır. 2019 için en kötü kimlik avı haberleri, iyi üretilen, hazır araçlar ve şablonlar sayesinde faillerinin çok daha iyi hale gelmesidir.
Tarihin en önemli kimlik avı saldırılarından biri, bilgisayar korsanlarının gmail şifresini sunmak için Hillary Clinton kampanya başkanı John Podesta’yı almayı başardıkları 2016’da gerçekleşti.
Kimlik avı kitlerinin mevcudiyeti, siber suçluların, en az teknik beceriye sahip olanların bile kimlik avı kampanyaları başlatmasını kolaylaştırır. Kimlik avı kiti, yalnızca bir sunucuya yüklenmesi gereken kimlik avı web sitesi kaynaklarını ve araçlarını bir araya getirir. Kurulduktan sonra, saldırganın yapması gereken tek şey potansiyel kurbanlara e-posta göndermek. Kimlik avı kitleri ve posta listeleri karanlık ağda mevcuttur.
Bazı kimlik avı kitleri, saldırganların güvenilir markaları aldatmasına izin verir ve birisinin hileli bir bağlantıyı tıklama şansını artırır.
Kimlik avı kitlerini analiz etmek, güvenlik ekiplerinin bunları kimin kullandığını izlemesine imkân tanır. Kimlik avı kitlerini analiz ederek öğrenebileceğimiz en yararlı şeylerden biri kimlik bilgilerinin nereye gönderildiği. Kimlik avı kitlerinde bulunan e-posta adreslerini izleyerek, aktörleri belirli kampanyalarla ve hatta belirli kitlerle ilişkilendirebiliriz. Sadece kimlik bilgilerinin nereye gönderildiğini görmekle kalmıyor, aynı zamanda kimlik bilgilerinin nereden gönderildiğini iddia ediyoruz. Kimlik avı kitlerinin yaratıcıları genellikle “Kimden” başlığını bir imza kartı gibi kullanır ve aynı yazar tarafından oluşturulan birden fazla kit bulmamıza izin verir.
Kimlik avı saldırıları arasında ortak bir payda varsa, kılık değiştirir. Saldırganlar e-posta adreslerini taklit ederler, böylece başka birinden geliyormuş gibi görünürler, kurbanın güvendiklerine benzeyen sahte web siteleri kurarlar ve URL’leri gizlemek için yabancı karakter kümeleri kullanırlar.
Bununla birlikte, kimlik avı şemsiyesi altına giren çeşitli teknikler var. Saldırıları kategorilere ayırmanın birkaç farklı yolu vardır. Bunlardan biri kimlik avı girişiminin amacıdır. Genellikle, bir kimlik avı kampanyası mağdurun iki şeyden birini yapmasını sağlar:
Bu mesajlar kullanıcıyı önemli verileri ortaya çıkarmaya yönlendirir. Genellikle saldırganın bir sistemi veya hesabı ihlal etmek için kullanabileceği bir kullanıcı adı ve şifre. Bu aldatmaca klasik sürümü büyük bir bankadan bir mesaj gibi görünecek şekilde uyarlanmış bir e-posta göndermeyi içerir. Saldırganlar mesajı milyonlarca kişiye göndererek, alıcıların en azından bir kısmının o bankanın müşterisi olmasını sağlar. Mağdur, iletideki bir bağlantıyı tıklar ve bankanın web sayfasına benzeyecek şekilde tasarlanmış kötü amaçlı bir siteye yönlendirilir ve kullanıcı adını ve şifresini girerse saldırgan artık kurbanın hesabına erişebilir.
Çok sayıda spam gibi bu tür kimlik avı e-postaları da kurbanı kendi bilgisayarlarına kötü amaçlı yazılım bulaştırabilmeyi hedefler. Genellikle mesajlar “yumuşak hedeflenir” örneğin bir iş arayan kişinin özgeçmişi olduğunu iddia eden bir eki olan bir İK personeline gönderilebilir. Bu ekler genellikle “zip” dosyaları veya kötü amaçlı karıştırılmış kod içeren Microsoft Office belgeleridir. Kötü amaçlı kodun en yaygın biçimi fidye yazılımıdır- 2017’de kimlik avı e-postalarının %93’ünün fidye yazılımı ekleri içerdiği tahmin edilmiştir.
Kimlik avı e-postalarının hedeflenmesinin birkaç farklı yolu vardır. Belirttiğimiz gibi, bazen hiç hedeflenmezler; çok popüler web sitelerinin sahte sürümlerine giriş yapmak için kandırmak için milyonlarca potansiyel kurbana e-posta gönderilir. Bilgisayar korsanları kimlik avı girişimlerinde kullandığı en popüler markaları konuştular. Diğer zamanlarda, saldırganlar, kişisel olarak kendileri hakkında hiçbir şey bilmeseler bile, kuruluşta belirli bir rol oynayan birine “aldatıcı” e-postalar gönderebilir.
Ancak bazı kimlik avı saldırıları, belirli kişilerden giriş bilgileri almayı veya bilgisayarlara bulaşmayı amaçlar. Saldırganlar, seçilmiş olan kurbanları kandırmak için çok daha fazla çalışıyorlar çünkü potansiyel kazançları oldukça yüksek olacağını biliyorlar.
Saldırganlar belirli bir bireye hitap etmek için bir mesaj hazırlamaya çalıştıklarında buna mızrak kimlik avı denir. Kimlik avcıları hedeflerini belirler (bazen Linkedin gibi sitelerdeki bilgileri kullanarak ve e-posta göndermek için sahte adresler kullanırlar. İş arkadaşlarından geliyormuş gibi görünebilir. Örneğin, mızrak avcısı finans departmanındaki birini hedef alabilir ve kısa sürede büyük bir banka havalesi talep eden kurbanın yöneticisi gibi davranabilir.
Bu dolandırıcılıkların birçoğu, özellikle savunmasız kabul edilen şirket yönetim kurulu üyelerini hedeflemektedir. Bir şirket içinde çok fazla yetkiye sahiptirler, ancak tam zamanlı çalışanlar olmadıkları için, genellikle işle ilgili yazışmalar için kişisel e-posta adreslerini kullanırlar. kurumsal e-posta tarafından sunulan korumalara sahip değil.
Gerçekten yüksek değerli bir hedefi kandırmak için yeterli bilgi toplamak zaman alabilir, ancak şaşırtıcı derecede yüksek bir getirisi olabilir.
Suçlular, kimlik avı kampanyalarıyla başarıya ulaşmak için aldatmaya ve aciliyet duygusu oluşturur. Koronavirüs pandemisi gibi krizler, bu suçlulara mağdurları kimlik avı yemlerini yemeleri için büyük bir fırsat sunuyor.
Bir kriz sırasında insanlardan ve işverenlerinden, devletten ve diğer ilgili makamlardan bilgi istiyorlar. Bu makamlardan birinden geliyormuş gibi görünen ve yeni bilgiler vaat eden veya alıcılara bir görevi hızlı bir şekilde tamamlamalarını bildiren bir e-posta muhtemelen krizden önce olduğundan daha az inceleme alacaktır. Dürtüsel bir tıklama daha sonra kurbanın cihazı virüslü veya hesabının güvenliği ihlal ediliyor.
Kimlik avı iletilerinin son kullanıcılara ulaşmasını önlemeye yardımcı olmak için uzmanlar, güvenlik denetimlerinin artırılmasını önerirler: