Bugün sizlere dolandırıcıların kullandığı bir saldırı yöntemi olan #PHISHING hakkında bilgi vereceğim. Lütfen sonuna kadar dikkatli bir şekilde okuyunuz ve dersler çıkartınız.
Sloganımız neydi? "Önce Güvenlik Sonra Hareket"💪
Sloganımız neydi? "Önce Güvenlik Sonra Hareket"💪
1⃣ Phishing saldırıları genellikle kullanıcı isimleri, şifreler, kredi kartı bilgileri, ağ kimlik bilgileri gibi hassas ve gizli bilgilere ulaşmak amacıyla yapılan saldırılardır.
2⃣ Siber saldırganlar, telefon/e-posta yoluyla normal bir birey/kurum gibi görünerek mağdurları belirli eylemleri -zararlı bir bağlantıya/eke tıklamak gibi- gerçekleştirmeleri veya isteyerek gizli bilgileri açıklamaları için manipüle etmek üzere sosyal mühendisliği kullanırlar.
3⃣ Burada amaç; e-postayı alan kişiyi, mesajda istediği veya ihtiyacı olduğu bir şey olduğuna – müşterisi olduğu bankadan gelen bir istek veya şirketindeki çalışma arkadaşından gelen e-posta gibi – inandırmaktır.
4⃣ Phishing dolandırıcılığı, mağdurları hassas bilgileri sağlama konusunda kandırmak için e-posta dışında, telefon görüşmelerini, kısa mesajları ve sosyal medya araçlarını da kullanabilir.
5⃣ Phishing’in pek çok farklı türü vardır ve bunlar genellikle hedefin ve saldırganın kim olduğuna göre sınıflandırılırlar. Aşağıda birkaç örneği bulabilirsiniz⬇️
6⃣ Clone phishing (kopya oltalama): saldırgan daha önce gönderilmiş, meşru bir e-posta kullanır ve bunun içeriğini kötü niyetli bir siteye bağlantı bulunduran benzer bir e-postaya kopyalar.
7⃣ Saldırgan daha sonra bunun güncellenmiş ya da yeni bir bağlantı olduğunu ya da eski bağlantının süresinin dolduğunu iddia edebilir.
8⃣ Spear phishing (hedefli oltalama): bu tip bir saldırı genelde herkes tarafından tanınan bir kişi ya da kuruma odaklanmıştır. Bir spear saldırısı kişiye ya da kuruma özel hazırlandığından, diğer phishing türlerinden daha sofistikedir.
9⃣ Saldırganın öncelikle kurban hakkında bilgi topladığı (örneğin aile üyelerinin isimleri) sonrasında bu bilgiye dayanarak esas amacı kurbanı kötü niyetli bir web sitesini ziyaret etmeye ya da zararlı bir dosyayı indirmeye ikna etmek olan bir mesaj hazırladığı anlamına gelir.
🔟Pharming: saldırgan bir DNS kaydını zehirleyecek ve pratikte meşru bir web sitesinin ziyaretçilerini kendisinin önceden hazırladığı sahte bir web sitesine yönlendirecektir.
1⃣1⃣ DNS kayıtlarının kontrolünde olmadığı için kullanıcıyı savunmasız bırakması nedeniyle tüm saldırılar içinde en tehlikeli olanıdır.
1⃣2⃣ Whaling (balina avı): CEO’lar ya da hükümet yetkilileri gibi önemli ve varlıklı kişileri hedef alan hedefli oltalama türüdür.
1⃣3⃣ Email Spoofing (Sahte e-posta): Phishing e-postaları tipik olarak meşru şirketleri veya kişileri taklit eder. Söz konusu mailler, kurbanları zararlı sitelere yönlendiren linkler sunabilir.
1⃣4⃣ Saldırganlar, akıllıca tasarlanmış giriş sayfaları kullanarak şifreleri ve kişiyi ayırt edici bilgileri toplar. Sayfalar trojan (truva atı), keylogger (klavye dinleme sistemi) ve kişisel bilgileri çalan başka zararlı kodlar içerebilir. #Metamask
1⃣5⃣ Web sitesi yönlendirmeleri: Kullanıcıları ziyaret etmek istedikleri site yerine başka sitelere yönlendirir. Kullanıcı zafiyetlerini değerlendirmek isteyen saldırganlar yeniden yönlendirmeler kullanarak bilgisayarlara kötü niyetli yazılımlar yükleyebilir. #pancakeswap
1⃣6⃣ Typosquatting (alan adı benzerliği): Typosquatting, yabancı dilde yazımları, genel olarak yapılan yazım yanlışlıklarını veya en üst düzey alan adlarının ufak farklarla yazılmış hallerini kullanarak sahte web sitelerine trafik yönlendirir.
1⃣7⃣ Saldırganlar meşru web sitelerinin arayüzlerini taklit eden alan adları kullanarak alan adını doğru yazamamış ya da okuyamamış kullanıcıları suistimal eder. #BSCPAD
1⃣8⃣ Taklit etme ve hediye çekilişleri: Etkili kişilerin sosyal medyada taklit edilmesi uygulanan bir diğer phishing yöntemidir.
1⃣9⃣ Saldırganlar şirketlerin önemli liderlerini taklit ederler ve kendisini takip eden kişilere hediye çekilişi reklamı yapabilir veya başka aldatıcı hareketlere kalkışabilirler.
2⃣0⃣ Kolay aldatılabilir kullanıcıları bulmak için kullanılan sosyal mühendislik işlemleri aracılığıyla seçilen kişiler bireysel olarak da hedef alınabilirler.
2⃣1⃣ Saldırganlar onaylanmış hesapları hackleyerek ve kullanıcı adlarını değiştirerek gerçek bir kişinin yerine geçebilir ve bu sayede doğrulanmış kişi statüsünü kullanmaya devam edebilir.
2⃣2⃣ Kurbanların etkili kişilerle (influencer) iletişim kurmalarının ve kişisel bilgilerini paylaşmalarının daha muhtemel olması saldırganlara bu bilgileri istismar etmek için bir fırsat yaratır.
2⃣3⃣ Son zamanlarda phishing saldırganları, sahte sohbet mesajları göndermek, etkili kişileri ve meşru servisleri taklit etmek gibi benzer amaçlar için Slack, Discord ve Telegram gibi platformları daha sık hedef almaktadır.
2⃣4⃣ Yazı, Ses Oltalaması ve Reklam: Kısa mesaj bazlı bir phishing tipi olan SMS phishing ve bunun sesli/telefon dengi olan ‘vishing’ yöntemi de saldırganların kişisel bilgi elde etmeye çalıştığı diğer yöntemlerdir.
2⃣5⃣ Reklamlar: Paralı reklamlar phishing için kullanılan bir diğer taktiktir. Bu sahte reklamlar saldırganların hazırladığı alan adı benzerliğinden (Typosquatting) yararlanan ve ödeme yapılarak arama sonuçlarında yukarıda görünmeleri sağlanmış siteleri kullanır.
2⃣6⃣ #BSCPAD gibi servislerin arama sonuçlarında bu siteler en üst sıralarda yer alabilir.
2⃣7⃣ APWG Kimlik Avı Etkinliği Trend Raporu’na göre 2019 ilk çeyreğinde en fazla phishing saldırısı alan SaaS ve mail servisleri oldu.
2⃣8⃣Ayrıca; oltalama e-postalarının %25’i Office 365 güvenliğini aşmayı başarıyor. Markalı her 25 e-postadan 1’i oltalama saldırısı. Kripto cüzdanı içeren maillerin neredeyse tamamı (%98) oltalama saldırılarından oluşuyor ve çoğunun aynı zamanda içlerinde zararlı yazılım da var.
2⃣9⃣ Peki Phishing’e Karşı Nasıl Önlemler Alabilirsiniz? Lütfen bu önerileri dikkatlice okuyun⬇️
3⃣0⃣ Çok faktörlü kimlik doğrulamayı kullanın : Saldırganların aradığı en değerli bilgi parçalarından biri kullanıcı kimlik bilgileridir. Google Authenticator gibi çok faktörlü kimlik doğrulamayı kullanmak, sisteminizin güvenliği ihlal edildiğinde hesabınızın korunmasını sağlar.
3⃣1⃣ Cazip tekliflere karşı dikkatli olun - Bir teklif çok cazip geliyorsa, gerçek olarak kabul etmeden önce iki kez düşünün. Konuyu araştırmak teklifin ne kadar gerçekçi olduğunu anlamanızda yardımcı olur.
3⃣2⃣ Bilgilerinizi kolayca paylaşmayın - Değerli bilgilerinizi talep eden e-postalara kuşkuyla yaklaşıp değerlendirin.
3⃣3⃣ Metamask 12 Kelimenizi kimse ile paylaşmayın.
İzleyiniz▶️
İzleyiniz▶️
3⃣4⃣ Güvenliği konusunda emin olmadığınız sitelere girmeyin ve cüzdan bağlamayın.
3⃣5⃣ Kullanıcıların öncelikle işlem yaptığı borsanın web sitesini doğru yazması ve doğru URL’ye sahip siteye girmesi gerekir.
3⃣6⃣ Birçok kripto para alım-satım platformu kullanıcı adı ve şifreden sonra kullanıcıların bir güvenlik görseli seçmesini de ister. Bu güvenlik resmi sayesinde kullanıcıların güvenli bir şekilde siteye girmesi sağlanır.
3⃣7⃣ Kullanıcılar siber saldırılara karşı önlem almak amacıyla lisanslı siber güvenlik yazılımı kullanabilir.
3⃣8⃣ Kullanıcıların, kişisel bilgilerini talep eden maillere cevap vermemesi gerekir.
3⃣9⃣ Kullanıcıya kripto para borsasında işlem yaptığı alım-satım platformunun ismine çok benzeyen bir kaynaktan e-mail gelebilir ve kullanıcının elektronik cihazına bu yöntemle virüs bulaştırılabilir. Böyle durumlarda kullanıcıların dikkatli olması ve bu mailleri silmesi gerekir.
4⃣0⃣ Kripto para işlemi yapmak için herkesin kullanımına ait Wi-Fi ağlarının kullanılmaması gerekir.
4⃣1⃣ Kripto para cüzdanı şifresi her kullanıcının kendine özeldir ve güvenlik için kullanıcıların şifreyi ikinci bir kişi ile paylaşmaması gerekir.
4⃣2⃣ Daha fazla bilgi için Youtube kanalımı ziyaret edin ve şu videoya bir göz atın.
📹
📹
Sizler için çok zor biliyorum; ama paylaşımımızın daha fazla arkadaşımıza ulaşması için beğenip, retweetleyebilirsiniz. 🥶
Bir sonraki yazımızda görüşmek üzere, sağlıcakla kalın!😉
Bir sonraki yazımızda görüşmek üzere, sağlıcakla kalın!😉
• • •
Missing some Tweet in this thread? You can try to
force a refresh
