Kimlik avcıları e-posta hesaplarını nasıl çalar

Eylül 3, 2019

Eski usül e-posta, dijital dünyadaki en ilgi çekici teklif değil ama bir sürü yeni uygulama ve hizmetin arasında – anlık mesajlaşma uygulamaları, sosyal ağlar- modern hayatın temel bir gereci olarak geçerliliğini korumaktadır. Birçoğumuz bu tarz hizmetler, uygulamalar, ve sosyal ağlarda en azından yeni üyelik oluşturmak için hala e-posta kullanmak zorundayız.

Saldırganların e-posta hesaplarına göz dikmelerinin nedeni tamamen bu gereksinimden kaynaklanıyor. Bu yazıda bazı hırsızların şifreleri nasıl ele geçirdiklerini açıklayacağız.

Kimlik avı iletileri — en yaygın e-posta ele geçirme yöntemleri

E-posta kullanıcı adı ve şifrelerini çalmak için tasarlanmış sahte iletilerin büyük bir çoğunluğu e-posta kullandığımız hizmetlerden gelen mesajlara benzer. Hedef ev kullanıcıları olduğunda, kimlik avcıları popüler web posta hizmetlerini taklit ederler. Kurumsal hesapları ele geçirmeye çalışırken ise, sizin ticari e-posta hizmetinizmiş gibi davranırlar – bu durumda gönderici aslında posta sunucusudur.

Popüler posta hizmetleri çok daha sık taklit edilir. Dolandırıcılar bu postaları olabildiğince inandırıcı yapmaya çalışırlar. Dolandırıcılık ekipmanı klasiktir: gerçeğine fazlasıyla benzer bir gönderici adresi, logolar, başlıklar ve altbaşlıklar, resmi kaynaklara bağlantılar, inandırıcı bir tasarım, vb.

Kullanıcıyı hesabının silinmesi ile tehdit eden kimlik avı iletisi

Kurumsal hesaplar için ise, dolandırıcılar genelliklere paylaşılan adreslere (yöneticiler tarafından kullanılanlar da dahil) şirket sunucusu ya da kamusal e-posta hizmetlerinden gelen mesajlar gibi değiştirilmiş sahte iletiler gönderirler, ama böyle iletiler bazen de adresleri bir şekilde istenmeyen e-posta veritabanlarına düşmüş çalışanların bireysel posta kutularına ulaşır.

Ciddiye alınmak isteyen şirketler, özellikle de büyük olanlar, kendilerine ait e-posta sunucuları bulundururlar. Böyle hesapların girişleri ve şifreleri suçluların ilgisini çeker. Bu mesajları genellikle çok da mükemmel olmayan görüntüleri ele verir – ücretsiz web posta hizmetlerine ait gönderici adresleri, yazım hataları, vb. – ama böyle iletiler dahi tecrübesiz çalışanlar tarafından gerçek zannedilebilir.

Bu iletide kimlik avcıları sahte bir kota aşımı uyarısı göndermiştir

Belirli bir kuruma yönelik saldırılarda, dolandırıcılar genellikle iletilerini olabildiğince inandırıcı olması için kurum hakkında toplayabildikleri kadar bilgi toplarlar. Güvenilirlik ve özgünlük sağlamak için, kurbanların e-posta adreslerini kimlik avı hiper bağlantısının içine yerleştirebilirler, böylelikle sahte sayfa ziyaret edildiğinde adres halihazırda mevcut olur, geriye sadece posta kutusu şifresinin girilmesi kalır.

Kimlik avı iletilerinin türleri

Bilgi talep eden düz bir metin

Dolandırıcılar, kullanıcılarla posta hizmet sağlayıcısı adına çeşitli bahanelerle temas kurar ve kullanıcılardan e-posta adreslerini, şifrelerini, ve diğer bilgilerini göndermelerini talep ederler. Kullanıcılar genellikle göndericininkinden farklı bir e-posta adresine cevap vermeye yönlendirirler.

Bu türden kimlik avı iletileri bir zamanlar oldukça popülerdi, fakat dolandırıcılar daha sonra daha etkili kişisel bilgi hırsızlığı yöntemlerinde uzmanlaştılar.

Şifre dahil hesap bilgilerini talep eden bir metin içeren kimlik avı iletisi. Bu türden taleplere asla cevap vermeyin

Bir kimlik avı web sayfasına bağlantı içeren iletiler

Son zamanlarda en çok kullanılan tür, bağlantı içeren kimlik avı mesajlardır. Dolandırıcılar, sonsuz sayıda önceden oluşturulmuş bağlantı kullanabilir, bunları aynı toplu posta saldırısında iletilerin içine karıştırabilir, meşru olanlara benzeyen kimlik avı sayfaları oluşturabilirler, ve çalınan verilerin toplanmasını ve işlenmesini otomatikleştirebilirler.

Ama sözde kurumlarla tamamen alakasız alan adlarına yönlendirilmiş olan veya gerçek olanlara benzer şekilde tasarlanmış yanlış yazılmış alan adları kullanan bu bağlantılar bir dolandırıcılığın olduğunu net bir şekilde ele verebilir. Bu nedenle hırsızlar gönderdikleri bağlantıların yönlendirilmiş olduğu adresleri gizlemeye çalışırlar. Bunu tıklanabilir, hiper bağlantı içeren metin ya da görseller yoluyla yaparlar. Böyle metin bağlantıları “Posta kutunuzu güncelleyin.” gibi ifadeler içerebilirler. Bazen de bağlantının metin kısmı gerçek posta hizmeti adresini içerirken aslında gerçek bağlantı kullanıcıyı bir kimlik avı web sayfasına yönlendirir. Bağlantıları tıklamadan kontrol etmezlerse, çoğu kullanıcı aradaki farkı göremez.

Çoğu kimlik avı iletisi kimlik avı sayfalarına bağlantılar içerir — bu bağlantıları kullanmaktan kaçının

Kimlik avı eklentileri

Kimlik hırsızlığı iletileri ayrıca eklentiler de içerebilir— genellikle HTML, PDF, ya da DOC dosyaları.

DOC ve PDF formatlarındaki eklentilerin eklendiği ana metin genellikle kimlik avı mesajı ve sahte bağlantı da içerir. Bu taktik, istenmeyen posta filtrelerinden kurtulmak için iletinin metnini gerçek yazışmadaki gibi kısa ve ona olabildiğince benzer tasarlamaya çalışan saldırganlar tarafından kullanılır.

Bazı kimlik avı iletileri kimlik avı sitelerine bağlantılar içeren PDF veya DOC eklentileri ile birlikte gelirler

Bağlantılar yerine HTML dosyaları kullanılır — HTML eklentisi aslında hazır bir kimlik avı sayfasıdır. Dolandırıcıların bakış açısından, HTML dosyası eklentisinin avantajı tamamen fonksiyonel olmasıdır – İnternet üzerinden paylaşılmasına gerek yoktur – ve dolandırıcılık için gerekli tüm unsurları içerir.

Giriş/şifre formu kimlik avı iletisinin içine yerleştirilmiştir. Asla bu türden bir şeye herhangi bir bilgi girmeyin

Kimlik avı postalarının konuları

Hesap sorunları

Postaların içeriklerine gelecek olursak, bu tarzda yazıların çoğu mağdurun e-posta hesabına dair bir sorun olduğunu söyleyerek başlar: depolama alanı sınırına ulaşılmış, posta teslim sorunu, yetkisiz giriş, spam e-posta suçlamaları, başka bir takım ihlaller olduğuna dair uyarılar ve benzerleri.

Genellikle kullanıcıya söz konusu sorunu nasıl çözeceğini söylenir — çoğunlukla bir bağlantı adresine tıklayarak veya bir eklentiyi açarak hesap verilerinin onaylanması veya güncellenmesi söz konusudur. Alıcının gözünü korkutmak için, talimatlar uygulanmazsa hesaplarının engelleneceği veya silineceği söylenir.

Neredeyse her vakada, birkaç saatle birkaç hafta arasında değişen belirli bir yanıt verme süresi verilir. Bu genellikle 24 saattir — hem inandırıcı hem de mağdurun rahatlayıp olayı unutmasına izin verecek kadar uzun olmayan bir süre.

“Hesabınız spam mail gönderdiği için 24 saat içinde silinecektir.” Tehditler ve süre sınırları kimlik avında kullanılan tipik numaralardır

Sahte iş yazışmaları

Bazen alışıldık olmayan kimlik avı iletileri e-posta hesaplarını hedef alır. Bu türden iletilerin içeriğinde e-posta veya hesap verilerine herhangi bir atıf yoktur. İleti, gerçek bir iş yazışmasına benzeyebilir.

Sahte iş yazışmalarını kullanan kimlik avı örneklerinin arttığını son senelerde arttığını belirtmekte fayda var. Bu türden iletiler genellikle zararlı eklentiler göndermek için kullanılır, ama bazıları da kişisel verileri çalmaya yöneliktir. Sıradan bir kullanıcı için bir kimlik avı iletisini tespit etmek zor olabilir – siber suçluların bel bağladığı şey de budur.

Sahte iş yazışmaları kurumsal hesap hırsızlıklarında sık kullanılan bir yöntemdir

Bazı kullanıcılar bir dolandırıcılık olduğundan şüphelenmezler ve giriş yapıp var olmayan bir belgeyi görmek için bağlantıya tıklarlar.

Kimlik avı web sayfaları, kullanıcıyı kimlik avı iletisinde bahsedilen belgeyi görmek için giriş yapmaya yönlendirir

Kimlik avı sayfası türleri

İletilerin formatı ve içeriğinden yukarıda bahsetmiştik, şimdi de kimlik avı web sayfalarının nasıl göründüğüne bakalım ve dolandırıcılık olup olmadığını tespit etmek için dikkat edilmesi gereken unsurlardan bahsedelim.

İlk dikkat edilmesi gereken şey bağlantı adresidir. Bu adres bir dolandırıcılığı doğrudan ele verebilir. Tipik dolandırıcılık ibareleri şunlardır:

  • Gönderici kurumla alakası olmayan alan adı (domain),
  • Alan adı yerine adres uzantısında bulunan kurum veya web hizmeti isimleri, örneğin www.example.com/outlook/,
  • yazım yanlışları,
  • bağlantı adresinde bulunan bir dizi rastgele sembol,
  • Latin alfabesine benzeyen diğer dillerden semboller – c yerine ç, a yerine á ve benzeri.

Kimlik avcıları, iletiler gibi sahte web sayfalarını da gerçek olanlara mümkün oldukça benzer yapmaya çalışırlar. Ama ayrıntılar her zaman unutulur – ancak maalesef her kullanıcı bunları fark edemez.

Bu anlaması kolay olan kısımdır; çevrimiçi hizmet sağlayıcısının resmi sitesinin tam olarak neye benzediğini anımsayan insan sayısı azdır. Dolayısıyla inandırıcı bir kimlik avı sayfası yaratmak için genellikle temel karakteristik unsurları kullanmak yeterlidir (renk, taslak, logo, vs.

Sahte web posta giriş sayfası

Kimlik avı sayfaları ücretsiz web posta kullanıcı adı ve şifrelerini çalmak için tasarlanmış oldukları için, genellikle aynı sayfada çok sayıda web posta hizmeti bağlantısı bulunur.

Bunlardan herhangi birine tıklarsanız, ilgili hizmetin giriş sayfasına benzeyen bir pencere açılır. Dolandırıcılar bu sayede çok sayıda ayrı sayfa yaratmadan sadece tek bir sayfayı kullanarak çok sayıda hesaba ait verileri toplayabilir.

Bu kimlik avı sayfası farklı web posta hesapları kullanarak sahte giriş yapmaya yönlendirmektedir

Kimlik avcıları, belirli bir posta servisini temsil ediyormuş gibi yapmak yerine, kullanıcıları bir dizi en yaygın web posta hizmeti arasından seçim yapabilecekleri bir kimlik avı sayfasına yönlendiren (herhangi bir konuda yazılmış, örneğin daha önce belirtildiği gibi iş yazışmaları içeren) iletiler kullanarak daha fazla potansiyel mağdura da ulaşabilir.

Sahte webposta giriş sayfasının başka bir örneği

Kimlik avı iletilerini ele alırken bahsettiğimiz zaman sınırı numarası bazen kimlik avı sayfalarında da kullanılır. Kullanıcı sahte sayfayı açtığında, kandırılan kullanıcıların verilerini girmeleri için kalan süreyi gösteren bir geri sayım başlar.

Bazı kimlik avı sayfaları da kullanıcıları acele etmeye zorlar

Mağdur tarafından verileri kimlik avı sayfasına girildiğinde, farklı sonuçlar ortaya çıkar. Bazı web sayfaları erişilemez hale gelir veya hata mesajı verir. Bazıları da girilen verilerin yanlış olduğunu ve verilerin tekrar girilmesini söyler.

Muhtemelen en tehlikeli senaryo, geç ivme kazanandır. Veriler girildiği anda, kimlik avı sayfası kullanıcıyı söz konusu web posta hizmetinin gerçek giriş sayfasına yönlendirir. Kullanıcı bir hata oluştuğunu düşünerek kullanıcı adı ve şifresinin yeniden girip bu sefer başarılı bir şekilde giriş yapar ve yaşanan garipliği tamamen unutur.

Kimlik avı iletilerinin tespit edilmesi

  • Eğer göndericinin adresindeki alan adı söz konusu gönderici kuruma ait değilse – ve özellikle de posta kutusu ücretsiz olan web posta hizmetlerinden birine kayıtlıysa – ileti sahtedir. Resmi posta iletileri her zaman resmi adreslerden gelir.
  • Eğer ileti tıklanması gereken bağlantılar, alakasız alan adları, yazım hataları, özel semboller ve benzerlerini içeriyorsa, karşınızda duran şey bir dolandırıcılık örneğidir.
  • İletide hesabınızla ilgili beklenmedik sorunlar olduğundan bahsediliyorsa ve belirli bir bağlantıya tıklayarak süre dolmadan giriş yapmanız talep ediliyorsa, bu ileti dolandırıcılardan gelmiştir.

Bunların hepsini hatırlamanız ve her aldığınız iletiyi iyice incelemeniz faydalı olsa da gerekli değildir. Bunun yerine, kimlik avı ve diğer çevrimiçi tehditlere karşı kendinizi korumak için sağlam bir anti-virüs ürünü kullanın.