Kimlik avına karşı 6 ipucu

Mesajlarda gönderilen tehlikeli bağlantıları tespit etmenin yolları ve dolandırıcıların verilerinizi çalmak için kullandığı diğer yöntemler.

 Sizce “Bir milyon dolar kazandınız” ve “Hesabınız bloke edildi” başlıklı e-postaların ortak noktası nedir? Hemen hemen hepsi bir dolandırıcılık işaretidir. Hepsinin amacı, alıcıyı bir kimlik avı internet sitesine giden bir bağlantıya tıklamaya ve kullanıcı adı, parola veya banka hesabı ayrıntıları gibi gizli bilgileri girmeye ikna etmektir. İşte kimlik avını tespit etmenin ve kendinizi korumanın yolları.

1. E-postaları dikkatlice kontrol edin

Bir e-posta aldığınızda, yanıtlamak veya yazılanları yapmak için acele etmeyin. Yapmanız gereken ilk şey, kimlik avı olduğunu gösteren bariz işaretleri aramaktır. Peki bu tehlike işaretleri neler?

  • Dramatize edilmiş bir konu başlığı. Yaygın olarak kullanılan konseptler arasında yüklü para transferleri, maddi tazminat, hacklenmiş veya bloke edilmiş hesaplar ve sahte işlemler yer alıyor; bunlar genellikle açgözlülük veya korku üzerine oynanan, duygusal bir tepkiyi tetikleme olasılığı bulunan dikkat çekici konulardır.
  • Durumun ciddiyetinin vurgulanması. Sizi acele ettirmek, panikletmek ve tedbiri elden bırakmanız için “Bu size son uyarı!” veya “Sadece 3 saatiniz var” gibi ifadelerle birlikte aşırı ünlem işareti kullanımı söz konusudur.
  • Metindeki hatalar, yazım yanlışları ve farklı karakter kullanımı. Saldırganların bazı durumlarda kasıtlı olarak “milyor” gibi hatalar yapmasına veya spam filtrelerini atlatmak için farklı alfabelerdeki harfleri kullanmasına karşın bazı suçluların İngilizceleri gerçekten sıkıntılıdır.
  • Gönderici adresindeki tutarsızlık. Bir gönderici büyük bir kuruluştan yazdığını iddia ediyorsa, rastgele bir sürü harf ve rakam içeren bir e-posta adresi veya yanlış alan adı bunun kesinlikle bir sahtekarlık olduğunu gösteren işaretlerdir.
  • E-postada bağlantıların — veya daha net ifade etmek gerekirse, bir internet sitesine yönlendiren bağlantıların olması. Bir bağlantıyı, imlecinizi bağlantının üzerine getirip çıkan adresi dikkatlice okuyarak kontrol edebilirsiniz. Suçlular, kurbanların yeterince dikkat etmemesi nedeniyle tanınmış şirketlerin veya markaların adlarında yapılan küçük değişiklikleri tespit edememesine güvenir — com veya qoogle.com gibi. Her bir bağlantıyı dikkatlice kontrol edin.

Bu tür kontroller çoğu durumda, toplu bir kimlik avı dolandırıcılığının parçası olarak gönderilen bir e-postayı tespit etmekte yeterli olur. Ancak yine de göndericilerin adları ve adresleri değiştirilmiş, bağlantılar anlaşılmaz hale getirmek için kısaltılmış ve daha az şüpheli internet adresleriyle gerçek kimlik avı internet sitesine yönlendirmek için otomatik yönlendirme zincirleri oluşturulmuş olabilir. Bu nedenle, eğer bağlantının gönderilmesini siz istemediyseniz, mümkünse e-postalardaki bağlantılara tıklamaktan tamamen kaçınmak en iyisidir. Örneğin, bir bankadan veya internet mağazasından gelmiş gibi görünen bir bildirim alırsanız, doğrulunu teyit etmek için bankayı veya mağazayı arayın.

Ayrıca bir arama motoru ile sözde ödül veren şirketin resmi internet sitesine bakarak ödülün gerçek olup olmadığını da kontrol edebilirsiniz. Ardından oradaki ödül bilgilerini kontrol edebilirsiniz. Bunlar bu konudaki sadece birkaç örnek, ancak konu ne olursa olsun tavsiyemiz hep aynı: İstenmeyen bir e-postaki bir bağlantıyı kontrol etmek istiyorsanız, bunu dolaylı bir şekilde yapmaya çalışın.

2. Mesajlaşma uygulamalarını veya sosyal ağları kullanırken tedbiri elden bırakmayın

Dikkat etmeniz gereken tek şey e-posta değildir. Mesajlaşma uygulamalarında ve sosyal ağlarda aldığınız mesajlarda da benzer potansiyel tehlikeler söz konusudur; kötü niyetli bağlantılar arkadaşlarınızın Facebook gönderilerinde, Twitter’da sahte marka elçileri tarafından gönderilen yorumlarda veya Discord’da gönderilen özel mesajlarda da karşınıza çıkabilir.

Bannerlara da dikkat edin; gösterilen resimlerle sizi götürdüğü internet sitesinin hiçbir ilgisi olmayabilir. Bannerların yayınlandığı platformlar, genellikle kullanıcılara ne gösterildiğini veya nereye yönlendirildiğini kontrol etmezler. Mükemmel bir saygınlığa sahip bir internet sitesinde bile kimlik avına yönlendiren reklamlar gösterilebilir.

Peki bu konuda ne yapabilirsiniz? E-postalarda olduğu gibi, her bağlantıyı dikkatlice kontrol edin ve mümkünse onlara hiç tıklamayın.

3. Banka hesap bilgilerinizi girmeden önce durun ve düşünün

Banka kartı bilgileri, paranıza doğrudan erişilmesini sağladığı için özellikle hassastır. Bu nedenle, internet sitesine nasıl ulaşmış olursanız olun, banka kartı bilgilerinizi girmeden önce gerçekten nerede olduğunuzu son bir kez kontrol etmelisiniz.

İlk olarak, adrese yakından bakın. Aynı tehlike işaretlerini arıyoruz: Yazım hataları, harfler yerine sayılar, beklenmedik yerlerde kısa çizgiler ve garip alan adları. Böyle bir şeyle karşılaştıysanız, internet sitesinden çıkın ve adresi kendiniz yazarak girmeyi deneyin.

Ardından, adres çubuğundan devam edin ve soldaki asma kilit simgesine tıklayın. Asma kilit simgesi güvende olduğunuzu garanti etmez ancak internet sitesinin sahibi hakkında daha fazla bilgi edinmenizi sağlayabilir (tarayıcıların ilgili sekmelere ilişkin Sertifika veya Güvenli bağlantı gibi farklı adları vardır).

İnternet sitemizin Google Chrome’daki ilgili string’i bu şekilde görünür

 

Küçük firmalardan ve şahıslardan yapılan alışverişler de dahil olmak üzere çok fazla çevrimiçi alışveriş yapıyorsanız, bunlar için ayrı bir kart kullanmanızı öneriyoruz. Kartınızın limitini düşük tutun ve ihtiyaç duyduğunuzda limitini artırın. Bu sayede kart bilgileriniz çalınsa bile kartınızdan büyük tutarda para çekilmesi mümkün olmaz.

4. Farklı parolalar kullanın

Parolanız çok güvenilir olsa bile farklı hesaplar için aynı parolayı kullanırsanız, bir şekilde bir kimlik avı internet sitesine girmeniz, tüm hesaplarınızın güvenliğinin ihlal edilmesi riskiyle karşı karşıya kalmanıza yol açar. Her internet sitesi ve uygulamada farklı bir parola kullanmak oldukça önemlidir.

Her restoran ve internet mağazası için düzinelerce farklı yeni parola bulmak ve hatırlamak zor geliyorsa, bunları oluşturmak, yönetmek ve kullanmak için bir parola yöneticisi kullanın.

Parola yöneticisi, kimlik avını önlemede ek bir kontrol mekanizması görevi de görür. Bir uygulamayı veya siteyi açtığınızda parola yöneticinizin kullanıcı adınızı ve parolanızı otomatik olarak doldurmadığını fark ederseniz, muhtemelen bir sahtekarlıkla karşı karşıyasınız demektir. Bir insan gerçek internet sitesiyle aynı göründüğünü düşünebilir ancak internet sitesinin adresi farklıysa, parola yöneticisi hesabın kimlik bilgilerini otomatik olarak girmez.

İkincisi, parola yöneticileri, kırılması zor şifreler üretebilir.

Üçüncüsü ise, bazı parola yöneticileri kullanışlı ek özelliklere sahiptir. Örneğin, Kaspersky Password Manager parolalarınızı kontrol eder ve kullandığınız parolanın zayıf, farklı hesaplar için kullanılmış veya güvenliği ihlal edilmiş parolalardan oluşan bir veri tabanında olup olmadığını size bildirir.

5. Hesaplarınızı korumak için iki faktörlü kimlik doğrulama kullanın

Birçok kimlik avı saldırısının amacı hesapları ele geçirmektir, ancak mümkün olan her yerde iki faktörlü kimlik doğrulama kullanarak, saldırganlar kullanıcı adınızı ve parolanızı ele geçirse bile hesabınıza giriş yapmalarını engelleyebilirsiniz. İki faktörlü kimlik doğrulamayı etkinleştirdikten sonra oturum açmak için ek bir geçici doğrulama koduna ihtiyacınız olur. Bu kodu e-posta, kısa mesaj veya bir kimlik doğrulama uygulamasından alırsınız. Saldırganlar doğruma kodunu alamaz.

Ancak, kimlik avcılarının tek kullanımlık, iki faktörlü kimlik doğrulama kodları isteyen sahte oturum açma sayfaları da oluşturabileceğini unutmayın. Bu nedenle önemli hesapları, YubiKey veya Titan Security Key by Google gibi bir USB anahtarı kullanarak donanım tabanlı kimlik doğrulama ile korumak daha iyidir.

Bazı kimlik doğrulayıcılar, mobil cihazlara bağlanabilmek için NFC ve Bluetooth kullanır. Donanım tabanlı bir güvenlik anahtarı kullanmanın avantajı, gizli kodu sahte bir internet sitesinde asla ifşa etmeyecek olmasıdır. Bir internet sitesinin, kimlik doğrulayıcıdan doğru yanıtı alması için doğru isteği göndermesi gerekir ve bunun nasıl yapılacağı, yalnızca gerçek internet sitesinin bildiği bir şeydir.

6. Güvenilir koruma kullanın

Sürekli olarak tehlike işaretlerine dikkat etmek, her bir adresi, bağlantıyı vb. kontrol etmek kesinlikle zordur. Ancak bu, otomatikleştirebileceğiniz bir görevdir ve kimlik avına karşı koruma sağlama konusunda Kaspersky Security Cloud gibi güvenlik çözümlerine güvenebilirsiniz. Bulut tabanlı koruma, kötü amaçlı bir sayfaya gitmeye çalışmanız halinde sizi zamanında bilgilendirir ve tehdidi engeller.

İpuçları

Uçakta sahte Wi-Fi

Yakın zamanda gerçekleşen bir tutuklama olayının da kanıtladığı gibi, seyir halindeyken bile siber tehditler dijital hayatınızı alt üst edebilir. Peki deniz seviyesinden 10.000 metre yükseklikte kendinizi nasıl koruyabilirsiniz?