Balık tutmak güneşli bir sonbahar günü için oldukça rahatlatıcı bir aktivite olabilir. Tabii, bir balık değilseniz. Oltalama ya da kimlik avı dolandırıcılığı olarak da adlandırılan phishing, güncel haliyle günlük internet kullanıcılarından, pazarlamacılara ve yüksek seviye e-ticaret yöneticilerine kadar herkesi hedef alan bir dolandırıcılık yöntemi. Bu yazımızda phishing nedir sorusunun cevabını verirken, işletmenizi bu dolandırıcılıktan nasıl koruyabileceğinizi de açıklayacağız.
Phishing nedir?
Phishing nedir sorusuna basitçe cevap vermek gerekirse, kişisel bilgilerinizi kendi kazançları için ele geçirmek amacıyla, şüpheli kişiler veya kuruluşlar tarafından yapılan girişimlerdir diyebiliriz. Hem de bunu öyle geniş ve etkili bir şekilde yapıyorlar ki bu dolandırıcılık sadece ABD’de şirketlere yıllık neredeyse yarım milyar dolara mal oluyor.
Hacker’ların ve dolandırıcıların yemlerinden kaçınmak, tüm internet kullanıcılarının geliştirmeleri gereken bir beceri. İşletmenizin herhangi bir yönünü internet üzerinden yönetiyorsanız, yeme yakalanmak size pahalıya mal olabilir.
İşletmenizi phishing dolandırıcılığından korumanız için 3 yöntem
Phishing nedir sorusunun cevabını verdiğimize göre, şimdi kendinizi bu dolandırıcılıktan korumak için neler yapabileceğinizden bahsedeceğiz. İşte işletmenizi internet ortamında karşınıza çıkacak sayısız phishing girişiminden korumak için kullanabileceğiniz üç yöntem:
- Antivirüs yazılımı kullanın.
- HTTPS protokolüne geçin.
- Güvenli e-posta kullanımının önemini vurgulayın.
Şimdi her stratejiyi daha detaylı inceleyelim.
1. Antivirüs yazılımı kullanın (ve güncellediğinizden emin olun)
Akıllıca düzenlenmiş phishing dolandırıcılıklarından kaçınmak istediğinizde teknolojinin nimetlerinden faydalanabilirsiniz. Bazen bir dolandırıcı o kadar bariz girişimlerde bulunur ki bunu denemiş olmasına bile şaşırırsınız. Ama ne yazık ki daha sıklıkla görülen bunun tersi durumlarda, doğru antivirüs yazılımına sahip olmak büyük önem taşıyor.
Web sitelerini güçlendirmek isteyen işletme sahipleri için online olarak sunulan çeşitli araçlar ve antivirüs yazılımları bulunuyor. Bunların bazıları pahalı bazıları ise ücretsiz bile olabilir. Web sitenizin zaten hack’lenmiş olduğunu düşünüyorsanız, sitenizdeki tüm kötü amaçlı yazılımları temizleme hizmeti veren şirketler de mevcut.
Antivirüs yazılımını kurduktan sonra işiniz bitmiyor.
Virüsler sürekli değişiyorlar. Şirket bilgilerinizi güncel olmayan yazılımların elinde bırakmak sonradan başınızı çok ağrıtabilir. Araştırmalar, güncel olmayan antivirüs yazılımları kullanmanın, hiç antivirüs yazılımı kullanmamaya eşdeğer olduğunu söylüyor. Bu yüzden yazılımlarınızın güncellemelerini düzenli olarak yaptığınızdan emin olun.
2. HTTPS protokolüne geçin
Daha az bilinen ama aynı derecede tehlikeli olan bir tür phishing nedir: pharming. İnternet korsanlarının bir web sitesinin kopyasını hazırlayıp siteyi asıl site olarak kullanıcıya sundukları bu yöntem, web sitenizi siz bir bağlantıya tıklamak ya da bir eklenti indirmek gibi bir eylem yapmadan bile etkileyebilir. HTTPS, sitenize ve sitenizden aktarılan verileri şifreleyerek bunun (ve daha fazlasının) olmasını engeller.
HTTPS, sitenizi büyük ölçüde korusa da, başka bir web sitesinde HTTPS görmenin URL’nin mutlaka güvenli olduğu anlamına gelmediğini aklınızda bulundurun. Kimlik avı dolandırıcıları, web sitelerine “HTTPS” şifrelemesi veren bazı SSL sertifikalarını kendi çıkarları için kullanmayı öğrendiler. Mart 2017 itibarıyla bağlantı adresleri (URL) içinde “PayPal” geçen 988 adet HTTPS web sitesi bulunuyordu. Böyle kurnaz bir şekilde düzenlenmiş alan adları konusunda gözünüz açık olsun. Çünkü çok fazla sayıdalar ve internet kullanıcılarının kredi kartı numaralarını ve banka bilgilerini çalmak için tetikte bekliyorlar.
Bu yazımıza da göz atabilirsiniz: Web güvenliği için HTTPS otobüsüne binme zamanı
3. Güvenli e posta kullanımının önemini vurgulayın (o bağlantıya tıklamayın!)
Kullandığınız antivirüs teknolojisi ne kadar gelişmiş olursa olsun, kullanıcı hataları yüzünden şirket verileri yine de tehlikeye girebilir. Bunun için tek bir kişinin e posta içindeki kötü amaçlı bir bağlantıya tıklaması yeterli.
Kullanıcıları kandırıp kişisel bilgilerini paylaşmaya yönelten sahte e postalar tüm dünyada oldukça yaygın ve otomasyon sistemleri toplu mesaj göndermeyi kolaylaştırdığından benzeri vakalar her geçen gün artıyor.
Tek bir çalışanın bile bu sahte e posta bağlantılarından birine tıklaması işletmeniz için büyük sorunlar doğurabilir.
Sahte e posta, internetteki en eski dolandırıcılık yöntemlerinden biri. Bu yüzden kimlik avı dolandırıcılarının yıllar içinde yeteneklerini geliştirmek için epey vakitleri oldu. Hatta artık bazıları her türlü şirket/çalışan verisine yüksek düzeyde erişim sağlamak için direkt olarak şirket CEO’larını hedef alıyor (bu işleme whaling ya da balina avı deniyor). Teknoloji gelişmeye devam ettikçe kimlik avı dolandırıcıları da kurnazlaşıyor.
Phishing nedir: Phishing belirtileri nelerdir?
Phishing dolandırıcılığının ne kadar geliştiğini vurgulayan bir örnek, sahte PayPal e postalarıdır. Bu popüler phishing taktiği o kadar yayıldı ve büyüdü ki dünyada en yaygın kullanılan sanal ödeme yöntemlerinden biri olan PayPal, bu e postaları kendi web sitesinde ele almaya ve bir e postanın kendi şirketlerinden mi yoksa bir kimlik avı dolandırıcısından mı geldiğinin nasıl anlaşılacağı konusunda ipuçları vermeye başladı.
Dikkat etmeniz gerektiğini söyledikleri (ve çoğu phishing dolandırıcılığı için geçerli olan) şeylerden bazıları şöyle:
- E posta içinde size nasıl hitap edildiği – PayPal, “Değerli Müşterimiz” gibi genel karşılamalar yerine sistemlerinde kayıtlı olan tam isminizi kullanıyor. Markalar ve işletmelerden gelen e postalarda size normalde nasıl hitap edildiğine dikkat edin.
- Kullanıcıyı yanlış yerlere yönlendiren bağlantılar – sizi metin içinde söylenenden başka bir sayfaya yönlendiren bağlantılara dikkat edin.
- Ekler – PayPal hiçbir zaman e postlarında ek göndermiyor. Özellikle kişisel bilgilerinizi isteyen eklere ve bağlantılara karşı dikkatli olun.
- Dil bilgisi ve yazım hataları – Herkes tabii ki hata yapabilir, ama bir markadan ya da işletmeden yazım hatalarıyla dolu bir e posta gelme olasılığı düşüktür.
Konu güvenli e posta kullanımı olduğunda çalışanlarınızın neyin tehlikede olduğunu bildiklerinden emin olun. Şüpheli e postaların dikkatle ele alındığı bir bilinç oluşturmak, işinizi phishing dolandırıcılıklarının olumsuz etkilerinden korumak için çok önemlidir.
Tedbiri elden bırakmayın
Online phishing dolandırıcılıkları güvenlik açıkları sebebiyle ortaya çıkıyor. Bir hacker ya da dolandırıcı, istismar edebileceği bir açık bulursa bunu kullanacağından emin olabilirsiniz. Bu dolandırıcılar, bir durumu ya da kişiyi istismar edebilmek için psikoloji (e postadaki bağlantıya tıklamazsanız alan adınız kapatılacak tarzı korku ve endişeye yol açan gönderiler), teknoloji ve kurnazlık gibi kullanabilecekleri tüm yöntemlere başvuruyorlar.
Ancak, e-ticaret işletmeleri için durum o kadar da vahim değil.
Artık phishing nedir sorusunun cevabını bildiğinize ve dolandırıcıların ne tür yöntemler kullandığından haberdar olduğunuza göre, işletmenizin online güvenliğini sağlayacak araçlar kullanarak, şüpheli e postalara karşı nasıl davranmak gerektiği konusunda çalışanlarınızı eğiterek ve veri koruma konusunda reaktif değil proaktif bir tutum izleyerek herhangi bir potansiyel phishing krizini büyük oranda önleyebilirsiniz.