Güvenlik Önerileri
Kimlik Avına Karşı 5 İpucu
Mesajlarda gönderilen tehlikeli bağlantıları tespit etmenin yolları ve dolandırıcıların verilerinizi çalmak için kullandığı diğer yöntemler…
Sizce “Bir milyon TL kazandınız” ve “Hesabınız bloke edildi” başlıklı e-postaların ortak noktası nedir? Yanıt basit; hemen hemen hepsi bir dolandırıcılık işaretidir. Hepsinin amacı, alıcıyı bir kimlik avı internet sitesine giden bir bağlantıya tıklamaya ve kullanıcı adı, parola veya banka hesabı ayrıntıları gibi gizli bilgileri girmeye ikna etmektir. İşte kimlik avını tespit etmenin ve kendinizi korumanın yolları.
1- E-postaları dikkatlice kontrol edin
Bir e-posta aldığınızda, yanıtlamak veya yazılanları yapmak için acele etmeyin. Yapmanız gereken ilk şey, kimlik avı olduğunu gösteren bariz işaretleri aramaktır. Peki bu tehlike işaretleri neler?
- Dramatize edilmiş bir konu başlığı. Yaygın olarak kullanılan konseptler arasında yüklü para transferleri, maddi tazminat, hack’lenmiş veya bloke edilmiş hesaplar ve sahte işlemler yer alıyor; bunlar genellikle açgözlülük veya korku üzerine oynanan, duygusal bir tepkiyi tetikleme olasılığı bulunan dikkat çekici konulardır.
- Durumun ciddiyetinin vurgulanması. Sizi acele ettirmek, panikletmek ve tedbiri elden bırakmanız için “Bu size son uyarı!” veya “Sadece 3 saatiniz var” gibi ifadelerle birlikte aşırı ünlem işareti kullanımı söz konusudur.
- Metindeki hatalar, yazım yanlışları ve farklı karakter kullanımı. Saldırganların bazı durumlarda kasıtlı olarak “milyor” gibi hatalar yapar veya spam filtrelerini atlatmak için farklı alfabelerdeki harfleri kullanır. Bazı durumlarda yabancı dilden hedeflenen bölgeye (örneğin Türkiye) yönelik otomatik çeviri tercih edilmesi nedeniyle bariz anlatım bozuklukları da karşımıza çıkabilir.
- Gönderici adresindeki tutarsızlık. Bir gönderici büyük bir kuruluştan yazdığını iddia ediyorsa, rastgele bir sürü harf ve rakam içeren bir e-posta adresi veya yanlış alan adı bunun kesinlikle bir sahtekarlık olduğunu gösteren işaretlerdir.
- E-postada bağlantıların — veya daha net ifade etmek gerekirse, bir internet sitesine yönlendiren bağlantıların olması. Bir bağlantıyı, imlecinizi bağlantının üzerine getirip çıkan adresi dikkatlice okuyarak kontrol edebilirsiniz. Suçlular, kurbanların yeterince dikkat etmemesi nedeniyle tanınmış şirketlerin veya markaların adlarında yapılan küçük değişiklikleri tespit edememesine güvenir — com veya qoogle.com gibi. Her bir bağlantıyı dikkatlice kontrol edin.
Bu tür kontroller çoğu durumda, toplu bir kimlik avı dolandırıcılığının parçası olarak gönderilen bir e-postayı tespit etmekte yeterli olur. Ancak yine de göndericilerin adları ve adresleri değiştirilmiş, bağlantılar anlaşılmaz hale getirmek için kısaltılmış ve daha az şüpheli internet adresleriyle gerçek kimlik avı internet sitesine yönlendirmek için otomatik yönlendirme zincirleri oluşturulmuş olabilir. Bu nedenle, eğer bağlantının gönderilmesini siz istemediyseniz, mümkünse e-postalardaki bağlantılara tıklamaktan tamamen kaçınmak en iyisidir. Örneğin, bir bankadan veya internet mağazasından gelmiş gibi görünen bir bildirim alırsanız, doğrulunu teyit etmek için bankayı veya mağazayı arayın.
Ayrıca bir arama motoru ile sözde ödül veren şirketin resmi internet sitesine bakarak ödülün gerçek olup olmadığını da kontrol edebilirsiniz. Ardından oradaki ödül bilgilerini kontrol edebilirsiniz. Bunlar bu konudaki sadece birkaç örnek, ancak konu ne olursa olsun tavsiyemiz hep aynı: İstenmeyen bir e-postaki bir bağlantıyı kontrol etmek istiyorsanız, bunu dolaylı bir şekilde yapmaya çalışın.
2- Mesajlaşma uygulamalarını veya sosyal ağları kullanırken tedbiri elden bırakmayın
Dikkat etmeniz gereken tek şey e-posta değildir. Mesajlaşma uygulamalarında ve sosyal ağlarda aldığınız mesajlarda da benzer potansiyel tehlikeler söz konusudur; kötü niyetli bağlantılar arkadaşlarınızın Facebook gönderilerinde, Twitter’da sahte marka elçileri tarafından gönderilen yorumlarda veya Discord’da gönderilen özel mesajlarda da karşınıza çıkabilir.
Banner’lara da (web sitelerinin belli kısımlarındaki çeşitli büyüklüklerdeki reklamlar) dikkat edin; gösterilen resimlerle sizi götürdüğü internet sitesinin hiçbir ilgisi olmayabilir. Banner’ların yayınlandığı platformlar, genellikle kullanıcılara ne gösterildiğini veya nereye yönlendirildiğini kontrol etmezler. Mükemmel bir saygınlığa sahip bir internet sitesinde bile kimlik avına yönlendiren reklamlar gösterilebilir.
Peki bu konuda ne yapabilirsiniz? E-postalarda olduğu gibi, her bağlantıyı dikkatlice kontrol edin ve mümkünse onlara hiç tıklamayın.
3- Banka hesap bilgilerinizi girmeden önce durun ve düşünün
Banka kartı bilgileri, paranıza doğrudan erişilmesini sağladığı için özellikle hassastır. Bu nedenle, internet sitesine nasıl ulaşmış olursanız olun, banka kartı bilgilerinizi girmeden önce gerçekten nerede olduğunuzu son bir kez kontrol etmelisiniz.
İlk olarak, adrese yakından bakın. Aynı tehlike işaretlerini arıyoruz: Yazım hataları, harfler yerine sayılar, beklenmedik yerlerde kısa çizgiler ve garip alan adları. Böyle bir şeyle karşılaştıysanız, internet sitesinden çıkın ve adresi kendiniz yazarak girmeyi deneyin.
Ardından, adres çubuğundan devam edin ve soldaki asma kilit simgesine tıklayın. Asma kilit simgesi güvende olduğunuzu garanti etmez ancak internet sitesinin sahibi hakkında daha fazla bilgi edinmenizi sağlayabilir (tarayıcıların ilgili sekmelere ilişkin Sertifika veya Güvenli bağlantı gibi farklı adları vardır).
4- Farklı parolalar kullanın
Parolanız çok güvenilir olsa bile farklı hesaplar için aynı parolayı kullanırsanız, bir şekilde bir kimlik avı internet sitesine girmeniz, tüm hesaplarınızın güvenliğinin ihlal edilmesi riskiyle karşı karşıya kalmanıza yol açar. Her internet sitesi ve uygulamada farklı bir parola kullanmak oldukça önemlidir.
5- Hesaplarınızı korumak için iki faktörlü kimlik doğrulama (2FA) kullanın
Birçok kimlik avı saldırısının amacı hesapları ele geçirmektir, ancak mümkün olan her yerde iki faktörlü kimlik doğrulama (2FA) kullanarak, saldırganlar kullanıcı adınızı ve parolanızı ele geçirse bile hesabınıza giriş yapmalarını engelleyebilirsiniz. İki faktörlü kimlik doğrulamayı etkinleştirdikten sonra oturum açmak için ek bir geçici doğrulama koduna ihtiyacınız olur. Bu kodu e-posta, kısa mesaj veya bir kimlik doğrulama uygulamasından alırsınız. Saldırganlar doğruma kodunu alamaz.
Son olarak mobil, masaüstü fark etmeksizin tüm cihazlarınızda siber güvenlik yazılımı kullanmanızı öneririz.