İnternetin günlük hayatta getirdiği en büyük faydalardan biri de, hiç kuşkusuz bankacılık işlemleridir. Eskiden şubelerde sıra bekleyip yaptırdığımız birçok işlemi artık internet sayesinde, web erişimimiz olan herhangi bir yerden saat gözetmeksizin yapabilmekteyiz. Bu tarz güzelliklerinin yanında ne yazık ki kötü niyetli kullanıcılar da yok değil!
Bu yazımızda “Phishing” yani Türkçe karşılığı ‘Oltalama’ olan ve ‘şifre çalma’ üzerine kurgulanan dolandırıcılık yönteminden bahsedeceğiz. Phishing dolandırıcıları, rastgele kullanıcı mail hesaplarına banka ve alışveriş sitelerinden gönderilmişçesine mail atarak, kullanıcıları oluşturdukları sahte siteye yönlendirmeyi amaçlarlar. Genellikle bu tarz maillerin içeriklerinde, hesabınızın ele geçirilmiş olabileceği ve bilgilerinizin güncellenmesi gerektiği vurgulanır. Aslında mailde gelen web sitesi linki, sizi yönlendirmeye çalıştıkları kurumun bir taklit sitesidir. Bu sebeple bilgi girişi yaparak kullandığımız banka vb. sitelere bu tarz yönlendirme ile değil, doğrudan erişim yapmak en sağlıklısıdır.
Phishing’de amaç kişinin kredi kartı, şifre vb. bilgilerine erişmektir. Aslında yazımızın amacı da bu teknolojiyi kullanan insanların zarar görmelerini engellemektir.
ALDATMA YÖNTEMLERİ!
E-posta yoluyla phishing yöntemini kullanan dolandırıcılar, genellikle birkaç tip aldatma yöntemini seçerler:
- Gelen Kutunuza devamlı suretle çalıştığınız banka veya kamu kurumundan gönderilmiş izlenimi veren bir e-posta gelir. Şifrenizin süresinin dolduğu hatırlatılarak, değiştirmeniz talep edilir. İşte aldatmaca da tam burada başlar. Çünkü size gelen e-postada belirtilen web adresi, asıl sitenin bir kopyasıdır ve girdiğiniz tüm bilgiler, bilgisayar korsanına ulaşır. Korsan, sizin girdiğiniz bilgileri, doğru web sitesine girer. Korsanın gerçek web sitesine girdiği bilgi ile size gelen SMS kodunu da bu sahte siteye girdiğinizde, tam anlamı ile elinizle bilgilerinizi teslim etmiş olursunuz.
- Diğer bir çeşitte ise, kullanıcıya bir hediye çıktığı söylenir. Kullanıcının hediyeyi alması için ilgili siteye linki verilir. Bu linkte girilen her türlü bilgi, aslında bilgisayar korsanlarının eline geçer.
NE YAPMALI?
Yukarıdaki örnekleri çoğaltmak maalesef mümkün… Bu nedenle, bize kolaylık sağlayan bu sistemleri nasıl en güvenli şekilde kullanabileceğimiz sorusuna doğru yanıtı bulmamız gerekiyor.
Phishing yönteminden korunmak için belli başlı yapmamız gerekenler:
- E-postanıza gelen mesajlarda; “Aşağıdaki bağlantıya tıklayın” gibi ibarelere kesinlikle itibar etmeyin. İlgili e-postayı derhal silin!
- İşlem yaptığınız web sitesinin “https://” ibaresi ile başladığına emin olun. Banka vb. birçok kurum artık SSL sertifikalarını doğrudan kendi adlarına tescil ettirdiklerinden dolayı, https:// ibaresinin solunda kurumun doğrulanmış SSL ibaresini görmeniz gerekir.
Ancak bilgisayar korsanının da size yönlendirdiği site, SSL sertifikalı bir site olabilir. Bu durumda https:// adres çubuğunda yazan ismin ilgili kurumun gerçek web sitesi olup olmadığına dikkat etmelisiniz.
- Web sitesinin adres çubuğunda https://www.bankaadi.com yerine https://192.168.100.100 tarzı bir ibare varsa – numaralar değişkenlik gösterebilir- bu tarz sitelere bilgi girmeyin.
- Çalıştığınız banka veya resmi kurumun sizden şifrenizi veya kişisel bilgilerinizi doğrudan e-posta ile istemeyeceğini unutmayın.
- Güvenlik noktasında zayıf, herkese açık bilgisayar ve internet erişimlerinde banka veya kişisel bilgilerinizi kullanmayınız.
- Banka vb. kurumlardan gelen ekstre gibi belgeleri dikkatli inceleyip, ilgili harcamaların tarafınızca yapılıp yapılmadığını kontrol ediniz.
- İnternet üzerinden alışveriş için mümkün olduğunca sanal kartı tercih edin. Kartınızı mail order kullanımına da kapatabilirsiniz. Bu konularla ilgili bankanızdan detaylı bilgi alabilirsiniz.
- Kullandığınız bilgisayarınızdaki işletim sisteminizi ve anti virüs programınızı güncel tutunuz.
- E-posta ile gelen ekli dosyaları virüs taraması yaptırmadan doğrudan çalıştırmayınız.
- E-postanızda kullandığınız şifreleri belirli periyodlarda değiştirin. Şifrenizin harf ve rakamlardan oluşan karmaşık bir yapıya sahip olduğuna emin olun.
Eğer bu tarz bir e-mail ile saldırıya maruz kalırsanız, ilgili kurumla bu bilgiyi paylaşınız. Böylelikle bilgisayar korsanlarının bulunması ve bu sahte sitenin kapanması için ilgili kuruma yardımcı olmuş olursunuz.