Aşağıdaki makale size yardımcı olacaktır:Kimlik Avı ve Kimlik Avı – Kimlik Avı ve Kimlik Sahtekarlığı arasındaki fark
Kimlik sahtekarlığı ve kimlik avı karşılaştırmasının yanı sıra, bu blogda ele alacağımız şeyler.
Önce kimlik avı ve kimlik sahtekarlığının tanımlarını ve bunların ne anlama geldiğini anlayalım.
Wix tarafından hazırlanan bu eğitimden Kimlik Avı hakkında daha fazla bilgi edinin.
Kimlik avı nedir?
Kimlik avı, yasal görünmek üzere tasarlanmış, ancak gerçekte kullanıcıları kandırarak potansiyel olarak kötü amaçlı yazılım bulaşmış bir eki olan kötü amaçlı bir bağlantıya tıklamaları için kandırmayı amaçlayan e-postaların kullanımını içeren bir sosyal mühendislik tekniğidir. Siber suçlular, kurbanların kredi kartı numaraları veya oturum açma kimlik bilgileri gibi kişisel veya hassas bilgilerini elde etmek için bu tekniği kullanır. A Kimlik avı saldırısı öncelikle bir hedefi kişisel bilgileri ifşa etmesi için cezbetmeyi amaçlar.
Kimlik Avı Türleri
Dikkat edilmesi gereken kimlik avı türleri şunlardır:
- E-posta Kimlik Avı: Saldırgan çevrimiçi saldırmak için e-postaları kullanır
- Telefonla Kimlik Avı: Bu tür kimlik avı telefon aracılığıyla gerçekleştirilir.
- Klon Kimlik Avı: Bir firmanın üst düzey yöneticilerini hedef alan bir balina avcılığı saldırısıdır.
- Yemleme kancası: Zararlı bir e-postanın belirli bir hedefe gönderildiği gelişmiş bir kimlik avı saldırısı
- Fener Avcısı Kimlik Avı: Sosyal medya aracılığıyla gerçekleştirilir ve bir platformda yayınlanan verileri çalar veya kullanıcıları kişisel bilgilerini ifşa etmeleri için kandırır
- Smishing ve Vishing: Metin mesajlarının kullanımını içeren kimlik avı çok kötüdür, oysa özlem telefon görüşmeleri ile yapılır
Daha meşru görünmesi için kimlik avı girişimlerine bir tür kimlik sahtekarlığı karıştırmak popüler değildir. Örneğin, bir saldırgan daha inandırıcı görünmek için bir telefon numarasını veya bir e-posta etki alanını taklit edebilir. Bu şekilde, kullanıcıların bu tür girişimlerin tuzağına düşmeleri için kandırılmaları daha olasıdır.
Kimlik Avı Örnekleri
Kimlik avının nasıl gerçekleştirilebileceğine ilişkin bazı örnekler aşağıda verilmiştir:
- Kullanıcıdan bir bağlantıya tıklayarak kişisel verilerini doğrulamasını isteyen bir e-posta
- ‘Burayı Tıklayın’, bu tür e-postalarda kullanılan yaygın bir terimdir.
- OTP, şifre veya PIN isteyen bankadan geliyormuş gibi görünen telefon aramaları veya e-postalar
- Sizin tarafınızdan yapılan belirli bir ödemenin başarısız olduğunu iddia eden bir e-posta
- Vergi iadelerinden bahsederek kullanıcıyı karalayan bir e-posta
- Bir kullanıcı tarayıcıya bir bankanın web adresini girdiğinde sahte bir siteye yönlendirildiğinde
- Bir kullanıcının yönlendiricilerinin DNS’leri bilgisi dışında değiştirildiğinde
Kimlik Sahtekarlığı nedir?
Kimlik sahtekarlığı, bilinmeyen veya güvenilmeyen bir iletişim biçiminin meşru bir kaynak gibi göründüğü bir saldırıdır. Bu tür saldırıların amacı, kullanıcıların kişisel bilgilerini ifşa etmelerini sağlamaktır.
Kimlik avı bazen saldırıyı meşru göstermek için bir tür kimlik sahtekarlığı (telefon numarası, e-posta adresi veya bir web sitesi etki alanı aracılığıyla) içerebilirken, diğer siber saldırı biçimleri de saldırının gerçek kaynağını gizlemek için kimlik sahtekarlığı içerebilir. DDoS ve homograf saldırıları bu tür örneklerdir.
Kimlik sahtekarlığı türleri
Dikkat edilmesi gereken birden çok kimlik sahtekarlığı türü vardır:
E-posta Sahtekarlığı
E-posta sahtekarlığı, saldırganın bir e-postadaki ‘adresi’ meşru gibi göstermesidir. Kimlik avı ve iş e-postası uzlaşmaları genellikle bu tür sahtekarlığı içerir. E-posta sahtekarlığı genellikle bir kullanıcının cihazına kötü amaçlı yazılım bulaştırmayı, bilgilerini çalmayı veya para talep etmeyi amaçlar.
Web Sitesi Sahtekarlığı
Web sitesi sahtekarlığı, siber suçluların yasal görünen ancak kişisel bilgileri çalmaya çalışabilecek veya kötü amaçlı yazılım bulaşmış olabilecek sahte web siteleri kurmasıdır. Örneğin, bir site, gerçek hesabınızdan para çalmak için oturum açma bilgilerinizi isteyen güvenilir bir bankacılık sitesi gibi görünebilir.
Bu kimlik sahtekarlığı biçimi çoğu zaman, e-postanın sahte web sitesine bağlantı vereceği e-posta kimlik sahtekarlığına bağlıdır.
Arayan Kimliği Sahtekarlığı
Arayan Kimliği sahtekarlığı, hedef kurbanların kişisel bilgilerini ifşa etme olasılığını artırmak için bir telefon numarasının güvenilir veya yerel bir telefon numarası gibi görünmesi için taklit edilmesidir. Bu kimlik sahtekarlığı biçimi genellikle otomatik aramalarda, bilinmeyen numaralardan günlük olarak alınan istenmeyen, aralıksız aramalarda kullanılır.
IP Sahtekarlığı
Siber suçlular, bilgisayar IP (İnternet Protokolü) adreslerini gizlemek için IP sahtekarlığını kullanır. Başka bir bilgisayar sisteminin kimliğine bürünmek veya gönderenin gerçek kimliğini gizlemek için kullanılabilir. DDoS saldırılarında kötü amaçlı trafiğin kaynağını gizlemek için IP sızdırma kullanılır.
DNS Sunucusu Sahtekarlığı
DNS Sunucusu Sahtekarlığı, saldırganların trafiği farklı bir IP adresine yönlendirmesi ve kötü amaçlı yazılım yayan web sitelerine yönlendirmesidir.
Kimlik sahtekarlığına örnekler
Sahtecilik örnekleri aşağıdadır:
- Sitenin IP adresi değiştirilerek eksiksiz bir web sitesi saldırıya uğradığında
- Oturum açma talebinde bulunan, ancak aslında hesap bilgilerinizi almanın bir yolu olan, bankacılık web sitesi görünümüne sahip bir web sitesi
Hem kimlik avı hem de kimlik sahtekarlığının tanımlarını, türlerini ve örneklerini ele aldığımıza göre, kimlik avı ve kimlik sahtekarlığı arasındaki farkı öğrenmeye geçelim.
Kimlik Avı ve Adres Sahtekarlığı arasındaki fark
Çeşitli parametrelere dayalı olarak kimlik avı ve kimlik sahtekarlığı arasındaki farkları keşfedelim.
1. Amaç
Phishing gerçekleştirmenin birincil amacına gelince, amaç alıcının hassas kişisel verilerini elde etmektir, oysa sahtekarlıkta amaç bir kişinin kimliğini çalmaktır.
2. Dolandırıcılığın Doğası
Saldırgan, kurbanın e-posta veya telefon numarasına erişmediği ve hiçbir bilgi çalınmadığı için şaşırtıcı bir şekilde, sahtecilik dolandırıcılık olarak kabul edilmez. Bununla birlikte, veri hırsızlığı söz konusu olduğu için kimlik avı bir tür çevrimiçi dolandırıcılık veya dolandırıcılıktır.
3. Alt Küme
Kimlik sahtekarlığı, kimlik avının bir alt kümesidir çünkü genellikle çevrimiçi saldırganlar, kimlik avı dolandırıcılığını gerçekleştirmeden önce meşru bir kullanıcının kimliğini çalar. Ancak kimlik avı, kimlik sahtekarlığına dahil değildir.
4. Yöntem
Kimlik avı, kötü amaçlı yazılım kullanımını içermez ve sosyal mühendislik teknikleri kullanılarak gerçekleştirilir. Kimlik sahtekarlığında, hedef bilgisayara kötü amaçlı yazılım yüklenir.
5. Tipler
Kimlik avı türleri, e-posta kimlik avı, vishing, smishing, klon kimlik avı, telefon kimlik avı, mızrak kimlik avı ve fener kimlik avıdır. Adres sahteciliği türleri arasında e-posta sahtekarlığı, arayan kimliği sahtekarlığı, DNS sunucusu sahtekarlığı, web sitesi sahtekarlığı ve IP sahtekarlığı yer alır.
Adres sahteciliği ve Kimlik avı
| parametreler | kimlik sahtekarlığı | E-dolandırıcılık |
| Amaç | Hacker, başka bir birey olarak hareket etmek için kimliği çalmaya çalışır. | Hacker, kullanıcının hassas bilgilerini çalmaya çalışır. |
| Doğa | Dolandırıcılık gerektirmez. | Dolandırıcılık usulüyle işletilmektedir. |
| Çalınması | Bilgi hırsızlık değildir. | Bilgi hırsızlıktır. |
| altküme | Kimlik sahtekarlığı, kimlik avının bir parçası olabilir. | Kimlik avı, kimlik sahtekarlığının parçası olamaz. |
| Yöntem | Kurbanın bilgisayarına bazı kötü amaçlı yazılımlar indirmesi gerekiyor. | Böyle bir kötü amaçlı yazılıma gerek yoktur. |
| Türler | E-posta sahtekarlığı, IP sahtekarlığı, URL sahtekarlığı, arayan kimliği sahtekarlığı, DNS sunucusu sahtekarlığı, web sitesi sahtekarlığı | Telefon kimlik avı, klon kimlik avı, vishing, smishing, mızrak kimlik avı ve fener kimlik avı |
Kimlik Avı Saldırısı Nasıl Önlenir?
Kimlik avı saldırılarının gerçekleşmesini önlemek için bazı önleyici tedbirler şunlardır:
- E-posta yoluyla alınan bağlantılara tıklamadan önce, hedefi tekrar kontrol etmek için bağlantının üzerine gelin
- “Acele edin” veya “Şimdi Harekete Geçmeli” gibi sansasyonel konu satırları içeren şüpheli e-postaları veya mesajın gövdesinde profesyonelce görünmeyen yanlış yazımlar içeren e-postaları silin.
- Yalnızca güvenilir kaynaklardan gelen ekleri açın.
- Şüpheye düştüğünüzde, e-postanın kendisinden geldiğini doğrulamak için her zaman göndereni aramaya çalışın.
Kimlik Sahtekarlığı Saldırısı Nasıl Önlenir?
Kimlik sahtekarlığı saldırılarına karşı etkili bir koruma yolu, iletişimdeki ayrıntılara çok dikkat etmeyi içerir:
- E-postalarda, URL’lerde veya web sayfalarında yazım hatalarını kontrol edin
- İletişimin içeriğindeki gramer hatalarına dikkat edin
- Cümle yapısına veya garip cümle ifadelerine çok dikkat edin
Yukarıdakilerin tümü, e-postanın, web sayfasının, telefon görüşmesinin veya iletişim biçiminin muhtemelen sahte olduğunu gösteren işaretlerdir.
Ayrıca bir adım daha ileri gidilebilir ve kimlik avı için var olan önlemlerin aynısı eklenebilir. Bunu yapmak, bilinmeyen bir göndericiden gelen herhangi bir iletişim biçimine karşı dikkatli olmayı ve sizden herhangi bir türde kişisel bilgi isteniyorsa daha da dikkatli olmayı gerektirecektir.
Genel olarak, gönderen bilinmiyorsa veya bir şeyler yanlış görünüyorsa, iletiyi silin, tarayıcıyı kapatın veya gönderenin e-postanın geçerliliğini doğrulamak için onu aramayı denediği biliniyorsa.
Çözüm
Teknoloji ve siber güvenlik gelişirken, siber suçlular da kimlik avı ve kimlik sahtekarlığını taktiklerine dahil etme yöntemlerini değiştiriyor. Bu nedenle, güvenliği her zaman aklımızda tutarak ve teknoloji ile uğraşarak uyanık kalmak esastır. Saldırı belirtileri için uyanık olmak, hasar verildikten sonra pişman olmaktan her zaman daha iyidir.
