SANAL DOLANDIRICILIĞIN YÜKSELEN YILDIZI: PHISHING

Gerçek süsü verilmiş sahte mesajlar eşliğinde kurumsal güveni kötüye kullanarak başınıza musallat olan dolandırıcılar, paranızın ve kimliğinizin peşinde.

Son dönemlerde bilgisayar kullanımı konusunda fazla deneyimi olmayan kullanıcıları hedef alan, maddi ve manevi anlamda ciddi zararlara neden olan yeni bir dolandırıcılık türü hızla yayılmaya başladı. Hatta henüz geçtiğimiz ay, bu tarz bir dolandırıcılık örneğini ülkemizde gerçekleştiren ve bu yolla 3.000 kullanıcının bankacılık işlem şifrelerini, kredi kart numaralarını ve özel bilgilerini ele geçirerek kendilerine çıkar sağlayan ve bu amaçla 17 yaşındaki bilgisayar korsanı B.B.'den yardım alan organize bir suç şebekesi çökertildi. İnternet üzerinden dolandırıcılık konusunda yıldızı giderek parlayan bu yönteme phishing adı veriliyor.

Peki nedir bu phishing denen? Phishing sözcüğü, eskiden telefon sistemlerinden ücretsiz görüşme yapmak için kullanılan bir aldatmaca sistemi olan "phreaking" ve balık avlama anlamına gelen "fishing" sözcüklerinin birleşmesinden oluşuyor. Tanım olarak phishing, genellikle e-posta ya da Web sitelerindeki açılır pencereler yoluyla karşınıza çıkan ve hem kişisel, hem finansal anlamda zararla sonuçlanabilirle potansiyeli yüksek bir nevi bilgi hırsızlığı yöntemi.

Sistem Nasıl Çalışıyor?

Phishing dolandırıcıları sizden kişisel bilgilerinizi ya da finansal şifrelerinizi çalmak için, hizmet aldığınız kurumların kurumsal kimliğini taklit eden mesajlarla karşınıza çıkıyorlar. Taklit edilen organizasyonlar arasında çalıştığınız banka, hizmet aldığınız servis sağlayıcı, hatta devlet kurumları bile olabiliyor.

Tüm bu mesajların ortak amacı, bir nedenle hesabınızla ilgili bilgilerin güncellenmesi gerektiği konusunda sizi ikna edebilmek. Genellikle söyleneni yapmadığınız takdirde sizi dezavantajlı konuma getirecek bir durumun varlığı da mesaja eklenerek bir an önce harekete geçmeniz teşvik ediliyor. Örneğin sürekli çalıştığınız bankadan geliyor süsü verilmiş bir mesaj size çevrimiçi bankacılık hesabınıza ait şifre bilgilerinizin değiştirilmesi gerektiğini söylerken, bunu bir hafta içinde yapmadığınız taktirde tüm hesaplarınızın güvenlik nedeniyle bloke edileceğine benzer bir blöf yaparak sizi bir an önce işlem yapmaya zorluyor. Bu yalana inanıp mesajda yer alan sahte bağlantıya tıklarsanız, bu kez her zaman kullandığınız güvenilir kurumsal sitenin başarıyla taklit edilmiş bir kopyası sizi karşılıyor. Ancak yönlendirildiğiniz sahte sitedeki ilgili boşluklara kişisel bilgilerinizi girdiğiniz anda tüm bilgileriniz karşı tarafın eline geçmiş oluyor. Bundan sonra bankacılık şifrelerinizi kullanarak banka ve kredi kartı hesaplarınızı boşaltmak, ya da bankadan edinilecek detaylı kişisel bilgiler yardımıyla işlenen bazı suçları sizin üzerinize yıkmak tümüyle hırsızın inisiyatifine kalıyor.

Tuzağa Düşmemek İçin Ne Yapmalı?

Phishing bu aralar gelişmiş teknoloji ve yaygınlaşan bilgisayar kullanımına bağlı olarak popülerlik kazanan ve her geçen gün daha fazla kişiyi tehdit eden bir dolandırıcılık yöntemi. Diğer yandan size gönderilen mesajlar ne kadar gerçekçi olursa olsun, mesajlardaki bazı özel işaretlere dikkat ettiğiniz ve bazı prensipleri uygulamaya koyduğunuz sürece bu işten zarar görmeden sıyrılabilirsiniz.

<<= İşte klasik phishing yaklaşımlarına basit bir örnek. Mesaj gerçekten MSN tarafından gönderilmiş gibi görünmekle birlikte, sisteme giriş yapmanız için sizi bir an önce harekete geçmeye zorlama çabası içinde ve mesaj içindeki bağlantı adresi (en alt satırda görebilirsiniz) sizi MSN'e ait olmayan tuzak siteye yönlendiriyor.

1. Kimlerle çalıştığınızı bilin. Size gelen bilgi doğrulama mesajı, çalıştığınız kurumlardan birine ait değilse silin.
2. Size gönderilen mesaj doğrudan kişisel ve finansal bilgilerinizi istemeye yönelikse, üstelik bu bilgileri sağlamanız için sizi acele etmeye yönlendirecek blöfler içeriyorsa olasılıkla bir tuzakla karşı karşıyasınız demektir. Unutmayın ki hiçbir düzgün banka ya da kurum, sizden e-posta yoluyla şifre ve kimlik bilgilerinizi göndermenizi istemez.
3. Asla sizden istenen bilgileri girmek için e-posta mesajları içinde yer alan bağlantıları kullanmayın. Mesajda yazılanların doğruluğunu teyit etmek istiyorsanız, önce yeni bir tarayıcı penceresi açın ve bankanızın/kurumunuzun Web adresi kendiniz elle yazarak girişinizi yapın. Unutmayın ki dolandırıcılar, tarayıcı açıklarını kullanarak, site içindeki bir JavaScript kodu yardımıyla siz tuzak sitede gezinirken adres satırını gerçekten kuruma ait Web sitesinde geziyormuşsunuz gibi gösterebilirler. Gezdiğiniz sitelerin bu yolla gizlenmediğinden emin olmak için http://www.corestreet.com/ adresindeki SpoofStick aracını kullanabilirsiniz.
4. Mesajların sizi yönlendirdiği adreslere dikkat edin. Bu yönlendirme adresleri çoğu zaman kurumun kendisiyle ilintisiz bir site olabileceği gibi, yönlendirme adreslerinde yalnızca gözü aldatmaya yönelik işaretler de bulunabilir (http://www.te1eweb.com gibi, l harfinin yerine 1 rakamının yerleştirildiğine dikkat edin). Bazen de dolandırıcılar mesaj içine gerçek firmaya ait Web sitesi üzerinde çalışmadığını bildikleri bir bağlantı koyarlar, altına da "eğer yukarıdaki adrese ulaşamıyorsanız aşağıdaki adresi de kullanabilirsiniz" diyerek tuzak kurulu adresi yerleştirirler. Bu oyuna gelmemenin yolu 3 numaralı maddeyi istisnasız uygulamaya koymaktan geçer.
5. Kişisel ve finansal bilgilerinizi doğrulamaya yönelik olarak e-posta yoluyla size gönderilen formları asla doldurup geri göndermeyin. Bu bilgilerin gü'ncellenmesini, kurumunuzun çağrı merkezini telefonla arayarak gerçekleştirin.
6. Yazım ve cümle hatalarına dikkat edin. Phishing mesajları ne kadar profesyonel görünürlerse görünsünler, genellikle yazım ve cümle kurulumunda bolca hata barındırırlar. Elbette ki gerçek kurumlardan gelen mesajlar da bu tarz hataları barındırıyor olabilir, ancak hata sayısı birden fazlaysa şüphelenmeye başlayabilirsiniz.
7. Güvenli Web siteleri http:// değil, https:// ön ekiyle başlarlar ve siteye girdiğinizde işlemin güvenli olduğunu belirten bir simge, tarayıcınızın alt kısmına belirir. Bu aslında tam olarak ayırıcı bir özellik değildir, ancak çoğu sahte site henüz bu özelliğe sahip olmadığından kontrol etmenizde fayda var.
8. Bazı antivirüs yazılımları ve tarayıcı eklentileri, phishing amacıyla kullanılan Web sitelerinin listelerine ulaşma ve böyle bir siteye yönlendirildiğinizde sizi uyarma özelliğine sahiptir. Bu özellik için satın aldığınız antivirüs programının üreticisine danışabilir, ya da bu amaçla kullanabileceğiniz ücretsiz bir program olan EarthLink Toolbar yazılımını bilgisayarınıza yükleyebilirsiniz (http://www.earthlink.net/software/free/toolbar).
9. Banka hesaplarınızı ve kullandığınız diğer servisleri düzenli olarak ziyaret edip bilginiz dışınızda bir işlemin gerçekleştirilip gerçekleştirilmediğini kontrol edin. Bazı durumlarda sizden alınan bilgiler hemen o an değil, şüphe çekmemesi için aradan belli bir süre geçtikten sonra kullanılabilir. Şüpheli bir hareket gördüğünüz anda hemen bankanızı ya da servisinizi arayın.
10. Kullandığınız İnternet tarayıcısını ve e-posta yazılımını güncellemeyi unutmayın. Yeni güncellemeler, bu tarz saldırıların önlenmesi konusunda yeni özellikler içeriyor olabilir.

Bilgilerinizi Verdiyseniz Ne Olacak?

Diyelim ki bir şekilde dolandırıcıların tuzağına düştünüz ve kredi kartı bilgilerinizi, banka hesabı şifrelerinizi kaptırdınız. Bu durumda yapmanız gereken ilk şey hemen çalıştığınız kurumlara güvenilir bir yoldan ulaşarak tüm şifrelerinizi ve kart numaralarınızı değiştirmek olmalı. Daha sonra bu bilgiler kullanılarak şüpheli hesap hareketleri gerçekleştirilip gerçekleştirilmediğini kontrol edin. Eğer böyle bir durum varsa hemen gerekli kanuni işlemlerin başlatılmasını sağlayın.

Çalıştığınız banka kanunlar ve kendilerine özgü sigorta sistemleri dahilinde karşı karşıya olduğunuz zararın tazmini ya da zararın yalnızca belli bir kısmından sorumlu tutulabilmeniz konusunda size seçenek sunabilirler. Eğer bu tarz bir dolandırıcılığın kurbanı olduğunuzu düşünüyorsanız, konu hakkında bankanızdan detaylı bilgi edinin ve bu bilgileri avukatınızla paylaşın.

Eğer sizden çalınan bilgilerle sizinle iletişime geçmeye çalışan birileri olursa, konuyu hemen bir avukat eşliğinde ilgili makamlara iletin ve böyle kişilerle asla kendiniz muhatap olmayın.

Konuyla İlgili Bağlantılar

• Phishing konusunda oldukça ayrıntılı açıklamalara yer veren çok güzel bir Türkçe kaynak.
• Türkiye'deki phishing girişimlerine ait örnekler.
  
• NSBC Bank'ın phishing hakkındaki Türkçe bilgilendirme sayfası.  innova'nın Türkçe bilgilendirme sayfası.
  
• Phishing konusunda bilgiler ve bilinen phishing yöntemleri üzerine geniş bir veritabanı.
•  Size gösterilecek mesajlardaki ipuçlarını gözden geçirerek hangilerinin gerçek, hangilerinin dolandırıcılık teşebbüsü olduğunu anlayabilme konusundaki becerinizi ölçen bir test.
• Yukarıdaki testin ingiltere sürümü.
• Zor anlaşılan türden bazı phishing girişimlerinin ortaya çıkarılmasına dair yararlı bir makale.