Hedef sensin!

Sonraki hikaye

Siber suçluların yeni yöntemi:  Sor ve şifreyi al

 

Siteyi değil, kişileri hackliyorlar!

 

Hedef sensin!

 

Bankacılık, kredi kartı ya da e-mail hesaplarına ulaşmaya yönelik kimlik avı, siber suçlular tarafından giderek daha çok tercih ediliyor. Son olarak iCloud üzerinden aralarında Jennifer Lawrence’in de bulunduğu 100 ünlünün özel resimlerinin ele geçirilmesi, bu yöndeki eğilimi güçlendiriyor.  

 

Sahte mailler ve sahte siteler yoluyla, şifrelerimizi ele geçirip, dijital hesaplarımıza ulaşıyorlar. ESET İrlanda’dan Güvenlik Analisti Urban Schrott, “Artık siteleri değil, kişileri hackliyorlar“ diyerek son dönemde sık başvurulan kimlik avı yöntemlerini paylaştı.

 

Kimlik avı ya da Türkiye’de daha çok kullanılan adıyla phising-oltalama tüm dünyada bilgisayar kullanıcılarının büyük sıkıntılarında biri. ESET İrlanda’dan Güvenlik Analisti Urban Schrott, “Siteleri hacklemek yerine kişileri hacklemek siber suçlular için daha kolay hale gelmiş gibi görünüyor“ tespitini yaptı.

 

Siber suçluların “sor ve al” anlayısıyla hareket ettiklerini belirten Urban Schrott, “Hackerler, meşru sitelerin taklitlerinden e-postalar göndererek kullanıcının aslında normal olmayan bir aktivitesini haber veriyor. Sonra bunu onaylamak ya da reddetmek için ‘bu hizmete giriş yapılmasını‘ talep ediyorlar. Maalesef bu sayede kolayca ve oldukça yoğun şekilde kullanıcı adları ve şifreleri ele geçiriyorlar.

 

Schrott, şu konu başlıklarda gelebilecek sahte e-postalar konusunda uyarıyor:

 

 1. Bankalar

Çalıştığınız bankadanmış gibi gelen bir e-posta, güncelleştirme içeren bir hesabınız olduğunu iddia eder ve sahte bir bağlantıya yönlendirir. “Güncelleştirme için buraya tıklayınız” diyerek sizden kullanıcı adı ve parola ister. Genellikle bu e-postalar imla hataları içerir, çünkü yurt dışı kaynaklıdırlar ve dijital çevirme yazılımlarıyla tercüme edilmişlerdir. Oysa bankalar böyle güncelleme yapmazlar.

 

2. iTunes

Apple ürünlerinin yaygınlaşan kullanımı bu alanı hackerler çekici hale getiriyor: iTunes’danmış gibi aldatıcı şöyle bir e-posta gelir: ‘‘9.65 Euro’ya ‘World Of Go‘ oyunu aldığınız için teşekkür ederiz. Eğer bu alımı onaylamıyorsanız lütfen iptal etmek için önümüzdeki 12 saat içinde‚ ‘iTunes Ödeme İptal Formunu‘ ziyaret ederek ödeme iptali için talimat veriniz”  Bu, sahte iTunes sitesine girmenizi sağlar.

 

3. PayPal

Online ödeme servisi PayPal’ı taklit eden bir online otel rezervasyon sitesinden 200 dolarlık alım yapıldığını iddia eden, detaylı fatura görünümünde bir e-posta gelir ve ekler: “Bu alımı onaylamıyorsanız ekteki linke tıklayarak anlaşmazlık çıkan bir işlem olduğunu belirtin ve paranızın tamamını geri alın. Anlaşmazlık çıkan işlemi şifre girerek onaylayın“. Oysa bu basitçe PayPal’a benzeyen bir hesap toplama sitesi.

 

4. Microsoft

“Microsoft Olağanüstü Giriş Aktivitesi” (Unusual Sign Activity) başlığıyla, hesabınıza olağanüstü giriş yapıldığını tespit ettiğini iddia eden bir e-posta gelir: Hesabınıza Güney Afrika’dan girilmiş. Bu siz değilseniz, kötü niyetli bir kullanıcı şifreniz ele geçirmiş olabilir. Lütfen hesabınızı doğrulayın. Size düzeltici eylem için yardımcı olacağız”. Elbette işlem yapabilmek için öncelikle hesaba giriş bilgilerini paylaşmanız isteniyor

 

Ne yapmalısınız?

Bu tarz e-postaları dikkatle, ipuçlarını kontrol ederek okuyun. Eğer e-postada imla hataları varsa ya da bayağı bir dil kullanılmışsa muhtemelen sahtedir. Birçok dolandırıcılık olayı anadili İngilizce veya Türkçe olmayan ülkelerden gelir ve kendilerini ele verirler. Herşeyden önce bilgi alın. Bankanızı arayın, online alışveriş geçmişinizi ve faturalarınızı gözden geçirin. Hakkında bilgi sahibi olduğunuz dolandırıcılığın sizi korumasız yakalama riski daha azdır.

 

ESET İrlanda’dan Güvenlik Analisti Urban Schrott’un tam analizine şu linkten ulaşabilirsiniz:

http://w3.eset.ie/blog_scrape/index.php?loc=/2014/07/15/how-to-hack-someones-account/