Sosyal mühendislik yolu ile kritik bilgilerinizi ele geçirerek sizi dolandırmayı amaçlayan olta saldırılarının İngilizce karşılığı balık avlamaktır.
Adından da anlaşıldığı üzere bilgisayar korsanları e-posta veya SMS ile (ödül kazandınız, internet bankacılığı şifrenizi yenilemeniz gerekli gibi) tarafınıza iletiler göndererek kredi kartı/debit kart numaranızı, kart CVV2 kodunuzu, e-posta şifrenizi, internet/mobil bankacılık şifrelerinizi öğrenmeyi amaçlamaktadır.
Yöntem gayet basit olup net anlaşılması için birkaç örnek ile olta saldırısından bahsedeceğiz.
Örnek 1
Müşterisi olduğunuz X bankasından gelmiş süsü verilerek tarafınıza gönderilen SMS veya e-posta mesajında şifrenizin süresinin dolmak üzere olduğu bunun için mesajda yer alan linke tıklayarak şifrenizi yenilemeniz talep edilir. Linke tıkladığınızda TCKN/Kullanıcı adı, parola, SMS ile bankanızın size gönderdiği kodu tuşlamanız istenir. İstenilen bilgileri tuşladığınızda bilgisayar korsanları internet/mobil bankacılıkta çoktan hesabınızı boşaltmaya başlamış olur.
Örnek 2
Herhangi bir otobüs, havayolu firmasından gelmiş gibi gözüken mesajda bedava bilet kazandığınız biletinizi almak için linke tıklayarak talep edilen bilgileri doldurmanız istenir.
Bunlar;
- TCKN,
- AD-SOYAD
- CEP TELEFONU NUMARANIZ,
- ADRESİNİZ,
- DOĞUM TARİHİNİZ,
- KREDİ KARTI NUMARANIZ VE ARKA YÜZÜMDEKİ CVV2 KODU
gibi bilgiler olur.
Örnek 3
X GSM firmasından cep telefonu kazandığınız SMS’i tarafınıza iletilerek ödülü alabilmeniz için sadece gönderilen linke tıklayıp kargo ücretini ödemeniz ve adres bilgilerinizi girmeniz istenir. Linke tıkladığınızda kredi kartı/debit kart bilgileriniz talep edilir. Siz kart bilgilerinizi verdiğinizde kartınızdan işlem denemeleri başlamış olur bile.
Genellikle de kartınızdan yüksek tutarlı fatura ödemeleri ve e-ticaret sitelerinden alış-veriş yapılır.
Bankanıza itiraz etmeniz pek fayda etmeyecektir. Çünkü bilgileri bizzat siz girdiniz.
Örnek 4
“Hesabınızdan gerçekleşen EFT işlemini onaylamak veya iptal etmek için lütfen aşağıdaki linkten internet bankacılığına giriş yaparak bilgilerinizi kontrol ediniz.” gibi bir SMS aldığınızda muhtemelen olta saldırısına maruz kalıyorsunuz demektir.
Peki bu gibi SMS ya da e-postaları nasıl anlarız?
- Gönderilen e-postalarda uzantıya dikkat ederek (e-posta, müşterisi olduğumuz Parabank’dan geldi diyelim. Adresin parabank@parabank.com tarzında bir adres olması gerekir ama gelen olta mesajında uzantı aaa@parabank.com gibi anlamsız bir adres olacaktır. Adresin doğru olup olmadığını öğrenmenin en iyi yolu ilgili bankanın web adresine girmek veya İletişim Merkezi ile görüşmek olacaktır.)
- İletilen e-posta ya da SMS ‘de anlam bütünlüğü olmaması, imla-yazım hatası olması,
- İletilen e-posta ya da SMS ‘de bir acelecilik olması (5 dk. içinde şifrenizi yenileyin vs. gibi)
- İletilen SMS’lerin sonunda B ile başlayan dört haneli kodların olup olmadığı (Örneğin B002)
Örnekler ile açıkladığımız tarzda iletiler aldığınızda, yukarıda inceleme yöntemlerinden herhangi biri ile uyuşup uyuşmadığını kontrol edebilirsiniz.