Phishing Saldırısı’nı anlayabilir misiniz?

09 Mart 2009 | 10:14 | | | |

E-mail güvenlik firması MailFrontier’dan alınan bilgiye göre kullanıcıların sadece %4′ü phishing e-maili belirleyebilmekteler. On-line hizmetleri kullananların güngeçtikçe arttığı düşünülürse bu oldukça ciddi bir durum.

MailFrontier’in verileri, kullanıcıların yasal ya da kandırmaya yönelik olduklarını düşündükleri veya hakkında fikir sahibi olmadıklarını düşündükleri 10 adet e-mail örneğinin bulunduğu Phishing IQ Test’in sonuçlarına göre düzenlenmiş.

Örnek e-mailler Chase, PayPal, Bank of America, Washington Mutual, MSN, EarthLink ve Amazon’dan gelenler.

MailFrontier’e göre 2004′te ortalama skor yüzde 61 iken 2005′te artarak yüzde 75 olmuş durumda.

MailFrontier Threat Center’ın yöneticisi Andrew Klein, testi yanıtlayanların phishing girişimini belirleme yeteneklerinin zaman içerisinde arttığının altını çiziyor.

Klein internetnews.com’a “Bunun, insanlarda genel anlamda phishing hakkında bir bilinç oluşmasının bir sonucu olduğunu düşünüyoruz” dedi. “Daha şüpheci hale gelmekteler.”

Klein’e göre araştırmanın şaşırtıcı sonuçlarından birisi de genç kimselerin (18-24) yaşlılara göre (55+) phishing saldırıları ile kandırılmasının daha kolay olması.

MailFrontier phishingi çevreleyen beş ana yanlış kabul (mit) olduğunu belirtti.

İlk mit, kullanıcıların kendilerini phishing saldırılarını fark ediyor zannetmeleri; Phishing saldırılarını tanımlamakta gittikçe daha başarılı olsalar da, Klein hala birinin bir phishing e-maili aslında yasal bir mail sanma ihtimalinin yüksek olduğunu ileri sürüyor.

İkinci mit, spam filtrelerinin phishing saldırılarını yakalayabileceği ve durdurabileceği.

“Phishing e-maillerin, kullanıcının bekleyebileceği yasal bir işlem maili gibi görünmek üzere dizayn ediliyor olması sonucu şu an itibarı ile çoğu kişi spam ile phishing e-maillerin farklı şeyler olduğu konusunda hem fikir,” diyor Klein. “Bir phishing e-maili yakalamak için yasal mail ile phishing olanı ayırt etmekte yardımcı olacak farklı bir değerlendirme kriter seti gerekli.”

Phishing e-mailleri durdurmak için Internet alanı kimlik doğrulamasının bir araç olarak kullanımı ise üçüncü mit. Klein phisherlar gibi spamcilerin de ele geçirdikleri Internet alanları için kimlik doğrulama kayıtları yayınlayabileceklerini çoktan gösterdiklerini ifade etti.

Dördüncü mit URL istismarlarının tespit edilmesinin phishing saldırılarını durduracağı.

Klein “URL istismarları bir şeylerin yanlış olduğu konusunda oldukça iyi belirteçlerdir, ancak kendi başlarına pozitif bir kanıt olamazlar,” diye açıklıyor. “Yasal şirketler URL yönlendirmesi, uzun URL’ler (durum çubuğu sonundan sonra da devam eden) ve hatta ham IP adreslerini de yasal e-maillerinde barındırmak gibi teknikler kullanmaktadırlar.”

“Phisherlar yasal kullanımları fark etmekte ve bundan çıkar sağlamaktalar.”
Son ve belki de en önemli mit kullanıcıların kendilerini veya şirketlerini phishing saldırılarından korumak için hiçbir şey yapma ihtiyacı duymamaları.

Hiçbir şey yapmamak, kişisel, finansal ve hatta kurumsal bilgilerin kaybına yol açabilir. MailFrontier geçtiğimiz yıl sayısı 750 milyon olan phishing e-maillerin bu yıl yüzde 25′lik bir artış ile 1 milyar olacağı öngörüsünde bulunmakta.

Bu suç tufanı gücünden bir şey yitirmeden devam mı edecek yoksa phishing’i yenmenin bir yolu var mı? Klein, phishing’in yok edilemeyeceğini ancak ekonomik olarak cazip olmayan bir hale getirilebileceğini iddia ediyor.

Klein “Spam henüz tamamen yok olmuş sayılmaz. Aynı şekilde virüsler de. Dolayısıyla phishing’in de yok olacağını düşünmüyorum,” diyor. “Asıl çözüm teknolojik, bilinçsel, ve ekonomik engelleri iyice arttırarak phisherların bir sonraki istismara yönelmelerini sağlamak.”

Phishing-oltacılık: Genel anlamda bazı kelime oyunlarıyla, hackerların ya da bazı başka yollarla kurbanın kişisel bilgilerinizi öğrenmeye, kredi kartı numarası, ev adresi, şifreler gibi korunması gereken bilgilere sahip olma çabasına verilen isim. Kelime kökeni fishing-balıkçılıktan gelmekte.

Makale Adresi: http://www.knbykl.org/phishing-saldirisini-anlayabilir-misiniz/