“ Tebrikler^{(Congratulations)} ! n milyon Dolar^(Dollars) kazandınız . Bize banka bilgilerinizi gönderin.” İnternette^(Internet) iseniz , bu tür e-postaları gelen kutunuzda veya önemsiz posta kutunuzda görmüş olabilirsiniz. Bu tür e-postalara kimlik avı adı verilir: Suçluların, bireyler veya kurumsal iş evleri olabilen kurbanlardan veri çalmak için bilgisayar teknolojisini kullandığı bir siber suç. Bu Kimlik Avı hile sayfası^{(Phishing cheat sheet)} , suçun kurbanı olmamanız için size bu siber suç hakkında maksimum bilgi sağlama girişimidir. Ayrıca Kimlik Avı türlerini^{(types of Phishing)} de tartışıyoruz .

Kimlik avı nedir?

Kimlik avı, suçluların sahte e-postalar ve kısa mesajlar kullanarak kurbanın verilerini çalmak amacıyla kurbanları cezbettiği bir siber suçtur. Esas olarak, toplu e-posta kampanyaları ile yapılır. Geçici e-posta kimlikleri^(IDs) ve geçici sunucular kullanırlar, bu nedenle yetkililerin bunları yakalaması zorlaşır. En azından birkaçının kandırılabilmesi için yüz binlerce alıcıya gönderilen genel bir şablonları vardır. Kimlik avı saldırılarını nasıl tanımlayacağınızı^{(how to identify phishing attacks)} öğrenin .

Neden kimlik avı deniyor?

Balık tutmayı biliyorsun. Gerçek hayatta balık avında, balıkçı oltaya takıldığında balık tutabilmesi için bir yem ayarlar. İnternette^(Internet) de , inandırıcı olabilecek ve gerçek görünebilecek bir mesaj şeklinde yem kullanırlar. Suçlular bir yem kullandığı için buna phishing denir. Artık kimlik avı olarak adlandırılan parola balıkçılığı anlamına gelir.

Yem, bir para vaadi veya herhangi bir son kullanıcıyı yemi tıklamaya zorlayabilecek herhangi bir mal olabilir. Bazen yem farklıdır (örneğin, tehdit veya aciliyet) ve Amazon^(Amazon) , Apple veya PayPal'daki^(PayPal) hesabınızı yeniden yetkilendirmeniz gerektiğini söyleyen bağlantılara tıklamak gibi eylem çağrıları yapar .

phishing nasıl telaffuz edilir

PH-ISHING olarak telaffuz edilir. Balıkçılıkta ' PH'lar^(F) .

Kimlik avı ne kadar yaygın?

Kimlik avı saldırıları, kötü amaçlı yazılımlardan daha yaygındır. Bu, e-postalar, sahte web siteleri veya orijinal web sitelerinde sahte reklamlar kullanarak kötü amaçlı yazılım yayanlara kıyasla, giderek daha fazla sayıda siber suçlunun kimlik avıyla uğraştığını söylemektir.

Bu günlerde, kimlik avı kitleri çevrimiçi olarak satılmaktadır, bu nedenle pratikte biraz ağ bilgisi olan herkes bunları satın alabilir ve yasa dışı görevler için kullanabilir. Bu kimlik avı kitleri, bir web sitesini klonlamaktan çekici bir e-posta veya metin derlemeye kadar her şeyi sağlar.

Kimlik avı türleri

Kimlik avının birçok türü vardır. Popüler olanlardan bazıları:

1. ^(General)Size kişisel bilgilerinizi soran genel düzenli e-postalar, en çok kullanılan kimlik avı biçimidir.
2. Yemleme kancası
3. balina dolandırıcılığı
4. Smishing (SMS phishing) ve Vishing
5. dolandırıcılık
6. sekme

1] Genel Kimlik Avı

Kimlik avının en temel biçiminde, bir bağlantıya tıklamanızı isterken sizi bir konuda uyaran e-postalar ve metinlerle karşılaşırsınız. Bazı durumlarda, size gönderdikleri e-postadaki eki açmanızı isterler.

E-posta konu satırında, siber suçlular e-postayı veya metni açmanız için sizi cezbeder. Bazen konu satırı, çevrimiçi hesaplarınızdan birinin güncellenmesi gerektiği ve acil olduğudur.

E-postanın veya metnin gövdesinde, sahte ancak inandırıcı olan ve ardından bir harekete geçirici mesajla sona eren, kimlik avı e-postasında veya metninde sağladıkları bağlantıya tıklamanızı isteyen bazı ilgi çekici bilgiler vardır. Kısa^(Text) mesajlar , telefonda okunduğunda tıklanmadan hedefi veya tam bağlantısı kontrol edilemeyen kısaltılmış URL'ler^(URLs) kullandıkları için daha tehlikelidir . Tam URL'yi^(URL) kontrol etmenize yardımcı olabilecek herhangi bir uygulama olabilir, ancak henüz bildiğim bir uygulama yok.

2] Mızraklı kimlik avı

Hedeflerin iş evlerinin çalışanları olduğu hedeflenen kimlik avını ifade eder. Siber suçlular işyeri kimliklerini^(IDs) alır ve sahte kimlik avı e-postalarını bu adreslere gönderir. Kurumsal merdivenin tepesindeki birinden gelen, onlara yanıt vermek için yeterince acele eden bir e-posta gibi görünüyor… böylece siber suçluların işyeri ağına girmesine yardımcı oluyor. Mızrakla kimlik avı^{( spear phishing)} hakkında her şeyi buradan okuyun. Bağlantı ayrıca bazı hedef odaklı kimlik avı örnekleri içerir.

3] balina avcılığı

Balina avcılığı^(Whaling) , mızrakla kimlik avına benzer. Balina avcılığı^(Whaling) ile mızraklı^(Spear) oltalama arasındaki tek fark , zıpkınla oltalamanın herhangi bir çalışanı hedefleyebilmesi, balina avcılığının ise belirli ayrıcalıklı çalışanları hedeflemek için kullanılmasıdır. Yöntem aynıdır. Siber suçlular, kurbanların resmi e-posta kimliklerini^(IDs) ve telefon numaralarını alır ve onlara arka kapıya erişim sağlamak için kurumsal intraneti^{(corporate intranet)} açabilecek bazı eylem çağrılarını içeren etkileyici bir e-posta veya metin gönderir . Balina avı saldırıları^{(Whaling phishing attacks)} hakkında daha fazla bilgi edinin .

4] Ezmek ve Vişmek

Siber suçlular , kurbanların kişisel bilgilerini bulmak için kısa mesaj hizmetini ( SMS ) kullandıklarında, buna ^(SMS)SMS kimlik avı veya kısaca Smishing denir. Smishing ve Vishing ayrıntıları hakkında bilgi edinin .

5] QRishing dolandırıcılığı

QR kodları yeni değil. Bilginin kısa ve gizli tutulması gerektiğinde, QR kodları uygulamak en iyisidir. QR kodlarını farklı ödeme ağ geçitlerinde, banka reklamlarında veya sadece WhatsApp Web'de^{(WhatsApp Web)} görmüş olabilirsiniz . Bu kodlar, her tarafına siyah dağılmış bir kare şeklinde bilgiler içerir. Bir QR kodun tüm bilgilerin ne sağladığı bilinmediği için, kodların bilinmeyen kaynaklarından uzak durmak her zaman en iyisidir. Yani tanımadığınız bir varlıktan bir e-posta veya metinde QR kodu alırsanız, onları taramayın. Akıllı telefonlarda QRishing dolandırıcılığı hakkında daha fazla bilgi edinin.

6] Sekme

Sekme , başka bir sekmeyi ziyaret ettiğinizde, ziyaret ettiğiniz meşru bir sayfayı sahte bir sayfaya dönüştürür. Diyelimki:

1. Orijinal bir web sitesine gidersiniz.
2. Başka bir sekme açıp diğer siteye göz atıyorsunuz.
3. Bir süre sonra ilk sekmeye geri dönersiniz.
4. Yeni giriş ayrıntılarıyla karşılaşacaksınız, belki de Gmail hesabınıza.
5. Favicon da dahil olmak üzere sayfanın arkanızdan değiştiğinden şüphelenmeden tekrar giriş yapıyorsunuz!

Bu Tabnabbing , ayrıca Tabjacking olarak da adlandırılır .

Günümüzde pek kullanılmayan başka kimlik avı türleri de vardır. Bu yazıda onlara isim vermedim. Kimlik avı için kullanılan yöntemler, suça yeni teknikler eklemeye devam ediyor. İlgileniyorsanız farklı siber suç türlerini öğrenin .

Kimlik avı e-postalarını ve metinlerini belirleme

Siber suçlular, verilerinizi çalabilmeleri için yasa dışı bağlantılarına tıklamanız için sizi kandırmak için tüm önlemleri alırken, e-postanın sahte olduğu mesajını veren birkaç işaret vardır.

Çoğu durumda, kimlik avı yapan kişiler size tanıdık gelen bir ad kullanır. Herhangi bir yerleşik bankanın veya Amazon^(Amazon) , Apple , eBay, vb. gibi herhangi bir diğer kurumsal evin adı olabilir . E-posta kimliğini arayın.

Kimlik avı suçluları, Hotmail^(Hotmail) , Outlook ve Gmail gibi popüler e-posta barındırma sağlayıcıları gibi kalıcı e-postaları kullanmazlar . Geçici e-posta sunucuları kullanırlar, bu nedenle bilinmeyen bir kaynaktan gelen her şey şüphelidir. Bazı durumlarda, siber suçlular bir işletme adı kullanarak e-posta kimliklerini^(IDs) taklit etmeye çalışırlar; örneğin, [e-posta korumalı] E-posta kimliği Amazon'un^(Amazon) adını içerir , ancak daha yakından bakarsanız, Amazon'un^(Amazon) sunucularından değil, bazı sahte e-postalardan gelir. .com sunucusu.

Bu nedenle, http://axisbank.com adresinden gelen bir posta [email protected] yazan bir e-posta kimliğinden geliyorsa dikkatli olmanız gerekir. Ayrıca, yazım hataları arayın. Axis Bank örneğinde , e-posta kimliği axsbank.com'dan geliyorsa, bu bir kimlik avı e-postasıdır.

PhishTank , Kimlik Avı web sitelerini doğrulamanıza veya bildirmenize yardımcı olur

Kimlik avı için önlemler

Yukarıdaki bölüm, kimlik avı e-postalarının ve metinlerinin tanımlanmasından bahsetti. Tüm önlemlerin temelinde, yalnızca e-postadaki bağlantılara tıklamak yerine e-postanın kaynağını kontrol etme ihtiyacı vardır. Şifrelerinizi ve güvenlik sorularınızı kimseye vermeyin. E-postanın gönderildiği e-posta kimliğine bakın.

Bir arkadaşınızdan gelen bir mesajsa, gerçekten gönderip göndermediğini doğrulamak isteyebilirsiniz. Onu arayabilir ve bağlantı içeren bir mesaj gönderip göndermediğini sorabilirsiniz.

Bilmediğiniz kaynaklardan gelen e-postalardaki bağlantılara asla tıklamayın. Amazon'dan^(Amazon) gelen orijinal görünen e-postalar için bile, k bağlantısını tıklamayın . ^{(do not click on the lin)}Bunun yerine, bir tarayıcı açın ve Amazon'un URL'sini ^(Amazon)yazın^(URL) . Oradan, varlığa gerçekten herhangi bir ayrıntı göndermeniz gerekip gerekmediğini kontrol edebilirsiniz.

Kaydınızı doğrulamanız gerektiğini söyleyen bazı bağlantılar geliyor. Yakın zamanda herhangi bir hizmete kaydolup kaydolmadığınıza bakın. Hatırlayamıyorsanız, e-posta bağlantısını unutun.

Bir kimlik avı bağlantısını tıkladıysam ne olur?

Tarayıcıyı hemen kapatın. Bazı akıllı telefonların varsayılan tarayıcısında olduğu gibi tarayıcıyı kapatamamanız durumunda herhangi bir bilgiye dokunmayın veya herhangi bir bilgi girmeyin. Bu tür tarayıcıların her sekmesini manuel olarak kapatın. BitDefender veya Malwarebytes kullanarak bir tarama yapana kadar uygulamalarınızdan hiçbirinde oturum açmamayı unutmayın^(Remember) . Kullanabileceğiniz bazı ücretli uygulamalar da var.

Aynı şey bilgisayarlar için de geçerli. Bir bağlantıyı tıklatırsanız, tarayıcı başlatılır ve bir tür yinelenen web sitesi görünür. Tarayıcının herhangi bir yerine dokunmayın veya dokunmayın. Kapatmak^(Just) için tarayıcıyı kapat düğmesine tıklayın veya Windows Görev Yöneticisini^{(Windows Task Manager)} kullanın. Bilgisayardaki diğer uygulamaları kullanmadan önce kötü amaçlı yazılımdan koruma taraması çalıştırın.

Okuyun^(Read) : Çevrimiçi Dolandırıcılık, İstenmeyen Posta ve Kimlik Avı web sitelerini nereye şikayet edebilirim ?

Lütfen yorum yapın ve bu kimlik avı hile sayfasında herhangi bir şeyi atlamışsam bize bildirin.^{(Please comment and let us know if I left out anything in this phishing cheat sheet.)}

Types of Phishing - Cheat Sheet and Things you need to know

“Congratulations! Yoυ have won n million Dollarѕ. Send us your bank details.” If you arе on Internet, you might have seen sυch emails in your inbox or junk mailbox. Suсh emails are called phishing: a cyber-crime wherein criminals use computer technоlogy to steal data from victims that can be individuals or corpоrate bυѕinesѕ houses. This Phishing cheat sheet is an attempt to provide you with max knowledge about this cyber-crime so that you don’t become a victim of the crime. We also discuss the types of Phishing.

What is phishing?

Phishing is a cybercrime where criminals lure victims, with an intention to steal victim’s data, using fake emails and text messages. Mainly, it is done by mass email campaigns. They use temporary email IDs and temporary servers, so it becomes hard for authorities to nab them. They have a general template that is sent to hundreds of thousands of recipients so that at least a few can be tricked. Learn how to identify phishing attacks.

Why is it called phishing?

You know about fishing. In real life fishing, the fisherman sets a bait so that he can catch fish when the latter are hooked to the fishing rod. On the Internet too, they use bait in the form of a message that can be convincing and appears genuine. Since the criminals use a bait, it is called phishing. It stands for password fishing which is now referred to as phishing.

The bait could be a promise of money or any goods that could compel any end-user to click on the bait. Sometimes, the bait is different (for example, threat or urgency) and calls for action like clicking links saying you have to re-authorize your account at Amazon, Apple, or PayPal.

How to pronounce phishing?

It is pronounced as PH-ISHING. ‘PH’as in Fishing.

How common is phishing?

Phishing attacks are more common than malware. This is to say that more and more cybercriminals are engaged in phishing compared to those who spread malware using emails, fake websites, or fake advertisements on genuine websites.

These days, phishing kits are sold online so practically anyone with some knowledge of networks can buy them and use them for illegal tasks. These phishing kits provide everything from cloning a website to compiling a compelling email or text.

Types of phishing

There are many types of phishing. Some of the popular ones are:

1. General regular emails asking you your personal details are the most used form of phishing
2. Spear phishing
3. Whaling scams
4. Smishing (SMS phishing) and Vishing
5. QRishing scams
6. Tabnabbing

1] General Phishing

In its most basic form of phishing, you encounter emails and texts cautioning you about something while asking you to click a link. In some cases, they ask you to open the attachment in the email they sent to you.

In the email subject line, the cybercriminals lure you into opening the email or text. Sometimes, the subject line is that one of your online accounts needs updating and sounds urgent.

In the body of the email or text, there is some compelling information that is fake but believable and then ends with a call to action: asking you to click on the link they provide in the phishing email or text. Text messages are more dangerous because they use shortened URLs whose destination or full link can’t be checked without clicking on them when you read them on the phone. There may be any app anywhere that may help with checking out the full URL but there’s none I am aware of yet.

2] Spear phishing

Refers to targeted phishing where the targets are employees of business houses. The cybercriminals get their workplace IDs and send the fake phishing emails to those addresses. It appears as an email from someone top on the corporate ladder, creating enough hurry to reply to them… thereby helping the cybercriminals with breaking into the network of the business house. Read all about spear phishing here. The link also contains some examples of spear phishing.

3] Whaling

Whaling is similar to spear phishing. The only difference between Whaling and Spear phishing is that spear-phishing can target any employee, while whaling is used to target certain privileged employees. The method is the same. The cybercriminals get the official email IDs and phone numbers of the victims and send them a compelling email or text that involves some call for action that might open the corporate intranet to give the back-door access. Read more about Whaling phishing attacks.

4] Smishing and Vishing

When cybercriminals use short messaging service (SMS) to fish out personal details of victims, it is known as SMS phishing or Smishing for short. Read about Smishing and Vishing details.

5] QRishing scams

QR codes are not new. When information is supposed to be kept short and secret, QR codes are the best to implement. You may have seen QR codes on different payment gateways, bank adverts, or simply on WhatsApp Web. These codes contain information in the form of a square with black scattered all over it. Since it is not known what all information a QR code provides, it is always best to stay away from unknown sources of the codes. That is to say that if you receive a QR code in an email or text from an entity that you do not know, don’t scan them. Read more about QRishing scams on smartphones.

6] Tabnabbing

Tabnabbing changes a legitimate page you were visiting, to a fraudulent page, once you visit another tab. Let’s say:

1. You navigate to a genuine website.
2. You open another tab and browse the other site.
3. After a while, you come back to the first tab.
4. You are greeted with fresh login details, maybe to your Gmail account.
5. You login again, not suspecting that the page, including the favicon, has actually changed behind your back!

This is Tabnabbing, also called Tabjacking.

There are some other types of phishing that are not used much nowadays. I have not named them in this post. The methods used for phishing keep on adding new techniques to the crime. Know the different types of cybercrimes if interested.

Identifying phishing emails and texts

While the cybercriminals take all measures to trick you into clicking their illegal links so that they can steal your data, there are a few pointers that give out a message that the email is fake.

In most cases, the phishing guys use a name familiar to you. It can be the name of any established bank or any other corporate house such as Amazon, Apple, eBay, etc. Look for the email ID.

Phishing criminals do not use permanent email like Hotmail, Outlook, and Gmail, etc. popular email hosting providers. They use temporary email servers, so anything from an unknown source is suspicious. In some cases, the cybercriminals try to spoof email IDs by using a business name—for example, [email protected] The email ID contains the name of Amazon, but if you look closer, it is not from Amazon’s servers but some fakeemail.com server.

So, if a mail from http://axisbank.com comes from an email ID that says [email protected], you need to exercise caution. Also, look for spelling errors. In the Axis Bank example, if the email ID comes from axsbank.com, it is a phishing email.

PhishTank will help you verify or report Phishing websites

Precautions for phishing

The above section talked about identifying phishing emails and texts. At the base of all precautions is the need to check the origin of email instead of simply clicking on the links in the email. Do not give out your passwords and security questions to anyone. Look at the email ID from which the email was sent.

If it is a text from a friend, you know, you might want to confirm if he or she had sent it really. You could call him and ask him if he sent a message with a link.

Never click on links in emails from sources you do not know. Even for emails that appear genuine, suppose from Amazon, do not click on the link. Instead, open a browser and type out the URL of Amazon. From there, you can check if you actually need to send any details to the entity.

Some links come in saying you have to verify your sign up. See if you signed up for any service recently. If you cannot remember, forget the email link.

What if I clicked on a phishing link?

Close the browser immediately. Do not touch or enter any information in case of not being able to close the browser, like in some smartphones’ default browser. Manually close each tab of such browsers. Remember not to log in to any of your apps until you run a scan using BitDefender or Malwarebytes. There are some paid apps too that you can use.

The same goes for computers. If you clicked a link, the browser would be launched, and some sort of duplicate website would appear. Don’t tap or touch anywhere on the browser. Just click on the close browser button or use the Windows Task Manager to close the same. Run an antimalware scan before using other applications on the computer.

Read: Where to report Online Scams, Spam and Phishing websites?

Please comment and let us know if I left out anything in this phishing cheat sheet.

Related posts

• Phishing Scams and Attacks Nasıl Kaçınılır?

• nasıl Atılgan'ı korumak için Balina dolandırıcılık & nelerdir

• Kimlik avı nedir ve kimlik avı saldırılarını nasıl belirlenir?

• Parked Domains and Sinkhole Domains nedir?

• Avoid Online Shopping Fraud & Holiday Season Scams

• Philips Hue Işıklarına Ulaşılamıyor mu? Denenecek 7 Şey

• MacOS'ta Automator Uygulamasıyla Yapabileceğiniz 5 Harika Şey

• Video Contact Sheet Windows 10'da nasıl oluşturulur

• Telnet İstemcisi ile Yapabileceğiniz 5 Eğlenceli ve Meraklı Şey

• Things ait Internet (IoT) - Sıkça Sorulan Sorular (FAQ)

• Best Ücretsiz Anti Cheat software Windows gaming için

• Skynet Tanıtımı - Ne Things Of Internet olduğunu!

• iPhone Isınıyor mu? İşleri Soğutmak için 8 Düzeltme

• F8 Windows 10'da Çalışmıyor mu? Denenecek 5 Şey

• Kablosuz Fare Çalışmıyor mu? Kontrol Edilecek 17 Şey

• Web sitenizde bir Excel Sheet'yı nasıl yerleştirilir?

• Mac'iniz Donduğunda Ne Yapmalısınız? Denenecek 9 Şey

• Apple Pay Çalışmıyor mu? Denenecek 15 Şey

• Eski RAM İle Yapabileceğiniz 5 Harika Şey

• Kapı Kapısı Çalışmıyor mu? Denenecek 7 Şey