CEO Fraud ve Phishing nedir?

"Sosyal medyayı ve e-posta sistemlerini aktif kullanıyorum. Her gün telefonuma yüzlerce SMS geliyor. Peki ben sanal dolandırıcılardan nasıl korunacağım?" diye merak ediyorsanız, dolandırıcıların CEO Fraud ve Phishing yöntemini nasıl kullandığını ve bu yöntemlerden nasıl korunabileceğinizi yazımızın devamından öğrenebilirsiniz.

Günümüzde özellikle sahte elektronik posta hesapları üzerinden yahut SMS yolu ile iletilen “inanılmaz avantajlı” teklifler ya da polis veya savcı olduğunu iddia eden şahıslar tarafından para istemek için yapılan aramalar konusunda mağdur olan vatandaş haberleri sık sık ana haber bültenlerini meşgul ediyor.

Üstelik hackerların gözü sadece vatandaşların üstünde değil. Özel sektörden pek çok şirket de dolandırıcıların radarına girebiliyor. Özellikle şirketlerin satın alma, ithalat, ihracat ve mali işler departmanları ile şirketlerin üst düzey yöneticileri için sosyal mühendislik kendisini “CEO Fraud” ya da “phishing” olarak olarak gösteriyor.

 

Peki CEO Fraud ve Phishing nedir?

Phishing oltalama saldırısı olarak Türkçe'ye çevrilmiş, internetin en eski ve en etkili saldırı türlerinden biridir. Phishing, genel olarak kişinin parolasını, banka hesabını veya kredi kartı bilgilerini öğrenmek amacıyla kullanılır.

Saldırgan tarafından özel olarak hazırlanan phishing saldırılarında internet kullanıcılarının e postaları, adeta kurumsal bir yerden gelen e-postalar olarak gözükür ve bu aslında kullanıcının kişisel bilgilerine erişmek için atılan yemdir.

Phishing saldırılarında kullanılan yem genellikle maaş zammı, hediye, ücretsiz tatil, para ödülü gibi kullanıcıya cazip gelebilecek içerikler oluşturulur.

Kredi kartı kopyalanması, güvenli olmayan internet sitesi üzerinden kart bilgilerinin çalınarak işlen yapılması gibi otomatik dolandırıcılık yöntemlerinden farklı olarak sosyal mühendislik adıyla nitelendirilen CEO Fraud ve Phishing mağdurunu seçtiğinde ona zaman ayırmayı tercih ediyor.

Elektronik posta şifrelerini öğrenerek ya da başka yollarla yazışmalar sırasında sisteme sızan kötü niyetli kişiler bir süre bu yazışmaları takip ederek tarafların rol, sorumluluk ve alışkanlıklarını öğreniyor.

Daha sonrasında ise ödeme faslına gelindiğinde kopyalanmış e-posta adresi ya da benzer bir e-posta adresi ile yazışma arasına girerek istediği kişiye hiç şüphe uyandırmayan ve içerik olarak alışıldık ancak sahte yeni talimatlar vererek menfaat elde etmeye çalışıyor.

Kötü niyetli kişiler en karlı müşteriniz ya da patronunuz kılığında bir anda size garip bir talimat vermeye başlıyor. Bu nedenle de bu dolandırıcılık modeline CEO fraud adı verilmiş. Sanal yaşam içerisinde siber saldırganlara karşı kendimizi ve kurumlarımızı korumak zorundayız.

Bu noktada karşımıza “Siber Güvenlik” tanımı çıkıyor. Genel tanımlama ile siber güvenlik, alt yapısı bilişim sistemleri olan siber ağlar üzerinde yaşanan hayatın güvenliğinin sağlanması, bütünlüğünün ve gizliliğinin korunmasıdır.

 

CEO Fraud ve Phishing’ten nasıl korunabiliriz?

CEO Fraud ve Phishing için hangi senaryoların kullanıldığı konusunda bilinçli olursak tehlikeye karşı farkındalığımız da artar. Bu nedenle öncelikle phishing saldırılarında en çok hangi senaryolar kullanılıyor birlikte göz atalım:

 

1. Hesap güncelleme

Bağlı olduğunuz kuruma ait bilgilerinizin dönem dönem güncellenmesi söz konusudur. Bu güncellemeler genellikle size e-posta olarak ulaştırılır ve gerekli yönlendirmelerle güncelleme işlemlerini tamamlamanız istenir.

Bu e-postalarda kişinin şifreleri direkt e-mail aracılığı ile istenebileceği gibi sahte oluşturulan bir şifre sıfırlama bağlantısı da gönderilebilir. Her iki yöntemle de amaç, kullanıcı şifresini ele geçirmektir.

 

2. Kredi kartı ile oyuna davet

Hiç katılmadığınız bir çekiliş veya bir yarışmada ürün kazandığınıza dair verilen mesaj ile kullanıcıların dikkatinin çekilmeye çalışıldığı bu yöntemde gerekli kargo ücretinin ödenmesi istenir ve kredi kartı bilgilerinin girilmesi için yönlendirmeler yapılır. Bu tür durumlarda hem kimlik bilgileri hem de hesap bilgilerine ulaşılmaya çalışılmaktadır.

Böylece hem kişisel bilgileriniz hem de kredi kartı bilgilerini elde edilir. Bazen de kredi kartınıza ait bilgilerin güncellenmesi gerektiği ile ilgili e-posta gönderilebilir.

 

Phishing saldırılarının anlaşılması için birkaç ipucu:

1. Zayıf dil bilgisi: Oltalama saldırıları kapsamında gönderilen e-postalarda genelde yazım kuralları ve dil kuralları özenli değildir. Oysa gerçek şirket ve kurumlar bu içeriklerde dil kuralları ile yazım yanlışı olmaması önemli bir husustur.

2. Sahte linkler: e-Mail adresinize gelen bir mail içerisinde başka bir siteye yönlendirilmek için tıklanmanız istenen bağlantı veriliyorsa, bu yüksek ihtimalle bir oltalama saldırısıdır.

3. Baskıcı ifadeler: Oltalama saldırılarında kullanıcıların psikolojilerinde hemen harekete geçmelerini sağlamak amacıyla bazı ifadeler yer alır. Örneğin, “Hemen şimdi tıkla!”, “24 saat içerisinde hakkın sona erecek” gibi baskıcı ifadelerin, bir phishing saldırısından kaynaklı olduğunu anlayabilirsiniz.

Talimat verme ve kriz yaratma konusunda usta olan hackerlara karşı her zaman için sakin kalıp, önceden planlanmış ek kontrol mekanizmalarını uygulamak, olağandışı talimatlar karşısında şirket çalışanlarına izlenmesi gereken yollara ilişkin bir duyuru yayınlamak itibar ve maddi kayıpları önleyebilecektir.

Bu durumun gerçekleşmiş olması halinde ise öncelikle bankaya durumu haber vermek sonrasında ise ivedi bir şekilde savcılığa suç duyurusunda bulunulması gerekmektedir.

Global dünyada hackerların farklı ülkelerden bu tür ataklar yapması daha yaygın olmakla birlikte maddi kaybı en aza indirmek için paranın takibi büyük önem arz etmektedir. Bu nedenle hızlı hareket etmek ve hackerların göz dikmiş olduğu parayı yurt dışına çıkmadan durdurmak uygulamada kolaylık sağlamaktadır.

Zira yurt dışı para transferleri ile yurt dışı alacaklarda yargı yeri sorunu bulunmaktadır. Bu nedenle aynı gün içerisinde mahkeme aracılığı ile bir tedbir kararı aldırabilmek transfer edilen paranın hareketinin önlenmesi ve sonrasında takibi son derece büyük önem arz etmektedir.

Kötü niyetli kişilerin bazı bilgileri bir bilişim sistemine girerek alması, bilişim sistemini tahrip etmesi halinde ise avukatınıza danışarak Türk Ceza Kanunu’nun ilgili maddelerinin uygulanmasını sağlayabilirsiniz.

Ancak pratikteki sorununun yani kendilerini iyi maskeleyen hackerların tespiti çoğu zaman oldukça zor olmaktadır. Bu nedenle devlet dairelerinden veya güven duyduğunuz kişilerden gelmiş gibi görünen şüpheli mesajlara karşı dikkat etmeniz oldukça önemli.

 

Paraşüt ile henüz tanışmadınız mı?

Bir ön muhasebe programından bekleyebileceğiniz tüm işlemlerinizin kontrol ve takibi için sizi 14 gün ücretsiz kullanıma davet ediyoruz. Aşağıdaki butona tıklayarak hemen deneme hesabı oluşturabilir, dilediğiniz an aboneliğinizi başlatabilirsiniz.

Sanal dolandırıcılık, yürürlüğe giren iş ve vergi yasaları, işinize yarayabilecek teşvik haberleri ve daha fazlasından anında haberdar olmak için Paraşüt Blog'u takip etmek ister misiniz?