Phishing, internet kullanıcılarını tehdit eden en büyük tehlikelerden birisi. Nokta! Özellikle son dönemlerde insanlar marifetlerini başkalarına karşı phishingte kullanıyorlar. Elbette phishing başarılı bir sosyal mühendislik gerektiriyor. Düzgün şekilde hazırlandığında ise neye uğradığınızı dahi anlayamıyorsunuz.
Son zamanlarda devamlı kimlik avına dair haberler duyuyoruz. PayPal phishing siteleri bir dönem gündemi meşgul etti. Daha sonra INC.com kullanıcıları Amazon phishing şemalarına karşı uyardı. Ve geçen hafta da, bir Kanada Üniversitesi phishing mağduru olarak tam 12 milyon dolar para kaybetti.
Kanada’daki MacEwan Üniversitesi’ndeki son örnek, phishing dolandırıcılıklarının ne kadar zekice olabildiğini göstermesi açısından önemli bir örnek. Ülkedeki Edmonton şehri etrafındaki inşaat şirketlerinin sahte web sitelerini yapan hackerlar, ardından bu firmaların potansiyel iş ortaklarına phishing e-postaları gönermeye başladılar ve hedeflerine ulaştılar.
Şimdi biraz konuyu inceleyelim. Kanada Alberta’daki bir inşaat firmasının, phishing hedefi olacağını düşündüğünü zannetmiyoruz. Maalesef konu phishing olunca çok fazla yanılıyoruz. Bunlardan en önemlisi de, insanların phishing hedefinde sadece belli firmaların olduğunu zannetmesi. Son örnekte de görüldüğü gibi, bu açıkça yanlış.
Tabii bir de okul meselesi var. MacEwan Üniversitesi muhtemelen sahte e-postalar ve web siteleriyle hackerların hedefi olacağını asla düşünmemiştir. Fakat olan oldu ve ikna edici bir internet sitesi, iyi hazırlanmış e-postalarla ciddi miktarda ödeme alındı.
Phishinge Karşı En İyi Savunma Yöntemi: Eğitim
Eğitim ihtiyacını sık sık vurguluyoruz ve bu yüzden de kimisinin kulağına artık anlamsız gelebilir fakat sakın hafife almayın. Kimlik avına karı en iyi savunma her zaman eğitimdir.
Kimlik avına karşı sınırlı fayda sağlayan bazı savunma imkanları var, örneğin SSL bunlardan birisi. SSL ile gerçek web sitelerini sahte web sitelerinden ayırt eden kimlik doğrulamaları ortaya çıkıyor. Fakat yüksek doğrulamalı SSL sertifikaları, yeterli eğitim olmadan yine bir işe yaramıyor çünkü kullanıcı buna dikkat dahi etmiyor.
Şu andaki phishing sorunu için bazı püf noktaları şöyle:
- Yetersiz ve çoğu zamanda tutarsız olan eğitim, internet kullanıcılarının bağlantı güvenliği ve göstergeleri konusunda kafalarının karışmasına sebep oluyor.
- Son internet tarayıcısı değişiklikleri, düzgün bir SSL şifrelemesiyle korunan web sitelerine ‘güvenli’ etiketi ekleyerek kafa karışıklığını daha da ileriye taşıyor. Birçok kullanıcı ‘Güvenli’ ibaresiyle ‘Tehlikesiz’ arasındaki farkı algılayamıyor.
- Phishing uzmanları artık ücretsiz SSL sertifikaları kullanmaya başladılar ve bu sayede yasal olmayan web sitelerine, ‘meşru’ bir görünüm kazandırıyorlar.
Bu püf noktalardan sonuncusu, belki de konuya hakim olmayan kullanıcılar için en kafa karıştırıcı durum. Ücretsiz SSL kullanan bir web sitesine girenler, ‘Güvenli’ ibaresini görerek hemen aldanıyorlar.
Bir kere daha tekrar etmek gerekirse, en kesin savunma her zaman iyi eğitimdir.
Genişletilmiş Doğrulamalı (EV) SSL de Tamamen Eğitime Bağlıdır
Genişletilmiş Doğrulamalı (EV – Extended Validation) SSL türü de, yeşil adres çubuğunu kullanmak için tercih ediliyor. Bu SSL ile web sitelerinin adres çubuğuna özel bir yeşil logo eklenir, diğer sitelerinden ayrılır.
Diğer yandan, şimdi de EV’nin gerçek değeri hakkında çeşitli tartışmalar dönüyor: gerçekten faydalı mı, yoksa sertifika otoritelerinin bir oyunu mu? İşin aslı, EV değerli bir sistem fakat kullanıcı ne anlama geldiğini bilmiyorsa yine bir faydası olmayacaktır.
Bunu sonlandırmak isteyen, MetaCert CEO’su Paul Walsh harika bir örneğe imza attı ve EV sertifikalarıyla phishing dolandırıcılıklarının önüne nasıl geçileceğini gösterdi. Bunun için web sitelerine, sitenin üst kısmına üzerinde ‘Sitemizin adres çubuğunda bu yeşil yazıyı görmüyorsanız, orası bir phishing sitesidir’ yazan banner görsel eklemeyi teklif etti.
Her ne kadar biraz tasarımı bozsa da, en azından yazıyı gören kullanıcılar EV SSL’in neye yaradığını, neden önem verilmesi gerektiğini öğrenebilecekti. Kendisi konuya dair de şu sözleri kullandı:
‘Adres çubuğunun nasıl gözükmesi gerektiğini siteye eklemek, bence ziyaretçilerin phishing önlemi almasını sağlayacaktır. Yanılıyor olabilirim ama zannetmiyorum. Uyarı mesajı kalıcı olmak zorunda değil. Bunu kayan bir animasyonla da yaratabilirsiniz ve birkaç saniye sonra da kaybolmasını sağlayabilirsiniz.’
Açıkçası buna katılmamak elde değil. Kullanıcılar uyarı yazısını ziyaret ettiklerinde sadece birkaç göre görseler dahi, ne yapmaları gerektiği fikrini kısa sürede benimseyeceklerdir.
EV SSL sertifikalarının kesinlikle etkisi büyük ve düzgün kullanıldığında da bu hissediliyor. Fakat doğru bir kullanıcı eğitimi olmadan, maalesef Genişletilmiş Doğrulamalı sertifikalar da anlamsız kalıyor.
Ne Öğrendik?
İşte bugün öğrendiklerimizden çıkarabileceğimiz birkaç kilit konu:
- Phishing, internette varlık gösteren her işletmeyi hedef alabilir. Son dönemlerde kimlik avı siteleri, ücretsiz SSL sertifikaları da kullanarak kendilerine yasal ve güvenilir bir görünüm katıyorlar.
- Genişletilmiş Doğrulamalı sertifikalar phishing saldırılarına karşı savunmanızı güçlendirir fakat en önemlisi, kullanıcıları eğitmektir.
- MetaCert CEO’su Paul Walsh, kullanıcıları EV sertifikaları konusunda eğitmek için web sitelerine geçici bannerların eklenmesini öneriyor.
.png)
