Bu yazı çevrimiçi güvenlik ile ilgilidir.

Milyonlarca kişi, yaklaşan bir felaketi önlemek için hemen harekete geçmelerini isteyen “acil” e-postalar almış durumda. “Bankamıza yeni güvenlik sistemi getirildi. Bilgilerinizi hemen şimdi güncellemeniz gerekiyor, aksi takdirde hesabınıza giriş yapamazsınız” veya “Bilgilerinizi doğrulayamadık; hesabınızı güncellemek için burayı tıklayın”. Bazen de e-postalarda, “Banka hesabınıza aktarmama yardımcı olmazsanız 30.000.000 ABD Doları devlete gidecek” cümlesindeki gibi gönderen kişinin (veya üçüncü bir şahsın) başına kötü bir şeyin geleceğine dair iddialar bulunabiliyor.

Bu e-postalardaki linklere tıklayan kişiler daha önce ziyaret etmiş oldukları yasal sitelere benzer bir web sitesiyle karşılaşabiliyorlar. Sayfa tanıdık geldiği için, ziyaretçiler kullanıcı adı, şifre ve diğer özel bilgilerini giriyorlar. Böylece, bilinmeyen üçüncü bir şahsa hesaplarına yetkisiz erişmeleri, paralarını çalmaları veya onlar adına yeni kredi limiti talebinde bulunmaları için gereken tüm bilgileri vermiş oluyorlar. Bu kullanıcılar phishing saldırısıyla karşı karşıyalar.

Böyle bir saldırının altında yatan mantık çok basit aslında: Birileri, kişisel veya diğer hassas bilgilerinizi paylaşacak şekilde sizi kandırmak için kendini bir başkası olarak tanıtıyor. ‘Phisher’ olarak bilinen bu dolandırıcılar karşınıza bankalar, e-posta veya uygulama sağlayıcıları, sanal tüccarlar, hatta devlet daireleri dahil her kılıkta çıkabiliyorlar. Ancak yine de, bu saldırılardan bazıları basit ve kolay tespit edilebilir olsa da, çoğu iyice düşünülmüş ve her ayrıntısıyla planlanmış tarzdadır. Dolayısıyla, “sizin bankanız”dan gelen sahte e-posta çok gerçekçi, yönlendirildiğiniz sahte “giriş sayfası” gayet yasal gelebilir.

Neyse ki, phishing saldırılarından korunmak için yapabileceğiniz bazı şeyler var:

  • Hassas bilgiler girmenizi talep eden e-postalara yanıt verme konusunda dikkatli olun. Hesap numaraları, kullanıcı adları veya sosyal güvenlik numaraları gibi kişisel bilgilerinizi talep eden e-postalardaki bağlantılara tıklamaktan veya bu e-postalara yanıt vermekten sakınmalısınız. Çoğu yasal işletme bu bilgileri hiçbir zaman e-posta aracılığıyla istemez. Bunlara Google da dahil.

  • Şüpheli e-postalardaki bağlantılara tıklamaktansa, söz konusu siteye doğrudan giriş yapın. Hassas bir bilgi isteyen ileti aldınız ve bunun yasal olabileceğini düşünüyorsanız, yeni bir tarayıcı penceresi açın ve kurumun web sitesine her zamanki gibi (yer imi kullanarak veya kurum web sitesinin adresini tarayıcıya yazarak) giriş yapın. Bunu yapmakla, bir phisher web sitesiyle değil de, söz konusu kurumun web sitesiyle irtibat halinde olduğunuz konusunda şansınızı artırmış olursunuz. Yapmanız gereken bir şey varsa da, genellikle web sitesinde bununla ilgili olarak bir duyuru bulunur. Aldığınız taleple ilgili şüpheleriniz varsa, bunu kuruma doğrudan sorma konusunda tereddüt etmeyin. Kurumun web sitesine giderek müşteri hizmetlerinin e-posta adresi veya telefon numarasını bulmak ve talebin yasal olup olmadığını öğrenmek en fazla birkaç dakikanızı alır.

  • Hassas bilgi girmenizi isteyen bir sitedeyseniz, şüpheli olabilecek herhangi bir şeyin olup olmadığını kontrol edin. Siteye nasıl girdiğinize bakmaksızın, hassas bilgi talep eden bir sitedeyseniz, sitenin söz konusu kurumun resmi web sitesi olduğunu gösteren bazı ipuçlarını kontrol edin. Örneğin, bulunduğunuz sayfanın kurum web sitesinin bir parçası olduğundan ve farklı bir domain’de sahte bir sayfa olmadığından (mybankk.com veya g00gle.com gibi) emin olmak için URL’yi kontrol edin. Koruması olması gereken bir sayfadaysanız (örn., kredi kartı bilgilerinizi girmenizi talep eden sayfa gibi), URL’nin başında “https”nin veya tarayıcıda kilit simgesinin olup olmadığını kontrol edin. (Firefox ve Internet Explorer 6’da kilit simgesi sağ alt köşede çıkarken Internet Explorer 7’de kilit simgesi adres çubuğunun sağında belirir.) Bu ipuçları yanıltmaz diye bir şey yok ancak iyi bir başlangıç noktası olabilir.

  • Ara sıra internette karşınıza çıkan “müthiş teklif”ler ve “harika ödül”lerden sakının. Bir şey gerçek olamayacak kadar iyi görünüyorsa, muhtemelen değildir ve bilginizi çalmak isteyen bir phisher dolandırıcısı olabilir. İnternette kişisel veya herhangi başka hassas bilgilerinizden yararlanmak üzere bunları girmenizi talep eden bir teklifle karşılaşırsanız, mümkün olduğunca çok soru sormayı ve söz konusu sitede herhangi şüpheli bir şeyin olup olmadığını kontrol etmeyi ihmal etmeyin.

  • Phishing filtresi olan internet tarayıcısı kullanın. Firefox, Internet Explorer ve Opera dahil son sürüm tarayıcıların çoğu olası phishing saldırılarını tespit etmenize yardımcı phishing filtresi içerir.


Her şey yeterince basit, değil mi? Uzun sözün kısası, internet ortamında birileri kişisel veya herhangi başka bir hassas bilginizi paylaşmanızı istediğinde, harekete geçmeden önce bu talep üzerinde iyice düşünün. Bu, hem sizin sanal ortamda güvende olmanızı sağlar hem de phisher dolandırıcılarını devre dışı bırakmak için hepimize yardımcı olur.

Ian Fette, Google Güvenlik Ekibi tarafından yayınlanmıştır