Anti-Phishing Nedir? E-Posta Güvenliği Neden Bu Kadar Önemli?

apronx

apronx

Yeni üye
9 Kas 2021
33
34
Anti-Phishing Nedir? E-Posta Güvenliği Neden Bu Kadar Önemli?

İçindekiler
1. Kısaca Phishing Nedir?
2. Phishing'den Nasıl Korunabiliriz?
2.1 Phishing için E-posta Güvenliği
2.2 Phishing Farkındalık Eğitimi
2.3 2FA / MFA Teknolojileri
3. Peki En İyi Phishing Koruması Nedir?

1. Kısaca Phishing Nedir?

Phishing, hackerların hassas bilgileri çalmak için e-posta, kısa mesaj, reklam veya başka yollarla rol yaparak yeni bir kimliğe büründüğü bir tür çevrimiçi dolandırıcılıktır. Bu genellikle, bilgilerinizi doldurmanız için sizi ilgilendiğiniz bir konuya ya da dikkatinizi bir şekilde çekecek bir içerik sunarak ilgilendiğiniz web sitesine götürecek gibi görünecek bir bağlantı ekleyerek yapılır. Ancak web sitesi basit bir aldatmacadır ve sağladığınız bilgiler doğruca phishing saldırısı yapan hacker’a gider.

tht4.pngv

Özellikle phishing denince akla ilk gelen yöntem e-posta ile kurbana ulaşmaktadır.

Phishing saldırıları her geçen gün daha da artmakla birlikte daha sık ve anlaşılması zor hale gelmektedir. Bir çok role bürünmeye çalışarak bazen deneme yanılma yoluyla; bazen de tam sizin ihtiyaçlarınıza göre bir profil çizmeye çalışırlar.

Ancak ne yaparsak yapalım ne kadar dikkatli olsak bile insanlar hala bu konu hakkında dikkatsiz. Özellikle bankacılık, sağlık veya e-ticaret sektörlerinde phishing saldırıları ile sonuca ulaşan ve belki de sizin hatanız olmasa bile kişisel verilerinizin çalınmasına neden olan firma çalışanları mevcut.

2. Phishing’den nasıl korunabiliriz?

Phishing yönteminin etkisi hem size hem de saldırıyı gerçekleştiren hacker'a bağlıdır. Sizi bir şekilde tanıyorsa e-postaya gömdüğü bağlantıya tıklattırmak için elinden gelen her şeyi yapacaktır. İlgilendiğiniz alanı bulup sanki beklediğiniz bir mailmiş gibi size sunabilir ya da sizi endişelendirmeye yetecek bir şekilde içerik hazırlayarak gafil avlayıp amacına ulaşabilir.

tht3.png


2.1 Phishing için E-posta Güvenliği

Öncelikle phishing’in en büyük kısmı e-postalar ile bizlere ulaşmaktadır. Bu sırasıyla:
  • Güvenilir bir kaynaktan gönderilmiş gibi görünen bir e-posta alırsınız.
  • E-posta göndericisine inanır ve aldığınız talimatları uygularsınız.
  • Özel verileriniz tehlikeye girer, kimlik bilgileriniz ise çalınır.
Güvenli bir filtreleme sistemi veya yazılım size en temel e-posta filtrelemesi sunarak size gelen e-postaların içeriğine odaklanır. Kimden geldiğine, konu başlığına, tarih vb. gibi analizler yapar ve e-postaya güvenilip güvenilmeyeceğini değerlendirir. Şüpheli görünen e-postalar spam olarak işaretlenir veya kaldırılır. Uygulaması hızlı ve kolaydır. Beyaz liste, kara liste gibi etiketler ile; özelleştirilebilir kurallar koyarak tarafınıza ulaşan maillerin ilk kontrolü için seçenek sunar. Ancak en zor kısmı sahte ile gerçek arasındaki farkın her zaman doğru işleyemeyeceği faktörüdür. Güvenilmeyen göndericilerden oluşan veritabanının sık sık güncellenmesi gerekir veya bir web sitesinin bloke edilip edilmeyeceğine insan faktörü tarafından karar verilmesi gerekir. Yani phishing saldırısının en temel adımlarından biri olan e-posta yönteminde ve mailin tarafınıza ulaşması aşamasında en basit koruma yöntemi olmasına rağmen e-posta filtrelenmesinin de günümüzde açıkları mevcuttur. Çünkü Bayesian Poisoning gibi spam filtrelerini başarılı bir şekilde nasıl kandıracağını bilen hackerlar, spam filtrelerini atlatmak için istenmeyen bu tür iletilere görünmeyen bazı sözcükler ekleyerek, gelen e-postanın güvenilir algılanmasına yol açabilir.

2.2 Phishing Farkındalık Eğitimi

Bu tür eğitimler genellikle çok daha fazla zaman ve kaynak gerektirir. Ancak en etkili yöntemlerden biridir. Kişiye farkındalık kazandırmak uzun vadede hem kendi verilerini korunması açısından hem de çalıştığı şirketi zarara uğratmaması açısından gerekli ve önemlidir. Google’da PHaaS (Google phishing as a Service) şeklinde bir arama yaparsanız size phishing alanında yardımcı olabilecek ve personele gerekli eğitimi verebilecek birkaç firmaya ulaşabilirsiniz.

Çünkü bu eğitimin güzel yanı, anlaştığınız şirket sizin çalışanlarınızı denenmek için ve gerçekten kandırılabilip kandırılamayacaklarını analiz etmek iççin phishing saldırısını birebir uygularlar. Daha sonra sonuçlar analiz edilerek buna göre bir eğitim planı oluşturulur. Bu sayede başınıza gerçek bir olay gelmeden önleminizi alabilirsiniz.

tht2.png


2.3 2FA / MFA Teknolojileri

İki faktörlü kimlik doğrulaması “two-factor authentication” veya çok faktörlü kimlik doğrulaması “multi-factor authentication” muhtemelen duymuşsunuzdur. Belki de farkında bile olmadan kullanıyor da olabilirsiniz. Kısaca bahsetmek gerekirse, aslında her gün bu teknolojileri bir şekilde kullanıyoruz. Mesela ATM’lerden para çekerken kartınız bir anahtar, pin kodu veya şifrenizde ikinci faktör koruma olarak kullanıyoruz. Banka kartınızı kaybettiğinizde bile panik yapmadan yeni bir tane çıkarttırıp kullanıyoruz. Çünkü kartımıza bir şekilde ulaşan biri kart elinde bile olsa ikinci aşamayı zaten geçemiyor. Bu gibi bir uygulamanın aynısı sosyal medya hesaplarınızda güvenlik kısmında yeni bir cihazla giriş yaparken de geçerli. Mesela instagram'da iki faktörlü korumayı etkinleştirdiğinizde farklı cihazlardan giriş yaptığınızda sizin telefon numaranıza giriş kodu gönderiyor. Şifreniz bir şekilde çalınsa bile, hesabınıza ikinci faktörü geçmeden giriş imkânı sağlanmıyor. Bu da 2FA teknolojisinin şu ana kadar ki en güvenli yöntemlerden biri olduğunu kanıtlıyor.

Bir diğer benzer yöntem olan multi-factor authentication ise güvenlik anahtarı şeklinde tabir edebileceğimiz USB'ler ile sağlanmakta. Özellikle Google çalışanlarının güvenliği için bu uygulamayı tercih etmekte.

tht1.png


3. Peki En İyi Phishing Koruması Nedir?

Öncelikle kısa bir özet geçmek gerekirse, tüm bu organizasyonu tehlikeye atmak için birkaç standart hesaba veya bir yönetici hesabına erişim elde etmek yeterlidir. İyi eğitimli bir ekibiniz olsa bile yeni bir çalışan yaptığı tek tıklamayla bile tüm şirketi riske atabilir.

Dünyanın en iyi e-posta filtrelemesine sahip bile olsanız, bu filtreleme algoritmalarına karşı bilgili bir hacker tarafınıza göndereceği e-postayı spam algılatmadan yollayabilir. Yani her zaman bu filtrelerin etrafından dolaşmanın bir yolu zor olsa da bulunacaktır.

İki faktörlü veya çoklu faktör güvenlik anahtarının çalınma ihtimali de mevcuttur. Her an nasıl cüzdanınız cebinizden bir şekilde çalınabileceği gibi yanınızda taşıdığınız USB bellek güvenlik anahtarı ya da örneğini verdiğim ATM banka kartınız çalınabilir. Ancak diğer ihtimallerden ziyade bu tür bir hırsızlığa uğrama şansınızın olasılığı daha düşüktür. O yüzden mümkün olan tüm şifrelerinizle birlikte güvenliğiniz açısından iki faktörlü koruma seçeneğini ihmal etmeyin. E-postanız çalınsa bile, SMS yoluyla gelen ikinci bir şifre hesabınızı koruyacak ve zayiatınızı en az düzeye indirecektir.
 
ertan074

ertan074

Üye
13 May 2021
126
60
Eli
apronx' Alıntı:
Anti-Phishing Nedir? E-Posta Güvenliği Neden Bu Kadar Önemli?

İçindekiler
1. Kısaca Phishing Nedir?
2. Phishing'den Nasıl Korunabiliriz?
2.1 Phishing için E-posta Güvenliği
2.2 Phishing Farkındalık Eğitimi
2.3 2FA / MFA Teknolojileri
3. Peki En İyi Phishing Koruması Nedir?

1. Kısaca Phishing Nedir?

Phishing, hackerların hassas bilgileri çalmak için e-posta, kısa mesaj, reklam veya başka yollarla rol yaparak yeni bir kimliğe büründüğü bir tür çevrimiçi dolandırıcılıktır. Bu genellikle, bilgilerinizi doldurmanız için sizi ilgilendiğiniz bir konuya ya da dikkatinizi bir şekilde çekecek bir içerik sunarak ilgilendiğiniz web sitesine götürecek gibi görünecek bir bağlantı ekleyerek yapılır. Ancak web sitesi basit bir aldatmacadır ve sağladığınız bilgiler doğruca phishing saldırısı yapan hacker’a gider.

tht4.pngv

Özellikle phishing denince akla ilk gelen yöntem e-posta ile kurbana ulaşmaktadır.

Phishing saldırıları her geçen gün daha da artmakla birlikte daha sık ve anlaşılması zor hale gelmektedir. Bir çok role bürünmeye çalışarak bazen deneme yanılma yoluyla; bazen de tam sizin ihtiyaçlarınıza göre bir profil çizmeye çalışırlar.

Ancak ne yaparsak yapalım ne kadar dikkatli olsak bile insanlar hala bu konu hakkında dikkatsiz. Özellikle bankacılık, sağlık veya e-ticaret sektörlerinde phishing saldırıları ile sonuca ulaşan ve belki de sizin hatanız olmasa bile kişisel verilerinizin çalınmasına neden olan firma çalışanları mevcut.

2. Phishing’den nasıl korunabiliriz?

Phishing yönteminin etkisi hem size hem de saldırıyı gerçekleştiren hacker'a bağlıdır. Sizi bir şekilde tanıyorsa e-postaya gömdüğü bağlantıya tıklattırmak için elinden gelen her şeyi yapacaktır. İlgilendiğiniz alanı bulup sanki beklediğiniz bir mailmiş gibi size sunabilir ya da sizi endişelendirmeye yetecek bir şekilde içerik hazırlayarak gafil avlayıp amacına ulaşabilir.

tht3.png


2.1 Phishing için E-posta Güvenliği

Öncelikle phishing’in en büyük kısmı e-postalar ile bizlere ulaşmaktadır. Bu sırasıyla:
  • Güvenilir bir kaynaktan gönderilmiş gibi görünen bir e-posta alırsınız.
  • E-posta göndericisine inanır ve aldığınız talimatları uygularsınız.
  • Özel verileriniz tehlikeye girer, kimlik bilgileriniz ise çalınır.
Güvenli bir filtreleme sistemi veya yazılım size en temel e-posta filtrelemesi sunarak size gelen e-postaların içeriğine odaklanır. Kimden geldiğine, konu başlığına, tarih vb. gibi analizler yapar ve e-postaya güvenilip güvenilmeyeceğini değerlendirir. Şüpheli görünen e-postalar spam olarak işaretlenir veya kaldırılır. Uygulaması hızlı ve kolaydır. Beyaz liste, kara liste gibi etiketler ile; özelleştirilebilir kurallar koyarak tarafınıza ulaşan maillerin ilk kontrolü için seçenek sunar. Ancak en zor kısmı sahte ile gerçek arasındaki farkın her zaman doğru işleyemeyeceği faktörüdür. Güvenilmeyen göndericilerden oluşan veritabanının sık sık güncellenmesi gerekir veya bir web sitesinin bloke edilip edilmeyeceğine insan faktörü tarafından karar verilmesi gerekir. Yani phishing saldırısının en temel adımlarından biri olan e-posta yönteminde ve mailin tarafınıza ulaşması aşamasında en basit koruma yöntemi olmasına rağmen e-posta filtrelenmesinin de günümüzde açıkları mevcuttur. Çünkü Bayesian Poisoning gibi spam filtrelerini başarılı bir şekilde nasıl kandıracağını bilen hackerlar, spam filtrelerini atlatmak için istenmeyen bu tür iletilere görünmeyen bazı sözcükler ekleyerek, gelen e-postanın güvenilir algılanmasına yol açabilir.

2.2 Phishing Farkındalık Eğitimi

Bu tür eğitimler genellikle çok daha fazla zaman ve kaynak gerektirir. Ancak en etkili yöntemlerden biridir. Kişiye farkındalık kazandırmak uzun vadede hem kendi verilerini korunması açısından hem de çalıştığı şirketi zarara uğratmaması açısından gerekli ve önemlidir. Google’da PHaaS (Google phishing as a Service) şeklinde bir arama yaparsanız size phishing alanında yardımcı olabilecek ve personele gerekli eğitimi verebilecek birkaç firmaya ulaşabilirsiniz.

Çünkü bu eğitimin güzel yanı, anlaştığınız şirket sizin çalışanlarınızı denenmek için ve gerçekten kandırılabilip kandırılamayacaklarını analiz etmek iççin phishing saldırısını birebir uygularlar. Daha sonra sonuçlar analiz edilerek buna göre bir eğitim planı oluşturulur. Bu sayede başınıza gerçek bir olay gelmeden önleminizi alabilirsiniz.

tht2.png


2.3 2FA / MFA Teknolojileri

İki faktörlü kimlik doğrulaması “two-factor authentication” veya çok faktörlü kimlik doğrulaması “multi-factor authentication” muhtemelen duymuşsunuzdur. Belki de farkında bile olmadan kullanıyor da olabilirsiniz. Kısaca bahsetmek gerekirse, aslında her gün bu teknolojileri bir şekilde kullanıyoruz. Mesela ATM’lerden para çekerken kartınız bir anahtar, pin kodu veya şifrenizde ikinci faktör koruma olarak kullanıyoruz. Banka kartınızı kaybettiğinizde bile panik yapmadan yeni bir tane çıkarttırıp kullanıyoruz. Çünkü kartımıza bir şekilde ulaşan biri kart elinde bile olsa ikinci aşamayı zaten geçemiyor. Bu gibi bir uygulamanın aynısı sosyal medya hesaplarınızda güvenlik kısmında yeni bir cihazla giriş yaparken de geçerli. Mesela instagram'da iki faktörlü korumayı etkinleştirdiğinizde farklı cihazlardan giriş yaptığınızda sizin telefon numaranıza giriş kodu gönderiyor. Şifreniz bir şekilde çalınsa bile, hesabınıza ikinci faktörü geçmeden giriş imkânı sağlanmıyor. Bu da 2FA teknolojisinin şu ana kadar ki en güvenli yöntemlerden biri olduğunu kanıtlıyor.

Bir diğer benzer yöntem olan multi-factor authentication ise güvenlik anahtarı şeklinde tabir edebileceğimiz USB'ler ile sağlanmakta. Özellikle Google çalışanlarının güvenliği için bu uygulamayı tercih etmekte.

tht1.png


3. Peki En İyi Phishing Koruması Nedir?

Öncelikle kısa bir özet geçmek gerekirse, tüm bu organizasyonu tehlikeye atmak için birkaç standart hesaba veya bir yönetici hesabına erişim elde etmek yeterlidir. İyi eğitimli bir ekibiniz olsa bile yeni bir çalışan yaptığı tek tıklamayla bile tüm şirketi riske atabilir.

Dünyanın en iyi e-posta filtrelemesine sahip bile olsanız, bu filtreleme algoritmalarına karşı bilgili bir hacker tarafınıza göndereceği e-postayı spam algılatmadan yollayabilir. Yani her zaman bu filtrelerin etrafından dolaşmanın bir yolu zor olsa da bulunacaktır.

İki faktörlü veya çoklu faktör güvenlik anahtarının çalınma ihtimali de mevcuttur. Her an nasıl cüzdanınız cebinizden bir şekilde çalınabileceği gibi yanınızda taşıdığınız USB bellek güvenlik anahtarı ya da örneğini verdiğim ATM banka kartınız çalınabilir. Ancak diğer ihtimallerden ziyade bu tür bir hırsızlığa uğrama şansınızın olasılığı daha düşüktür. O yüzden mümkün olan tüm şifrelerinizle birlikte güvenliğiniz açısından iki faktörlü koruma seçeneğini ihmal etmeyin. E-postanız çalınsa bile, SMS yoluyla gelen ikinci bir şifre hesabınızı koruyacak ve zayiatınızı en az düzeye indirecekti
Genişletmek için tıkla ...

apronx' Alıntı:
Anti-Phishing Nedir? E-Posta Güvenliği Neden Bu Kadar Önemli?

İçindekiler
1. Kısaca Phishing Nedir?
2. Phishing'den Nasıl Korunabiliriz?
2.1 Phishing için E-posta Güvenliği
2.2 Phishing Farkındalık Eğitimi
2.3 2FA / MFA Teknolojileri
3. Peki En İyi Phishing Koruması Nedir?

1. Kısaca Phishing Nedir?

Phishing, hackerların hassas bilgileri çalmak için e-posta, kısa mesaj, reklam veya başka yollarla rol yaparak yeni bir kimliğe büründüğü bir tür çevrimiçi dolandırıcılıktır. Bu genellikle, bilgilerinizi doldurmanız için sizi ilgilendiğiniz bir konuya ya da dikkatinizi bir şekilde çekecek bir içerik sunarak ilgilendiğiniz web sitesine götürecek gibi görünecek bir bağlantı ekleyerek yapılır. Ancak web sitesi basit bir aldatmacadır ve sağladığınız bilgiler doğruca phishing saldırısı yapan hacker’a gider.

tht4.pngv

Özellikle phishing denince akla ilk gelen yöntem e-posta ile kurbana ulaşmaktadır.

Phishing saldırıları her geçen gün daha da artmakla birlikte daha sık ve anlaşılması zor hale gelmektedir. Bir çok role bürünmeye çalışarak bazen deneme yanılma yoluyla; bazen de tam sizin ihtiyaçlarınıza göre bir profil çizmeye çalışırlar.

Ancak ne yaparsak yapalım ne kadar dikkatli olsak bile insanlar hala bu konu hakkında dikkatsiz. Özellikle bankacılık, sağlık veya e-ticaret sektörlerinde phishing saldırıları ile sonuca ulaşan ve belki de sizin hatanız olmasa bile kişisel verilerinizin çalınmasına neden olan firma çalışanları mevcut.

2. Phishing’den nasıl korunabiliriz?

Phishing yönteminin etkisi hem size hem de saldırıyı gerçekleştiren hacker'a bağlıdır. Sizi bir şekilde tanıyorsa e-postaya gömdüğü bağlantıya tıklattırmak için elinden gelen her şeyi yapacaktır. İlgilendiğiniz alanı bulup sanki beklediğiniz bir mailmiş gibi size sunabilir ya da sizi endişelendirmeye yetecek bir şekilde içerik hazırlayarak gafil avlayıp amacına ulaşabilir.

tht3.png


2.1 Phishing için E-posta Güvenliği

Öncelikle phishing’in en büyük kısmı e-postalar ile bizlere ulaşmaktadır. Bu sırasıyla:
  • Güvenilir bir kaynaktan gönderilmiş gibi görünen bir e-posta alırsınız.
  • E-posta göndericisine inanır ve aldığınız talimatları uygularsınız.
  • Özel verileriniz tehlikeye girer, kimlik bilgileriniz ise çalınır.
Güvenli bir filtreleme sistemi veya yazılım size en temel e-posta filtrelemesi sunarak size gelen e-postaların içeriğine odaklanır. Kimden geldiğine, konu başlığına, tarih vb. gibi analizler yapar ve e-postaya güvenilip güvenilmeyeceğini değerlendirir. Şüpheli görünen e-postalar spam olarak işaretlenir veya kaldırılır. Uygulaması hızlı ve kolaydır. Beyaz liste, kara liste gibi etiketler ile; özelleştirilebilir kurallar koyarak tarafınıza ulaşan maillerin ilk kontrolü için seçenek sunar. Ancak en zor kısmı sahte ile gerçek arasındaki farkın her zaman doğru işleyemeyeceği faktörüdür. Güvenilmeyen göndericilerden oluşan veritabanının sık sık güncellenmesi gerekir veya bir web sitesinin bloke edilip edilmeyeceğine insan faktörü tarafından karar verilmesi gerekir. Yani phishing saldırısının en temel adımlarından biri olan e-posta yönteminde ve mailin tarafınıza ulaşması aşamasında en basit koruma yöntemi olmasına rağmen e-posta filtrelenmesinin de günümüzde açıkları mevcuttur. Çünkü Bayesian Poisoning gibi spam filtrelerini başarılı bir şekilde nasıl kandıracağını bilen hackerlar, spam filtrelerini atlatmak için istenmeyen bu tür iletilere görünmeyen bazı sözcükler ekleyerek, gelen e-postanın güvenilir algılanmasına yol açabilir.

2.2 Phishing Farkındalık Eğitimi

Bu tür eğitimler genellikle çok daha fazla zaman ve kaynak gerektirir. Ancak en etkili yöntemlerden biridir. Kişiye farkındalık kazandırmak uzun vadede hem kendi verilerini korunması açısından hem de çalıştığı şirketi zarara uğratmaması açısından gerekli ve önemlidir. Google’da PHaaS (Google phishing as a Service) şeklinde bir arama yaparsanız size phishing alanında yardımcı olabilecek ve personele gerekli eğitimi verebilecek birkaç firmaya ulaşabilirsiniz.

Çünkü bu eğitimin güzel yanı, anlaştığınız şirket sizin çalışanlarınızı denenmek için ve gerçekten kandırılabilip kandırılamayacaklarını analiz etmek iççin phishing saldırısını birebir uygularlar. Daha sonra sonuçlar analiz edilerek buna göre bir eğitim planı oluşturulur. Bu sayede başınıza gerçek bir olay gelmeden önleminizi alabilirsiniz.

tht2.png


2.3 2FA / MFA Teknolojileri

İki faktörlü kimlik doğrulaması “two-factor authentication” veya çok faktörlü kimlik doğrulaması “multi-factor authentication” muhtemelen duymuşsunuzdur. Belki de farkında bile olmadan kullanıyor da olabilirsiniz. Kısaca bahsetmek gerekirse, aslında her gün bu teknolojileri bir şekilde kullanıyoruz. Mesela ATM’lerden para çekerken kartınız bir anahtar, pin kodu veya şifrenizde ikinci faktör koruma olarak kullanıyoruz. Banka kartınızı kaybettiğinizde bile panik yapmadan yeni bir tane çıkarttırıp kullanıyoruz. Çünkü kartımıza bir şekilde ulaşan biri kart elinde bile olsa ikinci aşamayı zaten geçemiyor. Bu gibi bir uygulamanın aynısı sosyal medya hesaplarınızda güvenlik kısmında yeni bir cihazla giriş yaparken de geçerli. Mesela instagram'da iki faktörlü korumayı etkinleştirdiğinizde farklı cihazlardan giriş yaptığınızda sizin telefon numaranıza giriş kodu gönderiyor. Şifreniz bir şekilde çalınsa bile, hesabınıza ikinci faktörü geçmeden giriş imkânı sağlanmıyor. Bu da 2FA teknolojisinin şu ana kadar ki en güvenli yöntemlerden biri olduğunu kanıtlıyor.

Bir diğer benzer yöntem olan multi-factor authentication ise güvenlik anahtarı şeklinde tabir edebileceğimiz USB'ler ile sağlanmakta. Özellikle Google çalışanlarının güvenliği için bu uygulamayı tercih etmekte.

tht1.png


3. Peki En İyi Phishing Koruması Nedir?

Öncelikle kısa bir özet geçmek gerekirse, tüm bu organizasyonu tehlikeye atmak için birkaç standart hesaba veya bir yönetici hesabına erişim elde etmek yeterlidir. İyi eğitimli bir ekibiniz olsa bile yeni bir çalışan yaptığı tek tıklamayla bile tüm şirketi riske atabilir.

Dünyanın en iyi e-posta filtrelemesine sahip bile olsanız, bu filtreleme algoritmalarına karşı bilgili bir hacker tarafınıza göndereceği e-postayı spam algılatmadan yollayabilir. Yani her zaman bu filtrelerin etrafından dolaşmanın bir yolu zor olsa da bulunacaktır.

İki faktörlü veya çoklu faktör güvenlik anahtarının çalınma ihtimali de mevcuttur. Her an nasıl cüzdanınız cebinizden bir şekilde çalınabileceği gibi yanınızda taşıdığınız USB bellek güvenlik anahtarı ya da örneğini verdiğim ATM banka kartınız çalınabilir. Ancak diğer ihtimallerden ziyade bu tür bir hırsızlığa uğrama şansınızın olasılığı daha düşüktür. O yüzden mümkün olan tüm şifrelerinizle birlikte güvenliğiniz açısından iki faktörlü koruma seçeneğini ihmal etmeyin. E-postanız çalınsa bile, SMS yoluyla gelen ikinci bir şifre hesabınızı koruyacak ve zayiatınızı en az düzeye indirecektir.
Genişletmek için tıkla ...
Eline emeğine sağlık çok güzel ve anlaşılır olmuş
 
UZAY 52

UZAY 52

Uzman üye
14 Ağu 2021
1,298
833
Ddos
apronx' Alıntı:
Anti-Phishing Nedir? E-Posta Güvenliği Neden Bu Kadar Önemli?

İçindekiler
1. Kısaca Phishing Nedir?
2. Phishing'den Nasıl Korunabiliriz?
2.1 Phishing için E-posta Güvenliği
2.2 Phishing Farkındalık Eğitimi
2.3 2FA / MFA Teknolojileri
3. Peki En İyi Phishing Koruması Nedir?

1. Kısaca Phishing Nedir?

Phishing, hackerların hassas bilgileri çalmak için e-posta, kısa mesaj, reklam veya başka yollarla rol yaparak yeni bir kimliğe büründüğü bir tür çevrimiçi dolandırıcılıktır. Bu genellikle, bilgilerinizi doldurmanız için sizi ilgilendiğiniz bir konuya ya da dikkatinizi bir şekilde çekecek bir içerik sunarak ilgilendiğiniz web sitesine götürecek gibi görünecek bir bağlantı ekleyerek yapılır. Ancak web sitesi basit bir aldatmacadır ve sağladığınız bilgiler doğruca phishing saldırısı yapan hacker’a gider.

tht4.pngv

Özellikle phishing denince akla ilk gelen yöntem e-posta ile kurbana ulaşmaktadır.

Phishing saldırıları her geçen gün daha da artmakla birlikte daha sık ve anlaşılması zor hale gelmektedir. Bir çok role bürünmeye çalışarak bazen deneme yanılma yoluyla; bazen de tam sizin ihtiyaçlarınıza göre bir profil çizmeye çalışırlar.

Ancak ne yaparsak yapalım ne kadar dikkatli olsak bile insanlar hala bu konu hakkında dikkatsiz. Özellikle bankacılık, sağlık veya e-ticaret sektörlerinde phishing saldırıları ile sonuca ulaşan ve belki de sizin hatanız olmasa bile kişisel verilerinizin çalınmasına neden olan firma çalışanları mevcut.

2. Phishing’den nasıl korunabiliriz?

Phishing yönteminin etkisi hem size hem de saldırıyı gerçekleştiren hacker'a bağlıdır. Sizi bir şekilde tanıyorsa e-postaya gömdüğü bağlantıya tıklattırmak için elinden gelen her şeyi yapacaktır. İlgilendiğiniz alanı bulup sanki beklediğiniz bir mailmiş gibi size sunabilir ya da sizi endişelendirmeye yetecek bir şekilde içerik hazırlayarak gafil avlayıp amacına ulaşabilir.

tht3.png


2.1 Phishing için E-posta Güvenliği

Öncelikle phishing’in en büyük kısmı e-postalar ile bizlere ulaşmaktadır. Bu sırasıyla:
  • Güvenilir bir kaynaktan gönderilmiş gibi görünen bir e-posta alırsınız.
  • E-posta göndericisine inanır ve aldığınız talimatları uygularsınız.
  • Özel verileriniz tehlikeye girer, kimlik bilgileriniz ise çalınır.
Güvenli bir filtreleme sistemi veya yazılım size en temel e-posta filtrelemesi sunarak size gelen e-postaların içeriğine odaklanır. Kimden geldiğine, konu başlığına, tarih vb. gibi analizler yapar ve e-postaya güvenilip güvenilmeyeceğini değerlendirir. Şüpheli görünen e-postalar spam olarak işaretlenir veya kaldırılır. Uygulaması hızlı ve kolaydır. Beyaz liste, kara liste gibi etiketler ile; özelleştirilebilir kurallar koyarak tarafınıza ulaşan maillerin ilk kontrolü için seçenek sunar. Ancak en zor kısmı sahte ile gerçek arasındaki farkın her zaman doğru işleyemeyeceği faktörüdür. Güvenilmeyen göndericilerden oluşan veritabanının sık sık güncellenmesi gerekir veya bir web sitesinin bloke edilip edilmeyeceğine insan faktörü tarafından karar verilmesi gerekir. Yani phishing saldırısının en temel adımlarından biri olan e-posta yönteminde ve mailin tarafınıza ulaşması aşamasında en basit koruma yöntemi olmasına rağmen e-posta filtrelenmesinin de günümüzde açıkları mevcuttur. Çünkü Bayesian Poisoning gibi spam filtrelerini başarılı bir şekilde nasıl kandıracağını bilen hackerlar, spam filtrelerini atlatmak için istenmeyen bu tür iletilere görünmeyen bazı sözcükler ekleyerek, gelen e-postanın güvenilir algılanmasına yol açabilir.

2.2 Phishing Farkındalık Eğitimi

Bu tür eğitimler genellikle çok daha fazla zaman ve kaynak gerektirir. Ancak en etkili yöntemlerden biridir. Kişiye farkındalık kazandırmak uzun vadede hem kendi verilerini korunması açısından hem de çalıştığı şirketi zarara uğratmaması açısından gerekli ve önemlidir. Google’da PHaaS (Google phishing as a Service) şeklinde bir arama yaparsanız size phishing alanında yardımcı olabilecek ve personele gerekli eğitimi verebilecek birkaç firmaya ulaşabilirsiniz.

Çünkü bu eğitimin güzel yanı, anlaştığınız şirket sizin çalışanlarınızı denenmek için ve gerçekten kandırılabilip kandırılamayacaklarını analiz etmek iççin phishing saldırısını birebir uygularlar. Daha sonra sonuçlar analiz edilerek buna göre bir eğitim planı oluşturulur. Bu sayede başınıza gerçek bir olay gelmeden önleminizi alabilirsiniz.

tht2.png


2.3 2FA / MFA Teknolojileri

İki faktörlü kimlik doğrulaması “two-factor authentication” veya çok faktörlü kimlik doğrulaması “multi-factor authentication” muhtemelen duymuşsunuzdur. Belki de farkında bile olmadan kullanıyor da olabilirsiniz. Kısaca bahsetmek gerekirse, aslında her gün bu teknolojileri bir şekilde kullanıyoruz. Mesela ATM’lerden para çekerken kartınız bir anahtar, pin kodu veya şifrenizde ikinci faktör koruma olarak kullanıyoruz. Banka kartınızı kaybettiğinizde bile panik yapmadan yeni bir tane çıkarttırıp kullanıyoruz. Çünkü kartımıza bir şekilde ulaşan biri kart elinde bile olsa ikinci aşamayı zaten geçemiyor. Bu gibi bir uygulamanın aynısı sosyal medya hesaplarınızda güvenlik kısmında yeni bir cihazla giriş yaparken de geçerli. Mesela instagram'da iki faktörlü korumayı etkinleştirdiğinizde farklı cihazlardan giriş yaptığınızda sizin telefon numaranıza giriş kodu gönderiyor. Şifreniz bir şekilde çalınsa bile, hesabınıza ikinci faktörü geçmeden giriş imkânı sağlanmıyor. Bu da 2FA teknolojisinin şu ana kadar ki en güvenli yöntemlerden biri olduğunu kanıtlıyor.

Bir diğer benzer yöntem olan multi-factor authentication ise güvenlik anahtarı şeklinde tabir edebileceğimiz USB'ler ile sağlanmakta. Özellikle Google çalışanlarının güvenliği için bu uygulamayı tercih etmekte.

tht1.png


3. Peki En İyi Phishing Koruması Nedir?

Öncelikle kısa bir özet geçmek gerekirse, tüm bu organizasyonu tehlikeye atmak için birkaç standart hesaba veya bir yönetici hesabına erişim elde etmek yeterlidir. İyi eğitimli bir ekibiniz olsa bile yeni bir çalışan yaptığı tek tıklamayla bile tüm şirketi riske atabilir.

Dünyanın en iyi e-posta filtrelemesine sahip bile olsanız, bu filtreleme algoritmalarına karşı bilgili bir hacker tarafınıza göndereceği e-postayı spam algılatmadan yollayabilir. Yani her zaman bu filtrelerin etrafından dolaşmanın bir yolu zor olsa da bulunacaktır.

İki faktörlü veya çoklu faktör güvenlik anahtarının çalınma ihtimali de mevcuttur. Her an nasıl cüzdanınız cebinizden bir şekilde çalınabileceği gibi yanınızda taşıdığınız USB bellek güvenlik anahtarı ya da örneğini verdiğim ATM banka kartınız çalınabilir. Ancak diğer ihtimallerden ziyade bu tür bir hırsızlığa uğrama şansınızın olasılığı daha düşüktür. O yüzden mümkün olan tüm şifrelerinizle birlikte güvenliğiniz açısından iki faktörlü koruma seçeneğini ihmal etmeyin. E-postanız çalınsa bile, SMS yoluyla gelen ikinci bir şifre hesabınızı koruyacak ve zayiatınızı en az düzeye indirecektir.
Genişletmek için tıkla ...
Elinize sağlık
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.