Hesaplarınızı kimlik avı, vishing ve smishing'e karşı koruma
Kimlik avı terimi, sahte web siteleri ile e-postaları veya diğer mesajları kapsayan kimlik hırsızlığı türündeki dolandırıcılık olaylarını ifade eder. Kimlik avı saldırısının amacı hesabınıza ve hassas bilgilerinize erişim elde etmektir. Saldırgan, tanınmış bir web sitesine benzeyecek şekilde kendi web sitesini oluşturabilir veya size, güvenilir kaynaktan geliyor gibi görünen bir mesaj gönderebilir. Kimlik avı mesajları sahte bir hesaptan gelebileceği gibi ele geçirilmiş bir hesaptan da gelebilir.
Saldırganlar, hassas bilgileri toplamak için vishing (sesli aramayla kimlik avı) ve smishing (SMS veya kısa mesajla kimlik avı) gibi benzer diğer taktiklerle de hesabınıza saldırabilirler. Telefon üzerinden hassas bilgiler vermemeye ve SMS mesajları ile gönderilen potansiyel olarak riskli bağlantılara tıklamamaya özen gösterin. Kimlik avı amaçlı bir arama veya SMS mesajı almış olabileceğinizden şüpheleniyorsanız hemen Shopify Destek ekibiyle iletişime geçmeniz gerekir.
Kimlik avı mesajında aşağıdaki işlemleri yapmanız istenebilir:
- Bağlantıyı ziyaret etme
- Dosya indirme
- Bir eki açma
- Kişisel bilgiler veya iki adımlı kimlik doğrulama kodlarını kullanarak yanıt verme
Bu işlemlerden herhangi birini gerçekleştirirseniz bilgisayarınıza veya mobil cihazınıza kötü amaçlı yazılım (ör. solucan, truva atı, botlar ve virüsler) bulaşmasını sağlayabilirsiniz. Bu yazılımların cihazınıza bulaşmasının ardından sisteminize yetkisiz giriş yapan saldırgan kişisel bilgilerinize erişim sağlayabilir.
Kimlik avı dolandırıcılığı, banka hesabı kimlik bilgileriniz gibi kişisel bilgilerinizin doğrudan talep edilmesini de kapsayabilir.
Kimlik avı dolandırıcılığında, kişisel bilgilerinizi aşağıdaki yöntemlerle sağlamanız istenebilir:
- E-posta veya başka bir mesajlaşma sistemi yoluyla
- Form aracılığıyla
- Hileli telefon numarası kullanılarak
- Fiziksel adres kullanılarak
E-posta adresinizi girmeniz ve parolanızı sıfırlamanız yönündeki bir talep bile çok tehlikeli olabilir.
Bu sayfada
- Tehlike işaretlerini fark etme
- Shopify ve hassas belge talepleri
- Başka bir iletişim biçimi kullanarak endişelerinizi dile getirme
- Bir web sitesine bağlantınızın HTTPS kullandığını doğrulayın
- Yalnızca almayı beklediğiniz ekleri veya bağlantıları açın
- Herkese açık Wi-Fi ağlarında dikkatli olun
- Kişisel bilgileriniz risk altındaysa devletin yayınladığı yönergeleri uygulayın
Tehlike işaretlerini fark etme
Tehlike işaretlerini kavrayarak kimlik avına karşı kendinizi koruyabilirsiniz. Mesajlar kimden gelirse gelsin dikkatli bir şekilde okuyun ve web siteleri ne kadar tanıdık da görünse dikkatle inceleyin.
Belirsiz veya genelleştirilmiş dil
Kimlik avı girişimi, çok iyi bir araştırma yapılıp size ve işletmenize yönelik olarak tasarlanabilse de genelleştirilmiş dil kullanımı kimlik avı dolandırıcılığının ayırıcı bir özelliğidir. Güvendiğiniz bir kuruluştan geliyor gibi görünmesine karşın Sayın hesap sahibi gibi belirsiz ifadelerle başlayan mesajlardan sakının.
Ayrıca, mesajda önemli bir iş fırsatı veya maddi fırsat vadedilmesine karşın gönderen kişinin sizi gerçekten tanıdığını doğrulayabilmeniz için yeterince ayrıntı yer almıyorsa, bu bir dolandırıcılık mesajı olabilir.
Adım Ferdi. Bankacıyım.
Vefat etmiş olabilecek bir akrabanızın miras durumuyla ilgili olarak benimle en kısa sürede iletişme geçmenizi rica ediyorum.
SMS aracılığıyla fazla bir bilgi paylaşamıyorum. Aşağıdaki adresten bana e-posta gönderin.
Kişisel hesaplardan gelen işletme mesajları
İşini iyi bilen saldırganlar, online faaliyetlerinizden yeterince bilgi toplayarak gerçek kişilerden geliyor gibi görünen bir mesaj oluşturabilir.
Toptan Satış Fiyatlandırması İçin Güncelleme
Merhaba Georgia:
Güncel verileri iletmek istedim. Mevcut toptan satış fiyatlarımızı içeren hesap tablosu burada: kumaş-fiyatları-ekim.xls
Umarım, son parti gömleklerden memnun kalmışsınızdır! Sorularınız veya merak ettikleriniz olursa bana haber verirsiniz.
Julia Chan
Hesap Yöneticisi
Example Fabrics
Saldırganlar, bir kimlik avı e-posta iletisi göndermek için kişinizin ticari hesabını ele geçirebilir veya sahte kişisel hesap oluşturabilir. Örneğin, iletişimde olduğunuz Jale'nin kişisel e-posta kullanıcı adı juliachan3857 ise saldırgan, juliachan9665 kullanıcı adlı bir hesaptan e-posta mesajı gönderebilir. Bu saldırı biçimi aşağıdaki davranışlara dayanır:
- İnsanlar genellikle bir hata yaparak yanlış hesaptan e-posta mesajı gönderir.
- Jale'nin kişisel e-posta adresini biliyor olsanız bile çok yakından incelemeyip farkı anlamayabilirsiniz.
Panik yaratan veya aşırı heyecanlı üslup
Zaman sınırlaması koyarak sizi korkutup düşünmeden harekete geçirmeye çalışan taleplere karşı dikkatli olun. Örneğin:
Çok önemli bir sunucu arızası yaşadık. Önümüzdeki 24 saat içinde yanıt vererek kullanıcı adınızı ve parolanızı iletin. Aksi takdirde mağazanıza bir daha hiç erişemeyeceksiniz.
Gerçek olamayacak kadar güzel görünen tekliflerin yapıldığı şu tür e-posta mesajlarına dikkat edin: "Bir seyahat şirketinden, hemen işlem yapmanız durumunda sadece sizin yararlanabileceğiniz %90 indirim fırsatı".
Yazım hataları, kötü dilbilgisi ve stil varyasyonları
Hileli bir web sitesi veya e-posta mesajı profesyonel gibi görünüyor olsa da yazım ve dil bilgisi hataları olabilir. Bir web sitesinin veya e-posta mesajının hileli olup olmadığını belirlemek için aşağıdakilerde yanlış kullanım veya tutarsızlık arayın:
- Yazım
- Büyük/Küçük harf kullanımı
- numaralar
- Noktalama
- biçimlendirme
Şüpheli URL'ler
Kimlik avı saldırıları, çok yakından incelemediğiniz takdirde güvenli gibi görünen URL'leri içerebilir. Çoğu kimlik avı saldırısında, size zaten tanıdık gelen bir URL'yi andırması için kasıtlı olarak seçilmiş URL'ler kullanılır. Örneğin, normalde güvenli URL'yi kullanarak Example Apparel mağazasından yüzme kıyafeti satın alıyorsanız ve size, sahte URL'nin bağlantısını içeren bir e-posta mesajı gönderilecek olursa bunun bir kimlik avı girişimi olduğunu anlayabilirsiniz.
Gerçek URL sizi Example Apparel mağazasına ait example-apparel.com alan adında bulunan bir siteye yönlendirirken, sahte URL ise muhtemelen suçlulara ait com-aquatic.net alan adında bulunan kötü amaçlı bir siteye yönlendirir.
| Güvenli URL | Sahte URL |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
Shopify ve hassas belge talepleri
Shopify, hiçbir zaman hassas bilgileri metin veya görsel ya da bir dosya eki içeren e-posta mesajıyla doğrudan istemez.
Hassas belge örnekleri şunlardır:
- Herhangi bir kimlik formu
- parolalar
- Kredi kartı bilgileri
- Banka bilgileri
- SIN (sosyal sigorta numarası) veya SSN (sosyal güvenlik numarası) gibi ulusal kimlik numaraları
Shopify hassas belgeleri yalnızca app.shopify.com veya .shopify.com ile başlayan güvenli bir yükleme sayfası üzerinden göndermenizi ister.
Başka bir iletişim biçimi kullanarak endişelerinizi dile getirme
Şüpheli mesajı gönderdiği varsayılan kişiyle yüz yüze veya telefonda konuşun ve kuruluştan birileriyle görüşerek web sayfasıyla ilgili endişeleri ortadan kaldırın.
Gönderenle telefon yoluyla iletişime geçiyorsanız kayıtlarınızda bulunan veya birden fazla tanınmış online kaynakta görünen bir numarayı kullanın. Örneğin, vergi dairenizden e-posta yoluyla şüpheli bir bilgi talebi alırsanız, vergi dairesini aramak için geçen yılın veri beyannamesinde yer alan numarayı kullanın. Şüpheli bir web sitesinde veya e-postada mesajında görünen numarayı aramayın.
Bir web sitesine bağlantınızın HTTPS kullandığını doğrulayın
Kullanıcı adı ile parola veya diğer hassas verileri girmeniz istenebilecek herhangi bir web sitesine bağlandığınızda, tarayıcınızda URL'nin yanında bir kilit simgesi olup olmadığını doğrulayın.
Kilit simgesi, siteyle kurulan bağlantının HTTPS protokolü kullanılarak şifrelendiğini belirtir. Şifreli bağlantıların URL'leri http:// ile değil de https:// ile başlar. http:// kullanılan bağlantılar düz metin halinde veri gönderir ve bu da verilerin yolunun kesilip okunabilmesi anlamına gelir.
Bilgi gireceğinizi tahmin ettiğiniz herhangi bir bağlantıya tıklamadan önce ilgili URL'nin https:// ile başladığından emin olun.
Yalnızca almayı beklediğiniz ekleri veya bağlantıları açın
Almayı beklemediğiniz ve içeriğini bilmediğiniz ekler, bağlantılar veya formlar ile etkileşimde bulunmayın. Bunlar sizi, bilgilerinizi çalmak amacıyla tasarlanmış kötü amaçlı bir siteye yönlendirmekle kalmayıp cihazınıza kötü amaçlı yazılım da bulaştırabilirler.
Bağlantı metni bir URL olduğunda, bağlantının kendi içindeki URL bilgisi ile eşleştiğini doğrulayın. Örneğin, e-postanın gövde bölümünde https://help.shopify.com olarak yazılmış bir bağlantı sizi başka bir URL'deki kimlik avı sayfasına yönlendirebilir.
Birçok kimlik avı saldırısı, online bankacılık işlemlerinden istifade etmeye çalışır. Bankanızdan, özel kredi limiti teklifi içeren şüpheli bir e-posta mesajı alırsanız ilgili bağlantıya tıklamayın. Bunun yerine, yeni bir pencerede bankanızın URL'sini manuel olarak girin ve aynı teklifin, hesap kontrol panelinizde de görünüp görünmediğine bakın.
Herkese açık Wi-Fi ağlarında dikkatli olun
Herkese açık Wi-Fi ağları evde veya işte olmadığınız zamanlarda çok işe yarasa da bilgilerinize erişim elde etmek isteyen saldırganlara birçok farklı yol sağlar. Kendinizi ve verilerinizi korumaya yönelik adımlar atarak risklerinizi azaltabilirsiniz.
Etkin nokta adlarını doğrulama
Saldırganlar, aynı bölgedeki tanınmış bir etkin noktayla (örneğin, tanınmış bir kahve dükkanının ağı) benzer adı taşıyacak şekilde kendi şifrelenmemiş Wi-Fi etkin noktalarını oluşturabilirler. Kimlik avı amacıyla oluşturulmuş bu etkin noktaya bağlanmanız durumunda saldırgan sizi kendi sayfasına yönlendirebilir. Bu sayfada kötü amaçlı yazılımlara maruz kalabilirsiniz veya sizden gizli bilgilerinizi girmeniz istenebilir.
Bağlanmadan önce, kullanmayı planladığınız etkin noktanın güvenli olduğundan emin olun. Etkin nokta adı açıkça görebileceğiniz bir yere asılmamışsa çalışanlardan birine sorun.
Cihazınızın erişim noktalarını devre dışı bırakın
Güvenli bir herkese açık Wi-Fi etkin noktasına bağlanmış olsanız bile saldırgan ile aynı ağdaysanız hâlâ risk altında olabilirsiniz. Herkese açık Wi-Fi ağları, evinizdeki veya ofisinizdeki özel ağlara kıyasla çok daha az güvenlidir.
Böyle ağlara bağlanmadan önce güvenlik duvarınızı etkinleştirerek ve bulunduğunuz ağ içinde dosya paylaşımını devre dışı bırakarak kendinizi koruyun. Bu önlemler alınmış olsa bile herkese açık Wi-Fi ağı üzerinden hassas içerik göndermek veya almak yine de iyi bir fikir değildir.
Hassas verileri yalnızca VPN üzerinden gönderip alın
Sanal özel ağ, cihazınız ile VPN şirketinin sunucuları arasında güvenli bir bağlantı kurulmasını sağlar. VPN sunucuları buradan bilgilerinizi internete aktarır. Saldırganın, herkese açık Wi-Fi etkin noktası üzerinden iletmekte ve almakta olduğunuz verilere erişim elde etmesi durumunda, bu veriler şifreli olduğundan saldırganın işine yaramaz.
VPN seçimi hakkında bilgi edinmek isterseniz Techradar ve PC Mag iyi birer başlangıç noktasıdır.
VPN yokluğunda en güvenli seçenek, herkese açık Wi-Fi üzerinden hassas bilgi iletiminden kaçınmaktır.
Kişisel bilgileriniz risk altındaysa devletin yayınladığı yönergeleri uygulayın
Kişisel olarak tanımlayıcı bilgiler (PII), belirli bir kişinin kimliğini saptamak ve hatta o kişinin kimliğine bürünmek için kullanılabilecek verilerden oluşur. Kişisel olarak tanımlayıcı bilgiler şunları içerir:
- Tam ad
- e-posta adresi
- Sokak adresi
- Telefon numarası
- Kredi kartı numarası
- Ulusal kimlik numarası (Sosyal sigorta numarası, Sosyal güvenlik numarası veya pasaport gibi)
- Ehliyet
- Doğum tarihi
Kişisel olarak tanımlayıcı bilgilerinizi şüpheli bir kanaldan paylaştıysanız veya Shopify hesabınızın güvenliği tehlikedeyse devletinizin bu konudaki kılavuzlarını izleyin. Örneğin, Kanada ve ABD hükümetlerinin kılavuz bilgileri şöyledir.
Kanada
Yapılması gerekenler:
Şikayette bulunmak için:
ABD
Yapılması gerekenler:
Şikayette bulunmak için: