Hesabınızı kimlik avına karşı koruma

Kimlik avı terimi, sahte web siteleri ile e-postaları veya diğer mesajları kapsayan kimlik hırsızlığı türündeki dolandırıcılık olaylarını ifade eder. Kimlik avı saldırısının amacı hesabınıza ve hassas bilgilerinize erişim elde etmektir. Saldırgan, tanınmış bir web sitesine benzeyecek şekilde kendi web sitesini oluşturabilir veya size, güvenilir kaynaktan geliyor gibi görünen bir mesaj gönderebilir. Kimlik avı mesajları sahte bir hesaptan gelebileceği gibi ele geçirilmiş bir hesaptan da gelebilir.

Not: Kişisel bilgilerinizi şüpheli bir kanaldan paylaştığınızı ve bilgileriniz ile kimliğinizin risk altında olduğunu düşünüyorsanız devletinizin bu konudaki kılavuzlarını izleyin.

Kimlik avı mesajında aşağıdaki işlemleri yapmanız istenebilir:

  • Bir bağlantıyı ziyaret etmeniz.
  • Bir dosya indirmeniz.
  • E-posta ekini açmanız.

Kötü amaçlı yazılım: Yukarıdaki işlemlerden herhangi birini yapmanız durumunda solucan, truva atı, bot ve virüs gibi kötü amaçlı yazılımlar bilgisayarınıza veya mobil cihazınıza bulaşabilir. Bu yazılımların cihazınıza bulaşmasının ardından sisteminize yetkisiz giriş yapan saldırgan kişisel bilgilerinize erişim sağlayabilir.

Kimlik avı dolandırıcılığı, banka hesabı kimlik bilgileriniz gibi kişisel bilgilerinizin doğrudan talep edilmesini de kapsayabilir.

Kimlik avı dolandırıcılığında aşağıdaki yollarla kişisel bilgilerinizi vermeniz istenebilir:

  • E-posta veya başka bir mesajlaşma sistemi yoluyla
  • Form aracılığıyla
  • Hileli bir telefon numarasından
  • Sahte bir fiziksel adresten

E-posta adresinizi girmeniz ve parolanızı sıfırlamanız yönündeki bir talep bile çok tehlikeli olabilir.

Not: Kimlik avı mesajları almanız durumunda bunları Shopify'ın safety@shopify.com adresindeki güvenlik gelen kutusuna yönlendirin. Shopify, satıcılara yönelik saldırıların bir kaydını oluşturarak sizi ve bilgilerinizi daha iyi korumak için gayret sarf edebilir.

Tehlike işaretlerini fark etme

Tehlike işaretlerini kavrayarak kimlik avına karşı kendinizi koruyabilirsiniz. Mesajlar kimden gelirse gelsin dikkatli bir şekilde okuyun ve web siteleri ne kadar tanıdık da görünse dikkatle inceleyin.

Aşırı genelleştirilmiş dil

Kimlik avı girişimi, çok iyi bir araştırma yapılıp size ve işletmenize yönelik olarak tasarlanabilse de genelleştirilmiş dil kullanımı kimlik avı dolandırıcılığının ayırıcı bir özelliğidir. Güvendiğiniz bir kuruluştan geliyor gibi görünmesine karşın belirsiz ifadelerle konuya giren mesajlardan sakının:

Sayın hesap sahibi,

Aynı şekilde, mesajda önemli bir iş fırsatı veya maddi fırsat vadedilmesine karşın gönderen kişinin sizi gerçekten tanıdığını doğrulayabilmeniz için yeterince ayrıntı yer almıyorsa, bu bir dolandırıcılık mesajı olabilir:

Adım Ferdi. Bankacıyım. Vefat etmiş olabilecek bir akrabanızın miras durumuyla ilgili olarak benimle en kısa sürede iletişme geçmenizi rica ediyorum. SMS aracılığıyla fazla bir bilgi paylaşamıyorum. Aşağıdaki adresten bana e-posta gönderin.

Kişisel hesaplardan gelen işletme mesajları

İşini iyi bilen saldırganlar, online faaliyetlerinizden yeterince bilgi toplayarak gerçek kişilerden geliyor gibi görünen bir mesaj oluşturabilir:

Toptan Satış Fiyatlandırması İçin Güncelleme

Merhaba Gamze, güncel verileri iletmek istedim. Mevcut toptan satış fiyatlarımızı içeren hesap tablosu burada: kumaş-fiyatları-2016-eki.xls

Umarım, son parti gömleklerden memnun kalmışsınızdır! Sorularınız veya merak ettikleriniz olursa bana haber verirsiniz.

--

Jale Çanak

Hesap Yöneticisi

Örnek Mefruşat

Saldırıyı gerçekleştirmek için, iletişimde olduğunuz kişinin işletme hesabını ele geçirebilir veya sahte bir kişisel hesap oluşturabilirler. Örneğin, iletişimde olduğunuz Jale'nin kişisel e-posta kullanıcı adı juliachan3857 ise saldırgan, juliachan9665 kullanıcı adlı bir hesaptan e-posta gönderebilir. Bu saldırı biçimi iki faktöre dayanır:

  • İnsanlar bir hata yaparak yanlış hesaptan e-posta gönderir.
  • Jale'nin kişisel e-posta adresini biliyor olsanız bile çok yakından incelemeyebilirsiniz.

Yazım hataları, kötü dilbilgisi ve stil varyasyonları

Suçlular, içeriğe ilişkin stil kılavuzlarını profesyonel web içeriği yazarları kadar ciddiye almazlar. Yazım ve dilbilgisi hatalarının yanı sıra tek bir sayfa dahilinde şu kategorilerden varyasyonlar olması web sitesinin hileli olduğunu gösterebilir:

  • Yazım
  • Büyük/Küçük harf kullanımı
  • Sayılar
  • Noktalama
  • Biçimlendirme

Panik yaratan veya aşırı heyecanlı üslup

Zaman sınırlaması koyarak sizi korkutup düşünmeden harekete geçirmeye çalışan taleplere karşı dikkatli olun. Örneğin, Shopify size şu ifadeleri içeren bir mesaj göndermez:

Çok önemli bir sunucu arızası yaşadık. Önümüzdeki 24 saat içinde yanıt vererek kullanıcı adınızı ve parolanızı iletin. Aksi takdirde mağazanıza bir daha hiç erişemeyeceksiniz.

Benzer şekilde, gerçek olamayacak kadar güzel görünen tekliflerin yapıldığı şu tür mesajlara dikkat edin: "Bir seyahat şirketinden, hemen işlem yapmanız durumunda sadece sizin yararlanabileceğiniz %90 indirim fırsatı".

Doğru gibi görünmeyen URL'ler

Kimlik avı saldırıları, çok yakından incelemediğiniz takdirde güvenli gibi görünen URL'leri içerebilir. Çoğu kimlik avı saldırısında, size zaten tanıdık gelen bir URL'yi andırması için kasıtlı olarak seçilmiş URL'ler kullanılır. Aşağıdaki tabloda gösterildiği gibi, normalde güvenli URL'yi kullanarak Example Apparel mağazasından yüzme kıyafeti satın alıyorsanız ve size, sahte URL'nin bağlantısını içeren bir e-posta gönderilecek olursa bunun bir kimlik avı girişimi olduğunu anlayabilirsiniz.

Gerçek URL sizi Example Apparel mağazasına ait example-apparel.com alan adında bulunan bir siteye yönlendirirken, sahte URL ise muhtemelen suçlulara ait com-aquatic.net alan adında bulunan kötü amaçlı bir siteye yönlendirir.

Güvenli URL Sahte URL
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

Başka bir iletişim biçimi kullanarak endişelerinizi dile getirme

Şüpheli mesajı gönderdiği varsayılan kişiyle yüz yüze veya telefonda konuşun ve kuruluştan birileriyle görüşerek web sayfasıyla ilgili endişeleri ortadan kaldırın.

Gönderenle telefon yoluyla iletişime geçiyorsanız kayıtlarınızda bulunan veya birden fazla tanınmış online kaynakta görünen bir numarayı kullanın. Örneğin, vergi dairenizden e-posta yoluyla şüpheli bir bilgi talebi alırsanız, vergi dairesini aramak için geçen yılın veri beyannamesinde yer alan numarayı kullanın. Şüpheli bir web sitesinde veya e-postada görünen numarayı aramayın.

Web sitesi ile kurduğunuz bağlantıda HTTPS kullanıldığından emin olma

Kullanıcı adı ile parola veya diğer hassas verileri girmeniz istenebilecek herhangi bir web sitesine bağlandığınızda, tarayıcınızda URL'nin yanında bir kilit simgesi olup olmadığını kontrol edin:

Kilit simgesi, siteyle kurulan bağlantının HTTPS protokolü kullanılarak şifrelendiğini belirtir. Şifreli bağlantıların URL'leri http:// ile değil de https:// ile başlar. http:// kullanılan bağlantılar düz metin halinde veri gönderir ve bu da verilerin yolunun kesilip okunabilmesi anlamına gelir.

Bilgi gireceğinizi tahmin ettiğiniz herhangi bir sitenin veya sayfanın bağlantısına tıklamadan önce ilgili URL'nin https:// ile başladığından emin olun.

Yalnızca beklediğiniz ekleri veya bağlantıları açma

Almayı beklemediğiniz ve içeriğini bilmediğiniz ekler, bağlantılar veya formlar ile etkileşimde bulunmayın. Bunlar sizi, bilgilerinizi çalmak amacıyla tasarlanmış kötü amaçlı bir siteye yönlendirmekle kalmayıp cihazınıza kötü amaçlı yazılım da bulaştırabilirler.

Bağlantı metni bir URL olduğunda, bağlantının kendi içindeki URL bilgisi ile eşleştiğinden emin olun. Örneğin, e-postanın gövde bölümünde https://help.shopify.com olarak yazılmış bir bağlantı sizi başka bir URL'deki kimlik avı sayfasına yönlendirebilir:

Birçok kimlik avı saldırısı, online bankacılık işlemlerinden istifade etmeye çalışır. Bankanızdan, özel kredi limiti teklifi içeren şüpheli bir e-posta alırsanız ilgili bağlantıya tıklamayın. Bunun yerine, yeni bir pencerede bankanızın URL'sini manuel olarak girin ve aynı teklifin, hesap kontrol panelinizde de görünüp görünmediğine bakın.

Herkese açık Wi-Fi ağlarında dikkatli olma

Herkese açık Wi-Fi ağları hareket halinde olduğunuz zamanlarda çok işe yarasalar da bilgilerinize erişim elde etmek isteyen suçlulara birçok farklı yol sağlarlar. Kendinizi ve verilerinizi korumaya yönelik adımlar atarak risklerinizi azaltabilirsiniz.

Etkin nokta adlarını doğrulama

Saldırganlar, aynı bölgedeki tanınmış bir etkin noktayla (örneğin, tanınmış bir kahve dükkanının ağı) aynı adı taşıyacak şekilde kendi şifrelenmemiş Wi-Fi etkin noktalarını oluşturabilirler. Kimlik avı amacıyla oluşturulmuş bu etkin noktaya bağlanmanız durumunda saldırgan sizi kendi sayfasına yönlendirebilir. Bu sayfada kötü amaçlı yazılımlara maruz kalabilirsiniz veya sizden gizli bilgilerinizi girmeniz istenebilir.

Bağlanmadan önce, kullanmayı planladığınız etkin noktanın güvenli olduğundan emin olun. Etkin nokta adı açıkça görebileceğiniz bir yere asılmamışsa çalışanlardan birine sorun.

Cihazınızın erişim noktalarını devre dışı bırakma

Güvenli bir herkese açık Wi-Fi etkin noktasına bağlanmış olsanız bile saldırgan ile aynı ağdaysanız hâlâ risk altında olabilirsiniz. Herkese açık Wi-Fi ağları, evinizdeki veya ofisinizdeki özel ağlara kıyasla çok daha az güvenlidir:

Böyle ağlara bağlanmadan önce güvenlik duvarınızı etkinleştirerek ve bulunduğunuz ağ içinde dosya paylaşımını devre dışı bırakarak kendinizi koruyun. Bu önlemler alınmış olsa bile herkese açık Wi-Fi ağı üzerinden hassas içerik göndermek veya almak yine de iyi bir fikir değildir.

VPN üzerinden hassas verileri gönderip alma

Sanal özel ağ, cihazınız ile VPN şirketinin sunucuları arasında güvenli bir bağlantı kurulmasını sağlar. VPN sunucuları buradan bilgilerinizi internete aktarır. Saldırganın, herkese açık Wi-Fi etkin noktası üzerinden iletmekte ve almakta olduğunuz verilere erişim elde etmesi durumunda, bu veriler şifreli olduğundan saldırganın işine yaramaz:

VPN seçimi hakkında bilgi edinmek isterseniz Techradar ve PC Mag iyi birer başlangıç noktasıdır.

VPN yokluğunda en güvenli seçenek, herkese açık Wi-Fi üzerinden hassas bilgi iletiminden kaçınmaktır.

Kişisel bilgileriniz risk altındaysa devletinizin bu konudaki kılavuzlarını izleyin

Kişisel olarak tanımlayıcı bilgiler (PII), belirli bir kişinin kimliğini saptamak ve hatta o kişinin kimliğine bürünmek için kullanılabilecek verilerden oluşur. Kişisel olarak tanımlayıcı bilgiler şunları içerir:

  • Tam ad
  • E-posta adresi
  • Açık adres
  • Telefon numarası
  • Kredi kartı numarası
  • Ulusal kimlik numarası (Sosyal sigorta numarası, Sosyal güvenlik numarası veya pasaport gibi)
  • Ehliyet
  • Doğum tarihi

Kişisel olarak tanımlayıcı bilgilerinizi şüpheli bir kanaldan paylaştıysanız veya Shopify hesabınızın güvenliği tehlikedeyse devletinizin bu konudaki kılavuzlarını izleyin. Örneğin, Kanada ve ABD hükümetlerinin kılavuz bilgileri şöyledir:

Kanada

Yapılması gerekenler:

Şikayette bulunmak için:

ABD

Yapılması gerekenler:

Şikayette bulunmak için:

Shopify ile satış yapmaya hazır mısınız?

Ücretsiz olarak dene