Oltalama saldırılarının türleri, klasik e-posta kimlik avı şemalarından hedefli kimlik avı ve smishing gibi daha yaratıcı yaklaşımlara kadar çeşitlilik gösterir. Bunların hepsinin amacı aynıdır: Kullanıcıların bilgilerini çalmak.
Kimlik avı saldırıları, sosyal mühendislik saldırılarıdır ve saldırgana bağlı olarak çok çeşitli hedefleri olabilir. PayPal hesabı olan herkesi arayan genel dolandırıcılık e-postaları olabilir.
Kimlik avı, belirli bir kişiye odaklanan hedefli bir saldırı da olabilir. Saldırgan genellikle sizinle doğrudan iletişime geçmek için bir e-posta hazırlar ve e-posta yalnızca bir tanıdığınızın bilebileceği bilgileri içerir. Saldırgan genellikle bu bilgileri kişisel verilerinize eriştikten sonra alır. Bu türde bir e-posta ile karşılaşan en dikkatli alıcı bile mağdur olabilir. PhishMe Research, fidye yazılımlarının tüm kimlik avı e-postalarının %97'sinden fazlasını oluşturduğunu belirledi.
Oltayla balık tuttuğunuzda oltanıza istediğiniz balıktan başka çöp ya da pisi balığı gibi şeyler takılabilir. Hedefli oltalama belirli bir kişiyi ya da grubu hedeflemeye olanak tanır. Tıpkı adında olduğu gibi.
Hedefli kimlik avı, bir şirketin sistem yöneticisi gibi belirli bir grubu veya bir kişiyi hedefler. Aşağıda hedefli oltalama saldırısına yönelik bir örnek bulunmaktadır. Alıcının çalıştığı sektöre, tıklanması istenen indirme bağlantısına ve talebin gerektirdiği anında yanıta dikkat etmesi gerekir.
Whaling kimlik avında hedef büyük balıklar, yani üst düzey yöneticilerdir. Genellikle CEO, CFO veya üst düzey yöneticiler hedeflenir. Yöneticileri tuzağa düşürmek için şirketin dava edileceğinin bildirildiği ve bilgi almak için bir bağlantıya tıklanması gerektiği belirtilen bir e-posta gönderilir.
Bu bağlantıya tıklandığında yöneticilerden şirketin vergi numarası ve banka hesap bilgileri gibi bilgiler istenir.
Smishing saldırı için kısa mesaj veya kısa mesaj servisini (SMS) kullanan bir saldırıdır. Yaygın bir smishing tekniği, tıklanabilir bir bağlantı veya bir geri aranacak telefon numarası içeren bir mesajı SMS yoluyla bir cep telefonuna iletmektir.
Smishing saldırısının yaygın bir örneği, bankacılık kurumunuzdan gelmiş gibi görünen bir SMS mesajıdır. Hesabınızın güvenliğinin ihlal edildiğini ve hemen yanıt vermeniz gerektiği belirtilir. Saldırgan sizden banka hesap numaranızı ve diğer bilgilerinizi doğrulamanızı ister. Saldırgan bilgiyi aldığında banka hesabınızın kontrolünü ele geçirir.
Vishing, diğer phishing saldırıları ile aynı amaca sahiptir. Saldırganlar yine aynı şekilde sizin hassas kişisel veya kurumsal bilgileriniz peşindedir. Ancak bu yöntemde saldırı telefonla aramayla gerçekleştirilir. Bu nedenle “Voice” (ses) kelimesinin “V” harfi “ph” yerine kullanılmıştır.
Yaygın bir vishing saldırısı, Microsoft temsilcisi olduğunu iddia eden birinden gelen aramayı içerir. Bu kişi, size bilgisayarınızda bir virüs tespit edildiğini bildirir. Ardından, saldırgan bilgisayarınıza güncellenmiş bir virüsten koruma yazılımı sürümü yüklemek için kredi kartı bilgilerinizi ister. Saldırıya kanarsanız hem kredi kartı numaranızdan olursunuz hem de bilgisayarınıza kötü amaçlı yazılım yüklemiş olursunuz.
Kötü amaçlı yazılım, bankacılık truva atından bota (robotun kısaltması) kadar her şeyi içerebilir. Bankacılık truva atı, sizden daha fazla ayrıntı çalmak için çevrimiçi etkinliğinizi izler. Genellikle şifreniz de dahil olmak üzere tüm banka hesap bilgilerinizi korsana kaptırmış olursunuz.
Bot, bilgisayar korsanının istediği görevleri gerçekleştirmek için tasarlanmış bir yazılımdır. Bitcoin madenciliği yapmak, spam göndermek veya dağıtılmış hizmet reddi (DDoS) saldırısının bir parçası olarak bir saldırı başlatmak için kontrol ve komut merkezi (CnC) tarafından kontrol edilir.
E-posta kimlik avı, en yaygın kimlik avı türüdür ve 1990'lardan beri kullanılmaktadır. Bilgisayar korsanları bu e-postaları bulabildikleri tüm e-posta adreslerine gönderir. E-posta genellikle hesabınızın ele geçirildiğini ve sağlanan bağlantıya tıklayarak hemen yanıt vermeniz gerektiğini bildirir. E-postadaki dil genellikle yazım ve/veya dilbilgisi hataları içerdiğinden, bu saldırıların fark edilmesi genellikle kolaydır.
Özellikle dil ve dilbilgisi daha dikkatli bir şekilde oluşturulan e-postaların kimlik avı saldırıları olarak tanınması zordur. E-posta kaynağını ve yönlendirildiğiniz bağlantıdaki şüpheli dil kullanımını kontrol etmek, kaynağın şüpheli olup olmadığı konusunda size ipuçları verebilir.
Seks şantajı (Sextortion) olarak adlandırılan başka bir kimlik avı dolandırıcılığı, bir bilgisayar korsanının sizden geldiği anlaşılan bir e-posta gönderdiğinde meydana gelir. Bilgisayar korsanı, e-posta hesabınıza ve bilgisayarınıza erişimi olduğunu iddia eder. Parolanıza ve kaydedilmiş bir videonuza sahip olduklarını iddia eder.
Bilgisayar korsanı, kamera açıkken ve kayıt yaparken bilgisayarınızdan yetişkinlere yönelik videolar izlediğinizi iddia eder. Bitcoin olarak fidye ödemeniz, ödemediğiniz takdirde videonuzu aile üyelerine ve arkadaşlarınıza göndermekle tehdit ederler.
SEO truva atları olarak da bilinen arama motoru kimlik avı, bilgisayar korsanlarının google veya diğer motorları kullanarak bir aramada en çok tıklanan olmak için çalışma yapmalarıdır. Arama motorunda görüntülenen bağlantılarına tıklamak sizi bilgisayar korsanının web sitesine yönlendirir. Buradan, siteyle etkileşime girdiğinizde ve/veya hassas veriler girdiğinizde tehdit aktörleri bilgilerinizi çalabilir. Siber korsanların hazırladıkları siteler herhangi bir web sitesi gibi görünebilir, ancak ana adaylar bankalar, para transferi kuruluşları, sosyal medya ve alışveriş siteleridir.