Oltalama, normal yollarla kullanıcılardan edinilemeyecek kullanıcı adı, parola veya kredi kartı numarası gibi bilgilerin yanıltıcı e-posta veya web siteleri sayesinde edinilmesi girişimidir.Bilinen ilk oltalama saldırısı 1990’lı yıllarda, saldırganların kendilerini AOL (America Online) çalışanı gibi tanıtan e-postalar yoluyla hedef kullanıcılardan parola bilgisini çalması ile gerçekleşmiştir .İnternetin ilk yıllarından günümüze kadar varlığını koruyan Phishing (oltalama) saldırlarının hala ciddi zararlar verme potansiyeli bulunmaktadır. Oltalama saldırılarının türlerine bakmamız gerekirse;
1)Spear Phishing: Belirli bir hedefe yönelik gerçekleştirilen oltalama saldırılarıdır.
2)Whaling: Geniş bir topluluk tarafından tanınmış kişilere yapılan oltalama saldırısıdır.
3)Vishing: Telefonla gerçekleştirilen oltalama saldırılarıdır.
4)Pharming: Saldırganın belirlediği sahte web sitesine trafiğin yönlendirilmesidir.
5)Swatting: Polis gibi acil durum müdahale ekiplerine yapılan sahte ihbarlardır. Saldırganın hedefindeki kişilerin adresine baskın yapılması için saldırgan hedef adrese sahte ihbar yapar.
6)Watering Hole Attack: Saldırganın hedefindeki belirli bir grubun ziyaret ettiği web sitesinin saldırganın hedefine siber saldırı düzenlemek o web sayfasına zararlı kod bulaştırılmasıdır.
Herhangi bir ortam üzerinden (e-posta, sesli arama, internet üzerinden vb.) hiç kimse ile hesap bilgilerinizi (kullanıcı adı, parola, PIN) paylaşmayın. Hiçbir kurumsal şirket, işlem yapmak için sizin hesap bilgilerinize ihtiyaç duymaz. Gelen e-postalarınızın içeriğindeki ve ziyaret ettiğiniz web sitesindeki bağlantıları (link) kontrol edin. Bu kontrol için farenizi bağlantıların üzerine getirdiğinizde sizi yönlendireceği bağlantı genellikle ekranınızın sol alt tarafında yazmaktadır. Bu bağlantıya tıklamadan önce bu adresin doğruluğunu onaylayın. Gönderici e-posta adresini doğrulayın. Saldırganlar genellikle gönderici adresi olarak resmi şirket isimlerine çok benzeyen, yalnızca bir iki harf farkı olan adreslerden e-posta gönderir veya bu şekilde olan bağlantılara sizi yönlendirmeye çalışırlar. Çevrim içi ortamda paylaştığınız bilgileri sınırlı tutun. Yazım yanlışları ve yanlış bilgi içeren siteler veya e-postalara şüpheyle yaklaşmalısınız. Bunlar, imla hataları veya tipografik farklılıklar olabilir. Tipografik farklılıklar büyük “ı” harfi yerine “1” sayısının veya “l” harfinin kullanılması olabilir. Örneğin kullanıcı Aselsan’a ait bir e-posta gibi “[email protected]” adresini kullanabilir. Bu farklılıklar farklı yazı tiplerinde daha kolay ayırt edilebilirken Phishing, dolandırıcıların rastgele kullanıcı hesaplarına e-mail gönderdikleri bir çevrimiçi saldırı türüdür. E-postalar, bilinen web sitelerinden veya kullanıcının bankasından, kredi kartı şirketinden, e-posta veya internet hizmeti sağlayıcısından gönderilmiş gibi gözükür. Genellikle hesapları güncelleyebilmek için kredi kartı numarası veya şifre gibi kişisel bilgiler sorulur. Bu e-postalarda kullanıcıları bir başka web sitesine yönlendiren URL bağlantısı yer alır. Bu site aslında ya sahte ya da değiştirilmiş bir web sitesidir. Kullanıcılardan da bu siteye gittiklerinde phishing saldırısını yapan kişiye iletilmek üzere kişisel bilgilerini girmeleri istenir.
Phishing, genelde bir kişinin şifresini veya kredi kartı bilgilerini öğrenmek amacıyla kullanılır. Bir banka veya resmi bir kurumdan geliyormuş gibi hazırlanan e-posta yardımıyla bilgisayar kullanıcıları sahte sitelere yönlendirilir. Phishing saldırıları için bankalar, sosyal paylaşım siteleri, e-posta servisleri, online oyunlar vb. sahte web sayfaları hazırlanmaktır. Burada bilgisayar kullanıcısından kimlik bilgileri, kart numarası, şifresi vb. istenir. E-posta mesajındaki ve sahte sitedeki talepleri dikkate alan kullanıcıların bilgileri çalınır.
Phishing yöntemi kullanarak bilgisayar kullanıcılarını kandıran saldırganlar genellikle Kullanıcı hesap numaraları , Kullanıcı şifreleri ve parolaları, Kredi kartı numaraları, İnternet bankacılığında kullanılan kullanıcı kodu ve şifreleri vb. bilgilere erişmeyi hedeflemektedirler.
Peki Bu saldırılara karşı hukuken ne yapabiliriz ?
Bu saldırıları yapanlar kişisel verileri hukuka ayrkırı olarak ele geçirme suçunu işlemiş olurlar. Dolayısıyla TCK m. 136’da yer alan bu suçun unsurunu oluşturan oltalama faaliyetlerinin cezası da bu madde metninde yer alır. Bu maddeye göre:
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu; kişinin hayatının gizli alanında kalması gereken veya herkes tarafından bilinmeyen kişisel bilgilerinin yanı sıra başkaları tarafından bilinmesi mümkün olan kişinin kimliğini belirleyen veya belirlenebilir kılan bilgilerin hukuka aykırı bir şekilde ele geçirilmesi, başkasına verilmesi veya yayılması ile meydana gelir. Örneğin, bankamatiğe düzenek kurarak bir kimsenin banka kartının şifresini öğrenen kişi “kişisel verileri ele geçirme suçu” işlemiş olur. Bir kimseye ait cep telefonunu umumi bir yere yazarak yayılmasını sağlayan kişi “kişisel verileri yayma” suçu işlemiş olur. Bir kimsenin ad, soyad ve adres bilgilerini aralarında husumet bulunan insanlara veren kişi “kişisel verileri başkasına verme” suçunu işlemiş olur. Uygulamada bu suça, “kişisel bilgilerin ele geçirilmesi suçu” da denilmektedir. 5237 sayılı TCK’nın 136. maddesinde “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlığıyla düzenlenen suçun madde metni şu şekildedir :Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır (TCK m.136/1).