Hedefli Oltalama (Spear Phishing) nedir? — Bilgi Güvenliği Sözlüğü

Kötü Amaçlı Yazılım & Saldırılar

Hedefli Oltalama (Spear Phishing)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

2016 ABD seçim kampanyasında bir danışmanın aldığı sahte "Google parolanızı sıfırlayın" e-postası tek bir tıkla binlerce gizli e-postanın sızmasına yol açtı; işte hedefli oltalama, kitlesel spam'den farklı olarak yalnızca sizi avlamak için hazırlanmış kişisel bir tuzaktır.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta sosyal mühendisliğin en tehlikeli biçimlerinden biri olan hedefli oltalamayı (spear phishing) öğreniyoruz: sıradan oltalamadan farkını, saldırganın adım adım nasıl bilgi toplayıp ikna edici bir tuzak kurduğunu ve iş yerinde neden özellikle yöneticileri ve muhasebeyi hedef aldığını net biçimde inceleyeceğiz.

Anlatım

NEDİR? Hedefli oltalama (spear phishing), belirli bir kişiye, role veya kuruma özel olarak hazırlanmış oltalama saldırısıdır. Klasik oltalama (phishing) milyonlarca kişiye aynı genel mesajı gönderip içlerinden birkaçının tuzağa düşmesini umar; hedefli oltalama ise tek bir kurbanı seçer, onun hakkında gerçek bilgiler (adı, unvanı, çalıştığı şirket, yöneticisinin adı, yakın zamanda katıldığı bir proje) toplayıp mesajı buna göre kişiselleştirir. Bu kişiselleştirme mesajı son derece inandırıcı kılar; çünkü kurban "bu beni tanıyan birinden geliyor" diye düşünür. Üst düzey yöneticilerin (CEO, CFO) hedeflendiği özel türüne "whaling" (balina avı) denir. NASIL ÇALIŞIR? Hedefli oltalama tipik olarak şu adımlarla ilerler: 1) Keşif (reconnaissance): Saldırgan kurban hakkında açık kaynaklardan (LinkedIn, kurum web sitesi, sosyal medya, sızmış veri tabanları) bilgi toplar — kim kime rapor veriyor, hangi projeler yürüyor, kim seyahatte. 2) Kimliğe bürünme (spoofing): Güvenilen bir kişinin (yönetici, İK, tedarikçi, banka) e-posta adresi taklit edilir veya çok benzeyen bir alan adı (ornek-sirket.com yerine ornek-sırket.com) kayıt edilir. 3) Kişiselleştirilmiş yem: Mesaj kurbanın adıyla hitap eder, gerçek bağlamı kullanır ve genellikle aciliyet/otorite yaratır ("Bugün kapanış var, şu IBAN'a ödemeyi hemen yap", "Yönetici bekliyor, dosyayı aç"). 4) Eylem çağrısı (payload): Kurbandan ya kötü amaçlı bir bağlantıya tıklaması (sahte giriş sayfasında parola çalınır), ya bir eki açması (zararlı yazılım kurulur) ya da doğrudan bir işlem yapması (para transferi, gizli bilgi gönderme) istenir. 5) İstismar: Çalınan parola veya kurulan zararlı yazılımla saldırgan sisteme sızar, yetki yükseltir ve asıl hedefine (veri sızdırma, fidye, dolandırıcılık) ulaşır. NEDEN ÖNEMLİ / İŞ YERİNDE Hedefli oltalama, büyük veri ihlallerinin ve kurumsal dolandırıcılıkların en yaygın başlangıç noktalarından biridir; çünkü en güçlü teknik savunmayı bile atlayarak doğrudan insandaki güven duygusunu hedefler. İş dünyasında özellikle iki senaryo kritiktir: (a) İş E-postası Ele Geçirme / CEO dolandırıcılığı (BEC) — saldırgan üst yöneticiyi taklit edip muhasebeden acil para transferi ister; (b) Kimlik bilgisi hırsızlığı — çalışanın kurumsal parolası çalınıp ağa erişim sağlanır. Bir tek çalışanın tek bir tıklaması tüm kurumu riske atabileceği için, hedefli oltalama farkındalığı güvenlik eğitimlerinin merkezindedir. DİKKAT / İYİ UYGULAMA Kuşkulu işaretler: beklenmedik aciliyet ve gizlilik baskısı, e-posta adresinde ufak yazım farklılıkları, kurum içi prosedürü atlatma isteği, alışılmadık ödeme/IBAN talebi. İyi uygulama: para veya gizli bilgi talebini her zaman ikinci bir kanaldan (telefonla arayarak) doğrulamak; bağlantı yerine adresi tarayıcıya elle yazmak; çok faktörlü kimlik doğrulama (MFA) kullanmak — parola çalınsa bile MFA ikinci bir bariyer sağlar; ve şüpheli mesajı güvenlik ekibine bildirmek. Unutulmamalı: aciliyet hissi, hedefli oltalamanın en sık kullandığı psikolojik kaldıraçtır.

📌 Senaryolar

📌 Örnek 1 (CEO dolandırıcılığı / BEC): Muhasebe çalışanı, genel müdürün e-posta adresine çok benzeyen bir adresten mesaj alır: "Acil bir satın alma var, gizli yürütüyoruz. Şu IBAN'a 85.000 TL'yi bugün kapanıştan önce gönder, kimseye sorma."
  Açıklama: Bu klasik İş E-postası Ele Geçirme (BEC) hedefli oltalamasıdır. Saldırgan otorite (genel müdür), aciliyet (bugün kapanış) ve gizlilik (kimseye sorma) üçlüsünü birlikte kullanarak kurbanın normal onay sürecini atlatmasını ister. Doğru tepki: ödemeyi yapmadan önce genel müdürü bilinen telefon numarasından arayıp talebi sözlü doğrulamak ve gönderen adresini karakter karakter incelemektir.

📌 Örnek 2 (Parola hırsızlığı — sahte giriş sayfası): Bir yazılım geliştiriciye, kullandığı kod deposu sağlayıcısından geliyormuş gibi görünen bir e-posta gelir: "Hesabınızda olağandışı giriş tespit edildi, 24 saat içinde aşağıdaki bağlantıdan parolanızı doğrulayın." Bağlantı, gerçeğine çok benzeyen sahte bir giriş sayfasına gider.
  Açıklama: Saldırgan kurbanın hangi servisi kullandığını (keşif) öğrenmiş ve o servisi taklit etmiştir. Sayfaya girilen kullanıcı adı-parola doğrudan saldırgana ulaşır. Korunma: bağlantıya tıklamak yerine servisin adresini tarayıcıya elle yazıp girmek, alan adını dikkatle kontrol etmek ve hesapta çok faktörlü kimlik doğrulama (MFA) aktif tutmak.

📌 Örnek 3 (Tedarikçi taklidi — zararlı ek): Satın alma sorumlusu, uzun süredir çalıştığı bir tedarikçinin adına gönderilmiş gibi görünen e-posta alır: "Güncellenmiş fatura ektedir, lütfen kontrol edip onaylayın." Ekte 'Fatura_Mart.xlsm' adlı, makro içeren bir dosya vardır.
  Açıklama: Saldırgan gerçek bir iş ilişkisini taklit ederek (keşif sonucu öğrenilmiş tedarikçi) güveni sömürür. Makro etkinleştirilirse zararlı yazılım kurulur. Korunma: beklenmeyen makrolu dosyaları açmamak, dosyayı gönderen tedarikçiyi bilinen kanaldan teyit etmek ve e-posta güvenlik filtrelerinin (sandbox) ekleri taramasını sağlamaktır.

Özet

• Hedefli oltalama (spear phishing), belirli bir kişiye/role özel hazırlanan kişiselleştirilmiş bir oltalama saldırısıdır. • Kitlesel oltalamadan farkı: saldırgan kurban hakkında gerçek bilgi toplar (keşif) ve mesajı inandırıcı kılacak şekilde uyarlar. • Genellikle güvenilen birinin (yönetici, tedarikçi) kimliğine bürünür ve aciliyet/otorite/gizlilik baskısı kurar. • Üst yöneticileri hedef alan türü "whaling"; muhasebeyi para transferine kandırma türü "CEO dolandırıcılığı / BEC" olarak bilinir. • Korunma: talepleri ikinci bir kanaldan (telefon) doğrulamak, bağlantıyı elle yazmak, MFA kullanmak ve şüpheliyi güvenlik ekibine bildirmek.

✅ Mini-Test (3)

1.Hedefli oltalama (spear phishing) ile klasik oltalamanın temel farkı nedir?

2.Üst düzey yöneticileri (CEO/CFO) hedef alan spear phishing saldırısına 'whaling' denir.

3.Yöneticinizden geldiği iddia edilen 'acil para transferi' e-postasından şüphelenince İLK ne yapmalısınız?

← Tüm sözlük terimleri · Farkındalık eğitimi