31 Mar, 2022

[:tr]Oltanın Ucundaki Balık Sen Misin? [Phishing][:en]Are You The Fish On the End of the Line? [Phishing][:]

[:tr]

OLTALAMA SALDIRISI (PHISHING) NEDİR?

phishing

Oltalama saldırısı diğer adı ile kimlik avı; oturum açma kimlik bilgileri ve kredi kartı numaraları da dahil olmak üzere kullanıcı verilerini çalmak için sıklıkla kullanılan bir tür sosyal mühendislik saldırısıdır. Güvenilir bir varlık gibi görünen bir saldırgan, kurbanı e-posta, anlık ileti veya kısa mesaj açması için kandırdığında oluşur. Alıcı daha sonra kötü amaçlı yazılımların yüklenmesine, fidye yazılımı saldırısının bir parçası olarak sistemin dondurulmasına veya hassas bilgilerin açığa çıkartıldığı kötü amaçlı bir bağlantıya tıklaması için kandırılır.

Kimlik avı genellikle gelişmiş kalıcı tehdit (APT) olayı gibi daha büyük bir saldırının bir parçası olarak kurumsal veya resmi ağlarda bir yer edinmek için kullanılır. 

Bu ikinci senaryoda, güvenlik adımlarını atlamak, kapalı bir ortamda kötü amaçlı yazılım dağıtmak veya güvenli verilere ayrıcalıklı erişim elde etmek için kullanılır, kurum çalışanları ve kurum tehlikeye girer. Böyle bir saldırıya yenik düşen bir kuruluş, azalan pazar payı, itibar ve tüketici güveninin yanı sıra genellikle ciddi finansal kayıplar yaşar. Kapsamına bağlı olarak, kimlik avı girişimi işletmenin, kurumun kurtarmakta zorlanacağı bir güvenlik olayı yaşamasına sebep olabilir..

SOSYAL MEDYADA OLTALAMA SALDIRISI NEDİR?

phishing1

Sosyal medya oltalama saldırısı, kısaca  kullanıcıların virüslü bir bağlantıya tıklaması için bağlantıyı ilgi çekici ( “Tebrikler, çekilişimiz sonucunda Iphone 13 kazandınız, aşağıdaki linke tıklayarak adres bilgilerinizi doldurmanız halinde kargo işlemi başlatılacaktır.” ), korkutucu ( “Hesabınıza giriş yapmaya çalışıldı. Hemen bu linke tıklayarak şifrenizi değiştirin!” ), taklit yolu ile (“ Instagram: Hesabınızda uyumsuzluk söz konusudur detaylı bir inceleme için kullanıcı adı ve şifreniz gerekmektedir.” veya aşağıdaki linke tıklayarak bunu bize bildirin.” ), arkadaşlık ilişkileri kullanarak ( “Ali şu videoya baksana çok komik linkini atıyorum 😊”) bu ve benzeri yöntemleri kullanarak, restore ederek, kurgular tasarlayarak linki tıklamaya teşvik ettikleri dolandırıcılık türüdür. Hesabınıza girdiklerinde ne yapacakları konusuna gelirsek tamamen saldırganın insafına kalmış durumdasınız. Gizli resimlerinizi, arkadaşlarınız ile konuşmalarınızı, videolarınızı, kişisel bilgilerinizi ( T.C. Kimlik Bilgisi, doğum tarihi, yaşadığınız şehir gibi bilgiler), eğer kayıtlı ise kart bilgileriniz Dark Web’de satışa konulabilir veya sizi ifşa etmek amacıyla bütün sosyal medyada paylaşılabilir. Bilgi güçtür saldırgan bilgileri kullanarak her türlü isteğini gerçekleştirebilir.

SOSYAL MEDYA KİMLİK AVININ, KİMLİK AVINDAN FARKI NEDİR? 

Sosyal medya kimlik avında, suçlular hedeflerine ulaşmak için sosyal medya aracılığıyla sosyal mühendislik kullanırlar. Öte yandan, kimlik avı (phishing) için suçlular ağırlıklı olarak e-posta kullanırlar. Ayrıca, Sosyal medya kimlik avı, kullanıcıların zaten bildiği çevrimiçi bir toplulukta göründükleri için meşru görünen ilgi çekici eklentiler veya konular içerebilir. Bu tür yemlerin kimlik avı e-postasında başarılı olma olasılığı daha düşüktür.

phishing3

SOSYAL MÜHENDİSLİK İLE NASIL BİR ALAKASI VAR?

Sosyal mühendislik, insan davranışlarındaki zaafların tespit edilmesi ve bunları manipüle ederek kötüye kullanılması işlemidir.

Saldırganın, hedeflediği sisteme sızması ve kritik bilgilere ulaşması zor bir durum olsa da bu işlemi sosyal mühendislik ile yaparak hedefine ulaşması mümkündür. Temel olarak insan ilişkilerini veya insanların dikkatsizlikleri kullanılmaktadır.

Sosyal medyada insan ilişkileri ve güven ön planda olduğundan dolayı saldırgan, biraz sosyal mühendislik yaparak bağlantısına tıklamanız için daha çok teşvik edici etmenler bulabilir.

Saldırgan, avı hakkında bilgiler edinip güven ilişkisi kurabilir, avının arkadaş gurubuna sızabilir, grubuna sızması ise daha çok veri demektir.

phishing4

OLTALAMA SALDIRILARI İÇİN NEDEN SOSYAL MEDYA TERCİH EDİLİR?

Sosyal mühendislik yolu ile kısa sürede güven duygusu kazanıp daha geniş kitlelere ulaşabilme avantajı vardır. 

Sosyal mühendislik yöntemi ile kişilerin ilgi alanlarını, zaaflarını bildiğinden dolayı daha kolay bir senaryo kurarak bağlantı linkine tıklama şansını yükseltir. 

Sosyal medyada yüksek güvene sahip insanların hesapları ele geçirildiğinde takipçilerinin, kontak kurduğu kimselerin bilgilerine erişmek de saldırgan için kolay olacaktır.

Kurumsal e-posta geldiğinde kişi kendi ilgi alanlarına göre donatılmış bir postayı açmadan önce şüpheleniyor, sorguluyor fakat sosyal medyada bu tür gönderimler için şüphe çok daha az oluyor.

phishing5

OLTANIN UCUNDAKİ KİŞİNİN BEN OLUP OLMADIĞIMI NASIL ANLARIM?

Kedimizi, aşağıdaki soruları sorarak değerlendirmemiz gereklidir.

  • %100 güvenmediğim linkleri açmaya çalışıyor muyum?
  • Tanımadığım kişilerle sosyal medyada arkadaşlık yapıyor muyum?
  • Para kazanmak vaadi ile uygulama kurmak için yollanan linklere tıklıyor muyum?
  • Arkadaşlarımın benimle kurduğu diyalogdan başka bir diyalog ile karşılaştığımda arkadaşıma telefon ile veya yüz yüze sorup teyit ediyor muyum?
  • Instagram, Twitter, Facebook, Linkedin gibi sosyal medya sitelerinin bana kişisel olarak mesaj yollamayacağını biliyor muyum?
  • İlgi alanlarımın sömürülmeye çalışıldığının, kullanıldığının farkına varabiliyor muyum?
  • Linke tıklama isteklerini gönderen kimseler tarafından arayarak teyit ediyor muyum?
  • Linke tıkladıysam güvenlik duvarının uyarılarını dikkate alıyor, değerlendiriyor muyum?
  • Linke tıkladıysam login ekranını doldurmadan önce URL’sini kontrol ediyor muyum?
  • Linke tıkladıysam ve bilgilerimi girdiğimde sayfaya giriş yapamayıp, yeniden login ekranına yönlendiriliyor muyum?
  • Sorularını dikkatle değerlendirip, cevaplandırdığınız taktirde oltanın ucunda olup olmadığınızı fark edeceksiniz.

phishing6

SOSYAL MEDYA SALDIRILARINDA KARŞILAŞABİLECEĞİM OLTALAMA SALDIRILARI NELERDİR?

Saldırı, kurbanı sosyal medyalarında paylaşmaya ikna etmek için tasarlanmış bağlantı içeren bir gönderi şeklinde gelebilir. Kurbanın bağlantıları kaynağa güvenerek bağlantıya tıklayabilir. Buradan bir kimlik avı (ancak gerçek görünümlü) web sitesine alınabilirler. Kullanıcıyı takip etmek için kandırdıkları içeriği göstermek vaadi ile kullanıcıyı, bilgilerini kullanarak kimliğini doğrulamaya (login ekranı) zorlayan bir sahte giriş ekranına yönlendirirler. Genellikle, kimlik doğrulaması başarısız olur ve kurbanı kimlik bilgilerini yeniden girmeye zorlar, bu kimlik bilgilerini ele geçirmek bir saldırganın dijital yıkıma yol açıp, bulaştırması için gereken tek şeydir.

FACEBOOK

Facebook, kimlik avı saldırıları için en çok taklit edilen üçüncü markadır. Dünya çapında çok fazla kullanıcısı varken, bunun nedenini görmek kolaydır. Platform, kimlik avcılarının yararlanması için kişisel bilgilerle dolu çok sayıda profil ve mesaj sunar.

Facebook’taki saldırılar genellikle büyük kuruluşlara değil, tüketicilere yöneliktir. Kimlik avcıları, masum kurbanları verilerini açığa çıkarmak için sosyal mühendisliği kullanır.

Facebook’tanmış gibi davranarak, örneğin bir güvenlik uyarısı hakkında kullanıcılara mesaj gönderilir. Buradan kullanıcılara Facebook profillerine giriş yapmaları ve şifrelerini değiştirmeleri talimatı verilir. Daha sonra kimlik bilgilerinin toplandığı sahte bir Facebook giriş sayfasına gönderilirler.

phishing7

Kimlik Avı Arkadaşlarınızı Nasıl Hedefler?

Hesabınıza erişirlerse, kişilerinizi mağdur ederek daha geniş bir ağ oluşturabilirler. Ayrıca, arkadaşlarınızın sizinle paylaştığı bilgileri daha sonra başka bir saldırı kurgusu için kullanabilirler.

Kimlik avı yapanlar, mesaj göndermek veya kötü amaçlı bir bağlantı içeren bir durum göndermek için hesabınızı kullanır. Ve kişileriniz size güvendiği için, üzerine tıklamaları daha büyük bir olasılıktır.

Fener Kimlik Avı Nedir?

Bu, sosyal medya kullanan ancak daha karmaşık bir MO’ya sahip bir kimlik avı türüdür. Bir hizmet veya hesap hakkında yayın yapan (çoğunlukla rants) kullanıcıları hedeflerler. Saldırganlar servis sağlayıcıdanmış gibi davranır, ardından kullanıcıya bir müşteri hizmetleri temsilcisiyle iletişime geçme bağlantısı gönderir.

INSTAGRAM

Eskiden selfie galerisi olan uygulama, şimdi dünyanın en büyük markaları ve etkileyicileri tarafından kullanılan milyonlarca dolarlık bir uygulama haline geldi.

Facebook’taki kimlik avı kullanıcıları gibi, Instagram’dan yararlananlar da kullanıcılara güvenlik uyarısı konusunda mesajlar gönderir. Örneğin, bilinmeyen bir cihazdan oturum açma girişimiyle ilgili bir ileti olabilir. E-posta, kullanıcıları giriş bilgilerinin toplandığı sahte bir siteye gönderen bir bağlantıya sahiptir.

Erişime girdiklerinde, farklı şekillerde kullanmak için kişisel bilgilerden oluşan bir altın madenine sahip olacaklar. Örneğin olası bir saldırı, özel olarak paylaştığınız fotoğrafları, taleplerine boyun eğmezseniz Instagram Direct Messenger (IGdm) aracılığıyla sızdırmakla tehdit ederek size veya arkadaşlarınıza şantaj yapmayı içerir.

phishing8

Telif Hakkı İhlali Dolandırıcılığı Nedir?

Kimlik avı yapanlar, özellikle doğrulanmış hesaplar olmak üzere işletme hesaplarını ele geçirirse IGdm aracılığıyla daha sinsi kimlik avı kampanyaları başlatabilirler.

Mavi Rozet Dolandırıcılığı Nedir?

Hiçbir şey o imrenilen mavi çeke sahip olmak kadar yasal hissettirmez. Kimlik avcıları da bundan yararlanır.

Bir Instagram kimlik avı dolandırıcılığı da, kullanıcılara sertifikalı bir rozet sunan bir e-posta göndermektir. Kullanıcılar “Hesabı Doğrula” düğmesine tıkladıklarında, kişisel bilgilerinin toplanacağı bir kimlik avı sayfasına götürülürler. Çoğu zaman, etkileyiciler ve “Insta-ünlü” kullanıcılar bu tür bir saldırı için hedeflenir.

LINKEDIN

900 milyondan fazla profesyonel tarafından kullanılan iş dünyası için ana platform olan Linkedin de kimlik avcılarının favori hedefidir.

İnsanlar Linkedin’e dijital bir güven raporuna göre diğer tüm sosyal ağ sitelerinden daha fazla güveniyor. Kullanıcıların işleri hakkında ayrıntılı bilgi yayınlama olasılığı daha yüksektir ve bu da onları mızraklı kimlik avı ve balina avı saldırıları için birincil hedef haline getirir.

Sahte İşe Alımcılar Linkedin Kullanıcılarını Nasıl Dolandırıyor?

En acımasız sosyal medya kimlik avı kampanyalarından biri Linkedin’de iş arayanları hedef alan bir saldırıdır. Siber suçlular işe alımcı gibi davranır ve Linkedin Mesajlaşma aracılığıyla sahte bir iş ilanı hakkında kullanıcılara ulaşır.

Kimlik avcıları, arka planınızın doldurmaya çalıştıkları rol için mükemmel olduğunu söyleyerek sizi cezbeder. Artan bir tazminat paketiyle bunu daha da karşı konulmaz hale getirirler.

Kimlik avının işle ilgili tüm ayrıntılara sahip olduğunu söylediği bir bağlantı görürsünüz. Alternatif olarak, indirmek için Microsoft Word veya Adobe PDF’de bir ek gönderebilirler.

Kulağa heyecan verici geliyor, özellikle de iş arayan biri için. Ancak bağlantılar sizi sahte bir açılış sayfasına götürür ve Word dosyasında kötü amaçlı yazılım başlatmak için Makrolar vardır. İkincisi verilerinizi çalabilir veya sisteminize bir arka kapı açabilir.

phishing9

OLTANIN UCUNDAKİ BEN İSEM NELER YAPMALIYIM?

  • Bazı akıllı sosyal medya kimlik avcıları tarafından kancalandıysanız, bazı hasar kontrollerini yapmanız gerekir. Bunu bir kimlik hırsızlığı vakası olarak ele alarak başlayın, çünkü harekete geçmezseniz buna yol açabilir.
  • Bilgisayarınızı hemen kapatın.
  • Farklı bir bilgisayar kullanarak parolalarınızı değiştirin.
  • Hesabınıza bir dolandırıcılık uyarısı koyun.
  • Banka veya kredi kartı bilgilerinizi verdiyseniz bankanızı arayın ve rapor verin.
  • Hesaplarınızdan herhangi birine giriş yapamıyorsanız, hemen bir hesap ele geçirme bildiriminde bulunun.
  • Arkadaşlarınıza haber verin, arkadaşlarınızın bu konu hakkında paylaşım yapmasını isteyin.
  • Sosyal medya kimlik avı kurbanıysanız, başkalarına bildirin. Utanmanıza gerek yok! Sosyal medya çevrenizde farkındalık yaratarak size güvenen kişilerin güvenliğini sağlayacaksınız, bu da umarım başarılı hack’lerin miktarını azaltacaktır. 

SOSYAL MEDYA SALDIRILARINDA BENİM ÜZERİME DÜŞEN GÖREV NEDİR? BU SALDIRILARDAN NASIL KORUNABİLİRİM ?

  • MFA (Multi Factor Authentication) yani Çok Faktörlü Kimlik Doğrulama kullanmanız önerilir.
  • Yakınınızın hesabının ele geçirildiğini düşündüğünüz zaman kişi ile kontak kurulup doğrulanmalıdır.
  • Hesabı ele geçirilmiş ise sosyal medyada bunu yaymalısınız başka insanların buna düşmesine engel olmalısınız.
  • %100 güvenmediğiniz linkleri açmamalısınız.
  • Tanımadığınız kişilerle sosyal medyada arkadaşlık yapmamalısınız.
  • Para kazanmak, ücretsiz hediyeler vaadi ile yollanan linklere tıklamamalısınız?
  • Arkadaşlarınızın sizinle kurduğu diyalogdan başka bir diyalog ile karşılaştığınızda arkadaşınızı telefon ile veya yüz yüze sorup teyit etmelisiniz.
  • Instagram, Twitter, Facebook, Linkedin gibi sosyal medya sitelerinin size kişisel olarak mesaj yollamayacağını bilmelisiniz.
  • İlgi alanlarınızın sömürülmeye çalışıldığının, kullanıldığının farkına varabilmelisiniz.
  • Linke tıklama isteklerini, gönderen kimseleri arayarak teyit etmelisiniz.
  • Linke tıkladıysanız güvenlik duvarının uyarılarını dikkate alıyor, değerlendiriyor olmalısınız.
  • Linke tıkladıysanız login ekranını doldurmadan önce URL’sini kontrol etmelisiniz.
  • Linke tıkladıysanız ve bilgilerinizi girdiğinizde sayfaya giriş yapamayıp yeniden login ekranına yönlendiriliyorsanız, hesap bilgilerinin ele geçirildiğinin farkına varıp bunun bilgilendirmesinin yapılmasını sağlamalısınız.

phishing10

BENİM HESABIM ÖNEMLİ DEĞİL, ÇALINSA NE OLACAK?

Siz hesabınızın önemsiz olduğunu düşünebilirsiniz ama sizin hesabınız üzerinden, sizi takip eden ve size güvenen kişilerin de bundan etkileneceğini, o kişilerin özel bilgilerinin olabileceğini ve bilgilerinin sizin umursamaz tavrınızdan kaynaklı olarak tehlikede olacağını düşünmelisiniz. 


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 [:en]

PHISHING ATTACKS (PHISHING) WHAT IS IT?

phishing

Phishing phishing attacks; used to steal user data, including login credentials and credit card numbers is a kind of social engineering attack. It occurs when an attacker who appears to be a trusted entity tricks the victim into opening an email, instant message, or text message. The recipient is then tricked into installing malware, freezing the system as part of a ransomware attack, or clicking on a malicious link where sensitive information has been exposed.

Phishing is often used to gain a foothold in corporate or official networks as part of a larger attack, such as an advanced persistent threat (APT) incident. 

In this second scenario, it is used to bypass security steps, distribute malware in a closed environment, or obtain privileged access to secure data, endangering corporate employees and the organization. An organization that has succumbed to such an attack often suffers serious financial losses, as well as a reduced sunday share, reputation and consumer confidence. Depending on its scope, a phishing attempt may cause the enterprise to experience a security event that the organization will have difficulty recovering..

WHAT IS A FISHING ATTACK ON SOCIAL MEDIA?

phishing1

The social media phishing attack briefly makes the link interesting for users to click on an infected link (“Congratulations, you won an Iphone 13 as a result of our lottery, if you fill out your address information by clicking on the link below, the shipping process will be started.” ), scary ( “An attempt was made to log in to your account. Change your password immediately by clicking on this link!“ ), by imitation (” Instagram: There is a mismatch in your account, your username and password are required for a detailed review.” or let us know about it by clicking on the link below.” ), using friendship relationships ( “Ali, look at this video, I’m throwing out a very funny link 😊”) is a type of fraud that they encourage you to click on the link by using these and similar methods, restoring, designing fictions. As for what they will do when they log into your account, you are completely at the mercy of the attacker. Your confidential images, conversations with friends, videos, personal information (t.C. Information such as identity Information, date of birth, city where you live), if registered, your card information can be sold on the Dark Web or shared on all social media to disclose you. Information is power An attacker can fulfill any request using information.

HOW IS SOCIAL MEDIA PHISHING DIFFERENT FROM PHISHING? 

In social media phishing, criminals use social engineering through social media to achieve their goals. On the other hand, for phishing (phishing), criminals mainly use e-mail. In addition, Social media phishing may contain intriguing plugins or topics that seem legitimate because they appear in an online community that users already know. Such baits are less likely to succeed in phishing email.

phishing3

WHAT DOES IT HAVE TO DO WITH SOCIAL ENGINEERING?

Social engineering is the process of identifying weaknesses in human behavior and abusing them by manipulating them.

Although it is a difficult situation for an attacker to infiltrate the targeted system and access critical information, it is possible for him to achieve his goal by performing this process with social engineering. It is mainly used to describe human relationships or people’s carelessness.

Because human relationships and trust are at the forefront of social media, the attacker can find more incentive factors for you to click on the link by doing some social engineering.

An attacker can obtain information about his prey, establish a trust relationship, infiltrate his prey’s group of friends, and infiltrating his group means more data.

phishing4

WHY IS SOCIAL MEDIA PREFERRED FOR FISHING LINE ATTACKS?

It has the advantage of gaining a sense of trust and reaching a wider audience in a short time through social engineering. 

With the social engineering method, it increases the chances of people clicking on the link by creating an easier scenario because they know their interests and weaknesses. 

When the accounts of people with high trust in social media are seized, it will also be easy for the attacker to access the information of his followers and those he has contacted.

When a corporate email arrives, a person suspects and questions it before opening a mail that is equipped according to their interests, but suspicion becomes much less for such submissions on social media.

phishing5

HOW DO I KNOW IF I’M THE ONE ON THE HOOK OR NOT?

  • It is necessary to evaluate our cat by asking the following questions.
  • am I trying to open links that I don’t trust 100%?
  • Do I make friends on social media with people I don’t know?
  • Do I click on the links sent to set up an application with the promise of making money?
  • Do I ask my friend by phone or face to face and confirm when I encounter a dialogue other than the dialogue that my friends have established with me?
  • Do I know that social media sites such as Instagram, Twitter, Facebook, Linkedin will not send me messages personally?
  • Can I realize that my interests are being exploited, used?
  • Do I confirm the click requests on the link by calling the sender?
  • If I clicked on the link, do I take into account the warnings of the firewall and evaluate it?
  • If I clicked on the link, do I check its URL before filling out the login screen?
  • If I clicked on the link and entered my information, I couldn’t log in to the page and I was redirected to the login screen again?
  • If you evaluate his questions carefully and answer them, you will notice whether you are on the end of the line.

phishing6

WHAT ARE THE ANGLING ATTACKS I MAY ENCOUNTER IN SOCIAL MEDIA ATTACKS?

The attack can come in the form of a post with a link designed to convince the victim to share it on their social media. The victim’s contacts can click on the link by trusting the resource. From here they can be taken to a phishing (but real-looking) website. They direct the user to a fake login screen that forces them to authenticate using their information (login screen) with the promise of showing the content they have tricked the user into following. Usually, authentication fails and forces the victim to re-enter their credentials, capturing these credentials is all it takes for an attacker to cause and infect digital destruction.

FACEBOOK

Facebook is the third most imitated brand for phishing attacks. With so many users worldwide, it’s easy to see why. The platform offers a large number of profiles and messages filled with personal information for phishers to take advantage of.

Attacks on Facebook are usually aimed at consumers, not large organizations. Phishers use social engineering to expose unsuspecting victims to their data.

By pretending to be from Facebook, messages are sent to users, for example, about a security alert. From here, users are instructed to log in to their Facebook profile and change their password. They are then posted to a fake Facebook login page where their credentials are collected.

phishing7

How Does Phishing Target Your Friends?

If they access your account, they can create a wider network by victimizing your contacts. In addition, they can use the information that your friends have shared with you for another attack fiction later.

Phishers use your account to send messages or send a status with a malicious link. And because your contacts trust you, they are more likely to click on it.

What is Lantern Phishing?

This is a type of phishing that uses social media, but has a more complex MO. They are aimed at users who post (mostly rants) about a service or account. Attackers pretend to be from the service provider, then send the user a link to contact a customer service representative.

INSTAGRAM

Formerly a selfie gallery, the app has now become a multimillion-dollar app used by some of the world’s biggest brands and influencers.

Like phishing users on Facebook, those who use Instagram send messages to users about a security alert. For example, it may be a message about an attempt to log in from an unknown device. The email has a link that sends users to a fake site where their login information is collected.

Once they have access, they will have a gold mine of personal information to use in different ways. For example, a possible attack involves blackmailing you or your friends by threatening to leak photos you have shared privately through Instagram Direct Messenger (IGdm) if you do not comply with their demands.

phishing8

What is Copyright Infringement Fraud?

Phishers can launch more insidious phishing campaigns through IGdm if they seize business accounts, in particular verified accounts.

What is Blue Badge Scam ?

Nothing feels as legit as having that coveted blue check. Phishers also take advantage of this.

An Instagram phishing scam is also to send an email offering users a certified badge. When users click on the “Verify Account” button, they will be taken to a phishing page where their personal information will be collected. Most often, influencers and “Insta-famous” users are targeted for this type of attack.

LINKEDIN

Linkedin, the main platform for business, used by more than 900 million professionals, is also a favorite target of phishers.

People trust Linkedin more than any other social networking site, according to a digital trust report. Users are more likely to post detailed information about their business, making them a primary target for spear phishing and whaling attacks.

How Do Fake Recruiters Scam Linkedin Users?

One of the most brutal social media phishing campaigns is an attack on Linkedin targeting job seekers. Cybercriminals pretend to be recruiters and reach out to users about a fake job posting via Linkedin Messaging.

Phishers lure you in by saying that your background is perfect for the role they are trying to fill. They make it even more irresistible with an increased compensation package.

You will see a link where the phishing agent says that he has all the details about the work. Alternatively, they can october an attachment in Microsoft Word or Adobe PDF for download.

It sounds exciting, especially for someone who is looking for a job. But the links lead you to a fake landing page, and in the Word file there are Macros for launching malware. The latter can steal your data or open a backdoor into your system.

phishing9

WHAT SHOULD I DO IF I’M THE ONE ON THE HOOK?

  • If you’ve been hooked by some clever social media phishers, you’ll need to do some damage checks. Start by treating this as a case of identity theft, because it can lead to it if you don’t take action.
  • Turn off your computer immediately.
  • Change your passwords by using a different computer.
  • Put a fraud alert on your account.
  • If you have provided your bank or credit card information, call your bank and report it.
  • If you are unable to log in to any of your accounts, immediately notify us of an account seizure.
  • Let your friends know, ask your friends to share about it.
  • If you are a victim of social media phishing, let others know. No need to be ashamed! By raising awareness in your social media environment, you will ensure the safety of people who trust you, which will hopefully reduce the amount of successful hacks.

WHAT IS MY DUTY IN SOCIAL MEDIA ATTACKS? HOW CAN I BE PROTECTED FROM THESE ATTACKS ?

  • It is recommended that you use MFA (Multi Factor Authentication), that is, Multi-Factor Authentication.
  • If you think that your relative’s account has been compromised, you should contact the person and verify it.
  • If his account has been compromised, you should spread it on social media to prevent other people from falling for it.
  • you should not open links that you do not 100% trust.
  • You should not make friends on social media with people you don’t know.
  • Shouldn’t you click on the links sent with the promise of free gifts to make money?
  • If you encounter a dialogue other than the dialogue that your friends have established with you, you should ask your friend by phone or face to face and confirm it.
  • You should know that social media sites such as Instagram, Twitter, Facebook, Linkedin will not send you messages personally.
  • You should be able to realize that your interests are being exploited and used.
  • You must confirm the requests to click on the link by calling the senders.
  • If you clicked on the link, you should be considering and evaluating the warnings of the firewall.
  • If you clicked on the link, you should check its URL before filling out the login screen.
  • If you clicked on the link and were unable to log in to the page when you entered your information and were redirected back to the login screen, you should realize that your account information has been compromised and ensure that it is notified.

phishing10

IT DOESN’T MATTER WHAT HAPPENS IF MY ACCOUNT IS STOLEN?

You may think that your account is insignificant, but you should think that the people who follow you and trust you through your account will also be affected by this, that these people may have private information, and their information will be in danger due to your reckless attitude. 


To request a quotation for the following: Cyber Security, Digital Transformation, MSSP, Penetration Testing, KVKK, GDPR, ISO 27001 and ISO 27701, please click here.


 [:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram