Oltalama saldırıları internet tarihinde ilk saldırılardan türlerinden birisidir. Oltalama saldırı türleri bilinen diğer saldırı türlerinden farklı olarak kurbana e-posta ya da başka iletişim metotları ile bir mesaj göndererek mesaj içerisindeki ekli dosyaya veya linke tıklatmak suretiyle yapılan saldırılardır. Bu saldırılarda kurbanın güvenini kazanmak için bir kurumdan (genelde gerçekten mesaj gönderen banka, Telekom operatörü gibi kurumlardan) geliyormuşçasına bir mesaj hazırlanır. Bazı durumlarda bireylerin özel hobileri, inançları veya ilgi alanlarına hitap eden içerikler yem olarak kullanılır. Kurban bu e-postanın gerçekten ilgili kurumdan geldiğine inanıp dosyayı açtıktan sonra saldırganlara uzaktan kod çalıştırma yetkisini aslında kendi eliyle vermektedir.

Bir oltalama saldırısı çok basit araçlarla ve hızlı bir şekilde gerçekleştirilebilmektedir. Peki “oltaya takılan balık” olmamak için ne tür önlemler almalıyız? Öncelikle çalışanlarımız için bir farkındalık seviyesi sağlanmalı ve bu seviye düzenli eğitimlerle muhafaza edilmelidir. Bu sayede kurum çalışanları; bir e-postanın gerçek olduğunu kabul etmeden önce kimden geldiğini (gönderen e-posta adresinin açıkça görerek) kontrol etmeyi, linklere tıklarken ve ekli dosyaları açarken temkinli olmayı öğreneceklerdir . Ayrıca düzenli olarak oltalama simülasyonları ile çalışan bazında farkındalık metrik olarak ölçebilir, değerlendirebilir ve bu sonuçlara bağlı olarak planlama yapılabilir.

Bir e-posta aldığımızda hızlıca göz gezdirmemiz gereken konular:

• Yazım Kuralları: Kurumsal bir şirketten gelen e-postalarda yazım kurallarına özen gösterilirken, bir saldırgan bu noktada hatalar yapabilmektedir.
• Sahte Linkler: Hiçbir kurumsal şirket sizden parolanızı kredi kartı numaranızı (hele hele son kullanma tarihini, CVV bilgisini) ya da TC kimlik kartı bilgilerinizi e-posta içindeki linkler vasıtası ile istemez.
• Psikolojik İfadeler: Oltalama saldırıları kurbanı harekete geçirmeye odaklı olduğu için kurbana gelen iletide kurbanı harekete geçirici ifadeler yer alabilmektedir. Örneğin “E-Postanızı 2 saat içerisinde onaylamalısınız!”.
• Bender Linkler: En kolay saldırı biçimidir fakat çokça işe yarar. Bir saldırgan kurumsal bir şirketin web adresine çok benzer bir link oluşturarak kurbanı kandırabilmektedir. Örneğin: “oguzbank.com yerine oguzbank.corn” şeklinde bir alan adı.
• E-Posta Şablonları: Kurumsal şirketler e-posta şablonlarına çok dikkat ederler. Saldırgan bu e-posta şablonları üzerinde oynarken bazı şeyleri yanlış yerleştirmiş ya da gözümüze uygunsuz gelecek bir formata dönüştürmüş olabilir.