Sahte Giriş Ekranı Nasıl Anlaşılır?
Bir giriş sayfasının sahte olduğunu görsel olarak anlayabileceğinizi düşünüyorsanız, bu beklenti artık pek gerçekçi değil. Phishing sayfaları uzun süre yazım hatalarıyla, bozuk görsellerle, özensiz hizalamayla kendini ele verdi. O dönem büyük ölçüde kapandı. Bugün bir bankanın, sosyal medya platformunun ya da kurumsal uygulamanın giriş ekranını piksel düzeyinde kopyalamak teknik olarak çok az çaba istiyor. Logo, yazı tipi, renk kodu, hata mesajı metni, buton konumu — bunların tamamı kaynak koddan okunup aynen yeniden üretilebiliyor.
Sorun görsel kaliteden değil, yapıdan kaynaklanıyor. Bir sayfanın tasarımının kopyalanabilmesi, o tasarımın içinde kimlik bilgisi girmenin güvenli olduğunu söylemez. Sayfanın nasıl göründüğü değil, hangi adrese ait olduğu belirleyici. Bu fark küçük görünüyor; ama pratikte ayırt etme mekanizmasının tamamı bu noktaya dayanıyor.
Sahte giriş ekranlarının gerçeğiyle nasıl örtüştüğünü ve farkı nerede arayacağınızı anlamak bir kullanıcı alışkanlığı meselesi. Bunu başarabilmek için neye bakacağınızı — ve daha da önemlisi neye bakmayacağınızı — bilmek gerekiyor.
Görsel benzerlik sahte sayfaları fark etmek için yetersiz bir kriter haline geldi
Tasarım kopyalamak eskiden uzmanlık gerektiriyordu. Bugün yapılması gereken, orijinal sayfanın kaynak kodunu indirmek ve bir sunucuda barındırmak. HTML, CSS, görsel dosyalar — hepsi kamuya açık kaynaklardan alınabiliyor. Gelişmiş saldırı araçları bu süreci tamamen otomatize ediyor: hedef URL giriliyor, giriş sayfasının kopyası dakikalar içinde hazır çıkıyor.
Sonuç olarak sahte sayfa, orijinalinin görsel bir ikizi haline gelebiliyor. Logo her pikselinde aynı, yazı tipi birebir, renkler eşleşiyor. Form alanları çalışıyor, butonlar tıklanabiliyor. Hata mesajları — örneğin yanlış şifre girildiğinde çıkanlar — bile orijinalden alınmış olabiliyor. Giriş sayfasını daha önce yüzlerce kez görmüş olsanız bile sahteyi görsel olarak ayırt etmek giderek güçleşiyor.
Bu gerçeği kabul etmek önemli, çünkü güvenliği görsel değerlendirmeye dayandırmak işe yaramıyor. Sayfa tanıdık görünüyor diye giriş yapmak sorunlu; sayfa bozuk ya da yabancı görünüyor diye şüphelenmek ise artık yeterli bir sinyal değil. Kimlik avı saldırıları kullanıcıların görsel alışkanlıklarını hedef aldığı için bu değişim saldırganlar açısından giderek daha elverişli bir zemin oluşturuyor.
Alan adının konumu ve yapısı tek güvenilir gösterge olmayı sürdürüyor
Tasarım kopyalanabiliyor ama alan adı kopyalanamıyor. Bir web sitesinin kimliği alan adına bağlı; `instagram.com` bir alan adı ve bu adı yalnızca sahibi kullanabiliyor. Sahte bir sayfa başka bir alan adında barınmak zorunda — tasarımı ne kadar mükemmel olursa olsun.
Bu nedenle adres çubuğu, giriş sayfasını doğrulamak için görsel incelemeden çok daha güvenilir bir yöntem sunuyor. Sayfa tamamen orijinal görünüyor olsa da alan adı doğruysa devam edebilirsiniz; alan adı yanlışsa, sayfa ne kadar inandırıcı görünürse görünsün kimlik bilgisi girmemek gerekiyor.
Saldırganlar bu gerçeğin farkında. Seçtikleri alan adları genellikle orijinaline çok yakın: `instagram` yerine `instargam`, `google` yerine `g00gle`, ya da `.com` yerine farklı bir uzantı. Bir diğer yaygın yöntem alt alan adı kullanmak: `instagram.com.hesap-dogrula.net` yapısında `instagram.com` kısmı gözü yanıltabiliyor, ama gerçek alan adı `hesap-dogrula.net`. Adres çubuğunda slash'tan önceki son bölümü — yani ana alan adını — okumak bu ikisini birbirinden ayırıyor.
Mobil tarayıcılar burada ek bir güçlük çıkarabiliyor. Bazı mobil tarayıcılar alan adını kısaltılmış gösteriyor ya da sayfa kaydırıldığında adres çubuğunu gizliyor. Giriş yapılacak sayfalarda adres çubuğunun tam görünür olduğundan emin olmak, mobilde sıkça gözden kaçan bir noktaydı.
HTTPS bağlantısının varlığı sayfanın gerçekliği hakkında bilgi vermiyor
Tarayıcı adres çubuğundaki kilit simgesi uzun süredir "güvenli site" olarak yorumlanıyor. Bu yorum kısmen doğru ama eksik — ve bu eksiklik sahte sayfalarda sıklıkla istismar ediliyor.
Kilit simgesi şunu söylüyor: sizinle bu sunucu arasındaki bağlantı şifreli. Gönderdiğiniz veri, sizden sunucuya giderken üçüncü taraflarca okunamıyor. Bunun dışında başka bir şey söylemiyor. Özellikle şunu söylemiyor: bu sunucunun sahibi meşru bir kuruluş. Sahte bir site de ücretsiz ya da düşük maliyetli bir SSL sertifikası alabilir ve tarayıcıda kilit simgesini gösterebilir. Phishing sayfalarının büyük çoğunluğunda HTTPS etkin ve kilit simgesi görünür durumda.
Pratikte bu şu anlama geliyor: kimlik bilgileriniz HTTPS üzerinden şifreli biçimde doğrudan saldırgana iletilebiliyor. Bağlantı teknik olarak güvenli, ama hedefiniz değil. Kilit simgesine bakarak sayfanın gerçekliğini doğrulamak mümkün değil; bunun için adres çubuğundaki alan adına bakmak gerekiyor. Bu iki bilginin birbirine karışması, sahte sayfalarda en sık karşılaşılan yanılgılardan birini oluşturuyor.
Formun davranışı ve sayfa etkileşimleri bazı durumlarda ayırt edici ipuçları veriyor
Görsel inceleme tek başına yetersiz kalsa da formun davranışı zaman zaman sahte sayfaları ele verebiliyor. Bu ipuçları her durumda ortaya çıkmıyor — iyi hazırlanmış bir phishing sayfası bunları da taklit edebiliyor — ama dikkat çekici durumlar var.
En belirgin olanı şifre yöneticilerinin otomatik doldurma davranışı. Bir şifre yöneticisi kayıtlı kimlik bilgilerini alan adına bağlı olarak dolduruyor. Sayfa tasarımı orijinalin kopyası olsa bile alan adı farklıysa şifre yöneticisi form alanlarını otomatik doldurmıyor. Bu, sahte sayfada otofill çalışmadığında aklınıza gelmesi gereken ilk soruyu da önünüze koyuyor: bu alan adı, şifre yöneticimde kayıtlı olan adresle eşleşiyor mu?
Bir diğer davranışsal ipucu, yanlış şifre girişlerindeki tepki. Sahte sayfalar zaman zaman her girişi "yanlış şifre" olarak gösteriyor — kimlik bilgilerini toplamak amacıyla birden fazla deneme yaptırmak için. Bazı sahte sayfalar ise kimlik bilgileri alındıktan hemen sonra gerçek siteye yönlendiriyor; bu yönlendirme hareketi sıradan görünüyor ama kullanıcı verisi o noktada çoktan gönderilmiş oluyor.
URL yapısındaki ayrıntılar da bazen ipucu veriyor. Orijinal bir giriş sayfası belirli bir yol yapısına sahip: `/login`, `/signin`, `/giris` gibi. Sahte sayfalar kimi zaman rastgele oluşturulmuş alt klasörler ya da tanımsız parametreler içeriyor. Bu her zaman görünür olmasa da adres çubuğunu incelerken dikkat edilmesi gereken bir ayrıntı.
Giriş bilgisi istenen her sayfada bağımsız doğrulama adımı devreye girmeli
Sahte giriş ekranlarını fark etmek için görsel değerlendirmeye güvenmek güvenilir bir strateji değil. Bunun yerine, giriş sayfasının kaynağından bağımsız olarak devreye giren bir doğrulama alışkanlığı daha sağlam bir zemin sunuyor.
İlk adım adres çubuğunu okumak. Sayfayı bir linke tıklayarak, QR kodu okutarak ya da başka bir yolla açmış olsanız da adres çubuğundaki alan adını beklediğinizle karşılaştırmak az zaman alıyor ve en doğrudan doğrulama yöntemi. Alan adı beklentinizle örtüşmüyorsa sayfayı kapatmak yeterli.
Giriş yapmanız gereken hizmetler için kendi başlangıç noktanızı oluşturmak da etkili bir yaklaşım. Hizmetin adresini doğrudan tarayıcıya yazmak ya da daha önce doğruladığınız bir favoriye gitmek, giriş linklerinin nereye götüreceği sorusunu baştan ortadan kaldırıyor. E-posta, SMS ya da başka kanallardan gelen linkler — bunların her biri bağımsız bir değerlendirme gerektiriyor.
İki aşamalı doğrulama kimlik bilgileri ele geçirilse bile hesabın ele geçirilmesini güçleştiriyor. Şifre yöneticisinin otofill yapmaması sahte sayfada erken bir uyarı sinyali işlevi görüyor. Yine de bu katmanlar, giriş yapılan sayfanın doğrulanması adımının yerini tutmuyor; onu tamamlıyor.
Sahte giriş ekranları artık görsel olarak zayıf değil. Tasarım kalitesini güven sinyali olarak değerlendirenleri hedefliyorlar — ve bu hedefleme giderek daha etkili hale geliyor. Bu gerçek karşısında görsel değerlendirmeyi temel güvence mekanizması olarak konumlandırmak gerçekçi değil.
Güvenilir doğrulama noktası adres çubuğundaki alan adı. Logo, renk, form düzeni değiştirilebilir; alan adı değiştirilemez. Bu asimetri, kimlik avı sayfalarını fark etmenin en sağlam yolunu da işaret ediyor.
Bir sayfada kimlik bilgisi girilmeden önce o sayfanın beklenen alan adında olup olmadığını kontrol etmek, çoğu sahte giriş ekranını kapıda durduran alışkanlık. Bilgilerinizin ele geçirildiğinden şüpheleniyorsanız, şifrenizi güvenli bir cihazdan değiştirmek ve aktif oturumları kapatmak öncelikli adım oluyor.