Karşılaştırma Tablosu
| Karşılaştırma için temel | Kimlik Avı | Sızdırma |
|---|---|---|
| Temel | Kimlik avı sahtekarları, hedeflerini güvenerek kazanmak ve bilgi çalmak için güvenilir kuruluşları ve insanları kandırır. | Sahte dolandırıcıların mutlaka herhangi bir bilgi çalmaya çalışması değil, başka kötü amaçlı hedeflere ulaşmaya çalışıyor olabilirler. |
| ilişki | Kimlik avı saldırıları, sahtekarlığı strateji olarak kullanabilir. | Sahte kimlik avı mutlaka kimlik avı değildir. |
| süreç | Kimlik avına bilgi çalma eşlik eder. | Sahtekarlık mutlaka bilgi çalmayı gerektirmez. |
| gerçekleştirir | geri alma | teslim |
Kimlik Avının Tanımı
Kimlik Avı, dolandırıcının güvenilir bir kuruluştan otomatik olarak otomatik bir şekilde taklit ederek lisans kullanıcılarının hassas bilgilerini sahtekarlıkla elde etmeye çalıştığı bir sosyal mühendislik şeklidir.
Örneğin, saldırgan gerçek banka web sitesiyle aynı görünen kendi web sitesini oluşturur. Ardından saldırgan, bankayı meşrulaştırmak için bankanın meşru müşterisine bir e-posta gönderir. Posta, hesabın güvenliği ile ilgili bir tür uyarıdır ve bankanın, sahte web sitesi bağlantısının yanı sıra güvenlik kaygıları nedeniyle yeni parola vermek istediğinden bahsetmektedir. Bir müşteri e-postada gösterilen URL’yi tıkladığında, bu sırada müşteri saldırganın sitesine yönlendirilir. Müşteriden gizli bilgileri girmesi istenir ve müşterinin hassas bilgilerini açıkça paylaştığı için, web sitesinin tamamen aynı göründüğü gibi sahte olduğunu fark etmedi. Daha sonra saldırgan, müşteri bilgilerini satın almak için hesap ayrıntılarını kullanır.
Kimlik avı saldırısı üç kimlik avı adımı içerir.
- İlk olarak, posta gönderen, kullanıcıları sahte web sitesine yönlendirmek için sahte bir e-posta, SMS, VOIP, bir sosyal ağ sitesinde mesaj gönderir.
- Daha sonra sahte web sitesi kurulur ve bu da kullanıcıyı gizli bilgiler sağlamasını ister.
- Son adımda, gizli bilgi ödemeyi elde etmek için kullanılır.
Kimlik avı, klonlama, mızrak avlama, telefonla kimlik avı gibi çeşitli kimlik avı türleri vardır.
Spoofing'un tanımı
Sahtekarlık, saldırganın, lisanslı kullanıcının kimliğini çaldığı ve sistemin güvenliğini ihlal etmek veya kullanıcıların bilgilerini çalmak için başka bir kişi veya kuruluş olarak kötü niyetli bir niyet olarak davrandığı kimlik avına benzer. IP sahtekarlığı, E-posta sahtekarlığı , URL sahtekarlığı, MAC sahtekarlığı ve DNS sahtekarlığı gibi çeşitli türlerde sahtecilik saldırıları vardır.
Kimlik avından farklı olarak, sahtecilik saldırısı, bilgileri çalmadan zarar verebilir. Örneğin, A saldırganı, B kullanıcısının kimliğini kullanarak B kullanıcısına sahte bir e-posta gönderir. B kullanıcısı, alınan e-postanın C kullanıcısı olduğunu ve açıkça cevap vereceğini algılar. Sahte e-posta, kötü niyetli niyetle göndermiş olabilir.
Kimlik Avı ve Sahtekarlık Arasındaki Anahtar Farklılıklar
- Sahtekarlık, kimlik avının bir parçası olabilir, ancak kesin olarak kimlik avı değildir.
- Kimlik avında, hassas bilgiler saldırgan tarafından çalınır. Buna karşılık, sahtekarlığa mutlaka bilgi çalmakla eşlik etmek gerekmez.
- Kimlik Avı, meşru kullanıcının gizli bilgilerinin sahte olarak alınmasını sağlar. Tersine, sahtekarlık, kötü amaçlı dosyanın veya iletinin teslim edilmesini sağlar.
Sonuç
Kimlik Avı ve Kimlik Avı, genellikle güvenlikten yararlanmayı veya finansal kazanç için hassas bilgileri çalmayı amaçlar. Kimlik avına, kimlik avı yaparken her zaman bilgi hırsızlığı eşlik eder. Sahtekarlık, kimlik avının bir parçası olabilir, ancak kimlik avı değildir.
