Kimlik avı dolandırıcılığı, e-posta yoluyla gelen bir kimlik hırsızlığı dolandırıcılığıdır. E-posta, güvenilir bir işletme veya finans kurumu gibi meşru bir kaynaktan geliyor gibi görünüyor ve genellikle bir hesabı derhal güncellemek için kritik bir ihtiyaç duymaya neden olan kişisel bilgi için acil bir istek içeriyor. E-postada verilen bir bağlantıya tıklamak resmi görünümlü bir web sitesine yönlendirir. Bununla birlikte, bu siteye verilen kişisel bilgiler doğrudan aldatmaca sanatçısına gider.
Sahtekarlık, İnternet'te büyümekte olan bir sorundur, çünkü insanlar kredi kartı numaraları, şifreler, Anne kızlık soyadı, banka hesap numaraları, ATM şifresi kodları ve sosyal güvenlik numaraları dahil olmak üzere kişisel bilgiler vermeye kandırılmaktadır. Virüs koruyucuları ve güvenlik duvarları çoğu kimlik avı dolandırıcılığını yakalamaz, çünkü şüpheli kod içermezler, spam filtreleri geçmesine izin verir çünkü yasal kaynaklardan geliyor gibi görünmektedir.
Kimlik avı dolandırıcılığına dahil edilen bağlantılar, hakaret etmeyen kişiyi gerçek bir şeyi taklit etmek için tasarlanmış sahte bir web sitesine götürür, genellikle telif hakkı bildirimleri, alt menü başlıkları vb. Çoğu insanın, yalnızca siteye bakarak bir phishing hedefi olduğunu söylemek neredeyse imkansız. Bununla birlikte, adresteki ipuçları bazen aldatmacayı ortaya çıkarabilir.
Benzer karakterli karakterler, gerçek karaktere ait bağlantının yazılışında, küçük harfli "L" yerine "1" (rakamdan biri) kullanıldığında ikame edilebilir. Örneğin, kimlik avcıları paypal.com yerine paypa1.com'u kullandılar. Diğer zamanlarda IP adresi - sayısal bir adres - bağlantının kurbanı gerçek siteye götürmediğini gizlemek için kullanılır. Kimlik avı dolandırıcılığı o kadar karmaşık hale gelmiştir ki, kimlik avcıları gerçek sitenin güvenlik sertifikasına kadar yasal bağlantılar kullanıyor gibi görünebilir.
Birinin kendisini kimlik avı dolandırıcılığından korumanın en iyi yolu, kişisel bilgileri bir e-posta isteğine vermekten kaçınmaktır. Talep yasal olabilirse, herhangi bir bilgi vermeden önce talebi doğrulamak için şirketin müşteri hizmetleri departmanı aranmalıdır; E-postadaki herhangi bir telefon numarası (varsa) kullanılmamalıdır. İstek meşru olsa bile, bir bağlantıya tıklamak yerine gerekli adres tarayıcıya elle girilmelidir, çünkü bir kimlik avı dolandırıcılığı meşru işle eşzamanlı olarak çalışabilir.
Örneğin, Nisan 2005’in başlarında, Microsoft Corporation’dan gelen toplu e-postalar, alıcılardan çok beklenen bir güvenlik güncellemesi indirmelerini istedi. E-postadaki bağlantıyı tıklayanlar, meşru bir Microsoft güncelleştirme sitesi gibi görünen bir siteye götürüldü. Bununla birlikte, yazılımlarını güncellemek yerine, kişisel bilgileri çalabilecek bir uzaktan erişim programı olan aslında bir Truva atı indiriyorlardı. Microsoft bu şekilde e-posta bildirimini kullanmaz, ancak birçok kullanıcı habersiz olarak yakalandı.
Ünlü "Nijerya'dan gelen mektup" bir başka kimlik avı dolandırıcılığıydı. Bu tür dolandırıcılık çok yaygındır, kendi adı vardır: 419 aldatmaca. Kimlik avı, ABD banka hesabının para boşaltmasını gerektiren bir sıkıntıda Nijeryalı bir yetkili gibi görünüyor. Hesabının geçici olarak kullanılmasına izin veren kişiye yakışıklı bir ödül verilecektir. Bunun yerine bankacılık bilgilerini sağlayanlar hırsızlığın kurbanı olurlar.
ABD'de, Federal Ticaret Komisyonu (FTC) ve diğerleri, kimlik avı dolandırıcılığına karşı mücadele etmek için halk eğitimine yoğunlaştı, çünkü avcıları yakalamak zor. Sahte siteler çok kısa bir süre çalışır ve dolandırıcılık genellikle başka ülkelerden gerçekleştirilir. 2005 yılının Mart ayında, Microsoft adsız sanıklarla birlikte Batı Washington Bölgesi'nde 117 kimlik avı davası açtı.
Kimlik Avı Koruması Çalışma Grubu (APWG), kimlik avı dolandırıcılığını izlemek için çalışan uluslararası gönüllülerin oluşturduğu bir organizasyondur. Web siteleri, kendilerine gönderilen sahte e-postaların çevrimiçi veritabanını tutar. Bu siteyi yeni aldatmacalar için kontrol edebilir veya aldığınız phisher e-postalarını gönderebilirsiniz. APWG, büyük ölçüde bir bilgi merkezidir, ancak tüketici kaynaklarına bağlantılar sağlar. FTC ayrıca, web sitelerinde kimlik avı bildirmek için bir e-posta adresi olan tüketiciler için de tavsiyelerde bulunur.
