AOL üzerinde kimlik avı, korsan yazılım alışverişinde bulunan warez topluluğuyla yakından ilişkiliydi. Daha sonra 1990’larda AOL’de kimlik avı yapanlar, AOL’de haftalarca veya muhtemelen aylarca sürebilecek hesaplar oluşturmak için orijinal olarak sahte, algoritmik olarak oluşturulan kredi kartı numaralarını kullandılar. AOL, bunu önlemek için 1995’in sonlarında tedbirler aldıktan sonra, ilk AOL korsanları yasal hesaplar için kimlik avına başvurdu.
Bir kimlik avcısı, AOL personeli gibi davranabilir ve potansiyel bir kurbana şifresini açıklamasını isteyen bir anlık mesaj gönderebilir. Mağduru hassas bilgileri vermeye ikna etmek için, mesajda “hesabınızı doğrulayın” veya “fatura bilgilerini onaylayın” gibi zorunluluklar bulunabilir. Kurban şifreyi açıkladığında, saldırgan kurbanın hesabına spam gönderme gibi cezai amaçlar için erişebilir ve onu kullanabilir. AOL’de hem phishing hem de warezing genellikle AOHell gibi özel olarak yazılmış programlar gerektirir. Kimlik avı, AOL’de o kadar yaygın hale geldi ki, tüm anlık iletilere “AOL’de çalışan hiç kimse şifrenizi veya fatura bilgilerinizi sormayacak” şeklinde bir satır eklediler.
1997’den sonra, AOL’nin kimlik avı ve warez ile ilgili politika uygulaması daha katı hale geldi ve korsan yazılımları AOL sunucularından çıkmaya zorladı. AOL, aynı anda, kimlik avına karışan hesapları, genellikle kurbanlar yanıt vermeden önce derhal devre dışı bırakmak için bir sistem geliştirdi. AOL’deki warez sahnesinin kapatılması, kimlik avcılarının çoğunun hizmetten çıkmasına neden oldu ve çoğu kimlik avcısı, çoğu zaman genç ergenlerin alışkanlıktan çıkmasına neden oldu.
AOL hesap bilgilerinin ele geçirilmesi, kimlik avcılarının kredi kartı bilgilerini kötüye kullanmasına ve çevrimiçi ödeme sistemlerine yönelik saldırıların uygulanabilir olduğunun farkına varmasına yol açmış olabilir. Bir ödeme sistemine karşı bilinen ilk doğrudan girişim, Haziran 2001’de E-altını etkiledi ve bunu, Dünya Ticaret Merkezi’ne 11 Eylül saldırılarından kısa bir süre sonra “911 sonrası kimlik kontrolü” izledi. Her ikisi de o zamanlar başarısızlık olarak görülüyordu, ancak şimdi ana akım bankalara karşı daha verimli saldırılara yönelik erken deneyler olarak görülebilir. 2004 yılına gelindiğinde, kimlik avı, suç ekonomisinin tamamen sanayileşmiş bir parçası olarak kabul edildi: nakit için bileşenler sağlayan ve bitmiş saldırılara dönüştürülen küresel ölçekte uzmanlıklar ortaya çıktı.
Kimlik avı saldırılarının tümü sahte bir web sitesi gerektirmez. Bir bankadan geldiği iddia edilen mesajlarda, kullanıcılara banka hesaplarıyla ilgili sorunlara ilişkin bir telefon numarası çevirmeleri söylendi. Telefon numarası (kimlik avcısına aittir ve IP üzerinden Ses hizmeti tarafından sağlanır) arandığında, kullanıcılara hesap numaralarını ve PIN’lerini girmeleri söylenir. Sesli kimlik avı bazen aramaların güvenilir bir kuruluştan geliyormuş gibi görünmesi için sahte arayan kimliği verilerini kullanır.
Kimlik avının neden olduğu zarar, e-postaya erişimin reddedilmesinden önemli mali kayıplara kadar uzanmaktadır. Bu tarz kimlik hırsızlığı, şüphe duymayan kişilerin kredi kartı numaraları, sosyal güvenlik numaraları ve annelerin kızlık soyadları dahil olmak üzere kimlik avcılarına sıklıkla kişisel bilgilerini ifşa etmelerinden dolayı daha popüler hale geliyor. Kimlik hırsızlarının bu tür bilgileri sadece kamuya açık kayıtlara erişerek edindikleri bilgilere ekleyebileceklerine dair korkular da vardır. Bu bilgiler elde edildikten sonra, kimlik avcıları bir kişinin bilgilerini bir kurbanın adına sahte hesaplar oluşturmak için kullanabilir. Daha sonra mağdurların kredisini mahvedebilirler veya hatta mağdurların kendi hesaplarına erişimini reddedebilirler.
GIPHY App Key not set. Please check settings