SİBER SALDIRGANLARIN EN SEVDİĞİ
10 DOĞRU BİLİNEN YANLIŞ

Siber güvenlik konusunda yaratılmaya çalışılan tüm farkındalık çalışmalarına karşın, birçok kişi tarafından kabul görmüş “efsaneler” var ve siber saldırganlar bekledikleri pusudan çıkıp bunlara inanan kişileri tabiri caizse “avlamak” için hazır bekliyor.

Kulaktan kulağa dolaşan bu inanışlar hem kişilere hem kuruluşlara maddi manevi zarar vermeye devam ediyor.

Bu nedenle, en sık karşılaşılan “doğru bilinen siber güvenlik yanlışları” ve çözüm önerilerini aşağıda bulabilirsiniz.

  1. Bana olmaz

Kişiler ve kuruluşlar genellikle kendilerini güvende hissediyor ancak siber saldırılardan az kişinin etkilendiğini düşünmek ciddi bir yanılsama. Zararlı yazılımlar veya halk arasındaki toplu kullanım şekli ile virüsler ve diğer tehditler inanılmaz bir hızla artıyor.

Şunu anlamak gerekiyor; zararlı yazılım sizi hedefleyen bir hacker değil bu nedenle “bana neden olsun” demek saçma. Eğer bir açığınız varsa onu bulup sızması oldukça muhtemel bir yazılımdan bahsediyoruz. Bu sebeple size olmaması için bir neden yok.

Diğer yandan sizi hedefleyen bir hacker da olabilir. Bilgisayarınızda sizin için kıymetli hiçbir şey yok mu? Veri, yalnız kuruluşlar için değerli değil. Resimlerinizden tarayıcı geçmişinize kadar saklamak veya korumak istediğiniz her şey “size de olabileceği”nin bir göstergesi.

  1. Ben güçlü parola kullanıyorum, güvendeyim

Güçlü parola kullanımı mutlaka her fırsatta hatırlattığımız ve kesinlikle tavsiye ettiğimiz bir önlem ancak tek başına sizi her türlü kötülükten koruyan bir kalkan da değil. Defalarca gördüğümüz üzere güçlü parolalar da veri ihlallerinde sızıyor (Collection #1’da elde edilen parolalardan bir tanesi 21 karakterdi ve içerisinde büyük harften sembole ne ararsanız vardı ancak internete düşmüş olduğu için koruması da işte oraya kadardı.)

İşte tam bu nedenle her fırsatta dediğimiz gibi en güçlü parolanın bile düzenli olarak değiştirilmesi, hatta bir şifre yöneticisinin (password manager) kullanılması çok faydalı olacaktır.

Bir kere daha hatırlatmak gereken diğer konu: İki kademeli kimlik doğrulama (2FA) yani parola girdiğinizde cep telefonunuza SMS gelmesi gibi çift güvenlik içeren yöntemleri her programda açın. Sadece banka için değil tüm hesaplarınız (mail, instagram vb. ne varsa) kullanın. Korunma için bir kademe daha oluşturmuş olursunuz, kullanıcı adınız ve parolanız çalınmaz, hesaplarınız güvende kalır.

  1. Ben güvenilmeyecek web sayfalarını hiç ziyaret etmem, bu nedenle bana “bir şey” bulaşmaz

İnternette güvenli dolaşımı tabii ki destekliyoruz ancak bu sadece riski azaltıyor, ortadan kaldırmıyor. En güvenilir görünen web sayfaları bile zararlı yazılımlardan etkilenebiliyor, üçüncü taraflara ait zararlı yazılım içeren reklamlar gösterebiliyor ve herhangi bir kullanıcı etkileşimine gerek olmaksızın ziyaretçilere zararlı yazılım bulaşmasına neden olabiliyor.

Siber saldırganlar sistemleri farklı yöntemler ile de istismar edebiliyor ve kullanıcıların bir web sayfasını açmasına da gerek kalmayabiliyor. Örneğin size gelen bir e-posta da bilgisayarınıza enfeksiyon bulaşmasına neden olabiliyor ve cihazınız korumasızsa veya güncel değilse e-posta içeriğine tıklamanıza gerek olmadan sadece açmanız yeterli olabiliyor.

Bir güvenlik çözümü (tam sürüm ve güncel bir antivirüs) kullanmak ve en son çevrimiçi tehditlerden korunmanıza yardımcı olabilecek güncel bir tarayıcı kullanmak korunmaya yardımcı olabilecektir.

  1. Güvenlik çözümleri çok pahalı

Bireysel kullanıcılar veya küçük işletmeler güvenlik çözümlerinin çok pahalı olduğunu düşünerek genellikle güvenlik çözümlerini bir kenara atabiliyor ancak bunu yaparken kendilerine daha pahalıya patlayabilecek sonuçlarını çoğunlukla düşünmüyor. Değerli verileri kaybetmek sadece KVKK’dan etkilenecek kuruluşları etkilemiyor. Küçük işletmelere ve bireylere de bir antivirüs satın almamak veya özel bir kurumsal güvenlik çözümü kullanmamak daha maliyetli hale gelebiliyor.

  1. Verilerim çok önemli değil, hacklensem de fark etmez

Eğer bir siber saldırganın gözünde kıymetli olabilecek hiçbir şeyiniz olmadığını düşünüyorsanız yanılıyorsunuz. “Benim bilgisayarıma girip de ne yapacaklar?” diye düşünüyorsanız, bugün bilgisayarınızın komple çalındığını bir düşünün, içinde gerçekten kaybetmek istemediğiniz hiçbir şeyiniz yok mu?

Bir e-posta adresinize erişim sağladığınız kullanıcı adı ve parola bile pek çok açıdan size zarar verebilecek, örneğin sosyal medya hesaplarınızı veya diğer sitelere giriş bilgilerinizi çaldırmanıza neden olabilecektir. Instagram hesabınızda paylaşılan hiç istemeyeceğiniz fotoğraflar, sizin adınıza atılan tweetler, sizin yerinize tanıdıklarınıza atılacak mesajlar gibi çokça artırabileceğimiz örnekleri ilk anda düşünmek kolay olmayabilir ama insanların sıkça başına geliyor.

Bir dönem Facebook hesabı ele geçirilen kişilerden tanıdıklarına mesajlar atılarak “param bitti, bana biraz para yollar mısın?” denilmişti örneğin ve insanlar sevdikleri bir kişinin zor durumda olduğunu düşünerek para yollamıştı, buna neden olmak istemezsiniz.

Bilgisayarınızdaki tüm dosyaların bir anda fidye yazılımı ile şifrelendiğini görmek de içerisindeki sizin için önem taşıyan verileri hatırlamanın tatsız ve hızlı bir yöntemi olabiliyor.

Ailenize ait tüm fotoğraflarınız şifrelenip sizden para istendiğinde genellikle güzel anılarınızı topladığınız albümler tarihe karışıyor. Bu durumda, verilerinizin ne kadar değeri olduğuna da siz değil saldırganlar karar veriyor.

Siber saldırıların sadece hırsızlık veya dolandırıcılık için olduğunu düşünmemek lazım. Farklı hedeflere düzenlenecek daha kompleks ve koordineli siber saldırılar için bilgisayarınızın sizin bilginiz dışında alet edilmesi de genellikle göz ardı edilen seçeneklerden bir tanesi.

  1. Bende antivirüs var, başka bir şeye ihtiyacım yok

Belki bir zamanlar bu söylem geçerli olabilirdi. Basit bir antivirüs ile son kullanıcı güvenliği sağlanabiliyordu ancak o zamanlar çok eskilerde kaldı. Günümüzün karmaşık saldırı vektörleri tek bir yazılıma bel bağlamayı imkansız hale getirdi ve bir proaktif yaklaşım gerektiriyor.

Modern oltalama saldırıları özellikle işletmeleri hedef alıyor ve sosyal mühendislik ile gerçekleştiriliyor yani “insan hatası” hedefleniyor. “Yeterince” (ki bu işletmeden işletmeye değişebilecek bir kavram) korunmayan işletmeler ise bu saldırılardan nasibini kesinlikle alıyor.

  1. Telefonum veya bilgisayarımda “bir şey” olsa bilirdim

Güvenli olmayan bilgisayar veya telefonlardan ilk bakışta (ve ilk etapta) yanlış bir durum olduğunu anlamak genellikle mümkün olmuyor. Kullanıcılar web kameralarının ele geçirildiğini, e-posta veya banka hesaplarına izinsiz erişim sağlandığını veya bilgisayarlarının farklı hedeflere yönelik saldırılarda kullanıldığını hemen anlayamıyor hatta bazı durumlarda hiç fark etmiyor.

Yalnızca direkt olarak yönlendirilen fidye yazılımı gibi saldırılar anında etkisini gösteriyor ve bir şeylerin ters gittiği anlaşılıyor bunun dışındaki durumlarda ise bir bilgisayar hacklendiğinde gözle görülür bir fark olmuyor yani bilgisayarınızda, ağınızda veya bir web sayfasında “hacklendi” yazan bir uyarı ile karşılaşmıyorsunuz.

  1. Ağdaki bilgisayarları güvende tutmak yeterli

Değil. Tehditlerin çoğu dışarıdan geliyor ve sisteminize girmeye çalışıyorlar ancak güvenlik sorunları hiç beklenmedik noktalardan da karşınıza çıkabilir. Örneğin ağa bağlı olmayan IoT cihazları veya iç tehdit diyebileceğimiz kişilerden.

Burada hemen casus süpürgeler, akıllı tv, akıllı saat, casus bebek monitörleri gibi bireysel veya “Kendi Çalışanlarınız Kriptopara Madenciliği Yaparsa”, “Çalışanlarınız siber güvenlik risklerini neden umursamıyor” ve “Kuruluş İçi Tehditlerden Nasıl Korunuruz?” ​gibi kurumsal siber güvenlik sorunlarını ele aldığımız yazıları hatırlayabiliriz.

  1. Oltalama saldırıları tehlikeli değil zira ben oltalamayı yüz kilometre öteden tanırım

Oltalama saldırıları kullanıcı verilerini elde etmek için kullanılan ve her gün değişen ve gelişen bir saldırı türü. Birçok farklı çeşidi ile karşılaştığımız için “değişen ve gelişen” diyoruz. Bankanızın her zamanki web sayfasının birebir aynı ancak sahte olanı ile değiştirilmesinden, “Netflix kullanıcı adınızı değiştirin” yazan e-postalara kadar çeşitlilik gösterdiğini gördük.

Konu phishing ile de bitmiyor, sosyal mühendislik saldırıları vishing, smishing diye gidiyor. Telefon ile yapılan dolandırıcılıklar ile kullanıcı bilgileriniz alınabiliyor (vishing), cep telefonunuza gönderilen ve örneğin kargo firmasından geliyor zannettiğiniz “kargonuz ulaştı” SMS’i linkine tıklamanız yetebiliyor (smishing).

Tüm bunlara karşı aşırı bir güven içerisinde olup “ben kesin düşmem buna” demek daha büyük bir sorun haline gelebiliyor.

  1. Benim bilgisayarım bile yok!

Günümüz dünyasında işletim sistemine sahip olan her şeyin muhtemel bir hedef olduğunu düşünürsek hacklenmek için bilgisayara ihtiyacımız olmadığını da anlamış oluruz. Telefonların zaten hedef olduğunu biliyoruz da, yukarıda verilen süpürge, bebek monitörü, televizyon örneklerini de daha geliştirmek mümkün. Arabamızın da hacklenebildiğini hatırlayalım mesela (“Arabanız hacklenebiliyor mu?” yazısı içerisinde verdiğimiz link kendi arabanızın durumunu kontrol etmenize yardımcı olabiliyordu.)

Bu nedenle işletim sistemi sahibi tüm cihazların güvenliği aynı derecede önemli.

Yukarıda yer alan 10 başlık kullanıcıların bu tehditleri görmezden gelmesine neden olduğu için tehlike yaratıyor. Kötü amaçlı kişilerin verilerinize erişmesine veya en basitinden de olsa büyük de olsa bir hasara yol açmasına neden oluyor. Bu başlıkların yalnızca bir “mit” veya “güvenlik illüzyonu” olduğunu bilmek çevrimiçi olarak güvenli bir yaşam için atılan ilk adımlar olabilir.

Bir de, bunları sizin bilmeniz yetmiyor, lütfen paylaşın.

Başa dön