Tüm web sitelerinde aynı şifreyi mi kullanıyor musunuz? Peki ya Facebook’ta çok vakit geçiriyor musunuz? Bu iki soruya da evet cevabını veriyorsanız siber suçluların hedefi hâline gelme ihtimaliniz yüksek.
Facebook ve benzeri sosyal ağlarla birlikte tedbirsiz ve başkalarına kolayca güvenen insanlar için internet Vahşi Batı’dan farksız hâle geldi. Dijital dünyadaki saldırganların meydana getirdiği siber olaylardan ötürü her yıl milyarlarca dolar zarar ortaya çıkıyor.
Hazır olan ve düzenli biçimde çalışan bir sisteme gereğinden fazla güvenme hatasına düşebiliyoruz. Siber korsanların verilerimizi ele geçirmek için fırsat kolladığı bir ortamda rahat hareket etmemiz mümkün değil. Suç odaklı çeteler, ne tür bilgiler peşinde koşacaklarını ve bunlara nasıl ulaşabileceklerini gayet iyi biliyorlar. Aksine biz kullanıcılar bu saldırganların ne aradığını tam olarak bilemiyoruz.
Peki ama neyin peşindeler? Günümüzde çok sayıda farklı türden saldırı görmekteyiz. Bazı fırsatçılar gerçekmiş gibi görünen sahte e-postalar göndererek linklere tıklamamızı ve şifrelerimizi ele geçirmeyi istiyor. Organize suç örgütleriyse işletmeleri ve hükümet sistemlerini hedef alarak gizli ve önemli bilgileri ele geçirmek için uğraşıyor. Siber suçlardan doğan zararların milyarlarca dolara ulaştığı günümüzde bu çalışmaların büyük kısmı işletmeleri hedef alıyor, endüstriyel casuslukla gizli bilgileri ele geçirmeye odaklanıyor.
Siber suçlular, sosyal medyanın yaygınlaştırdığı paylaşma kültüründen ve gelişmiş zararlı yazılımlardan yararlanarak kişi ve kurumlara karşı daha etkili saldırılar geliştirebilir hâle geldiler. Arkadaşlardan ya da banka gibi güvenilir şirketlerden gelmiş gibi görünen ve çoğu durumda dikkatimizi çekmeyi başaran sahte e-postalar, sosyal ağlarla bağlantısı varmış gibi görünen içerikler kullanıcıyı ters köşeye yatırıyor. “Phising” denilen bu tür saldırılarda Zeus, SpEye, Citadel gibi truva atları bilgisayarınıza yerleşiyor ve online bankacılık gibi uygulamalarda verileri ele geçirebiliyor. Güvenliği ortadan kalkmış bir sistemde yapılan tüm işlemler saldırı sitesine yönlendiriliyor. Bankanızla bağlantı kurduğunuzda bilgi akışı “ortada duran adam” görevini üstlenen saldırı sitesinden geçiyor. Tek kullanımlık şifreler bu türden saldırılara karşı devreye sokuldu.
Yeni tip “ortada duran adam” saldırılarında zararlı kod daha kapsamlı ve kullanıcı oturum açtıktan sonra beklemeye geçiyor, oturumu kapattığınızda size onay mesajı gösterse de arka planda oturumu sürdürüyor ve hiç belli etmeden başka hesaplara para aktarımı gerçekleştirebiliyor. Bu işlemleri kullanıcının fark edebilmesi için bir sonraki oturumunu açması gerekiyor ki kimi zaman günlerce fark etmeden hayatınıza devam edebilirsiniz. Kedi-fare kovalamacası ara vermeden devam ediyor diyebiliriz.
1- Beklemediğiniz linklere tıklamayın
En temel kuralla başlıyoruz. Saldırganların bilgisayarınızı kontrol altına almak için kullandığı en popüler yöntem, belirli bir linke tıklamanızı ya da e-posta ekini açmanızı sağlayarak sisteminize yerleştirdikleri zararlı bir kod. Bazı sahte e-postalarda kimi zaman yazım hataları gibi dikkat çeken sorunlar gözlenebilir ama özel biçimde hazırlanmış, çok sayıda kullanıcıyı hedef alan e-postaları gerçeğinden ayırt etmek imkânsız olabilir. Sosyal medyadan ötürü saldırganlar kişileri daha iyi tanıyabiliyor ve hedefleri daha başarılı biçimde belirleyebiliyor. Nelerden hoşlandığınızı görebilir, bunu esas alarak ilginizi çekecek sahte e-postalar gönderebilirler. Böylece linklere tıklama ihtimaliniz yükselir. Bu hataya düşmeyin!
2- Farklı sitelerde farklı şifreler kullanın
İnternet kullanıcılarının 100 civarı hesaba sahip olduğu düşünülürse çoğunun bir ya da iki ayrı şifreyi tüm sitelerde kullanması; bu şifrenin takım, evcil hayvan, sevilen kişi adı gibi basit kelimeler olması çok sık karşılaşılan bir durum. Yapılan araştırmalara göre kullanıcıların %55’i üye oldukları sitelerin neredeyse tümünde tek bir şifreyi kullanıyor. Bu şifreyi doğum tarihi ya da kendi adı olarak seçenlerin oranıysa %26. Basit bir taktik önerelim: “En sevdiğim oyuncu Robert de Niro” cümlesinde kelimelerin baş harflerini EsoRdN şeklinde dizerseniz ve Es0RdN şeklinde değiştirip bir de rakam eklerseniz hiç de fena olmayan ve hatırlaması kolay bir şifre türetebilirsiniz. Bu şifreyi farklı sitelere uygulamak için sitenin adındaki ilk harfi başa, son harfi sona eklersek örneğin Gmail için GEs0RdNl gibi karmaşık bir şifre olur. Sizin için hatırlaması kolay, saldırgan için kırması zor…
3- Ana e-posta hesabınızın şifresini asla başka yerde kullanmayın
Ana e-posta adresinizin şifresini kıran bir saldırgan sanal krallığınızın ana kapısını ardına kadar açmış demektir! Ziyaret ettiğiniz diğer sitelerde kullandığınız şifreleri sıfırlamak için e-posta hesabınızı ele geçirmesi yeterli olacaktır. E-postalarınız içinde gezinen ve kişisel bilgileri tarayan bir saldırgan, banka ve kimlik bilgileri, doğum tarihi ve yeri gibi bilgileri ele geçirerek kimlik sahtekârlığı yapabilir.
4- Antivirüs yazılımı kullanın
Alman güvenlik enstitüsü AV-Test’in araştırmasına göre 2010 yılı içinde 49 milyon yeni zararlı kod türetildi. Demek oluyor ki antivirüs firmaları zamana karşı yarış içindeler ve virüs tanımlarını güncellemek için kaybedecek dakikaları bile yok. Bazı durumlarda antivirüs güncellemeleri beklendiği kadar hızlı sunulmuyor. ABD merkezli Imperva firması 40 farklı antivirüs paketini test etti ve çok yeni bir virüsün tespit edilme olasılığının %5 olduğunu ortaya çıkardı. Grip virüsleri ve aşı geliştirme çalışmalarında olduğu gibi yazılım geliştiricilerin de hacker’lara yetişmesi zaman alıyor. AV-Test’in 22 ay boyunca 27 farklı antivirüs paketiyle gerçekleştirdiği çalışmalarda listenin en üstüne çıkmayı başaranlar Bitdefender, Kaspersky ve F-Secure oldu. Buna rağmen 42 ayrı paketle yapılan denemelerde zararlı kodları yakalama oranının ortalama %25 olduğu görüldü. Sonuç olarak sadece antivirüs kullanmak yeterli olmuyor.
5- Şüpheleniyorsanız engelleyin
Tanımadığınız birinden Facebook arkadaşlık teklifi ya da LinkedIn bağlantı isteği geliyorsa “hayır” demeniz uygun olacaktır. Aslında otobüste gördüğünüz ve tanımadığınız birini evinizde çay içmeye davet etmekten çok farklı bir durum değil.
6- Tweet göndermeden ve bilgi paylaşmadan önce iki kez düşünün
Buradaki risk yine kimlik hırsızlığı. Çöp kutularına dalıp bilgi araştırmanın modern çağdaki karşılığı online ortamda kişisel bilgi taraması yapmak. Banka dökümleri gibi bilgileri kâğıt imha makinesine yerleştirenlerin bir kısmı bu bilgileri sosyal ortamda paylaşmaktan çekinmiyor. Bilgi bir kez online ortamda paylaşıldıktan sonra başkalarının onu nasıl kullanacağını kontrol edemiyorsunuz. Taksim Meydanı’nda dikilip bu bilgileri yüksek sesle okumayı kabul edemiyorsanız sosyal medyada paylaşmayın.
7- Telefonunuzu uzaktan silmeyi etkinleştirin
Find My iPhone, Android Lost veya BlackBerry Protect gibi uygulamalar sayesinde cihazınız kaybolur ya da çalınırsa kişisel bilgileri uzaktan silebilirsiniz. Uzmanlara göre bu tür uygulamalar mutlaka kullanılmalı ve ayarları yapılmalı. Telefonunuzu biri ele geçirirse, uzaktan silme işlemi sayesinde bilgilerinizin başkalarının eline geçmesini engelleyebilirsiniz.
8- Sadece güvenli sitelerden alışveriş yapın
Kredi kartı bilgileriniz girmeden önce adres satırında kilit simgesini görüp görmediğinizi kontrol edin. Sitelerde güvenli moda girildiğinde adresin başındaki http kısmı https olarak değişir ve güvenli bağlantı olduğu anlaşılır. Bazı sitelerde oturum açıldıktan sonra http moduna geri dönüş yaşanabiliyor.
9- Parolasız Wi-Fi noktalarına tereddütle yaklaşın
Çoğu Wi-Fi erişim noktasında içeriğe şifreleme uygulanmaz. Bu durumda, cihazınızdan çıkan bilgiler kablosuz yolla iletilirken tamamen korumasız olarak havada dolaşır. Veri paketlerini izleyen programları kullanarak ya da aynı ortamdaki bir bilgisayara yerleştirilen zararlı kodlar yardımıyla verileriniz ele geçirilebilir. Halka açık kablosuz ağları kullanarak bankacılık işlemi yapmayı düşünüyorsanız her şeyinizi riske atıyorsunuz demektir. Şifreleme yapan programlar kullanmanızı ya da halka açık kablosuz erişim noktalarını kullanırken sadece halka açık olabilecek işlemleri gerçekleştirmenizi öneriyoruz.
10- Kredi kartı bilgilerinizi sitelere kaydetmeyin
Bazı siteler bir sonraki alışveriş sırasında işinizi kolaylaştırmak adına kredi kartı bilgilerinizi saklamak ister. Büyük sitelere gerçekleşen saldırılarda ele geçirilen kredi kartı bilgisi inanılmaz boyutlarda. Bu tür olaylar artık hiç de sıra dışı değil. O zaman neden gereksiz risk alasınız ki? Alışveriş sırasında fazladan iki dakika harcamanız gerekebilir ama kredi kartı bilgilerinizin daha güvende kalmasını sağlayabilirsiniz.
11- Diğer cihazları korumak için DNS servisi ekleyin
DNS (alan adı sistemi) servisleri, www.adres.com gibi internet adreslerini makinelerin anlayabileceği IP adreslerine (sayı dizilerine) dönüştürür. Muhtemelen standart olarak internet servis sağlayıcınızın DNS servisini kullanıyorsunuz ama OpenDNS (www.opendns.com) veya Norton ConnectSafe (dns.norton.com) gibi başka bir servisi kullanabilirsiniz. Bu sayede zararlı bir siteye bilmeden girmek istediğinizde otomatik olarak yönlendirme gerçekleşir ve zararlı kodlar sisteminize ulaşmaz. Aynı zamanda ebeveyn koruması eklemek için de destek alınabilir. Evinizde bulunan tablet, TV, oyun konsolu gibi güvenlik yazılımı kullanılamayan tüm cihazlar koruma altına alınabilir. Bu sistemler de aşılabildiği için tek başına yeterli olacaklarını düşünmeyin ve ek önlemler almaya devam edin.
12- İki aşamalı doğrulamayı etkinleştirin
Eğer e-posta veya bulut depolama servisiniz destekliyorsa (Gmail, Dropbox, Apple, Facebook ve Twitter destekliyor.) biraz zaman ayırıp iki aşamalı doğrulamayı etinleştirin. Şifrenizi girdikten sonra SMS ile cep telefonunuza gönderilen veya mobil uygulama yardımıyla oluşturduğunuz ikinci kodu girmeniz gerekecek. Gmail’in uygulamasında sadece 30 günde bir ya da başka bir bilgisayardan/cihazdan oturum açınca bunu girmeniz gerekiyor. Bir hacker şifrenizi ele geçirse bile telefonunuza gönderilen geçici kodu bulamayacağı için çaresiz kalacak, hesaplarınıza erişemeyecek.
13- Telefon ve tabletinizde kilit ekranını kullanın
Evinizin kapısını kilitlediğiniz gibi cihazlarınızı da kilitlemelisiniz. Bir şifreyi ya da kodu günde 40 kere girmek zorunuza gidebilir ama ilk güvenlik hattı olarak kullanılması öneriliyor. Gelecek nesil cihazlarda parmak izi okuyucular yaygınlaşacak ve güvenlik seviyesi daha iyi hâle gelecek.
14- Facebook hesabınızı kilitleyin
Facebook düzenli olarak profil sayfası ve gizlilik ayarlarında değişiklikler gerçekleştiriyor. Bu nedenle profilinizi arada bir kontrol etmeniz ve özellikle de Facebook tasarımı değiştiğinde gözden geçirmenizde fayda var. Gizlilik ayarları menüsünde paylaşımlarınızı kimlerin görebileceği kısmında “Arkadaşlar”ı seçmeniz önerilir. “Arkadaşlarımın arkadaşları”nı seçerseniz ortalama 150.000 kişi bilgilerinizi görebilir hâle geliyor. Ayrıca geçmiş gönderilerinizin hedef kitlesini de arkadaşlarınızla sınırlayın. Son olarak, diğer arama motorlarının zaman tünelinize bağlantı verebilmesini engelleyin.
Gönderilerinize ait tüm geçmişi içeren ve onları kimlerin görebileceğini belirleyen hareketlere ait kayıtları da kontrol etmelisiniz. Fotoğraf albümlerine bakıp her bir albüm için paylaşım seçeneklerini belirlemelisiniz. Arkadaşlara ait listeler oluşturup aile, yakın arkadaş gibi ayrımlar yapmalı ve paylaşımlarda dikkate almalısınız. Ev adresi, telefon numarası, doğum tarihi gibi sahte kimlik için kullanılabilecek bilgileriniz asla paylaşılmamalı. Beğeni listeniz ve üye olduğunuz gruplar halka açık olmamalı. Hacker’lar sizinle ilgili ne kadar fazla bilgi elde ederse, o derece ikna edici sahte e-postalar hazırlayabilir. Facebook uygulamaları çoğu durumda bilgilerinizi paylaşır. Kullanmadığınız ve kurduğunuzu hatırlamadığınız uygulamaları silin. Profilinizi başkaları gibi görmek için ilgili moda girin ve profilinizi kontrol edin, beğeneceğiniz biçime getirene kadar değişiklikler yapın. İçinden çıkılmaz derecede rahatsız edici bir duruma geldiyse hesabınızı silebilirsiniz.
