Cebinizdeki tehlike hayatınızı karartmasın

Günümüzde internet kullanıcılarının olmazsa olmazlarından e-posta, internet bankacılığı, e-alışveriş gibi birçok kullanım alanı kötü niyetli internet kullanıcıları tarafından istismar ediliyor. Özellikle son günlerde kötü niyetli yazılımların başında gelen phishing ve hesap bilgilerinizi çalmayı amaçlayan dolandırıcılıkları işin uzmanıyla konuştuk.

  • MELEK AYDIN
  • 0
  • 0
  • 0
  • 0
  • 0
  • 0
x

Tüm dünyada olduğu gibi Türkiye’de de siber korsanların en popüler yöntemlerinden biri olan “phishing” saldırıları son günlerde herkesi tehdit etmeye başladı. “Oltalama” veya “Kimlik avı” olarak da adlandırılan bu saldırılarda, internet kullanıcıları hedef alınıyor.  E-posta ve web siteleri linkine tıklayan kullanıcının, sahte siteler üzerinden kişisel bilgileri ele geçirilip, ödeme yapmaları amaçlanıyor. Konunun uzmanı Zararlı Yazılım Analisti Kağan Işıldak ile konuştuk. İşte yeni dolandırıcılık phishing ile ilgili bilmeniz gerekenler…

Phishing nedir? Saldırılarda nelerin çalınması amaçlanıyor?

İlgili kelime “password” ve “fishing” in birleşiminden oluşurken bizim dilimizde oltalama, yemleme anlamına geliyor. Günümüz siber dünyasında ofansif tarafta bulunan saldırı senaryolarında sıkça kullanılan bu teknik kimi zaman bireysel kullanıcılara ait şahsi bilgilerin ele geçirilmesini hedeflerken kimi zaman daha büyük odaklı hedeflere, kurumlara yönelik olan APT saldırılarının ilk adımları için kullanılabilir. Senaryolar insanların hoşlandığı ya da korktukları şeylere hitap ederek tasarlandıklarından dolayı bu tip saldırılarda, saldırıyı tasarlayan kişi ya da grup sadece kredi kartı bilgilerini de hedefleyebilir ya da uzun soluklu olacak bir saldırı zincirini başlatmak için kurumsal hedeflerde kurum çalışanlarının bulunduğu ağa dahil olmak amacıyla tasarladıkları zararlı yazılımları bu yöntem ile hedef sistemin içerisine yerleştirmeyi başarabilir.

Kötü amaçlı mailler veya siteler nasıl ayırt edilebilir?

Öncelikle oltalamalardan korunabilmek için bilinçli bir kullanıcı olmak gerekir. Bilinçli kullanıcıdan kastımız, sahip olduğu ve kullandığı uygulamaların dışında temel seviyede güvenlik prosedürlerini bilen ve internet üzerinde yaptıkları işlemler esnasında belli başlı kontrolleri sağlayabilen kullanıcıdır. Bu belli başlı kontroller ise olası saldırıları anlamak için oldukça önemli durumda. Sözgelimi hiçbir banka müşterisine mail yolu ile iletişime geçip kullanıcı bilgileri ile bir işlem yapmasını talep etmez yahut müşterisine ait şahsi bilgileri açık şekilde kullanamaz. Online banka işlemleri gerçekleştirilirken kullanıcı işlem yapacağı web sitesinin gerçekten bankaya ait olup olmadığını anlamak amacıyla sertifikaları kontrol edebileceği gibi ilgili sayfaya başka bir yol üzerinden eriştiyse ve alan adı orijinaliyle aynı gözüküyor olsa bile (homographattack) kendileri ilgili alan adını yazarak işlemi gerçekleştirmeleri daha uygun olur ki basit bir önlem olsa dahi saldırılardan korunmada yardımcı olacaktır. Bunun haricinde bu noktada kullanıcılar güvenlik ürünleri kullanarak da benzeri saldırılardan kendilerini koruyabilir. Kurumların karşılaştığı vakalar daha kompleks olduğundan alınan önlemler bireysel kullanıcılardan daha farklı durumda. Öncelikle kurum hedefli saldırılarda ağ içerisinde bulunan her kullanıcının aktivitelerinin incelenmesi, log ve alarm yönetiminin düzgün biçimde yapılması ve güvenlik operasyon merkezinde bulunan hiyerarşik yapı içerisinde her personelin alanında yetkin olması gerekmektedir. 

Hackerler kurbanlarını neye göre seçiyor?

Saldırılar bazen ideolojik bir amaçla bazen sadece eğlence için ya da sadece finansal anlamda kazanç sağlamak amacıyla yapılabiliyor. İdeolojik amaçlar doğrultusunda saldırı düzenleyenler mantık gereği kendi fikirleri ile ters düşen ve bu noktada kendi fikirlerini zedelediklerini düşünen kişi, kurum, kuruluş ve devletleri hedeflerken finansal amaç güden grup ya da kişiler bireysel kullanıcıların kart bilgilerine odaklanıyor ve daha büyük hedefler üzerinden data toplamaya gidebilir. 

İlgili hack vakaları incelendiğinde saldırıları düzenleyenlerin her ulustan olabileceğini görmek mümkün. Ancak bireysel kullanıcıların kart bilgilerini çalmayı hedefleyen saldırıların çoğunluğu Türkiye üzerinden gerçekleşiyor demek mümkün. Büyük çaplı kurumları hedefleyenler ise genellikle yabancı menşeili. 

SİBER GÜVENLİK İÇİN AR-GE DESTEĞİ ŞART

Siber güvenlik sektöründe pek çok işin ehli kişiye, topluluğa, şirkete sahibiz. Bu alanda durmadan çalışan ve güzel işler başarmayı hedefleyen insanların olması ülkemiz açısından çok önemli bir şey. Yaşanmış saldırılar ve riskli kurumlarından bu saldırılardan pay almasından sonra verilen önemin devlet ve özel alanda artması, bilinçlendirme çalışmaları, güvenlik operasyon merkezlerinin öneminin anlaşılması ve geliştirme çalışmalarının artması bizim lehimize olan şeyler. Ancak ne yazıktır ki hâlâ belli kurum ve kuruluşlarda -ki bunlar hem bireysel kullanıcıların dahil olduğu hem de tek başına kritik verilerin yer aldığı yerler- ilgili önlemler alınmıyor. Saldırganlar harekete geçmeden önce gerekli yerlerde yapılması gereken testlerin yapılması konusunda çekimser davranmaları süreci olumsuz etkiliyor. Bunun dışında hâlâ ürün bazında dışa bağımlılığımız devam etmekte ki en kritik sorunlardan birisi şu an budur. Çözüm için hızlı aksiyon alınması gerektiğini düşünüyorum. Kritik alanlarda konuşlandırılan ürünlerin ve cihazların kontrolü ya gerektiği gibi yapılmalı ya da ilgili alanda hizmet veren yerli şirketlerin AR-GE çalışmalarına gereken destek verilmelidir. Ben bu süreçlerin olumlu ilerleyeceğini düşünüyorum. Zira yapılan son teşvik çalışmaları ve kümelenme hareketi daha da hızlanacak ve gerekli adımlar atılmış olacak.

Bu yazıya ilk siz yorum yapın.

Yorumlar

Yorumlarınızı kendi özgür iradenizle yayınlamakta olup; bununla ilgili her türlü dolaylı ve doğrudan sorumluluğu tek başınıza üstlenmektesiniz. Yorum yaparak Toplum Kuralları ve Kullanım Koşulları'nı kabul etmiş sayılırsınız.

  • Lütfen birşeyler yazınız. Yorum alanı boş bırakılamaz.
  • Tebrikler! Yorumunuz onay sonrası yayınlanacaktır.
  • Mesajlarınız size hukiki sorumluluk doğurur.
  • Bir hata oluştu lütfen daha sonra tekrar deneyiniz!
 
Otobüs şoföründen duygulandıran hareket

Otobüs şoföründen duygulandıran hareket

En Çok Okunanlar