sosyal medya ağlarının kullanımı günlük yaşantımızın o kadar rutin bir parçası haline geldi ki, birçoğumuz gün içinde yaptığımız yüzlerce işlemin aslında bir güvenlik açığına yol açabileceğini düşünmüyoruz.

siber güvenlik alanında birçok haber yapmış ve uzmanlarıyla konuşmuş birisi olarak kısa süre önce uğradığım saldırı, sosyal medya hesaplarının sakladığı risk hakkında bana küçük bir ders verdi:

geç saatlerde gmail adresime tanıdığım bir kişiden başlıksız bir e-posta geldi. kendisini o saatte rahatsız etmek istemediğim için merak ederek google drive'da paylaşılan dosyayı görmek istedim (ilgimi çekeceği bir konu hakkında dosya gönderdiğini düşündüm). tıkladıktan sonra google drive'ı birebir kopya eden sahte sayfaya yönlendirildim ve şifreyi girdim. aynı gece saat 03.30'da gmail hesabım izinsiz giriş nedeniyle bloke edildi. sabah ise onlarca arkadaşıma hesabımdan sahte mail gönderildiğini öğrendim. hemen sosyal ağlardan gerekli uyarıyı yapıp en az yarım saat tüm şifrelerimi değiştirmekle uğraştım. kısaca, güvendiğim ve geçmişte birçok kez yazıştığım birisinden gelen sahte e-postanın 'oltasına takılmıştım.'

oltalama saldırısı, bugün facebook, twitter, gmail gibi sosyal ağ veya internet hizmeti kullanan sayısız insanı etkileyen saldırı türlerinden bir tanesi. gmail'in izinsiz girişi bloke etmesi, güvenlik duvarı ve anti-virüs kullanmam büyük sorunlara yol açabilecek sonuçları önledi.

hangi saldırılar öne çıkıyor?

maruz kaldığım oltamala saldırısının ardından gözden kaçırdığımız detayları değerlendirmek için görüşlerine başvurduğum bilgi güvenliği uzmanı osman doğan, sosyal medya hesaplarını korumak için sadece güçlü şifrenin yeterli olmadığını belirtirken, kullanıcıların güvenlik alanındaki bilgilerini sürekli güncellemeleri gerektiğini ifade etti. doğan, sosyal ağları tehdit eden saldırılar hakkında da bilgi verdi:

sosyal medya hesaplarına ait gizliliğin yüzde 100 sağlanması mümkün değildir. bu durum hem kullanıcının hem de twitter, facebook ve diğer sosyal ağların tek başına alacakları güvenlik önlemleri ile sağlanamaz. güçlü parola kullanımı bir nebze hesabın güvenliğini sağlayabilir ama tek başına yeterli değildir. bilginin silah olduğu günümüzde, ele geçirilmek istenen hesap ile ilgili zafiyetlerin belirlenmesi ve alternatif güvenlik zafiyetlerinin ortaya çıkarılması, hacker'ların motivasyon unsurlarını belirlemektedir. bu unsurları siyasi, dini, etik değerler, maddi kazanç veya ulusal menfaatler olarak örneklendirebiliriz.

herhangi bir motivasyon ile sosyal medya hesaplarının ele geçirilmesi ve kişisel bilgilerin ifşa edilmesi için farklı yöntemler izlenebilir. güvenlik uzmanları ve siyah şapkalı, beyaz şapkalı veya gri şapkalı hacker'lar farklı yöntemler kullanmaktadır. bu yöntemlerden bazıları şu şekildedir:

1. parola saldırıları: kullanıcı hesaplarına, elde bulunan parola listeleri ile denemeler yapılarak saldırı yapılabilir. başarı oranı parolanın elde bulunan listelerde  bulunma olasılığı kadardır. kullanıcının kendisi dışında birilerinin tahmin edebileceği doğum tarihi, tuttuğu takım gibi bilgilerin yer aldığı parola kullanımlarından uzak durulması, hesabın ele geçirilmesindeki başarı oranını düşürmektedir.

ayrıca twitter, facebook gibi uygulamaların belli parola denemeleri sonrası limit koyması ve captcha uygulaması ile yapılan saldırıları engellemesi söz konusudur. örneğin gmail uygulamasında 10'dan fazla parola denemesinde captcha çıkarması bu konuda bir önlem olarak karşımıza çıkmaktadır. yapılan analizlerde gmail tarafında 10 parola denemesinin 1000'e kadar çıkartıldığı görülmüş ve bu sınır şu an için aşılamamıştır.

2. mitm (man in the middle) saldırıları: bu yöntemde hacker kullanıcı ile web sitesi arasına girebilir ve tüm trafiği kendi üzerinden geçirerek kullanıcı adı/parola bilgilerine erişim sağlayabilir. bu saldırı türünde özellikle kullanılan tarayıcıda sertifika hataları alınır ve kullanıcı bu uyarıyıları görmezden gelirse saldırı başarılı olur. özellikle toplu internet kullanılan alanlarda bu saldırı türü sıklıkla karşımıza çıkmaktadır. 

3. oltalama saldırıları: bu yöntemde kullanıcıya gönderilen bir link ile sosyal platformların bir kopyası oluşturularak kullanıcının giriş yapması sağlanabilir. böylelikle giriş yapılırken kullanılan kullanıcı adı/parola bilgileri karşı tarafın eline geçmiş olacaktır. beklenmeyen parola resetleme gibi mailleri ile gelen linkleri açmamak veya açılan web sitesi adreslerini kontrol etmekte fayda var.

4. key logger: bilgisayar üzerinde yaptığımız tüm klavye hareketlerini kaydeden key logger ve benzeri uygulamaların bilgisayara yüklenmesiyle hesaplarınızın ele geçirilmesi mümkündür. bu tür saldırılara karşı sadece anti-virüs yazılımı kullanmak yeterli değildir. key logger uygulamalarının anti-virüslere yakalanmama özelliğini düşünürsek, imza tabanlı önlemlerden ziyade sezgisel analiz yapan güvenlik çözümlerini kullanmakta fayda olduğunu söyleyebiliriz. 

5. uygulama güvenlik açıkları ve zero day: yukarıda bahsettiğimiz yöntemlerin bir çoğu kullanıcı farkındalığı ve firmalar tarafından alınacak önlemler ile bertaraf edilebilir. fakat twitter ve facebook gibi sosyal ağlarda, güvenlik uzmanları tarafından tespit edilen ve bug bounty (ödül avcılığı) kapsamında bildirilmemiş güvenlik açıkları her iki tarafı da savunmasız bırakmaktadır.

sosyal medya hesabınızı kontrol edebilirler

siyah şapkalı veya beyaz şapkalı hacker ayrımı yapmaksızın firmaların tüm kaynaklardan yararlananarak kendilerini güvenlik alanında geliştirmeleri gerekiyor. her gün sosyal medya ve diğer kritik sistemlere ait zero-day (sıfırıncı gün) güvenlik açıkları çeşitli kişilerce satın alınıyor ve kullanılıyor. bu tarz platformlarda çıkan güvenlik açıkları ile yetkisiz erişim, yetki yükseltme gibi farklı risk seviyelerinde işlemler yapılabiliyor.

örneğin başkasının facebook duvarında paylaşım yapmak, twitter üzerinden direkt mesaj okumak veya whatsapp yazışmalarına ulaşmak mümkün olabilir. yakın zamanda birçok hollywood ünlüsünün maruz kaldığı apple icloud hack vakası da buna en önemli örneklerden biri. 

türk siber güvenlik uzmanlarının da üzerinde yoğun olarak çalıştığı saldırılar, özellikle e-posta hizmetlerini hedef alan eylemlerle gerçekleşiyor. eylül 2004'te yaşanan rusya merkezli saldırıda, 5 milyon google hesabını brute-force (deneme yanılma yöntemiyle yapılan saldırılar) yöntemiyle ele geçirilmişti. 

abd merkezli bir firmanın uğradığı en büyük saldırı olarak kabul edilen sony pictures saldırısında da hacker'ların 'çalışanlara ait kullanıcı adı ve şifreleri girerek' bilgisayarlara casus yazılım yükledikleri belirtilmişti. 

dünya bankalarını soydular

güvenlik firması kaspersky lab'in şubat ayında açıkladığı raporda duyurduğu 1 milyar dolarlık soygun da genel olarak parola ve oltalama saldırıları üzerinden gerçekleşti. hacker'lar dünyanın dört bir yanındaki bankalardan çalışanların göz ardı ettiği adımlar sayesinde yıllarca para çalmayı başardı.

hacker'lar banka çalışanlarına gönderdikleri ve virüs içeren e-postaların açılması sayesinde zamanla birçok bilgisayara erişerek nihayetinde bilgisayar sistemlerini ele geçirdi. ardından banka hesaplarından atm cihazlarına kadar birçok finansal araç ve hizmetin şifrelerine ulaşıldı.

en son aşamada, saldırganlar çevrimci bankacılık, para transferleri, atm'den para çekme yöntemleriyle 1 milyar doları cebe indirdi. en az bir yıl süren saldırılarda 30 ülkedeki sayısız bankada kullanılan bilgisayarların ekranlarından görüntü alındı, kişisel hesapları ele geçirildi.

'carbanak cybergang' adı verilen örgütün düzenlediği küresel banka soygunu, dikkat etmediğimiz takdirde ortaya çıkacak güvenlik sorunlarının 'mega ölçeğini' temsil eden bir örnek.

'diploma veya yaşa önem vermeyin'

doğan, siber güvenlik alanında iyi ve kötü niyetli ayırt etmeksizin her yaştan çok yetenekli kişilerin bulunduğunu hatırlatarak, bu kişiler tarafından yapılan uyarıları yetkililerin ciddiye alması gerektiğini, aksi durumda zarar görmenin kaçınılmaz olacağını ifade etti.

bireysel kullanıcılardan firmalara kadar bilgi güvenliği alanında kendini geliştirmek isteyenler, diploma, yaş, kurumsallık ve dünya görüşü gibi kriterlere takılmadan güvenlik uzmanlarına kulak vermeli ve şapka rengi ne olursa olsun bilgi, beceri ve tecrübelerinden faydalanmalı.

Bilgi Güvenliği uzmanı Osman Doğan.

siber güvenliğe milyonlarca dolar yatırım yapılmasının sadece ürünlere odaklı kalarak etkili olmayacağına da dikkat çeken doğan, ileriye dönük önlemler geliştirilmediği sürece saldırıların devam edeceğini belirtti.

siber güvenlik ekosisteminde yetenekli çok sayıda genç insanın olması, risk seviyesini de bir o kadar artırmaya devam ediyor. gelişen teknolojiler ve saldırı çeşitleri, merak, bilgi ve bolca zamana sahip hacker'ları genelde kötü eğilimlere sürüklüyor. internet kullanıcıları, bu aşamada bağlarını koparamayacakları dijital dünyalarını çok iyi korumayı öğrenmek zorunda.

iki adımlı doğrulama riski azaltıyor

sosyal ağ kullanıcıları şifrelerini girmeleri gereken her an bir risk altına girebilir. güvendiğiniz kişilerden de geliyor olsa doğrulama yapmadan şüpheli görülen maillerin açılmaması, özellikle finansal işlemlerde büyük önem taşıyor.

gmail'de yaşanabilecek ihlalleri önlemenin bir yolu, iki adımlı doğrulama kullanmak. birçok internet hizmetinde kesin çözüm olarak görülen bu yöntemle hesabınıza belirleyeceğiniz mobil cihaza gelen şifreyle giriş yapıyorsunuz. bireysel kullanım için uzun olabilse de, farklı bilgisayarlardan hesabınıza girmek istediğinizde hesabınızı korumanız için iki adımlı doğrulama büyük önem taşıyor.

gmail'de bu içeriği etkin hale getirmek için google + sayfasında profil fotoğrafına tıklayarak 'hesap' seçeneğini tıklamanız gerekiyor. ardından çıkacak hesap ayarları ekranında ilk kontrolleri yaptıktan sonra belirecek ekranda '2 adımlı doğrulama'yı seçerek devam edebilirsiniz.

kaynak: al jazeera