GeriCan Erginkurban Akıllı gençler kurnaz dolandırıcılara karşı uyanık olmalı
MENÜ
  • Yazdır
  • A
    Yazı Tipi
    • Yazdır
    • A
      Yazı Tipi

Akıllı gençler kurnaz dolandırıcılara karşı uyanık olmalı

Dolandırıcılık, en genel anlamıyla aldatma amacı ile yapılan kasıtlı eyleme verilen isim. Kurbanlarını aldatarak mal ya da paralarını almaya çalışan kişiler birçok alanda dolandırıcılık yapıyorlar. Dijital dünyaya geçmeden önce de hayatımızın her alanında yer alıyordu dolandırıcılar. Teknolojinin yaşam alanımızın önemli bir parçası haline gelmesi dolandırıcılara yeni iş kapıları da açtı.

Siber dolandırıcılar  para ya da para edebilecek bilgileri elde edebilmek için her yaş ya da meslek grubunu hedefleri içine alabiliyor. Çocuklar, gençler, yaşlılar; öğretmenler, diplomatlar, bankacılar onlar için amaçlarına ulaşabilmek için birer odak noktası. Herkesi nasıl kandırabileceklerini düşünerek ve planlayarak hareket ediyorlar. Bizim de siber güvenlik profesyonelleri olarak işimiz bu teknolojik okuryazarlığı her yaş grubuna öğretebilmek, tehlikeler hakkında bilgi verebilmek.

Sizlerle paylaşmak istediğim belki dijital okuryazarlığı diğer yaş gruplarına göre daha iyi olduğunu düşündüğümüz gençlerin siber suçlular tarafından nasıl hedef alındıkları olacak. Gençleri hedef alan bazı yaygın dolandırıcılıklara ve bunlardan nasıl korunacağımıza birlikte göz atalım. Eğer bir ebeveynseniz, bu tavsiyeleri çocuklarınızla paylaşmak, onların ve tüm ailenizin internette güvende kalmasına yardımcı olmak isteyebilirsiniz.

Sosyal medya dolandırıcılıkları

Sosyal medya çoğu genç için dijital oyun alanı olduğundan, girişimci dolandırıcıların onları, zamanlarının çoğunu geçirdikleri yerde hedeflemeye çalışmaları çok normal. Sosyal medya dolandırıcılığı çeşitli şekil ve boyutlarda olabilir, yani herkese uygun bir tek beden ürün gibi değildir. Daha yaygın olanlardan bazıları, ünlülerle ilgili şok edici başlıkları olan kısa makalelere bağlantılar gibi görünür. Ancak, böyle bir bağlantıya tıklayınca, kötü amaçlı bir web sitesine yönlendirilirsiniz.

Dolandırıcılar kurbanlarıyla yarışmalara veya çekilişlere katılma teklifleri içeren mesajlar aracılığıyla doğrudan iletişime geçebilirler, ancak yine de paylaşılan bağlantı, gençleri cihazlarını zararlı yazılımlarla istila edecek veya hassas bilgilerini onlardan almaya çalışacak hileli bir web sitesine yönlendirecektir.

İndirimli lüks ürünler

İnternette artan bir başka yaygın aldatmaca ise, sosyal medyada yayımlanan sahte reklamlarla, komik derecede düşük fiyatlarla lüks ürün satışı tekliflerine yönlendiren içeriklerdir. Dolandırıcılar, tekliflerini gençlere cazip hale getirmek için, çok pahalı olan sınırlı sayıda spor ayakkabılar, normal bir maaş veya yarı zamanlı çalışan birinin karşılayamayacağı kadar pahalı olan markalardan kıyafetler veya çevrimiçi sahte Ray-Ban mağazaları gibi onlara hitap edecek markalar ve ürünler sunmaya çalışırlar.

Bu hile, bu ürünlerin geniş bir yelpazesini sunan sahte bir e-ticaret sitesi oluşturmaktan ibarettir; ancak, satın alma işleminden sonra, size ya bir sahte ürün gönderirler ya da hiç bir şey göndermezler. Ve en kötü senaryoda, kredi kartı bilgilerinizi paylaştıysanız, siber suçlular bu bilgileri kullanarak kartınızdan izinsiz harcamalar yapacaktır.

Burs dolandırıcılığı

Lise mezuniyeti yaklaştıkça, gençler hayatlarındaki bir sonraki adıma ilerlemek için plan yapmaya başlarlar; bu planlar genellikle bir üniversitede iyi derece peşinde koşmayı içerir. Ancak, üniversiteye gittiğiniz yere bağlı olarak, bu hedefler oldukça pahalı olabilir, bu da kısmi de olsa öğrenim ücretlerini karşılayacak bir burs arayışına yol açar.

Dolandırıcılar, çeşitli şekillerde hileli burslar oluşturarak maddi yardım arayan öğrencileri avlamaya çalışırlar.

Örneğin, bu sahte burs programları genellikle başvuru sahibinin bir “kayıt ücreti" ödemesini gerektirir; ancak, kazanılacak bir burs yoktur ve dolandırıcı ücreti cebe atacaktır. Alternatif olarak, aldatmaca, katılımcının vergi masraflarını gerekçe göstererek bir “işlem ücreti” veya “ödeme ücreti” ödemesini gerektiren bir burs çekilişi şeklinde olabilir, ancak sonuç aynı olacaktır.

İstihdam dolandırıcılığı

Konserler ve seyahatlerden tutun da ayakkabı çılgını ya da moda meraklısı olmaya kadar çeşitli ilgi alanlarına sahip bir genç olmak, hepsini harçlığınızla karşılayamayacağınız için hiç de kolay değildir. Doğal olarak, masraflarınızı karşılamak için yarı zamanlı bir iş aramak istersiniz.

Genç iş arayanları hedeflemek için siber suçlular, genellikle gerçek olamayacak kadar iyi görünen hileli istihdam teklifleri yaratır. Dolandırıcılar meşru iş arama platformlarında sahte iş ilanları yayımlayarak ve genellikle evden çalışmanıza ve yüklü bir maaş almanıza imkân veren pozisyonlar sunacaktır. Bununla birlikte, nihai amaç, daha sonra kurbanlarının adlarına banka hesapları açmak veya kimliklerini sahte belgeler oluşturmak için kullanmak gibi çeşitli yasadışı faaliyetlerde kullanılacak kişisel bilgilerinizi edinmektir. Bunun dışında aracı kurum olduklarını söylerek sizden belli bir ücret de talep edebilirler. Tabi ki belirtmeye gerek yok, bu bir yalandır.

Catfishing dolandırıcılığı

Dijital çağdaki birçok şeyde olduğu gibi, romantizm arayışı bile çevrimiçi hale geldi. Çevrimiçi arkadaşlık platformları romantizm dolandırıcıları için bol ödüllü bir avlanma alanı. Bu sahtekârlar, sadece arkadaşlık sitelerinde takılmak yerine kurbanlarını genellikle sosyal medyada arayarak onlara özel mesaj yoluyla ulaşırlar.

Hile genellikle hedeflerinin çekici bulacağı bir kişiyi taklit etmekten ibarettir. Dolandırıcı daha sonra nihai hedeflerine yani kurbanının parasına ulaşana kadar onları kandırmaya devam edecektir. Ne yazık ki, bazı durumlarda siber suçlular, özel fotoğrafları paylaşma tehdidiyle kurbanlarını manipüle etmek gibi iğrenç taktikleri tercih ederler ve daha sonra uygunsuz fotoğrafları sevdiklerine ve halka göstermekle tehdit ederek para koparmak için şantaj yapmaya devam ederler. 

Kendinizi nasıl korursunuz

Gençleri hedef alan kamyon dolusu dolandırıcılık olmasına rağmen, kendilerini korumalarının da çeşitli yolları vardır:

* Cazip görünen bir iş teklifine rastlarsanız, ancak bundan şüphe duyuyorsanız, şüpheli bir şey olup olmadığını görmek için şirketle ilgili hızlı bir web araması yapın. Ayrıca, kişisel bilgilerinizi yalnızca işe alındıktan sonra, maaşınızı alabilmek için paylaşmanız gerekeceğini unutmayın.

* Benzer tavsiyeler burslar için de geçerlidir. Eğer bir burs arıyorsanız, bir web araması yaparak ve hatta doğrudan ofisleriyle iletişime geçerek bursu sunan kuruluşun meşru olup olmadığını kontrol ettiğinizden emin olun. Asla ve asla “işlem” ya da “avans” ücreti gibi ödemeler yapmayın.

* İnternetin altın kuralını unutmayın: “gerçek olamayacak kadar iyi görünüyorsa, o zaman muhtemelen gerçek değildir”. Yani, komik fiyatlı bir çift sınırlı sayıda üretilmiş Jordan'a rastlarsanız, bu kesinlikle bir aldatmacadır. Hâlâ ilginizi çekiyorsa, satıcıyla ilgili kötü bir şey olup olmadığını görmek için internette onları araştırın.

* Tanımadığınız birinden istenmeyen bir mesaj alırsanız, ve bu mesaj özellikle şüpheli bir teklif veya bağlantı içeriyorsa gözünüzü açık tutmalısınız. Her durumda, yapılacak en iyi şey mesajı görmezden gelmektir ve tanımadığınız kişilerden gelen bağlantılara tıklamamalısınız.

* Bir yabancının sizle temas kurmaya çalışması ve birkaç mesaj sonra size olan aşkını  itiraf etmeye başlaması durumunda, örümcek hisleriniz hareketlenmeye başlamalıdır. Hızlı bir ters görüntü aramasıyla birinin kimliğine bürünüp onu taklit edip etmediklerini ortaya çıkaracaktır.

X

Veri sızıntıları hangi tehlikelere yol açar?

Veri günümüzde en değerli bilgi konumunda. Verilerin dijitalleşmesi devletlere, kurumlara, araştırmacılara, akademisyenlere ve aklımıza bir çırpıda gelmeyecek birçok meslek grubunun çalışmalarına değer ve anlam katıyor. Verinin dijitalleşmesi ve anlamlandırılması üzerine yeni meslek dallarının oluşması bu önemin sonuçlarından birisi olarak görülüyor. Ne yazık ki her bilgi ve her gelişme iyi ve yararlı amaçlar için kullanılmıyor. Siber suçlular diye genelleştirdiğimiz ve çok büyük bir ekonominin paydaşı olan kötü niyetli kişi ve organizasyonlar da verilerin peşinde. Son zamanlarda haberlerde daha çok rastladığımız veri sızıntılarını gelin bu gözle bir değerlendirelim.

2021 yılı içerisinde birçok bilinen, internet kullanıcılarının yoğun olarak kullandığı, yüksek profilli firmadan veri sızıntısı haberleri geldi. Bunların bir kısmı günceldi, bir kısmı ise aylar hatta yıllar öncesinde gerçekleşen sızıntıların yeni ortaya çıkmasıydı. 

Veri sızıntısı haberlerinin son zamanlarda artması sızıntıların arttığı anlamına gelmiyor. Bu tür saldırılar ve sızıntılar dijital çağa adım attığımızdan beri yaşanıyor fakat pek azı açığa çıkıyordu. Son yıllarda GDPR, KVKK gibi düzenleyici kurumların yayınladığı kanunlar nedeni ile sızıntı veya saldırı yaşayan kuruluşlar bunu bildirmek zorundalar. Dolayısı ile karşımıza her gün yeni bir haber çıkıyor. 

Her gün çalışan ve internete düşen veriler siber suçlular için büyük bir gelir kaynağı. Saldırganlar sızdırdıkları verileri birkaç farklı şekilde kullanıyorlar. 

Verilerinizi başka suçlulara satıyorlar: Çalınan veriler karanlık web dediğimiz aramaya kapalı sadece bilenlerin girdiği internet sitelerinde bir, iki dolardan başlayarak on binlerce dolara çıkan fiyatlarla satıştalar. Satın alanlar bu verileri kendi art niyetli amaçları için kullanıyorlar. 

 

Kimlik hırsızlığına giden yolun köşe taşları: Sızan verilerimiz arasında bulunan telefon numarası, adres, kimlik bilgilerimiz gibi veriler sahte kimlikler yaratmak amacı ile kullanılıyor. Suçlular bu sayede adımıza kredi kullanmaktan, cep telefonu hattı satın almaya kadar her şeyi yapabiliyorlar. 

Diğer hesaplarımızı ele geçirmek için: Çalınan kişisel verilerimiz sayesinde alışveriş sitelerindeki hesaplarımız kolayca ele geçirilebiliyor. Hesapta ödeme bilgilerimiz de kayıtlı ise saldırganların adresi değiştirip yüklü miktarda alışveriş yapmaları işten bile değil. 

Phishing saldırıları: Birçok kişisel bilgimize sahip olan saldırganların kredi kartı ve ödeme bilgilerimizi de ele geçirmek için oltalama saldırıları düzenlemeleri oldukça kolay oluyor. 

Yazının Devamını Oku

Sosyal medya hesabını çaldıranlar nelere dikkat etmeli?

Zamanımızın önemli bir kısmını kapalı mekanlarda geçirdiğimiz için yaşam alışkanlıklarımız, iş yapış şekillerimiz, boş zamanlarımızı değerlendirme yöntemlerimiz değişti. Bu değişim her yaş grubunda görülüyor. TV yerine dijital platformları izlemeyi ya da kullanmayı tercih edenlerin sayısı artıyor. Sosyal medya uygulamaları artık çok daha fazla talep görüyor. Uzak kaldığımız arkadaşlarımız, dostlarımız ile sosyal medya platformları üzerinden bağlantı kuruyoruz. Alışveriş tercihlerimiz, sıklığımız değişti. Hatta insanlar tasarruf araçlarını ve yöntemlerini bile değiştirdi.

Bu değişimi takip edenler sadece toplumbilimciler, eğitimciler ya da pazarlama profesyonelleri değil. Bilgi ve deneyimleriyle, dijital ortamlarda yasal olmayan yolları kullanarak para kazanan siber suçlular da gelişmeleri yakından izliyorlar. Kolay yoldan para kazanabilmek için uygun zamanı ve ortamları takip ediyorlar. Kullanıcılar için bir eğlence ve sosyalleşme aracı olan sosyal medya platformlarında geliştirdikleri yöntemler ile istediklerini elde etmeye çalışıyorlar. 

Pandemi döneminde beklentilerin aksine sosyal medya araçlarına yapılan saldırılarda bir artış ya da azalış olmadı, düzenli bir şekilde yaşanmaya devam ediyor. Büyük saldırılar gerçekleştiğinde ilgimizi ve dikkatimizi çekiyor, gündemde daha fazla yer buluyor. 

Bu tür saldırıların, siber suçlular nezdinde popüler olmasının en büyük sebeplerinden biri saldırganların kısa bir sürede ve az efor ile kitleleri etkileyebiliyor olmaları. Motivasyon çoğunlukla her zamanki gibi para! Örneğin geçen yıl Twitter çalışanlarını hedefleyen oltalama saldırısını görüyoruz. Bu saldırı sonucu ele geçirilen Barack Obama, Elon Musk gibi ünlülere ait hesaplar daha sonra kripto para borsalarına yönelik dolandırıcılık saldırılarında kullanıldı. 

Facebook, Twitter, Instagram, Reddit ve yeni platform ClubHouse bildiğimiz sosyal medya hesaplarından. Bazı dönemler platformun popülerliğine göre biri saldırı hedefi olarak öne çıkıyor, gelecek ay bir diğeri. Örneğin bugünlerde sahte Clubhouse uygulaması kullanılarak yapılan saldırı yine ön planda yer aldı.  ESET zararlı amaçlı yazılım araştırmacılarından Lukas Stefanko, siber suçluların birçok çevrimiçi hizmetteki kullanıcı giriş bilgilerini çalmayı amaçlayan, kötü amaçlı bir yazılımı tespit etti.  Zararlı yazılım Clubhouse uygulamasının popülerliğinden faydalanmaya çalışıyor ve uygulamanın aslında var olmayan sahte bir android sürümü üzerinden kullanıcıları aldatmaya çalışıyor. Bu kötü amaçlı yazılım, 458 uygulamadaki giriş kimlik bilgilerini ele geçirebiliyor ve SMS tabanlı iki faktörlü kimlik doğrulamayı atlatabiliyor. Hedef listesinde, tanınmış finansal uygulamalar ve alışveriş uygulamalarının yanı sıra sosyal medya ve mesajlaşma platformları da yer alıyor. Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA ve Lloyds Bank listedeki uygulamaların yalnızca birkaçı durumunda.

Bunun yanında çocukların, gençlerin ve hatta orta yaşlıların buluştuğu yine sosyal medya ortamlarından sayabileceğimiz oyun platformları da var.  Yine geçen yıl popüler oyun platformlarından Roblox, sosyal medya platformu Facebook ve Reddit hesapları bir saldırı sonucu ele geçirilerek Trump lehine propaganda yapmak için kullanıldı. 

Hesabı ele geçirilen ne yapabilir? Hesabı çaldırmamak için neler yapılmalı?

Sosyal medya hesabının ele geçirildiğini düşünen kişiler eğer önceden önlem aldılarsa ele geçirilen sosyal medya hesabının yardım merkezine başvurabilirler. Platformun hangisi olduğuna bağlı olarak bazen kolay bazen de zorlu bir süreç ile geri alınabilir. 

Fakat hesabınız ele geçirilmeden önce önlem almak her zaman çok önemli. Hemen her sosyal medya platformu 2 aşamalı kimlik doğrulama (2FA) sağlıyor. 2FA sayesinde platforma giriş yaptığınız parola dışında telefonunuzda bir uygulama ile üretilen veya size sms ile gönderilen ikinci bir parolanız oluyor. Bu şekilde hesabın ele geçirilmesi daha da zorlaşıyor. İki aşamalı kimlik doğrulama özelliğini mutlaka aktif edin. Özellikle android telefon kullanıcıları için sms ile ikinci kimlik doğrulama önlemi saldırganlar tarafından atlatılabiliyor. Android işletim sistemi, mesajlaşma uygulamasına üçüncü parti diğer uygulamaların erişebilmesine izin veriyor. Bu da saldırganların gelen mesajları yönlendirebilmesine ve engellemesine olanak sağlıyor. 2FA ile kimlik doğrulama için mümkünse Google Authenticator, Microsoft Authenticator gibi bir uygulama kullanın. 

Yazının Devamını Oku

Güvenlik kameraları ne kadar güvenli?

Her dönemde güvenlik ihtiyacı, kendini güvenme hissi insanlar için önemli oldu. Gelişen teknolojiler bu ihtiyaçları karşılayacak yeni araçlar kullanıma sunuyor. Dijitalleşen ve küreselleşen dünya yeni, kolay çözümleri beraberinde olası sorunlarla birlikte getiriyor. Bunlardan biri de kullanımı her geçen gün artan güvenlik kameraları.

Güvenlik kameraları bireysel kullanıcıların evlerini, yazlıklarını, çocuk odalarını ve işletmelerin de mülklerini hırsızlara veya davetsiz misafirlere karşı korumaları için caydırıcı bir önlem olarak kullanılmaya başlandı.  Ancak bu kameraların bazı önemli açıkları var.  Kullanıcıların almayı atladığı güvenlik önlemleri, üreticilerin özensiz yazılımları hatta bilerek bıraktıkları arka kapılar kullanıcıların mahremiyetlerine büyük zararlar verebilir. Güvenlik kameraları bireysel kullanıcıların evlerini, yazlıklarını, çocuk odalarını ve işletmelerin de mülklerini hırsızlara veya davetsiz misafirlere karşı korumaları için caydırıcı bir önlem olarak kullanılmaya başlandı.  Ancak bu kameraların bazı önemli açıkları var.  Kullanıcıların almayı atladığı güvenlik önlemleri, üreticilerin özensiz yazılımları hatta bilerek bıraktıkları arka kapılar kullanıcıların mahremiyetlerine büyük zararlar verebilir. 

Ülkemizde süre gelen olağan sorunlar nedeni ile pek haber değeri taşımayan ve manşetlerde görmediğimiz güvenlik kameralarının hacklenmesi haberlerinde dünya genelinde bir artış yaşanıyor. Örneğin yakın zamanda Singapur, Güney Kore ve Canada’da evlerde kullanılan 50.000 IP kamerasının görüntüleri başta yetişkin siteleri olmak üzere internette yayınlandı. 

Gelin bu kameraların güvenliğine yakından bakalım

Yaygın olarak kullanılan iki tür kamera bulunuyor. Geleneksel (evet artık geleneksel oldu) ağa bağlı IP kameralar ve Google Nest, Amazon Cloud Cam, Netatmo gibi “akıllı” kameralar. 

Yazının Devamını Oku

Hedefli siber sadırılar

Firmalar ve ülkeler arası siber espiyonaj, fidye talepleri ve veri hırsızlığı son zamanlarda özellikle pandeminin getirdiği uzaktan çalışma ortamı nedeni ile oldukça arttı. Firmalar önlem almakta yeterince hızlı davranamadılar. Dünyadan birkaç örnekle neler olduğundan ve nasıl önlem alabileceğimizden bahsedelim.

2020 yılının Haziran ayında ‘Snake’ adı verilen fidye yazılımın saldırısına uğrayan enerji devi Enel durumu kabullenerek iki gün kesintiye uğradıklarını açıkladı. Snake, aynı zamanlarda Türkiye’de de faaliyet gösteren dünya otomotiv devlerinden birinin de başına büyük işler açmıştı. 

2020 yılının özellikle ikinci yarısında Türkiye’den de en az üç büyük firma benzer fidye yazılımı saldırılarına maruz kalarak kesintiye uğradı. Fakat kesintiye uğrama nedenlerini fidye yazılımı olarak açıklamadılar.

 İtalya merkezli Enel, Avrupa’nın en büyük enerji oyuncularından birisi. 40 ülkede 60 milyondan fazla müşterisi olan Enel’in 2019 yılı geliri 80,3 milyar Euro olarak açıklandı.  Enel, Snake nedeniyle kesintiye uğradıklarını fakat herhangi bir veri çalınmadan saldırıyı bertaraf ettiklerini açıkladı. 

Saldırılarda başlangıç noktasının, internete açık bırakılan RDP olduğu artık biliniyor. 

Remote Desktop Protocol (RDP) yani Uzak Masaüstü Protokolü, Microsoft tarafından geliştirilen ve ilk defa 1996 yılında Windows NT ile birlikte sunulan, bir bilgisayardan diğerine, ağ üzerinden ve grafik arayüz ile bağlanılmasını sağlayan bir protokol. Günümüzde hemen her Windows makinede bulunuyor ve hala aktif olarak kullanılıyor. 

Ve bildiğimiz başka bir şey ise Enel ve otomotiv firmasının sistemlerindeki uç nokta antivirüs yazılımlarının Snake zararlısını yakaladıkları. Bilmediğimiz şey ise RDP ile sisteme erişen saldırganların Snake’i çalıştırmadan önce ne kadar süre ile sistemde kaldıkları (bu aylar veya yıllar bile olabilir) ve hangi verilere eriştikleri. 

Bu iki firmaya yapılan saldırı da hedefli saldırıydı. Yani, örneğin Enel’de Snake zararlısı, çalıştırıldığı cihazın “enelint.global” alan adına dahil olup olmadığını kontrol ediyor ve eğer değil ise çalışmıyordu. 

Enel, Kasım ayı içinde tekrar ve bu sefer Netwalker grubu tarafından hedef alındı. Bu kez saldırı başarılı olmuştu ki saldırganlar 14 milyon dolar fidye talep ederek, firmayı çaldıkları yaklaşık 5 TeraByte boyutundaki veriyi sızdırmakla tehdit ettiler. 

Yazının Devamını Oku