Hesabınızı ele geçiren bir saldırgan aklınıza gelmeyecek ve bir süre haberiniz olmayacak eylemlerde bulunabilir. Örneğin arkadaş listenize güzel, kaçırılmayacak teklifler içeren mesajlar ve hikayeler paylaşabilir. Aşağıdaki örnekte görebileceğiniz gibi bu mesajları alan arkadaşlarınız size güvendikleri için bu tür dolandırıcılık tuzaklarına kolayca düşebilirler.
Bu örnekte arkadaş listesinden güvendiği birinin hikayesini görüp ilgilenen bir Instagram kullanıcısı, hikâyenin doğruluğunu Instagram mesajı ile doğruluyor. Takdir edersiniz ki karşı taraftaki tanıdığı gibi görünen kişi aslında hesabı ele geçirmiş olan saldırgan ve aralarındaki her zamanki samimiyeti kullanarak yanıt veriyor ve hikâyenin doğru olduğunu kendisi de para gönderirse yüksek kazanç elde edeceğini iddia ediyor. Belki de ikna ediyor ve gerisi malum!
Not: E-posta, sms, whatsapp veya sosyal medya ile alacağınız mesajları en ufak bir şüphede karşı tarafı telefonla arayarak veya yüz yüze doğrulayın. Bu şekilde hem dolandırılmamış olursunuz hem de arkadaşınız durumdan haberdar olmuş olur.
Instagram bu tür dolandırıcılıkları bir süre sonra fark ederek hesabı engelliyor veya saldırgan yeterince vurgun yaptıktan sonra olay mahallîni terk ediyor.
Büyük dolandırıcılıkların parçası olmamak için makalenin en altında yer alan önlemleri iş işten geçmeden bir an önce uygulayın.
Instagram hesabınıza giriş yapamıyorsanız
İki faktörlü kimlik doğrulama 1984 yılında icat edilmiş ve patenti alınmış bir teknolojidir. Kullanıcı kimliğini saptamaya ve doğrulamaya yarayan bu teknoloji iki farklı bileşenden oluşmaktadır. Bu bileşenlerden (faktörlerden) biri kullanıcının sahip olduğu bir şey diğeri ise bildiği bir şey olabilir. Örneğin ATM’den para çekmek istediğinizde sahip olduğunuz bir şey olan para kartınızı ve bildiğiniz bir şey olan parolanızı kullanarak iki faktörlü doğrulama gerçekleştirirsiniz.
Kullanıcı kimliğini birden çok şekilde doğrulanmasını sağlayan yönteme Çok Faktörlü Kimlik Doğrulama (MFA) adı verilir. MFA faktörleri arasında parolalar, usb anahtarlar, parmak izi gibi biyometrik veriler, yer verileri, zaman verileri, yazılım tokenları vs. kullanılabilir. 2FA’yı ise MFA’nın daha basit kullanımlı bir alt grubu olarak adlandırabiliriz.
Parola neredeyse bilgisayar tarihinin başından bu yana kullandığımız tek ve en önemli kimlik doğrulama aracıdır. Doğru kullanıldığında günümüzde bile en güvenilir kimlik doğrulama aracıdır. Doğru kullanımı kısaca tanımlayalım; bir parola en az 15 karakterden oluşmalıdır ve rakamlar, büyük ve küçük harfler ve semboller içermelidir. Ayrıca sahip olduğunuz her hesap için farklı bir parola kullanmanız gereklidir. Bu şekilde benzersiz bir parolayı ESET parola oluşturucusu ile oluşturup kullanabilirsiniz. Oluşturduğunuz parolaları bir parola yöneticinde saklayabilirsiniz.
Fakat takdir edersiniz ki sıradan internet kullanıcıları için her bir hesap için benzersiz ve güçlü parolalar oluşturup bunları hatırlamak veya saklamak zor geldiği için çoğu kullanıcı kolayca hatırlayabileceği bir veya birkaç parolayı tüm hesaplarında kullanmaktadır.
Bu şekilde kullanılan parolalar nedeni ile abone olduğunuz veya kullandığınız bir web sitesine veya hizmete saldırı gerçekleştirilip veriler çalındığında sizin tüm hesaplarınızda kullandığınız yegâne parolanız da saldırganların eline geçmiş olur. Günümüzde yemek siparişi verdiğiniz sitelerden tutun da bankalara kadar saldırıya uğramayan internet bağlantılı hizmet kalmadı gibi.
İyisi mi siz kendi önlemlerinizi alarak en azından diğer hesaplarınızı korumaya alın.
2FA, online bir hesaba erişmeye çalışan kişilerin söyledikleri kişiler olduğundan emin olmak için kullanılan ekstra bir güvenlik katmanıdır. İlk olarak, bir kişi oturum açmak için kullanıcı adını ve parolasını girecektir. Ardından, hemen erişim sağlamak yerine, başka bir bilgi sağlamaları gerekecektir. Bu ikinci bilgi aşağıdaki faktörlerden biri olabilir:
Bildiğiniz bir şey:
Olabildiğince diyoruz çünkü sosyal medya uygulamaları amaçları gereği kullanıcıları izlemek üzere tasarlanmışlardır. Kişisel veri ve bilgileriniz ile ilgili kesin gizlilik istiyorsanız bu uygulamaları ve platformları hiç kullanmamanız gerektiğini aklınızdan çıkartmayın.
Instagram güvenlik ayarları
Daha önceki Facebook güvenliği ile ilgili yazımda da bahsettiğim gibi, sosyal medya uygulama geliştiricileri gizlilik ve güvenlik ayarlarını zaman zaman değiştirerek ve güncelleyerek bulunmasını oldukça zorlaştırıyorlar. Aşağıda şu anki güncel hali ile Instagram’da yapılması gereken bazı önemli ayarları sıralıyorum.
Parola güvenliği
Profilinizin altından Ayarlar ve Güvenlik bölümüne ulaşın. Her online hesabınızda olduğu gibi Instagram’da da parola/şifre güvenliği en önemli adımlardan biri. Benzersiz ve zor tahmin edilebilecek bir parola belirleyin. Diğer online hesaplarınızda kullandığınız bir parola olmamasına özellikle dikkat edin.
Diğer sosyal medya uygulamalarında da durum çok farklı olmasa da bu yazıda özellikle Facebook güvenliğine eğilmek istiyorum. Nedeni, hem Facebook’un geniş reklam araçları sayesinde tahmin edilenden fazla kitleyi (Facebook kullanıcıları genellikle orta yaş ve üzeri) etkilemesi hem de uygulama ve web sitesindeki güvenlik ve gizlilik ayarlarını sürekli değiştirerek kullanıcıların bu ayarları kontrol altında tutmasını zorlaştırması.
Daha ‘güvenli’ bir Facebook için ayarların detaylarına girmeye başlayalım…
Facebook tarafından toplanan verilerinizi temizleyin
Facebook uygulamayı veya web sitesini kullanmadığınızda bile verilerinizi toplamaya devam eder. Facebook ile oturum açtığınız veya Facebook reklam araçlarını kullanan binlerce site ve uygulama kendi topladıkları verileri Facebook ağına akıtmaya devam eder.
Bu verilerinize Ayarlar > Gizlilik bölümünden Facebook’un dışındaki hareketlerini gör veya sil adımından ulaşabilirsiniz. Burada Geçmişi temizleme seçeneği bulacaksınız. Geçmişi temizleme seçeneği ne yazık ki gerçekten ‘temizlemeyecek’, sadece geçmişte Facebook ile ilişkilendirdiğiniz uygulamaların ilişkisini koparacaktır. Facebook hiçbir zaman hiçbir şeyi silmez.
Aynı bölümde Gelecekteki Hareketlerini Yönet ayarlarını bulacaksınız ve buradan da Facebook’un gelecekte bu tür bağlantılar kurmamasını sağlayabilirsiniz.
Farklı nedenler ve görüşler olsa da doğru uygulamaların doğru yaş grupları ile karşılaşması bir başka önemli noktayı oluşturuyor. Sanatı keşfetmek, kodlamanın temellerini öğrenmek ya da teknoloji okuryazarlığına iyi bir başlangıç yapmak için sadece çocukların değil aynı zamanda ebeveynlerin de doğru yönlendirilmesi gerekiyor.
Bu nedenle, çocukların ilk mobil cihazlarını ne zaman aldıklarına bakılmaksızın, ebeveyn rehberliği de çok önemlidir. Bunun için sizlerle bazı uygulamalara yönelik önerilerde bulunacağım ama öncesinde beş önemli güvenlik önerisini paylaşmak istiyorum. Bunlar en az doğru uygulamayı çocuğunuz ile paylaşmak kadar önemli.
Resmi uygulama mağazalarını kullanın
Resmi olmayan uygulama mağazalarından indireceğiniz uygulamalara dikkat edin. Maksimum cihaz güvenliği için, tercihen uygulamaları yalnızca Google Play'den veya App Store'dan indirin. Resmi olmayan uygulama mağazaları ve forumlar bazen saldırganlar tarafından kötü amaçlı yazılım yaymak için kullanılabilir.
Uygulama incelemelerini kontrol edin
Her zaman diğer kullanıcılar tarafından yayımlanan yorumları okuyun. Tüm olumsuz incelemelere özellikle dikkat edin çünkü kötü bir uygulama muhtemelen saldırganların kendileri tarafından oluşturulan birçok olumlu eleştiriye sahip olacaktır. Diğer kullanıcılar bu uygulamayı sahte, kötü amaçlı yazılım veya virüs olarak göstermiş mi? Kurulumu erteleyin ve önce internette basit bir arama yapın. Uygulama zaten güvensiz olarak etiketlenmiş olabilir.
Uygulama izinlerini gözden geçirin
Her uygulama, tam işlevsellik için erişmesi gereken veriler ve özellikler hakkında bilgi sağlar. Şüpheli uygulamalar genellikle amaçlarıyla tamamen ilgisiz özelliklere erişim ister. Mikrofona erişim isteyen bir resim görüntüleyici uygulaması mesela. Bu, kullanıcıyı takip etmek için bir girişim olabilir.
Siber dolandırıcılar para ya da para edebilecek bilgileri elde edebilmek için her yaş ya da meslek grubunu hedefleri içine alabiliyor. Çocuklar, gençler, yaşlılar; öğretmenler, diplomatlar, bankacılar onlar için amaçlarına ulaşabilmek için birer odak noktası. Herkesi nasıl kandırabileceklerini düşünerek ve planlayarak hareket ediyorlar. Bizim de siber güvenlik profesyonelleri olarak işimiz bu teknolojik okuryazarlığı her yaş grubuna öğretebilmek, tehlikeler hakkında bilgi verebilmek.
Sizlerle paylaşmak istediğim belki dijital okuryazarlığı diğer yaş gruplarına göre daha iyi olduğunu düşündüğümüz gençlerin siber suçlular tarafından nasıl hedef alındıkları olacak. Gençleri hedef alan bazı yaygın dolandırıcılıklara ve bunlardan nasıl korunacağımıza birlikte göz atalım. Eğer bir ebeveynseniz, bu tavsiyeleri çocuklarınızla paylaşmak, onların ve tüm ailenizin internette güvende kalmasına yardımcı olmak isteyebilirsiniz.
Sosyal medya dolandırıcılıkları
Sosyal medya çoğu genç için dijital oyun alanı olduğundan, girişimci dolandırıcıların onları, zamanlarının çoğunu geçirdikleri yerde hedeflemeye çalışmaları çok normal. Sosyal medya dolandırıcılığı çeşitli şekil ve boyutlarda olabilir, yani herkese uygun bir tek beden ürün gibi değildir. Daha yaygın olanlardan bazıları, ünlülerle ilgili şok edici başlıkları olan kısa makalelere bağlantılar gibi görünür. Ancak, böyle bir bağlantıya tıklayınca, kötü amaçlı bir web sitesine yönlendirilirsiniz.
Dolandırıcılar kurbanlarıyla yarışmalara veya çekilişlere katılma teklifleri içeren mesajlar aracılığıyla doğrudan iletişime geçebilirler, ancak yine de paylaşılan bağlantı, gençleri cihazlarını zararlı yazılımlarla istila edecek veya hassas bilgilerini onlardan almaya çalışacak hileli bir web sitesine yönlendirecektir.
İndirimli lüks ürünler
İnternette artan bir başka yaygın aldatmaca ise, sosyal medyada yayımlanan sahte reklamlarla, komik derecede düşük fiyatlarla lüks ürün satışı tekliflerine yönlendiren içeriklerdir. Dolandırıcılar, tekliflerini gençlere cazip hale getirmek için, çok pahalı olan sınırlı sayıda spor ayakkabılar, normal bir maaş veya yarı zamanlı çalışan birinin karşılayamayacağı kadar pahalı olan markalardan kıyafetler veya çevrimiçi sahte Ray-Ban mağazaları gibi onlara hitap edecek markalar ve ürünler sunmaya çalışırlar.
Bu hile, bu ürünlerin geniş bir yelpazesini sunan sahte bir e-ticaret sitesi oluşturmaktan ibarettir; ancak, satın alma işleminden sonra, size ya bir sahte ürün gönderirler ya da hiç bir şey göndermezler. Ve en kötü senaryoda, kredi kartı bilgilerinizi paylaştıysanız, siber suçlular bu bilgileri kullanarak kartınızdan izinsiz harcamalar yapacaktır.
2021 yılı içerisinde birçok bilinen, internet kullanıcılarının yoğun olarak kullandığı, yüksek profilli firmadan veri sızıntısı haberleri geldi. Bunların bir kısmı günceldi, bir kısmı ise aylar hatta yıllar öncesinde gerçekleşen sızıntıların yeni ortaya çıkmasıydı.
Veri sızıntısı haberlerinin son zamanlarda artması sızıntıların arttığı anlamına gelmiyor. Bu tür saldırılar ve sızıntılar dijital çağa adım attığımızdan beri yaşanıyor fakat pek azı açığa çıkıyordu. Son yıllarda GDPR, KVKK gibi düzenleyici kurumların yayınladığı kanunlar nedeni ile sızıntı veya saldırı yaşayan kuruluşlar bunu bildirmek zorundalar. Dolayısı ile karşımıza her gün yeni bir haber çıkıyor.
Her gün çalışan ve internete düşen veriler siber suçlular için büyük bir gelir kaynağı. Saldırganlar sızdırdıkları verileri birkaç farklı şekilde kullanıyorlar.
Verilerinizi başka suçlulara satıyorlar: Çalınan veriler karanlık web dediğimiz aramaya kapalı sadece bilenlerin girdiği internet sitelerinde bir, iki dolardan başlayarak on binlerce dolara çıkan fiyatlarla satıştalar. Satın alanlar bu verileri kendi art niyetli amaçları için kullanıyorlar.
Kimlik hırsızlığına giden yolun köşe taşları: Sızan verilerimiz arasında bulunan telefon numarası, adres, kimlik bilgilerimiz gibi veriler sahte kimlikler yaratmak amacı ile kullanılıyor. Suçlular bu sayede adımıza kredi kullanmaktan, cep telefonu hattı satın almaya kadar her şeyi yapabiliyorlar.
Diğer hesaplarımızı ele geçirmek için: Çalınan kişisel verilerimiz sayesinde alışveriş sitelerindeki hesaplarımız kolayca ele geçirilebiliyor. Hesapta ödeme bilgilerimiz de kayıtlı ise saldırganların adresi değiştirip yüklü miktarda alışveriş yapmaları işten bile değil.
Phishing saldırıları: Birçok kişisel bilgimize sahip olan saldırganların kredi kartı ve ödeme bilgilerimizi de ele geçirmek için oltalama saldırıları düzenlemeleri oldukça kolay oluyor.
Bu değişimi takip edenler sadece toplumbilimciler, eğitimciler ya da pazarlama profesyonelleri değil. Bilgi ve deneyimleriyle, dijital ortamlarda yasal olmayan yolları kullanarak para kazanan siber suçlular da gelişmeleri yakından izliyorlar. Kolay yoldan para kazanabilmek için uygun zamanı ve ortamları takip ediyorlar. Kullanıcılar için bir eğlence ve sosyalleşme aracı olan sosyal medya platformlarında geliştirdikleri yöntemler ile istediklerini elde etmeye çalışıyorlar.
Pandemi döneminde beklentilerin aksine sosyal medya araçlarına yapılan saldırılarda bir artış ya da azalış olmadı, düzenli bir şekilde yaşanmaya devam ediyor. Büyük saldırılar gerçekleştiğinde ilgimizi ve dikkatimizi çekiyor, gündemde daha fazla yer buluyor.
Bu tür saldırıların, siber suçlular nezdinde popüler olmasının en büyük sebeplerinden biri saldırganların kısa bir sürede ve az efor ile kitleleri etkileyebiliyor olmaları. Motivasyon çoğunlukla her zamanki gibi para! Örneğin geçen yıl Twitter çalışanlarını hedefleyen oltalama saldırısını görüyoruz. Bu saldırı sonucu ele geçirilen Barack Obama, Elon Musk gibi ünlülere ait hesaplar daha sonra kripto para borsalarına yönelik dolandırıcılık saldırılarında kullanıldı.
Facebook, Twitter, Instagram, Reddit ve yeni platform ClubHouse bildiğimiz sosyal medya hesaplarından. Bazı dönemler platformun popülerliğine göre biri saldırı hedefi olarak öne çıkıyor, gelecek ay bir diğeri. Örneğin bugünlerde sahte Clubhouse uygulaması kullanılarak yapılan saldırı yine ön planda yer aldı. ESET zararlı amaçlı yazılım araştırmacılarından Lukas Stefanko, siber suçluların birçok çevrimiçi hizmetteki kullanıcı giriş bilgilerini çalmayı amaçlayan, kötü amaçlı bir yazılımı tespit etti. Zararlı yazılım Clubhouse uygulamasının popülerliğinden faydalanmaya çalışıyor ve uygulamanın aslında var olmayan sahte bir android sürümü üzerinden kullanıcıları aldatmaya çalışıyor. Bu kötü amaçlı yazılım, 458 uygulamadaki giriş kimlik bilgilerini ele geçirebiliyor ve SMS tabanlı iki faktörlü kimlik doğrulamayı atlatabiliyor. Hedef listesinde, tanınmış finansal uygulamalar ve alışveriş uygulamalarının yanı sıra sosyal medya ve mesajlaşma platformları da yer alıyor. Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA ve Lloyds Bank listedeki uygulamaların yalnızca birkaçı durumunda.
Bunun yanında çocukların, gençlerin ve hatta orta yaşlıların buluştuğu yine sosyal medya ortamlarından sayabileceğimiz oyun platformları da var. Yine geçen yıl popüler oyun platformlarından Roblox, sosyal medya platformu Facebook ve Reddit hesapları bir saldırı sonucu ele geçirilerek Trump lehine propaganda yapmak için kullanıldı.
Hesabı ele geçirilen ne yapabilir? Hesabı çaldırmamak için neler yapılmalı?
Sosyal medya hesabının ele geçirildiğini düşünen kişiler eğer önceden önlem aldılarsa ele geçirilen sosyal medya hesabının yardım merkezine başvurabilirler. Platformun hangisi olduğuna bağlı olarak bazen kolay bazen de zorlu bir süreç ile geri alınabilir.
Fakat hesabınız ele geçirilmeden önce önlem almak her zaman çok önemli. Hemen her sosyal medya platformu 2 aşamalı kimlik doğrulama (2FA) sağlıyor. 2FA sayesinde platforma giriş yaptığınız parola dışında telefonunuzda bir uygulama ile üretilen veya size sms ile gönderilen ikinci bir parolanız oluyor. Bu şekilde hesabın ele geçirilmesi daha da zorlaşıyor. İki aşamalı kimlik doğrulama özelliğini mutlaka aktif edin. Özellikle android telefon kullanıcıları için sms ile ikinci kimlik doğrulama önlemi saldırganlar tarafından atlatılabiliyor. Android işletim sistemi, mesajlaşma uygulamasına üçüncü parti diğer uygulamaların erişebilmesine izin veriyor. Bu da saldırganların gelen mesajları yönlendirebilmesine ve engellemesine olanak sağlıyor. 2FA ile kimlik doğrulama için mümkünse Google Authenticator, Microsoft Authenticator gibi bir uygulama kullanın.
