BKM Güvenlik Çözümleri Direktörü Umut Önceler, “Bilgi güvenliğinizi artırarak sosyal mühendislik yöntemlerinden korunma yollarını” okurlarımız için kaleme aldı.
İçinde bulunduğumuz çağ, bilginin en kıymetli hazine olarak değerlendirildiği ve dijital ortamda bu kıymetli hazineyi korumanın son derece önemli hale geldiği bir çağ… İşte bu nedenle kart kullanıcılarını bilgi güvenliği konusunda bilinçlendirmeye büyük önem veren ve bu alanda çalışmalar yürüten Bankalararası Kart Merkezi olarak ödeme sistemleri güvenliği konusunda internete başvuran kullanıcılar için güncel ve güvenilir bilgi kaynağı sunan, bu konuda en son trendlere ve teknolojiyle ilgili güncel gelişmelere kadar herkesi ilgilendiren konuları geniş kitlelere ulaştırmayı hedefleyen bilgiGuvende.com’u faaliyete geçirdik.
Ödeme sistemleri güvenliği konusunda nitelikli bir başvuru kaynağı görevi gördüğüne inandığımız bilgiGuvende.com’da dijital dünyada varlık gösteren herkesin, akıllarına takılan soruların yanıtlarını bulabileceklerini hatırlattıktan sonra bilgi güvenliğiyle tam olarak neyin anlatılmak istendiğine birlikte bir bakalım istiyorum…
Bilgi güvenliği nedir?
Bilgi güvenliği, bir bilgiye izinsiz veya yetkisiz kişilerce erişimi, kullanımı ve manipülasyonu engellemeyi amaçlayan; bilginin imha edilmesini, el değiştirmesini veya bilgiye zarar verilmesini önlemeyi hedefleyen bir disiplindir. Sosyal ve finansal etkileşimlerin her geçen gün artarak dijital ortama kayması, kötü niyetli kişilerin bu bilgilere ulaşarak kendi menfaatlerince, verinin gerçek sahibine maddi ve manevi zarar vermesi için yeni ve büyüyen bir cephe oluşturmuştur.
Günümüzde bilgi güvenliğine karşı en büyük tehdit “sosyal mühendislik”
Tüm saldırıların yüzde 66’sı bu yöntemler grubuyla gerçekleşmektedir. Geleneksel bilgisayar korsanlığı yöntemleri gibi bilgisayar sistemlerinde açık aramak ya da zarar vermek yerine adından da anlaşılacağı gibi sosyal etkileşim ve manipülasyon yoluyla e-postalarınız, internet/mobil bankacılık bilgileriniz, sosyal medya hesapları bilgileriniz ve diğer hassas verilerinize sizin adınıza ulaşmayı amaçlar.
Sosyal mühendislik için gerekli olan kişisel veri nasıl toplanır?
1) Oltalama
Oltalama (phishing), sosyal mühendislik için gerekli olan kişisel bilginin ele geçirilmesinde kullanılan en popüler yöntemdir. Oltalama yöntemiyle telefon görüşmeleri, mesajlaşma servisleri, e-posta, sosyal medya, sahte internet siteleri üzerinden güvenilir bir kaynak imajı verilerek bilgisayar/telefonlara zararlı yazılımlar yüklenebilir veya sosyal mühendislik için gerekli olan kişisel, finansal ve kurumsal bilgileriniz dolandırıcılara aktarılabilir.
Örneğin; gerçek bir kurum veya kuruluştan geliyormuş gibi görünen bir e-posta içerisinde kişinin şifresinin kullanım süresinin dolduğuna dair bir uyarı gelir ve gerçeğine çok benzeyen, sahte bir sayfa üzerinden bilgileri ele geçirmeyi amaçlayan bir internet sitesine yönlendirilir. Yeni şifre belirleme prosedürünün bir parçası olarak mevcut şifre bilgisini de soran sayfada dolandırıcılara internet bankacılığına erişim bilgileri adeta hediye edilmiş olur.
Arama motorlarına verilen reklamlar ve sosyal medyada yapılan paylaşımlar ile dikkatli olunmadığı takdirde sahte olduğu anlaşılmayan e-ticaret sitelerinin taklitlerinde, dolandırıcılar hem sisteme giriş aşamasında kullanıcı adı ve parola ile gerçek site üzerinden (varsa) kayıtlı kartlardan veya gerçekten bir ürün satıyormuş gibi kart bilgilerinin girildiği ekran üzerinden kart bilgilerini ele geçirebilir.
Oltalama yönteminin bir diğer şekli de “sesle oltalama” olarak tercüme edilebilecek olan “voice phishing”in kısaltması olan “vishing”. Bu yöntemde telefonun diğer ucunda yine bir kurum veya kuruluştan aradığını söyleyen sözde bir yetkili bulunur. Hedefteki kişiye kaçırılmayacak bir kredi/sigorta teklifi sunulur veya vakıf/yardım derneğine bağış için arandığı söylenir. Böylece maalesef kurban, iyi niyeti suiistimal edilerek dolandırılır. Buradaki en büyük sorun; senaryoların dolandırıcıların hayal gücüne dayalı olmasından dolayı teoride sonsuz sayıda konu başlığı altında kurbanlarına yaklaşabilir olmaları. Değişen gündemle birlikte dolandırıcıların yeni konu başlıkları bulmaları çok zor olmamakla birlikte coğrafyamızda son dönemde çok sık yaşadığımız sesle oltalama yönteminde ise aradıklarında kolluk kuvveti olduğunu iddia ederek banka hesaplarında terör örgütlerinin finanse edildiğine dair bulgular olduğunu ve incelenmesi için bir güvenlik katmanı olan SMS ile doğrulama kodunun iletilmesi istenmektedir. Bu yöntemde, dolandırıcılarla önceden elde edilmiş hesap/kart bilgilerinin kullanılması arasındaki tek engel olan SMS doğrulama kodu da dolandırıcıların eline geçtiğinde amaçlarına ulaşmış oluyorlar.
İnsan doğası gereği güven duyma ihtiyacı hisseder, oltalama yöntemlerinden korunmanın altın kuralı bu içgüdüyü bastırmak ve biraz daha dikkatli olmaktır. Kaynağı bilindik olsun veya olmasın; gelen e-postalara, kısa mesajlara, aramalara şüpheyle yaklaşmak, hassas verilerin veya birikimlerin çalınmasına karşı daima iyi bir yaklaşım olacaktır. Ziyaret edilen internet sitelerinin adreslerinin doğruluğu daima kontrol edilmeli, reklamlarda karşılaşılan gerçek olamayacak kadar iyi olan hiçbir fırsatın gerçek olmayacağı akıldan çıkarılmamalıdır.
2) Ücretsiz kablolu ağlar
Ev ve iş yerlerinde kullanılan kablosuz ağlar, veri trafiğini şifreleme ve ağı parolayla koruma gibi güvenlik önlemleriyle donatılmıştır. Ancak otel, restoran ve kafe vb. yerlerdeki halka açık ücretsiz kablolu ağlarda öncelik müşteri konforu olduğu için güvenlik önlemleri göz ardı edilir. Güvenlik seviyesi düşük olan bu ağlarda korsanların en sık başvurduğu yöntem Türkçeye “ortadaki adam” olarak çevrilen “man in The middle”dır. Bu yöntemde korsanlar ağa bağlanan cihazların veri trafiğini taraflar farkında olmadan izler. Kullanıcılar e-posta servislerine, sosyal medya hesaplarına, internet/mobil bankacılık hesaplarına giriş yaparken veya e-ticaret sitelerinde ödeme ekranında kart bilgilerini girerken korsanlar veya dolandırıcılar bu bilgileri görürler.
Ücretsiz kablosuz ağlardaki tehlikelerden korunmanın ilk kuralı mecbur kalmadıkça bu ağlara bağlanmamaktır. Bağlanmak gerekiyorsa VPN (Virtual Private Network) adı verilen veri trafiğini uçtan uca şifreleyen kişisel sanal ağ hizmetleri kullanılmalıdır. Özel ya da açık ağ fark etmeksizin akıllı telefonlarda ve bilgisayarlarda sürekli olarak VPN kullanımı bu cihazlarda davetsiz misafirlere karşı ekstra bir güvenlik katmanı sağlar.
Dolandırıcıların vazgeçemediği cihazlar: ATM ve POS’lar
Para çekmek ve yatırmak başta olmak üzere birçok bankacılık işleminin gerçekleştirilebildiği ATM’ler ve alınan bir hizmet/mal karşılığında banka ve kredi kartlarıyla ödeme yapılmasına imkân sağlayan POS cihazları, bankalarla en sık etkileşime girdiğimiz noktalardır. Bu nedenle de dolandırıcılar için büyük potansiyele sahiptirler. Bankalar, müşterilerinin güvenliğini sağlamak amacıyla her iki cihaz için de güvenlik önlemlerini sürekli artırıyor olsa da dolandırıcılar da bu cihazları etüt etmekte ve yeni yöntemler geliştirmektedir. Alınacak basit önlemlerle bu cihazlarda gerçekleştirilen dolandırıcılıkların mağduru olmaktan korunmak mümkün olur. Örneğin; ATM’lerdeki kart kopyalama vakalarına kurban olmamak için şifre girilirken tuş takımının üzeri el ile kapatılmalı ve şüpheli durumlarda (kart sıkışması, para sıkışması vb.) ATM başından ayrılmayarak, yabancıların yardım teklifleri geri çevrilerek bankayla iletişime geçilmelidir. Birçok bankanın mobil uygulamalarındaki karekod okuma veya bluetooth özelliği sayesinde ATM’lerde kartsız olarak işlem yapmak da bu tehlikeden korunmak için iyi bir yöntemdir. POS cihazlarında ise kart kopyalama tehlikesinden korunmak için cihaz ve kart uyumlu ise elektronik çip veya temassız özellikleriyle şifre birlikte kullanılmalıdır.
Güvende kalmak için Bilgi Güvende’yi takip edin
Makalelerin, haberlerin, araştırmaların ve önerilerin bulunduğu Türkiye’nin bilgi güvenliği kaynağı olan bilgiguvende.com’u ve sosyal medya hesaplarını takip ederek kişisel ve kurumsal hassas veri güvenliği konularında en güncel bilgilere ulaşabilirsiniz. Güvende kalmanız dileğiyle…
