İnternet sahtekârlarına karşı ‘11 Tavsiye’
Kullanıcıların insan mı yoksa bot mu olduğunu ayırt etmek için kullanılan doğrulama ekranlarına internette sıkça rastlanıyor. Bu tür ‘ekranlar’ siber suçlular tarafından kötü amaçlı yazılım yaymak için kullandıkları yeni bir saldırı yöntemiymiş.
Saldırganlar, CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), “Bilgisayarları ve İnsanları Ayırmak İçin Tamamen Otomatik Genel Turing Testi” denilen bu ‘doğrulama ekranları’nı sahte ekranlarla taklit ederek kullanıcıları kötü amaçlı yazılımları indirip çalıştırmaları için kandırıyorlarmış.
Sahte CAPTCHA sayfaları genellikle kimlik avı e-postaları, sosyal medya mesajları veya kötü amaçlı reklamlardaki bağlantılar aracılığıyla yayılıyormuş. Bazen de siber saldırganlar meşru görünen web sitelerine zararlı içerikler enjekte ediyormuş. Sahte bir CAPTCHA kutuları hayli gerçekçi görünebiliyormuş.
CAPTCHA tehditlerine karşı güvende kalmak için dikkat edilmesi gereken noktalar şunlarmış:
Bir arkadaşımızın halası… 70 yaşlarında, emekli Nilgün hanım… Telefonu çalıyor, açıyor… Karşıda son derece ciddi bir ses: “Nilgün Hanım?”
Çat! Telefon kapanıyor…
Ancak dolandırıcı yılmamış… Birkaç ay sonra tekrar aramış:
“Nilgün Hanım, ben Polis Memuru bilmem kim. Terör örgütü PKK’nın hesaplarınızdan para aktardığını tespit ettik. Birikiminizi hemen size vereceğim IBAN’a yollamanız gerekiyor.”
Nilgün Hanım, kendisine dadanan dolandırıcıyı tanımış ve hemen soruyu patlatmış: “Aa! Siz hâlâ memur musunuz; terfi edemediniz mi?!”
Cevap: “Sizin yüzünüzden edemedim!”
Çat! Telefon kapanmış…
Herkes Nilgün Hanım kadar uyanık olamayabiliyor… İçişleri Bakanlığı’nın sık sık yolladığı uyarı SMS’lerine rağmen bu tuzağa düşenlere dair haberlere bolca rastlıyoruz…
Özellikle 60 yaş ve üzerindeki mağdurların bildirdiği yüksek tutarlı kayıplar son dört yılda 700 milyon doların üzerine çıkmış. Emeklilere yönelik dolandırıcılık vakalarının yüzde 41’i de telefon görüşmesiyle başlıyormuş.
Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, mevzuya, iletişim çalışmalarının çok değerli bir ayağı olan ‘konu yönetimi’ çerçevesinde yaklaşarak emekli vatandaşların karşılaşabileceği dolandırıcılık yöntemlerini ve korunmak için uygulanabilecek 6 önlemi paylaşmış:
1. Beklenmedik para transferi taleplerine yanıt vermeyin. Arayan kişi bunu varlıklarınızı koruma amacıyla istediğini söylese bile bu talebe uymayın.
2. Her iletişimi bağımsız olarak doğrulayın. Telefon, e-posta veya mesaj yoluyla gelen bilgileri yalnızca bilinen, meşru kanallar üzerinden teyit edin. Arayanın verdiği numara veya bağlantılara güvenmeyin.
3. İstenmeyen aramaları engelleyin. Önceden numara engelleme yöntemleri kullanarak maruziyeti azaltın.
4. Şüpheli durumlarda vakit kaybetmeden güvendiğiniz biriyle konuşun. Olayı paylaşmak, dolandırıcıların yarattığı korku ve panik ortamını aşmanıza yardımcı olur.
5. Güvenlik araçlarından yararlanın.
6. Güncel dolandırıcılık yöntemlerini takip edin. Kendinizi düzenli olarak bilgilendirin ve çevrenizi bu konuda uyarın.
Bunları sıralamak ile hayata geçirmek arasında derin bir boşluk vardır aslında… Bu boşluğu kapatmak ise ancak ciddi bilinçlendirme kampanyalarıyla mümkündür… Şirket yöneticilerinin konu yönetimi çerçevesinde mevzuya eğilmeleri son derece önemli olsa da tek başına yeterli değildir. Devletin, ilgili kurumları aracılığıyla ve stratejik bir perspektifle soruna eğilmesi şarttır…
Sanal ortam, gerçek suçlar
Bu ay, dijital ortamdaki bir sahtekârlık türüne değinmeye çalıştık… Sahte diplomaların havalarda uçuştuğu ülkemizde dijital ortam, alçaklıktan ari kalamazdı…
Bakın siber suçlar konusu yaz aylarında nerelere varmış… Personel sayısının azalması ve dikkatin dağılması, siber suçlular için fırsata dönüşmüş. Bu durum, birden fazla müşteri ortamını yöneten MSP’leri (Managed Service Provider - Yönetilen Hizmet Sağlayıcısı, Bir şirketin BT altyapısı ve hizmetlerini uzaktan yöneten ve sağlayan bir tür hizmet sağlayıcı) kimlik saldırılarına açık hâle getiriyormuş. Bu da yapay zekâ destekli sosyal mühendislik yöntemleriyle insan kimliğini hedef alan saldırıların hızla yayılmasına sebep oluyormuş.
Güvenlik duvarı hizmetleri sunan WatchGuard’ın Türkiye, Yunanistan ve MEA Bölge Müdürü Yusuf Evmez, 2024’te telefonla yapılan kimlik avı (oltalama) vakalarında görülen yüzde 442’lik artışa dikkat çekmiş.
Bu konuda da daha ayrıntılı bilgi sahibi olunmasını şiddetle tavsiye ediyoruz. CAPTCHA, Laykon ve WatchGuard gibi güvenlik şirketlerinin web sitelerine göz atmakta yarar olabilir…
Saldırganlar, CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), “Bilgisayarları ve İnsanları Ayırmak İçin Tamamen Otomatik Genel Turing Testi” denilen bu ‘doğrulama ekranları’nı sahte ekranlarla taklit ederek kullanıcıları kötü amaçlı yazılımları indirip çalıştırmaları için kandırıyorlarmış.
Sahte CAPTCHA sayfaları genellikle kimlik avı e-postaları, sosyal medya mesajları veya kötü amaçlı reklamlardaki bağlantılar aracılığıyla yayılıyormuş. Bazen de siber saldırganlar meşru görünen web sitelerine zararlı içerikler enjekte ediyormuş. Sahte bir CAPTCHA kutuları hayli gerçekçi görünebiliyormuş.
CAPTCHA tehditlerine karşı güvende kalmak için dikkat edilmesi gereken noktalar şunlarmış:
- Olağan dışı CAPTCHA isteklerine karşı tetikte olun.
- Aniden ortaya çıkan CAPTCHA isteklerine karşı dikkatli olun.
- Eski sürümlerdeki güvenlik açıklarından yararlanan kötü amaçlı yazılım riskini en aza indirmek için işletim sisteminizi ve tarayıcı yazılımınızı güncel tutun.
- Saygın bir güvenlik yazılımı yükleyin ve güncel tutun.
- Sahte CAPTCHA'lar gönderen türden kötü amaçlı yazılımlar içerebileceğinden korsan yazılım indirmeyin.
- Kötü amaçlı bir çevrimiçi reklam aracılığıyla sunulan herhangi bir içeriğe maruz kalmanızı engelleyecek bir reklam engelleyici kullanmayı düşünün.
- Makineye gizlice indirilmiş olabilecek kötü amaçlı yazılımları bulmak ve temizlemeye çalışmak için bir kötü amaçlı yazılım taraması çalıştırın.
- İnternet bağlantısını kesin ve önemli fotoğraf veya dosyalarınızı yedekleyin.
- Bilgisayarınızı veya cihazınızı fabrika ayarlarına döndürün.
- Bir parola yöneticisinde saklanan güçlü, benzersiz kimlik bilgilerini kullanarak tüm parolalarınızı değiştirin.
- Tüm hesaplar için çok faktörlü kimlik doğrulamayı (MFA) açın, böylece bir bilgisayar korsanı parolalarınızı çalmış olsa bile hesaplarınıza erişemez.
Bir arkadaşımızın halası… 70 yaşlarında, emekli Nilgün hanım… Telefonu çalıyor, açıyor… Karşıda son derece ciddi bir ses: “Nilgün Hanım?”
- Evet, benim
- Ben Polis Memuru bilmem kim. Terör örgütü PKK’nın hesaplarınızdan para aktardığını tespit ettik. Birikiminizi hemen size vereceğim IBAN’a yollamanız gerekiyor.
Çat! Telefon kapanıyor…
Ancak dolandırıcı yılmamış… Birkaç ay sonra tekrar aramış:
“Nilgün Hanım, ben Polis Memuru bilmem kim. Terör örgütü PKK’nın hesaplarınızdan para aktardığını tespit ettik. Birikiminizi hemen size vereceğim IBAN’a yollamanız gerekiyor.”
Nilgün Hanım, kendisine dadanan dolandırıcıyı tanımış ve hemen soruyu patlatmış: “Aa! Siz hâlâ memur musunuz; terfi edemediniz mi?!”
Cevap: “Sizin yüzünüzden edemedim!”
Çat! Telefon kapanmış…
Herkes Nilgün Hanım kadar uyanık olamayabiliyor… İçişleri Bakanlığı’nın sık sık yolladığı uyarı SMS’lerine rağmen bu tuzağa düşenlere dair haberlere bolca rastlıyoruz…
Özellikle 60 yaş ve üzerindeki mağdurların bildirdiği yüksek tutarlı kayıplar son dört yılda 700 milyon doların üzerine çıkmış. Emeklilere yönelik dolandırıcılık vakalarının yüzde 41’i de telefon görüşmesiyle başlıyormuş.
Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, mevzuya, iletişim çalışmalarının çok değerli bir ayağı olan ‘konu yönetimi’ çerçevesinde yaklaşarak emekli vatandaşların karşılaşabileceği dolandırıcılık yöntemlerini ve korunmak için uygulanabilecek 6 önlemi paylaşmış:
1. Beklenmedik para transferi taleplerine yanıt vermeyin. Arayan kişi bunu varlıklarınızı koruma amacıyla istediğini söylese bile bu talebe uymayın.
2. Her iletişimi bağımsız olarak doğrulayın. Telefon, e-posta veya mesaj yoluyla gelen bilgileri yalnızca bilinen, meşru kanallar üzerinden teyit edin. Arayanın verdiği numara veya bağlantılara güvenmeyin.
3. İstenmeyen aramaları engelleyin. Önceden numara engelleme yöntemleri kullanarak maruziyeti azaltın.
4. Şüpheli durumlarda vakit kaybetmeden güvendiğiniz biriyle konuşun. Olayı paylaşmak, dolandırıcıların yarattığı korku ve panik ortamını aşmanıza yardımcı olur.
5. Güvenlik araçlarından yararlanın.
6. Güncel dolandırıcılık yöntemlerini takip edin. Kendinizi düzenli olarak bilgilendirin ve çevrenizi bu konuda uyarın.
Bunları sıralamak ile hayata geçirmek arasında derin bir boşluk vardır aslında… Bu boşluğu kapatmak ise ancak ciddi bilinçlendirme kampanyalarıyla mümkündür… Şirket yöneticilerinin konu yönetimi çerçevesinde mevzuya eğilmeleri son derece önemli olsa da tek başına yeterli değildir. Devletin, ilgili kurumları aracılığıyla ve stratejik bir perspektifle soruna eğilmesi şarttır…
Sanal ortam, gerçek suçlar
Bu ay, dijital ortamdaki bir sahtekârlık türüne değinmeye çalıştık… Sahte diplomaların havalarda uçuştuğu ülkemizde dijital ortam, alçaklıktan ari kalamazdı…
Bakın siber suçlar konusu yaz aylarında nerelere varmış… Personel sayısının azalması ve dikkatin dağılması, siber suçlular için fırsata dönüşmüş. Bu durum, birden fazla müşteri ortamını yöneten MSP’leri (Managed Service Provider - Yönetilen Hizmet Sağlayıcısı, Bir şirketin BT altyapısı ve hizmetlerini uzaktan yöneten ve sağlayan bir tür hizmet sağlayıcı) kimlik saldırılarına açık hâle getiriyormuş. Bu da yapay zekâ destekli sosyal mühendislik yöntemleriyle insan kimliğini hedef alan saldırıların hızla yayılmasına sebep oluyormuş.
Güvenlik duvarı hizmetleri sunan WatchGuard’ın Türkiye, Yunanistan ve MEA Bölge Müdürü Yusuf Evmez, 2024’te telefonla yapılan kimlik avı (oltalama) vakalarında görülen yüzde 442’lik artışa dikkat çekmiş.
Bu konuda da daha ayrıntılı bilgi sahibi olunmasını şiddetle tavsiye ediyoruz. CAPTCHA, Laykon ve WatchGuard gibi güvenlik şirketlerinin web sitelerine göz atmakta yarar olabilir…