Güvenlik Farkındalığının Tanımı ve Kapsamı
Güvenlik farkındalığı, siber tehditleri tanıyabilme, bunlara karşı korunma yöntemleri hakkında bilgi sahibi olma ve güvenli davranış alışkanlıkları geliştirme sürecidir. Bu süreç, bireysel kullanıcılardan başlayarak kurumlar ve toplum geneline kadar uzanır. Güvenlik farkındalığı sadece teknik bilgiye dayanmaz, aynı zamanda günlük davranışlarımızda ve dijital ortamlarda nasıl daha bilinçli hareket edebileceğimizle ilgilidir.
Siber tehditler çok çeşitlidir ve sürekli olarak evrim geçirmektedir. Bunlar arasında virüsler, truva atları, fidye yazılımları, kimlik hırsızlığı, phishing (oltalama) saldırıları ve daha birçok tehlike bulunmaktadır. Her biri farklı yöntemlerle zarar verebilir ve kullanıcıların bilgi güvenliğini tehdit edebilir.
Dijital Güvenlik Nedir?
Dijital güvenlik, elektronik verilerin korunması, yetkisiz erişim veya değişikliklere karşı savunulması ve gizliliğin sağlanması sürecidir. Bu süreç, hem yazılım (EDR, antivirüs programları, güvenlik duvarları vb.) hem de davranışsal önlemleri (güçlü şifre kullanımı, şüpheli e-postalara dikkat etme vb.) içerir.
En temel adım, kullandığımız yazılımların orijinal ve güncel olmasını sağlamaktır. Özellikle orijinal olmayan, üreticisinin sağladığı kaynaklar dışındaki yerlerden indirilmiş yazılımlar beraberinde arka kapılar gibi birçok güvenlik riskini de size getirecektir. Siz ücretli bir yazılımı ücretsiz kullandığınızı düşünürken aslında çok daha büyük bedeller ödemek zorunda kalabilirsiniz.
Bir diğer önemli adım, biz çalışırken tehditleri izleyip engelleyebilecek güvenlik duvarları, antivirüs yazılımları ve EDR gibi kendini kanıtlamış teknolojileri kullanmaktır.
Sonraki adımda güçlü şifrelerin öneminden bahsedebiliriz.
Güçlü bir şifre, çeşitli karakter türlerini (büyük harfler, küçük harfler, rakamlar ve özel karakterler) içermeli ve kolay tahmin edilmemelidir. Ayrıca şifrelerin herhangi bir nedenle text olarak bir not defterine ya da bilgisayardaki bir dosyaya yazılmaması gerekmektedir. Bunun için en iyi yöntem Şifre kasası gibi şifre yönetimi araçlarını öğrenmek ve kullanmaktır. Bu uygulamalar, birden fazla güçlü şifreyi güvenle saklamanıza ve yönetmenize yardımcı olabilir.
Doğru oluşturulmuş ve özenle saklanmış şifrelerden sonraki adım 2FA’dır.İki faktörlü doğrulama (2FA), hesap güvenliğinizi artırmak için iki ayrı doğrulama yöntemi kullanır. Genellikle bir şifre ve mobil cihaza gönderilen bir kod kombinasyonu kullanılır. Bu yöntem, sadece şifrenin bilinmesinin hesaba erişmek için yeterli olmadığı anlamına gelir, böylece güvenlik seviyesi artar.
Sosyal Mühendislik Saldırılarına Karşı Korunma
Sosyal mühendislik, insanların güvenini kazanarak onları aldatma ve istenmeyen eylemleri yapmaya zorlama sanatıdır. Bu tür saldırılar, genellikle bireyleri yanıltarak kişisel veya hassas bilgileri ifşa etmeye ikna eder. Teknolojinin ilerlemesiyle birlikte, bu tür saldırılar giderek daha karmaşık ve inandırıcı hale gelmiştir.
Sosyal mühendislik saldırılarına karşı korunmanın en iyi yolu bilinçli olmaktır. Şüpheli e-postaları, mesajları ve telefon çağrılarını sorgulamak, talep edilen bilgileri vermeden önce doğrulama yapmak önemlidir.
Daha iyi anlamak için üç farklı örnekle inceleyelim:
Örnek 1: CEO Dolandırıcılığı
Bir şirketin CEO’su, finans müdüründen acil bir ödeme yapılması gerektiğini bildiren bir e-posta alır. E-posta, CEO’nun kendisinden geldiği izlenimini vermekte ve içinde bulunan detaylar nedeniyle oldukça ikna edici görünmektedir. Finans müdürü, büyük bir meblağı, e-postada belirtilen hesaba aktarır. Ancak gerçekte, bu bir sosyal mühendislik saldırısıdır ve yapılan ödeme dolandırıcıların eline geçer.
Saldırganlar, bunu başarmak için, kurumsal maillere erişimin bir yolunu bulmuşlar, mailleri inceleyerek, hitap şekillerinden belge formatlarına kadar şirketin bütün dinamiklerine hakim olduktan sonra, uygun zamanı kollayıp ödeme talebi mailini oldukça ikna edici bir şekilde ve doğru zamanda göndermişlerdir.
Alınacak Ders: Şirket içi iletişimde daima ikinci bir doğrulama yapın. Özellikle finansal işlemler söz konusu olduğunda, e-posta ile gelen talimatları telefonla veya yüz yüze görüşmeyle teyit etmek hayati önem taşır.
Örnek 2: Sahte Destek Çağrısı
Ayşegül, bilgisayarı gün içinde bir kaç kez yeniden başlamak zorunda kalınca bir google araması yaparak ilk sırada çıkan ve bilgisayarlarda yaşanan sorunlara kısa sürede çözüm ürettiğini vaadeden bir telefon numarasını arar. Karşısına çıkan kişi, kendisine bir link göndereceklerini, Ayşegül’ün linke tıklamasıyla birlikte uzaktan bağlanarak sorunu hızlıca çözebileceklerini söyler. Gönderilen linke tıklanması ile birlikte Ayşegül’ün bilgisayarı saldırganın kontrolüne geçer ve saldırgan Ayşegül’ün bilgisayarındaki bütün dosyalarını, kayıtlı şifrelerini Ayşegül’ün bilgisi dışında kopyalar.
Alınacak Ders: Teknik destek veya herhangi bir servis sağlayıcısıyla iletişim kurarken, resmi ve güvenilir kaynaklardan gelen bilgileri kullanın. Her bulduğunuz numaraya veya e-posta adresine güvenmeyin.
Örnek 3: Phishing E-postaları
Mehmet, sürekli alışveriş yaptığı popüler bir online alışveriş sitesinden, kısa süre için geçerli 70% indirim sunan sunulduğunu söyleyen bir e-posta alır. E-posta, gerçekten de alışveriş sitesinden gelmiş gibi görünmektedir ancak, alan adında bir harf farklıdır ve linke tıklandığında da orijinal sitenin birebir aynısı görüntülenmiştir. Herhangi bir şeyden şüphelenmeyen Mehmet, kullanıcı adı ve şifresini girer. Sadece birkaç dakika sonra, bankasından, kredi kartı ile harcama mesajları gelmeye başlar. Saldırganlar, elde ettikleri kullanıcı adı ve şifre ile, orijinal siteden alışveriş yapmışlardır.
Alınacak Ders: Şüpheli e-postalardaki linklere tıklamaktan kaçının. Resmi sitelere her zaman doğrudan tarayıcınız üzerinden erişin ve güvenlik sertifikalarını kontrol edin.
Sonuç olarak, sosyal mühendislik saldırılarının, her zaman insanların iyi niyetini ve güvenini istismar ettiğinin asla unutulmaması gerekmektedir. Bu saldırılara karşı en iyi savunma, bilinçli olmak, şüpheci yaklaşmak ve her zaman ekstra bir doğrulama yapmaktır. Sadece teknolojiye değil, aynı zamanda sağlam bir güvenlik kültürü ve eğitimine de yatırım yapmak, bu tür saldırılara karşı korunmada hayati rol oynar.
