Siber dolandırıcılık vakalarına karşı uyarılar
BLACK Friday, Siber Pazartesi ve yılbaşı fırsatları gibi dönemsel kampanyalarla yüzlerce e-ticaret sitesi ve marka, bu aydan itibaren yıl sonuna kadar indirimli satışlar yapacak. Söz konusu bu iki aylık indirim çılgınlığı dönemini, sadece uygun fiyata alışveriş yapmak isteyen tüketiciler beklemiyor. Siber saldırganlar da hazırlıklarını tamamlamış bir halde vatandaşı oltaya düşürmek için fırsat kolluyor. Uzmanlar, indirim çılgınlığı günlerinde siber dolandırıcılık vakalarına karşı uyarılarda bulunarak, alınması gereken önlemler konusunda hem şirketleri hem de vatandaşı ilgilendiren tavsiyeler paylaştı.
İNDİRİMİ İPLE ÇEKİYORLAR
Dünyanın dört bir yanındaki alışveriş severlerin her yıl merakla beklediği indirim ayları başladı. Ancak siber saldırganlar da online alışveriş hacminin ve alışveriş yapan kişi sayısının büyük ölçüde arttığı bu dönemleri, tüketiciler gibi iple çekiyor. E-ticaret sitelerine karşı gerçekleştirilebilecek saldırıların hedefinde bulunmamak ve indirim döneminde dolandırıcılık kurbanı olmamak için bazı noktalara dikkat etmek gerekiyor.
Kasım itibariyle e-ticaretin adeta doruk yapacağı bir döneme giriş yapıldığım ifade eden bugbounter.com Kurucu Ortağı Murat Lostar, “Bu süreçte kullanıcıları oltalama denemeleri, kötü amaçlı yazılımlar, fidye yazılımları ve güvenilir e-ticaret sitelerinin büyük oranda benzerleri gibi birçok tehdit bekliyor. Online alışveriş dönemini mümkün olan en güvenli şekilde gerçekleştirmek için de şirketlerin ve kullanıcıların bazı önlemler alması gerekiyor” dedi.
SİBER GÜVENLİK YAPILARI DENETLENMELİ
Konu siber güvenlik olunca sadece kullanıcıların değil, şirketlerin de adım atması gerekiyor. Kampanya döneminde web sitesine gelecek trafiğin ve sosyal medyada markayla ilgili konuşmaların yükseleceği bu dönemlerde siber güvenlik alanında yapılan yatırımları da artırmak gerekiyor. Çünkü e-ticaret siteleri gibi kötü niyetli hacker’lar da bu dönemi bekleyip gerek son kullanıcı bilgilerini gerekse e-ticaret şirketinin bilgilerine ulaşmaya çalışıyor. Bu alanda yapılacak bir kontrolün siber suçluların önünü başarıyla kesebileceğini hatırlatan Murat Lostar, şunları söyledi: “Şirketler alabileceği tüm önlemlere ek olarak uygun maliyetle sistemlerini denetletebilir ve bir siber saldırgan yıkıcı sonuçlar yaratmadan açığını kapatarak bu önemli indirim dönemini daha kolay bir şekilde atlatabilir. Güvenliğin en üst düzeyde olduğundan emin olmak için gerçekleştirilebilecek düzenli bir ‘bug bounty’ (ödül avcılığı) programı, potansiyel ve mevcut açıkların keşfedilmesinde en etkili adımlardan biri olarak öne çıkıyor. Çünkü şirketler ‘bug bounty’ programları sayesinde sistemlerini olası bir siber saldırıya karşı, en uygun maliyetle en yetenekli uzman ordusuna denetletebiliyor. incelemeye birkaç kişi değil, yüzlerce araştırmacı dahil oluyor. BugBounter.com olarak ülkemizde öncülük ettiğimiz bu yöntem sayesinde kurumlar, sadece varlığı deneyimli uzmanlar tarafından doğrulanmış güvenlik açıkları için ücret ödüyor ve bu sayede ayırdıkları bütçeleri verimli bir şekilde yönetebiliyor. Ayrıca siber güvenlik uzmanlarına vereceği ödülü, programın takvimini ve kapsamını kendi belirleyebildiği ve her an düzenleyebildiği için sistemlerinin güvenliğini o anki bütçelerine ve iş planlarına uygun olarak kontrol ettirebiliyor. Platformun güvenlik araştırmacıları, buldukları zafiyetleri raporladıktan sonra yetkili ekiplerimiz kısa süre içinde doğrulama süreçlerini tamamlıyor, önemine göre derecelendiriyor ve şirketin belirlediği güvenlik ekiplerine iletiyor. Kapatılan açıkların kontrolü de yine aynı uzmanlarca gerçekleştiriliyor.”
FİZİKSEL OPERASYONLAR DA TEHLİKEDE
Alışveriş trafiğini artıran şirketlerin mağduriyet yaşayabileceğini ifade eden înfrasis Siber Mühendislik Genel Müdürü Can Sobutay, “Siber saldırılar yalnızca verileri değil, fiziksel operasyonları da tehlikeye atıyor, isveçli bir süpermarket zincirinin düzenli uzaktan güncellemelere dayanan yazar kasaları çalışmayı durdurduğu için 800 mağazayı kapatmak zorunda kalması bu konuya bir örnek” dedi. Siber suçluların sahte site ve uygulamalarla kimlik avı yaptıklarını belirten ‘ Sobutay “Bu, ofis, iş bilgisayarları veya e-posta hesaplarında gerçekleştiğinde, bilgisayar korsanlarına büyük saldırılar gerçekleştirebilecekleri kurumsal ağlara bir geçit de sağlıyor. Müşteri ödeme verilerine yönelik saldırılar, mobil cihazlardan yapılan alışverişlerde daha yüksek oranda yaşanıyor” diye konuştu.
Siber saldırı sigortası
Sanal ortamda kurumsal ve bireysel verilerin güvenliği için “Siber Saldırı Sigortası” yaptırmanın büyük önem taşıdığını ifade eden ÖzserNEO Sigorta ve Reasürans Brokerliği Genel Müdürü Ramazan Ülger, Siber Saldırı Sigortası teminatları hakkında şu bilgilendirmeleri yaptı:
Kişisel Verilerin Korunmasıyla İlgili İdari Para Cezaları: Siber saldırıya uğrayan sigortalı, KVKK hükmünce devlet tarafından idari para Ramaz cezasına çarptırılmaktadır. m Poliçede belirtilen limitler dahilinde bu ödemeler yapılır.
Bilgi ve Güvenlik Gizliliği Sorumluluğu: Sigortalının korumakla yükümlü olduğu kişisel verilerin kaybı, ifşası ve 3. kişilerden gelebilecek tazminat taleplerinin poliçe limiti çerçevesinde ödenmesi, yine teminat kapsamında yer alıyor.
Veri İhlali Masrafları: Korunmakla yükümlü olunan 3. kişilerin kişisel bilgilerinin çalınması durumunda, poliçe limiti dahilinde hukuki hizmetler, bilgisayar uzmanı hizmetleri, bildirim masraflarının karşılanması sağlanıyor.
Sigorta Ettirenin Veri Koruma Hasarı: Veri varlığının bozulma, imha, silinme veya zarar görmesi üzerine eski haline geri döndürme işlemlerinin yapılması mümkün. Veri varlığına yeniden erişim sağlanması için yapılacak masraflar ve zararların ödenmesi teminat altında
bulunuyor.
Sigorta Ettirenin İş Durması: Siber güvenlik ihlali nedeniyle sigortalının bilgisayar sistemlerinin durması sonucunda oluşabilecek iş zararları, limitler çerçevesinde tanzim ediliyor.
Fidye Hasarı: Sigortalının, fidye ödemesi yapılmadığı takdirde bilgisayar sistemlerindeki verilerinin yok edileceği veya tahrip edileceği tehdidiyle talep edilen fidyelerin ödenmesi mümkün. Fidye hasarı, KOBİ segmentindeki işletmelerde en çok görülen hasarlar arasında yer alıyor.
Nasıl Önlem Alabiliriz?
Şirketler siber güvenlik yatırımlarını artırırken bu dönemi bekleyen kullanıcıların da kendi güvenlikleriyle ilgili konulara daha fazla özen göstermesi gerekiyor. Kullanıcıların alabileceği önlemler ise şöyle;
GÜÇLÜ VE ÖZEL ŞİFRELER KULLANILMALI
Ele geçirilen giriş bilgilerinin yüzde 37’si çalıntı ya da düşük şifreyle korunuyor. Bu yüzden en az sekiz karakterli, büyük ve küçük harfin yanı sıra rakam ve noktalama işaretleri içeren bir şifre kullanılması çok önemli. Ayrıca giriş bilgilerinin başkalarıyla paylaşılmamasına ek olarak herhangi bir e-ticaret sitesine giriş için belirlenen bilgilerin başka üyeliklerde kullanılmaması da büyük fark yaratıyor. Şifreleri ezberlemekte zorlanan kişilerin de yardımına şifre yöneticileri koşuyor.
CİHAZLARIN EKSİKSİZ BİR ŞEKİLDE KORUNMASI ÇOK ÖNEMLİ
Bireysel cihazların yanı sıra pandemiyle birlikte evde kullanılmaya başlanan iş bilgisayarları gibi internet bağlantısı bulunan cihazlarda tehditlere karşı koruma için antivirüs yazılımının ve güvenlik duvarının kurulmuş olması gerekiyor.
SOSYAL MÜHENDİSLİK DENEMELERİNE KARŞI TETİKTE OLMAK GEREKİYOR
Siber saldırganların cihazları ele geçirmesini engellemenin en etkili yollarından biri, sosyal mühendislik olarak da adlandırılan birçok yanıltıcı yöntemle yanlış linke tıklama ihtimaline karşı dikkatli olmaktan geçiyor. Yasal kurumlar kullanıcılarından isim ve şifre bilgilerini asla talep etmez. Dolayısıyla herhangi bir sebepten birisi şifre sorduğunda, cevap her zaman net bir şekilde “Hayır” olmalı. Ayrıca şüpheli görünen bir e-postadaki bağlantılar da tıklandığı zaman yüksek ihtimal cihazınıza zarar verecektir. Bunun önüne geçmek için e-postadaki gözden kaçmayan yazım hataları, e-postayı gönderen adresin uzantısı ve e-postadaki linkin gönderdiği adrese dikkatli bakmak gerekiyor. Adres uzantısı ve link gibi bilgiler gerçek sayfayla büyük ölçüde benzerlik gösterebileceği için özellikle bu kısımlara karşı tetikte olmak, bir saldırının hedefi olmak ile olmamak arasındaki farkı belirleyebilir.
BAŞINDA HTTPS OLAN WEB SİTELERİNİ TERCİH EDİN
HTTP ile HTTPS arasındaki tek bir “S” harfi güvenlik açısından çok büyük fark yaratabiliyor. Yalnızca bir web sitesinin kimliğini doğrulayan ve şifreli bir bağlantı sağlayan dijital SSL sertifikasıyla elde edilebilen HTTPS, web sitesinin güvenli olmasına yardımcı oluyor.
SANAL KART KULLAN, LİMİTİNİ SIFIRLA
Siber saldırılar artık sadece bir hacker tarafından değil, organize siber saldırı çeteleri tarafından gerçekleştiriliyor. Akıllı cihazlar, bilgisayarlar ve elektronik cihaz kullanımları arttıkça siber güvenliğin öneminin de arttığını belirten uzmanlar, özellikle online alışverişlerde siber suçlara karşı sanal kredi kartı kullanılmasını ve alışveriş tamamlandığında limitin sıfırlanmasını tavsiye ediyor. Uzmanlar; banka, emniyet güçleri ve devlet kurumlarından kısa mesaj veya e-posta yoluyla şifre istenmediğini hatırlatarak bu tip tuzaklara karşı da tedbirli olunması gerektiğini ifade ediyor.
ŞİRKETLER PRESTİJ VE MADDİ KAYBA UĞRATILIYOR
Üsküdar Üniversitesi Mühendislik ve Doğa Bilimleri Fakültesi, Siber Güvenlik Yüksek Lisans Programı Anabilim Dalı Başkanı Dr. Öğretim Üyesi Ahmet Şenol, siber güvenliğin şirketler açısından önemine değinerek, “Firmaların veri tabanlarından müşterilerinin kredi kartı bilgileri çalınıyor, bir şirketin muhasebe kayıtlarının olduğu bilgisayarın veya sistemin veri diski şifrelenip şifrenin açılması karşılığında fidye isteniyor, büyük bir firmanın veya kurumun web sitesi ele geçirilerek prestij ve para kaybına yol açılıyor. Siber Güvenlik, elektronik sistemlerin ve bilginin güvende tutulması için geliştirilen teknolojiler ve yapılan uygulamalardır. İnsanların akıllı cihazlar, bilgisayarlar, elektronik cihazları kullanımı arttıkça, siber güvenlik de önemini artırmaya devam ediyor” diye konuştu
ŞİFRE İSTEYENLERE DİKKAT EDİN
Kişilerin e-posta veya SMS ile kendisinden şifre istenmeyeceğini bilmeleri gerektiğini belirten Şenol, şunları söyledi:
“Ne bir banka, ne emniyet güçleri, ne de bir kurum veya devlet organı, kişilerin şifresini elektronik ortamda yollamasını istemez. Kişiler bu konuda bilinçlendirilirse büyük sorun çözülebilir. Bir bankanın veya bir devlet kurumunun web adresine girmek istendiğinde adresi tarayıcı kısmına herhangi bir yerden kopyalayıp yapıştırmadan olduğu gibi yazılmalı. Bir başka sitede veya yerde bu bankaya yönlendirdiği iddia edilen linkler, geri planda kullanıcıyı zararlı sahte bir siteye yönlendirebilir. Sahte sitede gerçek kullanıcı ve şifresi yazıldığında bu bilgiler kötü amaçlı kişiler tarafından ele geçirilebilir.”
HARCADIKÇA LİMİTİ AZALAN KART KULLANIN
Alışverişlerde sanal kredi kartı kullanımı ve harcadıkça limiti azalan seçeneğinin tercih edilmesi gerektiğine vurgu yapan Şenol şu bilgileri verdi: “Harcamadan önce sanal kredi kartına limit tanımlanıp, harcama yapıldıktan sonra sanal kredi kartında harcanabilir kayda değer para olmaması, kullanıcıları internet alışverişinde daha güvenli kılar. Ayrıca Paypal gibi ödeme yöntemleri de sanal kredi kartı gibi normal kredi kartı kullanmaktan daha güvenlidir. Bilgisayarların işletim sistemi yamalarını içeren güncellemeleri temin etmek ve antivirüs yazılımı kullanmak da siber saldırılara karşı güvenliği sağlayabilir. Kişisel olarak alınabilecek önlemlerden biri de modemin fabrikasyon yönetim şifresini ve wifi şifresini değiştirmektir. Akıllı mobil cihazlarda ve bilgisayarlarda kullanılmayan uygulamaları yüklememek veya bulundurmamak da tedbir olarak uygulanabilir. Siber saldırganlar, bilgisayarlarda yüklü bazı programların açıklarından da yararlanıyor. Ne kadar çok uygulama yüklü ise olası güvenlik açıkları da o kadar çok olabilir.”
PARAVAN E-TİCARET SİTELERİNE DİKKAT
İndirim dönemlerinde siber saldırganların sahte, paravan e-ticaret siteleri oluşturduğuna dikkat çeken TOBB E-ticaret Meclisi Üyesi, Ticimax E-ticaret Sistemleri Kurucusu Cenk Çiğdemli ise, “Vatandaş bu özel günde internetten alışveriş yaparken dikkat etmeli. Özellikle büyük kampanya ve indirim gibi vaatler ile tuzağa düşmekten kaçınmalı” dedi. Bu tür özel dönemler için siber saldırganların çeşitli senaryolar ile vatandaşı tuzağa düşürdüğüne işaret eden Çiğdemli, “Özel dönemler için geçici süreliğine paravan siteler açılıyor ve vatandaşlar kampanya vaatleri ile bu sitelere yönlendirilerek tuzağa düşürülüyor. Çok çok cazip indirimlere ve kampanyalara karşı vatandaşın gözü açık olmalı” diye konuştu.
Siber suçluların temel hedefinin, online alışveriş yapanların kimlik veya kredi kartı bilgilerine ulaşarak gelir elde etmek olduğunu, bunun için bankacılık zararlı yazılımları, sahte Android bankacılık uygulamaları ve sahte e-ticaret sitesi gibi çeşitli saldırı yöntemleri kullandıklarını aktaran Çiğdemli, şu tavsiyelerde bulundu: “İnternet alışverişi yaparken, web sitesinin gerçek olup olmadığını birkaç kez kontrol etmek gerek. Sitenin iletişim bilgileri, SSL Sertifikası kesinlikle kontrol edilmeli. SSL sertifikası olup olmadığı, siteye girildiğinde adres barının sol köşesinde bulunan kilit işareti ile anlaşılabilir. Kilit işaretinin olmaması, Cenk dolandırıcılık niyeti olmasa bile o sitenin güvenilir olamayacağı anlamına gelir.
Sitenin adres, şirket ve telefon bilgileri de kontrol edilmeli. Sitenin sağlam bir altyapı sağlayıcıyla çalışıyor olması da güvenilir olduğunu gösterir. Yazıyorsa sitenin altındaki altyapı sağlayıcı firma ismine bakılabilir. Ayrıca her ne sebeple olursa olsun, telefonda veya mesajla kimseye kredi kartı bilgisi verilmemeli. Ürünün diğer sitelerdeki fiyatına da mutlaka bakılmalı. İnanılmayacak kadar büyük bir indirim söz konusuysa o siteden derhal çıkılmalı.”
SAHTE KARGO TAKİP SMS’LERİYLE DOLANDIRIYORLAR
Özellikle online alışverişlerin büyük artış gösterdiği kasım ve aralık aylarındaki indirim günlerinde siber dolandırıcılar, kargo şirketlerini ve e-ticaret sitelerini taklit ederek milyonlarca tüketiciyi sahte kargo takip SMS’leriyle dolandırmayı amaçlıyor. Fiziksel mağazalar yerine online alışveriş sitelerinin her zamankinden daha fazla ziyaret edileceği bu dönemde, istediği ürünü uygun fiyatlı alan tüketiciler kargolarının bir an önce kendilerine ulaşmasını bekliyor. Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, 11.11, Black Friday, Cyber Monday ve yılbaşı fırsatları başta olmak üzere birçok online alışveriş sitesinin kampanyalı satışlar planladığı 2 aylık indirim döneminde, tüketicilerin SMS’lerin gerçekten kargo şirketinden ya da e-ticaret sitesinden geldiğine çok dikkat etmesi gerektiğini belirtti. Direktör Alev Akkoyunlu, abartılı kampanyalara, kredi kartı dolandırıcılıklarına ve sahte alışveriş sitelerine karşı tedbirli olunması uyarısında bulunarak mutlaka sanal kart ile alışveriş yapılmasına dikkat çekti.
Akkoyunlu şunları söyledi: “Birçok tüketicinin online alışveriş yapma olasılığının oldukça yüksek olduğu bu dönemi fırsata çevirmek isteyen siber dolandırıcılar, kargo şirketlerini ve e-ticaret sitelerini taklit edip sayısız kişiye rastgele sahte kargo takip SMS’i göndererek aldığı ürünün bir an önce kendisine ulaşmasını sabırsızca bekleyen vatandaşları dolandırmayı hedefliyor. Kargo şirketlerini ya da e-ticaret sitelerini taklit eden SMS’ler nedeniyle güvensiz siteleri ziyaret eden vatandaş, kredi kartı ve kimlik bilgilerini siber korsanlara kaptırabilir.”
BLACK FRİDAY YAKLAŞIRKEN VERİ GÜVENLİĞİNİ UNUTMAYIN
Veri güvenliğinde yapılan en büyük ve en yaygın hatalardan biri; işletmelerin kendilerine bir saldırı olduğu zaman veya tanınmış bir şirketin başına bir olay geldiği zaman harekete geçmesi. Halbuki saldırı riskleri her gün artıyor ve yeni birtakım yöntemler ortaya çıkıyor. Özellikle Black Friday gibi dönemlerde şirketlerin dikkatli olması gerektiğini belirten Premier DC Veri Merkezi ve Sadece Hosting Yönetim Kurulu Danışmanı Sadi Abalı, yoğun trafik yaşanan bu dönemlerde zararlı link ve dosya gönderimleri ile ‘phishing’ gibi yöntemlerle yapılan saldırılarda büyük bir artış görülebileceğini söyledi.
Günümüzde işletmeler; prestijlerini, müşterilerinin ve iş ortaklarının verilerini koruyabilmek ve iş sürekliliğini garanti edebilmek için daha öngörülü hareket etmek, güvenlik işini bireysel ihmallere yer vermeyecek şekilde kurgularla uygulayarak veri güvenliğini sağlamak zorunda kalıyor.
Özellikle ‘Black Friday‘ gibi internette yoğun işlemlerin yapıldığı, e-ticaret siteleri ile e-ticaret kullanıcılarının hacker’ların hedefi haline gelebildiği bir dönemde veri güvenliğine daha fazla önem verilmesi gerektiğini söyleyen Abalı, şunları söyledi: “Büyük ölçekli şirketler veri güvenliği konusunda daha geniş kadrolar bulundurabiliyorken, orta ve küçük ölçekli şirketlerde bazen tek veri güvenliği uzmanı dahi bulunmadığını görüyoruz. Bu yüzden bu alanlarda yeni çıkan ve otomasyon, sürekli izleme sağlayan çözümler ve ‘security operation çenter’ [SOC] gibi hizmetleri sunan uzman hizmet sağlayıcılardan yararlanmaları gerekir. Black Friday gibi yoğun trafik yaşanan dönemlerde zararlı linkler, zararlı dosya gönderimleri, ‘phishing’ gibi yöntemlerle yapılan saldırılar büyük artış gösterir. Kullanıcıların güvenli olmayan sitelerde ve ağlarda hassas bilgileri paylaşmaması, bu tür yerlerde ödeme sistemlerini kullanmaması çok önemli.
Bu dönemde e-ticaret sitelerine yapılan DDoS saldırıları da artabilir ve hizmette kesintiler yaşanabilir. Şirketlerin ve tüketicilerin bu konularda dikkatli olması ve saldırılara hedef olmadan önce gerekli önlemleri alması gerekir.”
ÜRÜN DİRİER