Naoki Hiroshima ve onun tek harfli Twitter kullanıcı adı, Internet güvenliğine bütünsel yaklaşımı konusunun ne kadar önemli olduğunu bir kez daha ortaya koyuyor. Ayrıca bir web hesabının güvenliğinin aslında diğer hesaplar ile öngörülemeyen yönlerden nasıl bağlı olduğu gerçeğini de gözler önüne seriyor.
Hiroshima’nın Twitter tek harfli kullanıcı adı @N idi. Görünüşe göre bu adresi satın almak isteyen kişilerden çeşitli miktarlarda satın alma teklifleri kendisine ulaşmış. İddia ettiğine göre profilini satın almak için 50.000 dolar teklif eden bile olmuş. Ayrıca Hiroshima, hesabını çalmak için bitmek bilmeyen saldırılarla karşı karşıya kaldığını ve hesabını ele geçirmek isteyen kişiler tarafından gönderilen şifre yenileme mesajlarının sürekli posta kutusuna düştüğünü belirtiyor.
Tüm hikayeyi okumak isterseniz Next Web adresinde bulabilirsiniz. PayPal müşteri hizmetleri temsilcisini telefon ile konuşup sosyal mühendislik yoluyla Hiroshima’nın kredi kartının son dört hanesini öğrenen ve daha sonra bu bilgiler ile GoDaddy Web alan adlarını ve eposta hesabını ele geçiren hacker’dan tekrar bahsetmeyeceğiz. Hiroshima’nın hikayesi Matt Honan’ında (twitter kullanıcı adı: @mat) başına gelenlerle büyük benzerlik gösteriyor. 2012’de Wired’da yayınlanan makaleye göre Honan’ın tüm dijital varlığı bir saat içinde ele geçirildi. Web hesaplarını birbirine bağlamış olan Honan’ın bir hesabını ele geçiren hacker çok kısa bir süre içerisinde domino taşlarının düşmesi gibi teker teker tüm diğer hesaplarını da ele geçirdi.
Öncelikle şunu belirtelim ki Internet üzerindeki her hesabınızı tamamen güvenli hale getirecek mükemmel bir yöntemden söz etmiyoruz. Herkesin ihtiyaçları ve bu ihtiyaçlarına yönelik hesapları kendine göredir. Yapabileceğiniz en iyi şey, yaygın kullanılan online hizmetlerden yararlanırken belirli kurallar çerçevesinde hareket ederek bu tür sosyal mühendislik yöntemleri ile bilgilerinizin çalınmasına engel olmaya çalışmaktır.
Bu yazıyı online hesaplarınız ile ilgili dikkat edeceğiniz konulara bütünsel bir yaklaşım olarak değerlendirebilirsiniz. Bu aydan itibaren bu konuda belirli online hizmetlere ilişkin hesap bilgilerinizi nasıl koruyabileceğinizi gösteren detaylı yazılar yayınlayacağız. Şu linkteki Twitter güvenlik yazısına bakarak ne tür bir içerikten bahsettiğimizi anlayabilirsiniz.
Öncelikle, güçlü bir anti virüs yazılımı kullanarak klavye kaydediciler, Truva atları ve diğer tehditler ile zararlı yazılımlara karşı kendinizi korumalısınız. İkinci olarak her zaman güncellemelerinizi yapın. Bu temel önlemler olmadan yapacağınız her şey etkisiz kalacaktır.
Ayrıntılara girmeden önce her bir online hizmet için farklı bir şifre kullanmalısınız. Eğer şifrelerinizi hatırlamakta zorlanıyorsanız, sizin için şifrelerinizi hatırlayacak bir şifre yöneticisi kullanabilirsiniz.
Diğer hesaplarınızın şifrelerini hatırlatmak amacına yönelik mutlaka ayrı e-posta hesabı oluşturmalısınız. Bu hesabın tek amacı şifre hatırlatma e-postlarını yönlendirme olmalıdır. İdeal olan bunun sadece sizin bildiğiniz gizli bir hesap olmasıdır. Eğer tüm yumurtalarınızı aynı sepette tutmak istemezseniz bu amaçla birden fazla hesap oluşturabilirsiniz. Ancak onlarca eposta hesabı açmak istemiyor olmanız da gayet anlaşılabilir bir durumdur. Yahoo ve Microsoft’un yönlendirme hizmetleri dijital izini geniş tutmak istemeyen kullanıcılar için yararlı olabilir. Örneğin eposta adresiniz mehmet@outlook.com ise, başka harfler ve altçizgiler ile oluşturduğunuz eposta adresinizi bu posta kutusuna yönlendirerek adresinizi gizli tutabilirsiniz.
Daha net açıklamak gerekirse, kurtarma eposta adresi en önemli konudur. Eğer birisi tüm hesaplarınızın şifrelerini değiştirebilecek olan bir eposta hesabınıza erişirse sizin için yolun sonu gelmiş demektir. Bu noktada artık tüm hesaplarınız ele geçirilebilir durumdadır.
İlk olarak Google ile başlayalım. Google hesabınızı mutlaka daha önce bahsettiğimiz kurtarma eposta adresi ile yedeklemelisiniz. Bu sayede eğer hesabınız ele geçirilirse, kurtarma eposta adresinize şifre yenileme mesajı göndererek hesabınızı kurtarabilirsiniz. Ayrıca eposta hesabınızı cep telefonunuza da bağlamalısınız. Bu sayede ilerde bahsedeceğimiz iki seviyeli kimlik doğrulamayı kullanabilirsiniz.
Google hesabınızın yetkiler bölümünden hesabınıza erişim izi olan tüm servisleri ve uygulamaları görebilirsiniz. Burada her şeyin düzgün olduğunu periyodik olarak kontrol edin. Eğer onaylamadığınız bir şeye rastlarsanız mutlaka araştırın. Araştırmanıza rağmen hala ne olduğunu anlamadığınız veya şüphelendiğiniz bir şey varsa hesabınıza erişimini engelleyin. Büyük ihtimalle meşru bir uygulamadır ancak zararlı bir şey olması durumunda teorik ve potansiyel olarak bir saldırganın Google profilinizi ele geçirmesine imkan sağlayabilir.
Hesabınızı mobil cihazınız ile bağlamanızı önermemizin nedeni iki faktörlü kimlik doğrulamayı kullanabilmenizdir. Bu sayede yeni bir cihazdan yapılacak giriş denemelerini onaylamanız için mobil cihazınıza 6 haneli bir SMS mesajı gönderilecektir. İki faktörlü güvenlik biraz can sıkıcı olabilir ancak başkalarının hesabınıza giriş yapmasını engellemek için hesabınızın önünde dev bir bariyer oluşturur. Bu şartlarda bir saldırganın hesabınıza giriş yapabilmek için ya cep telefonunuzu çalması veya Google’ı hack etmesi gerekir ki böyle bir durumda şimdiye kadar hiç yaşanmadı. En azından henüz. Eğer gmail posta kutunuza SMS tabanlı iki faktör doğrulamanın etkin olmadığı iPhone veya diğer mobil cihazlardan erişiyorsanız uygulamaya özel şifreler kullanabilirsiniz. Böyle kullanmak kesinlikle külfetli olacaktır ancak aynı zamanda iyi bir fikir olduğu da tartışılmaz. Bu konuya eğitim videolarımızda daha sonra değineceğiz.
İki faktörün dışında, birileri bilinmeyen konumlardan şifrenizi değiştirmeyi veya hesabınıza girmeyi denediğinde size mobil uyarı mesajları gönderilmesini sağlayacak ayarları yapmalısınız. “Son Aktivitler” kayıtlarını da sürekli göz altında bulundurarak uygunsuz bir durum olup olmadığını kontrol etmelisiniz. Eğer tuhaf bir şey görürseniz, tuhaftan kastımız sizin tarafınızdan gerçekleştirilmemiş bir aktivite gibi, şifre değiştirmek için iyi bir zaman olabilir. Android cihazlar ve Google Cüzdan, kredi kartı bilgileri gibi oldukça hassas bilgiler barındırabilir. Bu yüzden her zaman kilit altında olduklarından emin olmalısınız.
Ödemelere özel önlemler, online bankacılık veya Google’ın belirli servisleri için kart sağlayıcınızla görüşmek faydalı olabilir. Pek çok kişi Google hesabını kendi alan adı ile kullanıyor. Şunu da tekrarlamakta yarar var, @N vakasında olduğu gibi saldırganlar önce alan adınızı ele geçirip ardından da hesabınıza erişebilirler veya @mat vakasında olduğu gibi tüm hesaplarınızı ele geçirebilirler.
Apple
Eğer Apple ID’niz varsa benzer şeyleri bu hesabınızla da yapmalısınız. Ayarlara erişmek için appleid.apple.com adresini ziyaret edebilirsiniz. İki faktörlü güvenlik ayarlarını yapmayı ihmal etmeyin. Bu sayede Apple ID hesabınız ile ilgili bir değişiklik olduğu zaman mobil cihazınıza bir erişim kodu gönderilecektir. Bunu ayarlamak iki nedenden ötürü önemlidir. Birincisi, hesabınıza erişim için şifre dışında bir bariyer daha koyması. Diğeri ise, eğer hesabınıza erişmezken iki faktörlü güvenlik SMS’i alırsanız birilerinin sizin hesabınıza erişmeye çalıştığını öğrenmiş olmanızdır. Bunların dışında ise, güvenlik sorularını muhtemelen zaten ayarlamışsınızdır. Cevaplarının kolay olmadığından emin olun. Ön tanımlı soruları kullanmayı tercih etmemelisiniz. Ancak kullanmak zorunda kalırsanız da potansiyel bir saldırganın cevabını Internet üzerinden bulamayacağı subjektif cevapları tercih edin. Ayrıca her şey kötü giderse kullanmak için bir kurtarma eposta adresi ayarlamanızı da öneririz. Apple hesabınıza bağladığınız eposta sizing birinci kurtarma epostanız olabilir ancak ikinci bir kurtarma adresi tanımlamaktan zarar gelmez. Bunu söylemeye bile gerek yok ancak yinde de belirtelim, Apple ID için kullanacağınız şifrenin zor tahmin edilebilir olduğundan ve başka hesaplarınızda bu şifreyi kullanmadığınızdan emin olmalısınız.
Bazı servisler – @N hikayesinde bahsedildiği gibi – kredi kartının son dört hanesini hesap sahipliğini doğrulamak için yeterli sayıyor. Apple bu servislerden biri değil ancak bu doğrulamayı kabul eden servisler için her hesaba farklı bir kredi kartı kullanmanız daha doğru olacaktır. Bu durumda eğer bir saldırgan kredi kartınızın son dört hanesini ele geçirirse kart doğrulaması kabul eden tüm servisler yerine sadece o karta bağlı servisinizi ele geçirebilir.
PayPal
Bu konuda iki farklı düşünce var. Bazıları PayPal hesabının online bankacılık hesabınıza erişim için koca bir yol oluşturduğunu savunurken bazıları da PayPal hesabının, online bankacılık bilgilerinin üçüncü partilerle paylaşımını sınırlandırma imkanı sağladığını düşünüyor. Örneğin; küçük bir web sitesinden alışveriş yaptığınızda, arka tarafta çalışan sistemlerden ve ödeme sistemlerinden haberdar olma şansınız yok. Bu gibi durumlarda kimse CVV gibi hassas bilgilerinizi kriptolu olmayan açık bir şekilde kaydetmediklerini kimse garanti edemez. Bu nedenle bu tür yerlerden alışveriş yaparken ödeme bilgilerini direk olarak satıcı ile paylaşmadığınız PayPal online ödeme sistemlerini kullanmak akıllıca olacaktır.
Bunlara ek olarak PayPal’ın pratik kullanımı sayesinde tüketiciler ve online satıcılar tarafından geniş bir kullanımı ve önemli bir saygınlığı var. Yaklaşımları – bu konudaki diğer pek çok servis sağlayıcı gibi – “bize güvenin” şeklinde ve bazı güçlü koruma imkanları sunuyorlar. Bunlardan biri para çekme limiti. Gerçi bir saldırgan eğer hesabınızı ele geçirirse kolayca bu limiti yükseltebilir. Ancak para çekme limitini kullanmanızı öneririz.
İkincisi – ve daha önemlisi – PayPal tarafından önerilen “Güvenlik Anahtarı” isimli güvenlik özelliği. Onlar bu özelliği iki faktörlü güvenlik olarak isimlendirmese de aslında bu özellik tam olarak iki faktörlü güvenlik sistemi. Kullanıcılara bir kaç seçenek sunuyorlar. Bunlardan birincisi bedava olan standart SMS tabanlı iki faktör güvenlik. PayPal ile telefon numaranızı paylaşıp şartları kabul ettiğinizde her giriş yapma denemenizde sistem size tek kullanımlık erişim kodu gönderiyor. Birileri hesabınıza girmeyi denediğinde önlerine bir bariyer oluşturması ve SMS ile sizi haberdar etmesi nedeniyle bu güçlü bir güvenlik özelliği. Eğer 30 dolar öderseniz PayPal size kredi kartı boyutunda bir anahtar oluşturucu cihaz gönderiyor. Bankalarda kullanılan tek kullanımlık şifre cihazları gibi cihaz düğmesine her bastığınızda bir defa kullanılabilen bir şifre oluşturuyor.
Ayrıca müşteri hizmetlerini aradığınızda doğrulama mekanizmasını değiştirmek için bir seçenek de sunuyorlar. Doğrulama mekanizması ön tanımlı olarak bu kredi kartı numarası ancak bunu kendi belirleyeceğiniz bir numerik kod ile de değiştirebilirsiniz. Daha önce yukarıda bahsettiğimiz sebeplerden ötürü bunu yapmak akıllıca olacaktır.
Tüm bunların ötesinde şifrelerinizi güçlü ve zor tahmin edilebilir olduğundan emin olun ve mobil cihazınızı PayPal hesabınıza bağlayın. Böylece şifre değişiklikleri ve şüpheli aktiviteler durumunda PayPal sizi SMS ile uyaracaktır.
Threatpost adresinde Twitter’ın güvenlik ve gizlilik özellikleri hakkında geniş bir genel bakış yazısı bulabilirsiniz. Bu servisi kullanırken de üstte bahsettiğimiz sebeplerden ötürü güçlü şifreler ve iki faktörlü kimlik doğrulama özelliklerini kullanmalısınız. Twitter kendi iki faktörlü güvenlik özelliğini “giriş doğrulama” olarak adlandırıyor.
Şifre değiştirmeden önce kişisel bilgilerinizi girerek doğrulama yapma özelliğini de etkinleştirebilirsiniz. Bunun dışında direkt mesaj gönderilmesi veya sizden bahsedilmesi durumunda eposta veya SMS uyarısı alma özelliğini de aktif etmelisiniz. Çünkü eğer birileri hesabınızı ele geçirir ve spam veya zararlı yazılım içeren mesajlar göndermeye başlarsa muhtemelen arkadaşlarınız veya takipçileriniz bu konuda size uyarı mesajı göndereceklerdir. Bu durum muhtemelen sizin hemen öğrenip hızlıca çözmek isteyeceğiniz bir durum olacaktır.
Ayrıca hesabınıza bağlı uygulamaları sürekli kontrol etmeli ve burada şüpheli bir durum olmadığından emin olmalısınız. Bunu yanında eğer uzun süredir kullanmadığınız uygulamalar var ise onları iptal ederek listeden çıkarmalısınız. Kullanılmayan uygulamalar hackerların twitter hesabınızı ele geçirmek için kullandıkları yöntemlerden biridir.
Facebook için de benzer şeyler geçerli. İlk ve en önemlisi – çünkü seçime bağlıdır – güvenli gezinmeyi etkinleştirmektir. Tanınmayan bir tarayıcıdan erişim girişimi olduğunda uyarı göndermesi için giriş uyarılarını ayarlamalısınız. Bir de Facebook’un iki faktörlü kimlik doğrulama servisi olan erişim onayını etkinleştirmelisiniz.
Bu sayede birisi tanınmayan bir tarayıcıdan hesabınıza erişim girişiminde bulunduğunda Facebook mobil cihazınıza bir kod gönderir. Göz önüne alabileceğiniz diğer bir şey ise iki faktörlü giriş doğrulaması için kullanabileceğiniz kod oluşturucudur. Kod oluşturucu kullanırsanız SMS kod yerine mobil cihazınızdaki Facebook uygulamasına girerek erişim kodunuzu oluşturabilirsiniz. Google’da olduğu gibi uygulamaya özel şifre ayarlaması da yapabilirsiniz. Facebook, Google’dan farklı olarak acil bir durumda güvenilir arkadaşlarınızı tespit ederek hesabınızı kurtarmanıza imkan sağlıyor. Eposta hesabınızın da ele geçirilmesi ve erişiminizin olmaması durumunda şifrenizi değiştirmek için bu seçeneği kullanabilirsiniz. Son olarak, aktif bağlantıların hepsinin sizin tarafınızdan yapıldığından ve “güvenilir cihazlar” bölümündeki cihazların sizin için gerçekten güvenilir olduğundan emin olmalısınız.
Amazon
Burada Amazon’u web satıcıları için erişim merkezi olarak konumlandırıyoruz. İlk tavsiyemiz – bu tüm online satıcılar için geçerli – kredi kartı bilgilerinizi eğer mümkünse kaydetmemeniz. Bazı satıcılar bu seçeneği sunmuyorlar ve kart bilgilerinizi girdiğiniz anda kaydediyorlar. Bazıları ise kredi kartı bilgilerinizi kaydetmek isteyip istemediğinizi soruyorlar. Kredi kartını bilgilerinizi kaydeden – Amazon gibi – ancak daha sonra girip yönetmenize izin veren satıcılar da var. Bu durumlarda işleminizi tamamladıktan sonra gidip kart bilgilerinizi kaldırabilirsiniz.
Bunun dışında bildiğimiz kadarıyla, Amazon Web-hosting servisleri iki faktörlü doğrulama sunuyor ancak alışveriş servisi sunmuyor. Güçlü ve zor tahmin edilebilir şifreler kullandığınızdan, hesabınızı güvenli bir şekilde ayarlanmış eposta hesabı ile yedeklediğinizden ve mobil cihazınız ile hesabınız arasında bağlantı kurduğunuzdan emin olun.
Facebook gibi LinkedIn servisini kullanırken de sürekli HTTPS üzerinden güvenli bağlantı kurmak için hesap ayarları sayfasına gidip güvenli bağlantı ayarlarını etkinleştirmelisiniz. Ayrıca iki faktörlü doğrulama servisini de ayarlayabilirsiniz. Bunların dışında genel olarak konuşmak gerekirse, herkese açık yerlerde bir şey paylaşırken kişisel bilgilerinizi sınırlı tutmanızı öneririz. Özellikle LinkedIn gibi kişisel bilgilerinizin nerede çalıştığınız, yaşamınızı sürdürmek için neler yaptığınız gibi bilgileri kapsadığı yerlerde. Ne kadar çok bilgi paylaşırsanız bir saldırganın bu bilgileri kullanarak makinalara veya insanlara kendisini sizmiş gibi tanıtarak hesaplarınıza erişim hakkı alması o kadar kolaylaşacaktır. Ek olarak, iş hakkında ne kadar çok bilgi paylaşırsanız hackerların beraber çalıştığınız kişilere oltalama saldırısı yapması o kadar kolaylaşır.
Yahoo
Yahoo yakın zaman önce HTTPS protokolünü servislerine ekledi. Ayrıca kullanmanızı tavsiye edeceğimiz iki faktörlü doğrulama seçeneği de sunuyor. Bunun yanında acil durumlar için kurtarma eposta adresini ayarlamayı da unutmayın. Yahoo güvenlik soruları seçeneği sunan servislerden bir diğer. Bu sorulara ne cevap verirseniz verin online olarak veya başka bir şekilde kolay bir şekilde bulunamayacak şeyler olduğundan emin olun.
Yahoo ayrıca kullanıcılarını oltalama saldırısından korumak için ilgili çekici bir koruma sunuyor. Kullanıcılar Yasal Yahoo web sitesine girdiklerinde özel bir mühür görüyorlar. Bu sayede birileri sizi sahte bir link yardımıyla Yahoo giriş sayfası gibi gözüken bir adrese yönlendirirse bu güvenlik mührü olmadığı için doğru adreste olmadığınızı anlayabileceksiniz.
Güvenlik ve gizlilik ayarlarının ayrıntılarına daha sonra, bu konuda hazırladığımız bir video ile gireceğiz.
Microsoft
Gözünüzü üzerinden ayırmamınız gereken bir diğer Microsoft servisi ise Xbox Live. Özellikle Microsoft’un yeni konsolu Xbox One ile artan bağlanmışlığı göz önüne alırsak. Xbox Live hesabınıza giriş yaptığınızda iki faktörlü doğrulama, yedek eposta adresi ve almak isterseniz uyarı mesajlarının gönderilme zamanları gibi seçeneklere ulaşabilirsiniz. Bu önlemlerin hepsi Xbox Live hesabınızı ve aynı zamanda hesabınıza bağlı kredi kartı bilgilerinizi korumak için size yardımcı olacak ciddi önlemler. Kredi kartınızın son dört hanesi – yine – diğer web hesaplarınıza erişmek sahiplik doğrulamada kullanılabilir.
–
Şimdilik hepsi bu kadar fakat tüm bu servislerin güvenlik ve gizlilik ayarları konusunda bilmeniz gerekenleri anlatan eğitim videolarını görmek için yakında sayfalarımızı tekrar ziyaret etmeyi unutmayın.