Parolalar 101: Parolalarınızı istenen her yere girmeyin

Çevrimiçi bir hizmette oturum açmanız, kimliğinizi doğrulamanız veya bir bağlantı aracılığıyla bir belge indirmeniz istendiğinde, genellikle kullanıcı adınızı ve parolanızı girmeniz gerekir. Bu o kadar yaygındır ki, çoğumuz bunu hiç düşünmeden otomatik olarak yaparız. Ancak dolandırıcılar, kendi (üçüncü taraf) web sitelerinde hizmetin giriş formunu taklit ederek; e-postalar, devlet hizmeti web siteleri, bankacılık hizmetleri veya sosyal ağlara ait parolalarınızı girmeniz için sizi kandırabilirler. Bu oyuna gelmeyin: E-posta parolanızı doğrulamayı yalnızca e-posta hizmetinin kendisi isteyebilir, başka hiçimse isteyemez! Aynı durum devlet hizmetleri, bankalar ve sosyal ağlar için de geçerlidir.

Dolandırıcılık kurbanı olmamak için, her parola girişinizde, tam olarak nerede oturum açtığınızı ve hangi pencerenin kimlik bilgilerinizi sorduğunu kontrol etmek için bir dakikanızı ayırın. Burada üç ana senaryo mümkündür; ikisi güvenli, biri ise kandırma amaçlıdır. İşte senaryolar:

Parola girişi yapmanın güvenli olduğu senaryolar

1. Resmi web sitesi aracılığıyla e-postanıza, sosyal ağınıza veya çevrimiçi hizmetinize giriş yapma: Bu en basit senaryodur, ancak URL’de herhangi bir hata olmadığından ve gerçek sitede olduğunuzdan emin olmanız gerekir. Çevrimiçi hizmete e-postanızdaki veya arama sonuçlarındaki bir bağlantıya tıklayarak erişiyorsanız, parolanızı girmeden önce tarayıcının adres çubuğunu dikkatlice kontrol edin. Hem servis adının hem de site adresinin doğru olduğundan ve birbirleriyle uyumlu olduğundan emin olun.

Kontrol etmek için fazladan bir saniye ayırmak neden bu kadar önemli? Gerçek sitelerin kimlik avı kopyalarını oluşturmak dolandırıcıların en sevdiği hilelerden biridir. Kimlik avı sitesinin adresi orijinaliyle neredeyse aynı olabilir, sadece bir veya iki harf farklı olabilir (örneğin, “i” harfi “I” ile değiştirilebilir) veya farklı bir alan adı bölgesi kullanabilir.

Bir siteye yönlendiriyor gibi görünen ama aslında sizi başka bir yere götüren bir bağlantı oluşturmak da oldukça basittir. Örneğin kaspersky.com.tr/blog bağlantısı sizi blogumuza yönlendiriyor gibi görünse de aslında sizi diğer blogumuz olan securelist.com’a yönlendirecektir.

Aşağıdaki görselde, çeşitli hizmetler için kullanıcı adı ve parolanızı güvenle girebileceğiniz gerçek giriş sayfalarının örnekleri gösterilmiştir.

Çeşitli hizmetler için gerçek oturum açma sayfalarına örnekler. Kimlik bilgilerinizi buraya girmek güvenlidir.

2. Yardımcı bir hizmet kullanarak bir sitede oturum açma: Bu; dosya depolama hizmetleri, işbirliği araçları vb. uygulamalar için yaygın olarak kullanılan, ek parolalar oluşturmadan oturum açmanın uygun bir yoludur. Yardımcı hizmetler genellikle büyük e-posta sağlayıcıları, sosyal ağlar veya devlet hizmetleri siteleridir. Giriş düğmesi “Google ile devam et”, “Facebook ile devam et”, “Apple ile devam et” gibi bir ifade içerebilir.

Düğmeye tıkladığınızda, yardımcı hizmete (Google, Facebook, Apple vb.) ait başka bir pencere açılır ve bu harici hizmet kimliğinizi doğrulayarak bunu giriş yaptığınız sitede onaylar. Bu noktada her iki penceredeki adresleri de kontrol etmek çok önemlidir; parolanızı isteyen açılır pencerenin gerçekten beklediğiniz yardımcı hizmete (Google, Facebook, Apple vb.) ait olduğundan ve ana pencerenin gerçekten oturum açmaya çalıştığınız gerçek siteye ait olduğundan emin olun. Çoğu durumda, açılır pencere hangi siteye giriş yapacağınızı da gösterir. Bu yardımcı hizmet mekanizması, parolanızı hiç görmeden istediğiniz siteye girmenizi sağlar. Parola doğrulama işlemi yardımcı hizmet (Google, Facebook, Apple vb.) tarafında gerçekleşir. BT uzmanları bu oturum açma yöntemini çoklu oturum açma (SSO) olarak adlandırmaktadır.

Parolanızı doğrulayan bir yardımcı hizmet (Google) aracılığıyla eBay’de SSO oturum açma örneği. Kimlik bilgilerinizi buraya girmek de güvenlidir.

Dolandırıcılık senaryosu: Parola hırsızlığı

Giriş bağlantısı içeren bir e-posta veya mesaj alır, tıklar ve yasal bir e-posta, sosyal ağ, dosya paylaşımı veya e-imza hizmetine çok benzeyen bir siteye girersiniz. Site, kimliğinizi kanıtlamak için hesabınıza giriş yapmanızı ister. Bu amaçla, e-postanız, devlet hizmetleri siteniz, bankacılık hizmetiniz veya sosyal ağınız için e-posta adresinizi ve parolanızı doğrudan bu siteye girmeniz istenir.

Bu senaryoda, ya gerçek bir hizmete ait açılır pencere yoktur (önceki durumda olduğu gibi) ya da ek pencere üçüncü taraf bir siteye aittir. Bu, hesap parolanızı çalmak için tasarlanmış bir dolandırıcılıktır! Unutmayın, üçüncü taraf bir site parolanızı doğrulayamaz çünkü parolanızı bilmiyordur ve parolalar siteler arasında asla paylaşılmaz.

Adres çubuğuna bakın: Bu kesinlikle Netflix değil! Kimlik bilgilerinizi buraya girmeyin!

Kendinizi parola hırsızlığına karşı nasıl korursunuz?

1. Parolanızı isteyen sitenin adresini dikkatlice kontrol edin.
2. Bir hizmetin parolasını yalnızca o hizmetin resmi web sitesinde girin, başka hiçbir yerde değil.
3. Bazen parola girmek için ayrı bir pencere görünür. Bu pencerenin adres çubuğunu görebileceğiniz ve adresi doğrulayabileceğiniz normal bir tarayıcı penceresi olduğundan emin olun.
4. Dolandırıcılar, gerçek adreslerden ayırt edilmesi zor adreslere sahip benzer siteler oluşturabilirler. Böyle bir tuzağa düşmemek için tüm cihaz ve platformlarda güvenilir kimlik avı koruması kullanın. Biz, 2024 yılında bir kimlik avı testinin galibi olan Kaspersky Premium uygulamasını öneriyoruz.
5. Gelişmiş bir koruma yöntemi de tüm hesaplarınız için bir parola yöneticisi kullanmaktır. Gerçek sayfa adresini doğrular ve ne kadar ikna edici görünürse görünsün, bilmediğiniz bir siteye kimlik bilgilerinizi asla girmez.