PrismAccordion
Kayıtlı Kullanıcı
Bir anda o bildirim düşer ekrana, bazen bir e-posta, bazen doğrudan uygulamanın kendisinden, işte o uğursuz metin: "Hesabınıza şüpheli bir giriş tespit edildi." Yahu ne şüphelisi, ben mi girmedim diye düşünür insan çoğu zaman. İlk refleks, o anlık şaşkınlık ve akabinde gelen o garip inkar hali... "Yok canım, olamaz öyle şey, kesin sistem hatasıdır." Halbuki o an, dijital varoluşunuzun minik ama kritik bir noktasında bir çatlak oluşmaya başlamış olabilir, farkında değilsiniz.
Oysa bazıları direkt panik moduna geçer, elleri titremeye başlar. Cep telefonuna gelen e-postadaki linke, abi ya, hiç bakmadan, URL’nin gerçek olup olmadığını kontrol etmeden yapışanlar... Orada "şifremi sıfırla" butonu var ya, işte tam da oraya tıklarlar. Hiçbir zaman o linkin aslında bir kimlik avı tuzağı, yani "phishing" saldırısının parçası olabileceği akıllarına gelmez. Bir "domain spoofing" denemesi mi, yoksa doğrudan kötü amaçlı bir sunucuya mı yönlendirildiler, kim bilir... Vallahi billahi, siber hırsızlar da tam da bu insani zaafı, o telaşı bekliyorlar zaten.
Sonra bir de o "ben biliyorum" ekolü var, hani şu her şeyi çözdüğünü sananlar. "Şifremi değiştireyim yeter" deyip, altı karakterli, kolay tahmin edilebilir bir başka şifreye geçiverirler, üstelik bu yeni şifreyi de başka platformlarda kullanmaya devam ederler. Aynı kimlik bilgilerini tekrar tekrar kullanmak, yani o "credential stuffing" saldırılarının ekmeğine yağ sürmek değil de nedir bu? Bir yerde sızan tek bir şifrenin, domino etkisiyle diğer tüm hesapları tehlikeye atabileceği gerçeğini görmezden gelirler... Ne demeli şimdi buna, bilemedim.
Mesela bazıları, bildirim geldiği gibi, hemen bir arama motoruna koşar, "şüpheli giriş uyarısı" yazar, çıkan ilk blog yazısındaki talimatlara aynen uymaya çalışır. Ama o blog yazısının da ne kadar güvenilir olduğunu, ardında bir "SEO poisoning" çalışması olup olmadığını, o içeriği yazanın gerçek bir siber güvenlik uzmanı mı yoksa sadece tıklama avcısı mı olduğunu kim düşünür? Güvenilir kaynaklardan gelen bilgiyi teyit etmeden adım atmak, bazen daha büyük bir "malware" veya "ransomware" enfeksiyonuna kapı aralayabilir, değil mi? İşte bu ihmal, sonraki "incident response" süreçlerini bile içinden çıkılmaz hale getiriyor.
Bir de o "support" numarası meselesi var ki evlere şenlik. Orijinal bildirimle beraber gelen bir telefon numarası... ya da bazen dolandırıcıların kendilerinin uydurduğu sahte bir numara... insanlar panikleyince hemen arar. Karşıdaki kişi de kendini "teknik destek" olarak tanıtır, abi bir güzel ikna eder, tüm hesap bilgilerini ister, hatta bazen "uzaktan erişim" için bir yazılım kurdurur. İşte orada yandı gülüm keten helva... Bu doğrudan bir "sosyal mühendislik" saldırısıdır, yani "human element" kullanılarak yapılan manipülasyon... Senin kendi ellerinle anahtarları teslim etmen gibi bir şey bu. Oysa gerçek firmalar, şifreni direkt olarak senden istemezler ki...
Peki, iki faktörlü kimlik doğrulama, yani "MFA" veya "2FA" açık mıydı? Çoğu kullanıcı, kolaylık uğruna ya hiç açmaz ya da en zayıf formunu tercih eder. Oysa SMS tabanlı doğrulamaların bile bazen "SIM-swapping" gibi yöntemlerle aşılabileceği gerçeği ortadayken, donanım anahtarları veya özel "authenticator" uygulamaları gibi daha güçlü "security token" çözümlerini düşünmezler. İşte o şüpheli giriş anında, eğer bu katman olsaydı, belki de durum çok daha farklı olurdu, değil mi? Keşke...
Ve hatta bazıları, gelen uyarıyı defalarca reddeder, "benim hesabım güvende" diyerek kendini avutur. Oysa siber dünyada "zero-day exploit" denen, daha keşfedilmemiş güvenlik açıklarının bile var olduğu bir gerçek. Yani senin hesabın bugün güvendeyken, yarın bir "API zafiyeti" veya "oturum çerezi çalınması" yüzünden tehlikeye düşebilir. Sürekli bir tetikte olma hali, paranoya değil, düpedüz "risk yönetimi" meselesi aslında. İşte o uyarılara omuz silkmek, dijital sağlığınıza karşı yapılan en büyük ihmallerden biri... Bir düşünün bakalım, gerçekten o kadar güvende mi her şey?
Oysa bazıları direkt panik moduna geçer, elleri titremeye başlar. Cep telefonuna gelen e-postadaki linke, abi ya, hiç bakmadan, URL’nin gerçek olup olmadığını kontrol etmeden yapışanlar... Orada "şifremi sıfırla" butonu var ya, işte tam da oraya tıklarlar. Hiçbir zaman o linkin aslında bir kimlik avı tuzağı, yani "phishing" saldırısının parçası olabileceği akıllarına gelmez. Bir "domain spoofing" denemesi mi, yoksa doğrudan kötü amaçlı bir sunucuya mı yönlendirildiler, kim bilir... Vallahi billahi, siber hırsızlar da tam da bu insani zaafı, o telaşı bekliyorlar zaten.
Sonra bir de o "ben biliyorum" ekolü var, hani şu her şeyi çözdüğünü sananlar. "Şifremi değiştireyim yeter" deyip, altı karakterli, kolay tahmin edilebilir bir başka şifreye geçiverirler, üstelik bu yeni şifreyi de başka platformlarda kullanmaya devam ederler. Aynı kimlik bilgilerini tekrar tekrar kullanmak, yani o "credential stuffing" saldırılarının ekmeğine yağ sürmek değil de nedir bu? Bir yerde sızan tek bir şifrenin, domino etkisiyle diğer tüm hesapları tehlikeye atabileceği gerçeğini görmezden gelirler... Ne demeli şimdi buna, bilemedim.
Mesela bazıları, bildirim geldiği gibi, hemen bir arama motoruna koşar, "şüpheli giriş uyarısı" yazar, çıkan ilk blog yazısındaki talimatlara aynen uymaya çalışır. Ama o blog yazısının da ne kadar güvenilir olduğunu, ardında bir "SEO poisoning" çalışması olup olmadığını, o içeriği yazanın gerçek bir siber güvenlik uzmanı mı yoksa sadece tıklama avcısı mı olduğunu kim düşünür? Güvenilir kaynaklardan gelen bilgiyi teyit etmeden adım atmak, bazen daha büyük bir "malware" veya "ransomware" enfeksiyonuna kapı aralayabilir, değil mi? İşte bu ihmal, sonraki "incident response" süreçlerini bile içinden çıkılmaz hale getiriyor.
Bir de o "support" numarası meselesi var ki evlere şenlik. Orijinal bildirimle beraber gelen bir telefon numarası... ya da bazen dolandırıcıların kendilerinin uydurduğu sahte bir numara... insanlar panikleyince hemen arar. Karşıdaki kişi de kendini "teknik destek" olarak tanıtır, abi bir güzel ikna eder, tüm hesap bilgilerini ister, hatta bazen "uzaktan erişim" için bir yazılım kurdurur. İşte orada yandı gülüm keten helva... Bu doğrudan bir "sosyal mühendislik" saldırısıdır, yani "human element" kullanılarak yapılan manipülasyon... Senin kendi ellerinle anahtarları teslim etmen gibi bir şey bu. Oysa gerçek firmalar, şifreni direkt olarak senden istemezler ki...
Peki, iki faktörlü kimlik doğrulama, yani "MFA" veya "2FA" açık mıydı? Çoğu kullanıcı, kolaylık uğruna ya hiç açmaz ya da en zayıf formunu tercih eder. Oysa SMS tabanlı doğrulamaların bile bazen "SIM-swapping" gibi yöntemlerle aşılabileceği gerçeği ortadayken, donanım anahtarları veya özel "authenticator" uygulamaları gibi daha güçlü "security token" çözümlerini düşünmezler. İşte o şüpheli giriş anında, eğer bu katman olsaydı, belki de durum çok daha farklı olurdu, değil mi? Keşke...
Ve hatta bazıları, gelen uyarıyı defalarca reddeder, "benim hesabım güvende" diyerek kendini avutur. Oysa siber dünyada "zero-day exploit" denen, daha keşfedilmemiş güvenlik açıklarının bile var olduğu bir gerçek. Yani senin hesabın bugün güvendeyken, yarın bir "API zafiyeti" veya "oturum çerezi çalınması" yüzünden tehlikeye düşebilir. Sürekli bir tetikte olma hali, paranoya değil, düpedüz "risk yönetimi" meselesi aslında. İşte o uyarılara omuz silkmek, dijital sağlığınıza karşı yapılan en büyük ihmallerden biri... Bir düşünün bakalım, gerçekten o kadar güvende mi her şey?
