Günümüzde kişilerin internette bilgilerinin korunması ve bu bilgilere herhangi bir zarar gelmesinin önlenmesi ilk bakışta kolay gibi gözükse de esasında oldukça zor bir durumdur. Bilgileri korumak, kredi kartı bilgilerini kimseye vermemek veya şifreni kimseyle paylaşmamaktan ibaret değildir. Bilgileri korumak için doğru yazılımların kullanılması, internet üzerinden yapılacak alışverişlerin güvenilir siteler üzerinden yapılması, kişinin güvenli bir şekilde bilgilerini koruması sayesinde kendisine ve kişisel bilgilerine zarar gelmesini önleyebilir.
Saldırganların kullandığı bir diğer yöntem de internet üzerinden kredi kartı hırsızlığıdır. Saldırganlar, şahısların kredi kartı bilgilerini ele geçirmek için Phishing (oltalama) ve Pharming (yemleme) yöntemlerini kullanmaktadır. Phishing yönteminde saldırgan, kişinin kullandığı bankanın, e-posta hesabının ve bunun gibi özel bilgilerini girmesi gereken web sitelerinin kopyalarını yaparak kişiye gönderir. Kişi eğer bilgilerini girip devam ederse, bu kopya sitelerin içinde bulunan kod parçacıklarıyla girilen bilgiler saldırgana yönlendirir ve saldırganın bu bilgileri kullanarak kredi kartı numaralarını, şifrelerini, hesap numaralarını çalmasına olanak sağlar. Pharming yöntemi ise daha farklı şekilde işlemektedir. Pharming yönteminde, saldırgan DNS sunucusuna girer ve sunucu cache’nde tutulan yasal adresi sahte adrese yönlendirir veya kişinin bilgisayarına gönderdiği trojanla kişinin ruhu bile duymadan kişisel bilgilerini çalar. Pharming denetlenmesi çok daha zor olması nedeniyle daha tehlikelidir. Örneğin, 21 Ekim 2011 tarihinde yaşanan bir çete operasyonunda, çete üyelerinin internette kurdukları bazı alışveriş siteleriyle kişilerin kredi kartı bilgilerini çalarak milyonlarca lira vurgun yaptığı ortaya çıkmıştır. Bu saldırılara karşı alınacak belli başlı önlemler ise şöyledir:
İnternet üzerinde saldırganların kullandığı çeşitli yollar vardır. Bunlardan bir tanesi bilgisayara bulaştırılacak olan trojan veya bunun gibi yazılmış kötü amaçlı yazılımlardır. Bu tehlikeden korunmanın en hızlı ve verimli yolu antivirüs programları veya casus yazılımlarını önleyici (spyware) programları kullanmaktır. Eğer ortada bir zayıflık yoksa, virüs kendi kendine bulaşamaz. Zayıflığı engellemenin yollarından bir tanesi de güncellemelerin doğru şekilde yapıldığından emin olmaktır. Güvenlik, zararların bir anda engellenerek gelecekte yaşanabilecek sıkıntıları tamamen yok etmek anlamına gelmemektedir. Güvenliği sağlamanın belki de en gözden kaçan noktası, süreç aşamasında zaman zaman yapılacak güncellemelerden geçmektedir. Eğer bilgisayarınıza zararlı bir program girerse; e-posta hesaplarınız, banka şifreleriniz ve diğer kişisel bilgileriniz zarar görebileceği gibi, bilgisayarınızdaki değerli belgeleriniz de silinebilir, kopyalanabilir ve bilgisayar üzerinde yaptığınız her şeyi kaydedilebilir. Ayrıca bu zararlı program, harddiskinizin içinde bulunan tüm verileri silebilir ve diğer kötü amaçlı yazılımların yüklenmesine sebep olabilir. Bu gibi durumlardan korunmak için en azından şu tip basit önlemler alınabilir:
* Bilgisayarın güncellemeleri mutlaka yapılmalı
* Güncel bir antivirüs programı kullanılmalı
* Gelen e-postanın kimden geldiğine emin olunmayan durumda bu e-posta ‘spam’ olarak değerlendirilmeli
* Güvenli olmayan internet siteleri üzerinden alışveriş gerçekleştirilmemeli, bu tip sitelerde kişisel bilgiler kesinlikle kullanılmamalı
* Yapılacak online alışverişlerde gerçek kredi kartlarını kullanmak yerine “sanal kredi” kartlarının kullanılması zararı engellemede fayda sağlar
Online bankacılık işlemlerinde dikkat edilmesi gereken bazı noktalar
Saldırganların kullandığı yollardan biri de internet bankacılığını kullanarak yapılan dolandırıcılık yöntemleridir. İnternet bankacılığı kullanırken dolandırmalar yine phishing ve pharming üzerinden yapılmaktadır. Bu nedenle bankalar güvenlik önlemlerini son derece üst düzeyde ve güncel tutmaktadır. Ancak saldırganlar da kendilerini her konuda geliştirmektedir. Örneğin Mart 2011’de internet üzerindeki hesabından 11 bin TL çekildiğini fark eden bir çift, bankaya açtıkları davayla hesaplarından çekilen paralarını faiziyle beraber aldılar. Ancak yaşanan olay bankanın güvenlik açığından faydalanarak yapılmış olan bir dolandırıcılık olduğu için dava böyle sonuçlandı. Diğer yandan banka tüm güvenlik önlemlerini almış olsa da, kişi güvenilir olmayan ağ üzerinden internet bankacılığı kullanırsa saldırganın eline kişisel bilgilerinin geçmesine olanak sağlayabilir. Bu yüzden güvenilmeyen ağ üzerinden kesinlikle internet bankacılığı kullanılmamalı ve işlem yapılmamalıdır. Açılan oturum kesinlikle kapatılarak işlem sonlandırılmalı, böylece açık kalan bir sisteme daha sonra belirsiz kişilerin erişimine imkan verilmemelidir. Her banka için ayrı şifre belirlenmeli. Bankanızdan gelen ekstreleri tek tek kontrol edin. Ayrıca internet bankacılığı üzerinden yapılacak işlemleri sanal klavyeler kullanarak daha güvenli hale getirilebilirsiniz.
Kimlik hırsızlığı
İnternet üzerinden kullanılan kredi kartı hırsızlığında ve internet bankacılığı kullanılarak yapılan dolandırıcılıklarda benzer bir durum ise kimlik hırsızlığıdır. Kimlik hırsızlığı kredi kartlarınızın, kimlik kartlarınızın ve diğer bilgilerinizin bulunduğu çanta ve cüzdanlarınızın çalınarak veya internette paylaştığınız kişisel bilgileriniz kullanılarak gerçekleştirilebilir. Kimlik hırsızlığı mağduruysanız adınıza alınacak sahte e-posta hesabı, sahte sabit ve cep telefonu numaraları, sahte hesapların açılması gibi durumlara maruz kalabilirsiniz. Açılacak sahte e-posta hesabıyla yapılabilecek en basit işlemlerden birisi, kişinin çevresindeki çalışma arkadaşlarına, müşterilerine, yöneticilerine gönderilecek kötü niyetli e-posta mesajlarla kişiyi zor durumda bırakmaktır. Saldırganlar internet üzerinden kişinin kimlik bilgileriyle dolandırıcılık yaparak, adına alışverişler düzenleyerek, kişi adına suç işleyerek yapılabilecek bütün işlemlerden kendine pay sağlayarak kişiyi suçlu durumuna düşürebilir.
Saldırgan ayrıca kimlik hırsızlığı yaparak daha özel bilgileri elde ederek kişiye şantaj yapabilir. Ticari yazışmaları takip ederek manipule sağlayabilir. Bu örneklerin sayısı bir hayli fazladır. Bu gibi durumları yaşamamak için kişinin yapması gerekenler, bilgilerini sadece çok güvenli internet sitelerine kaydetmek, özellikle banka hesabının bulunduğu sitelerde şifrelerini düzenli olarak değiştirmek, güvenilirliği az olan yerlerde bütün kişisel bilgilerini paylaşmamak, e-posta hesaplarının şifresini düzenli olarak değiştirmek ve kullandığı internet ağının güvenilirliğine emin olarak hareket etmektir.
Ancak bu tip durumlarda kalmamak için kişilerin yanısıra kurumlara da büyük görevler düşmektedir. Örneğin, Nisan 2011’de gerçekleşen bir olayda saldırganlar Sony PSN üzerinden gerçekleştirdiği saldırıyla kullanıcıların tamamının hesap numaraları dahil her tip bilgisiniz ele geçirdi. Kişilerin bu hırsızlıktan gördüğü zarar kadar, Sony firması da bu olayda yara aldı. Firma güvenlikle ilgili bir açık nedeniyle bu olayın yaşandığını ve hemen açığın giderildiğini duyursa da büyük ölçüde şirketin güvenilirliği sarsılmış oldu.
İnternet son 10 yılda bütün dünyayı ufaltarak, insanları birbirine bağlayarak, bireylerin internet üzerinden para kazanmalarını, kişilerin emeklerini sergileyebilmelerini sağlayan bir platform haline gelmiştir ve teknoloji devrinde bundan sonra daha da yaygın bir şekilde kullanılacağı bir gerçektir. Ancak şöyle de bir gerçek var ki; dolandırıcıları, hırsızları, saldırganları da son derece cezbetmekte ve bu kötü amaçlı insanlara para kazanmanın yollarını da açmaktadır. Bu gibi kötü amaçlar karşısında mağdur olmamak, zarar görmemek, sıkıntı yaşamamak için yapılması gerekenler bu yazıda belirtilmiştir. Bireyler, bu yolları kullanarak kendini güvenli hale getirebileceği gibi çevresini de bilinçlendirmelidir.
Rauf DİLSİZ
Not: Bu yazı Ege Üniversitesi’nde düzenlenen XVI. Türkiye’de İnternet Konferansı’nda tarafımca yapılan sunum temel alınarak yazılmıştır.
Referanslar:
http://www.mastercard.com/tr/personal/tr/education/kimlik-hirsizligi-nasil-olusuyor.html
http://www.microsoft.com/tr-tr/security/resources/phishing-whatis.aspx
http://www.cpp.com.tr/identity_protection_types_of_identity_theft.html
http://www.sayisaldelil.net/files/IdentityTheft.pdf
http://blog.lostar.com/2011/10/kimlik-hirsizligi.html
http://blog.csirt.ulakbim.gov.tr/?p=45
http://blogs.voanews.com/turkish/bizbize/2011/07/14/amerikada-kimlik-hirsizligi/