Onlar da Black Friday’i bekliyor

Siber saldırganlar hazırlıklarını tamamladı, vatandaşı oltaya düşürmek için Black Friday'i bekliyor. Peki şirketler nasıl önlem almalı? Vatandaş ne yapmalı?
23.11.2021 18:57 GÜNCELLEME : 24.11.2021 00:00

PARA ARAŞTIRMA/ ÜRÜN DİRİER E-ticarette indirim çılgınlığı dönemi başladı ve yıl sonuna kadar da devam edecek. Bu dönemi sadece uygun fiyata alışveriş yapmak isteyen tüketiciler beklemiyor. Siber saldırganlar da hazırlıklarını tamamlamış bir halde vatandaşı oltaya düşürmek için fırsat kolluyor. Uzmanlar indirim çılgınlığı günlerinde siber dolandırıcılık vakalarına karşı uyarılarda bulunarak, alınması gereken önlemler konusunda hem şirketleri hem de vatandaşı ilgilendiren tavsiyeler paylaştı.

ŞİRKETLER SİBER GÜVENLİK YAPILARINI MUTLAKA DENETLETMELİ

Konu siber güvenlik olunca sadece kullanıcıların değil, şirketlerin de adım atması gerekiyor. Kampanya döneminde web sitesine gelecek trafiğin ve sosyal medyada markayla ilgili konuşmaların yükseleceği bu dönemlerde siber güvenlik alanında yapılan yatırımları da artırmak gerekiyor. Çünkü e-ticaret siteleri gibi kötü niyetli hackerlar da bu dönemi bekleyip gerek son kullanıcı bilgilerini gerekse e-ticaret şirketinin bilgilerine ulaşmaya çalışıyor. Bu alanda yapılacak bir kontrolün siber suçluların önünü başarıyla kesebileceğini hatırlatan BugBounter.com Kurucu Ortağı Murat Lostar şunları söyledi: "Şirketler alabileceği tüm önlemlere ek olarak uygun maliyetle sistemlerini denetletebilir ve bir siber saldırgan yıkıcı sonuçlar yaratmadan açığını kapatarak bu önemli indirim dönemini daha kolay bir şekilde atlatabilir. Güvenliğin en üst düzeyde olduğundan emin olmak için gerçekleştirilebilecek düzenli bir bug bounty (ödül avcılığı) programı, potansiyel ve mevcut açıkların keşfedilmesinde en etkili adımlardan biri olarak öne çıkıyor. Çünkü şirketler bug bounty programları sayesinde sistemlerini olası bir siber saldırıya karşı en uygun maliyetle, en yetenekli uzman ordusuna denetletebiliyor. İncelemeye birkaç kişi değil, yüzlerce araştırmacı dahil oluyor. BugBounter.com olarak ülkemizde öncülük ettiğimiz bu yöntem sayesinde kurumlar sadece varlığı deneyimli uzmanlar tarafından doğrulanmış güvenlik açıkları için ücret ödüyor ve bu sayede ayırdıkları bütçeleri verimli bir şekilde yönetebiliyor. Ayrıca siber güvenlik uzmanlarına vereceği ödülü, programın takvimini ve kapsamını kendi belirleyebildiği ve her an düzenleyebildiği için sistemlerinin güvenliğini o anki bütçelerine ve iş planlarına uygun olarak kontrol ettirebiliyor. Platformun güvenlik araştırmacıları, buldukları zafiyetleri raporladıktan sonra yetkili ekiplerimiz kısa süre içinde doğrulama süreçlerini tamamlıyor, önemine göre derecelendiriyor ve şirketin belirlediği güvenlik ekiplerine iletiyor. Kapatılan açıkların kontrolü de yine aynı uzmanlarca gerçekleştiriliyor."

PARAVAN E-TİCARET SİTELERİNE DİKKAT

İndirim dönemlerinde siber saldırganların sahte, paravan e-ticaret siteleri oluşturduğuna dikkat çeken TOBB E-ticaret Meclisi Üyesi, Ticimax E-ticaret Sistemleri Kurucusu Cenk Çiğdemli ise, "Vatandaş bu özel günde internetten alışveriş yaparken dikkat etmeli. Özellikle büyük kampanya ve indirim gibi vaatler ile tuzağa düşmekten kaçınmalı" dedi. Bu tür özel dönemler için siber saldırganların çeşitli senaryolar ile vatandaşı tuzağa düşürdüğüne işaret eden Çiğdemli, "Özel dönemler için geçici süreliğine paravan siteler açılıyor ve vatandaşlar kampanya vaatleri ile bu sitelere yönlendirilerek tuzağa düşürülüyor. Çok çok cazip indirimlere ve kampanyalara karşı vatandaşın gözü açık olmalı" diye konuştu.

Siber suçluların temel hedefinin, online alışveriş yapanların kimlik veya kredi kartı bilgilerine ulaşarak gelir elde etmek olduğunu, bunun için bankacılık zararlı yazılımları, sahte Android bankacılık uygulamaları ve sahte e-ticaret sitesi gibi çeşitli saldırı yöntemleri kullandıklarını aktaran Çiğdemli, şu tavsiyelerde bulundu:

"İnternet alışverişi yaparken, web sitesinin gerçek olup olmadığını birkaç kez kontrol etmek gerek. Sitenin iletişim bilgileri, SSL Sertifikası kesinlikle kontrol edilmeli. SSL sertifikası olup olmadığı, siteye girildiğinde adres barının sol köşesinde bulunan kilit işareti ile anlaşılabilir. Kilit işaretinin olmaması, dolandırıcılık niyeti olmasa bile o sitenin güvenilir olamayacağı anlamına gelir. Sitenin adres, şirket ve telefon bilgileri de kontrol edilmeli. Sitenin sağlam bir altyapı sağlayıcıyla çalışıyor olması da güvenilir olduğunu gösterir. Yazıyorsa sitenin altındaki altyapı sağlayıcı firma ismine bakılabilir. Ayrıca her ne sebeple olursa olsun, telefonda veya mesajla kimseye kredi kartı bilgisi verilmemeli. Ürünün diğer sitelerdeki fiyatına da mutlaka bakılmalı. İnanılmayacak kadar büyük bir indirim söz konusuysa o siteden derhal çıkılmalı."

SAHTE KARGO TAKİP SMS'LERİ İLE DOLANDIRIYORLAR

Özellikle online alışverişlerin büyük artış gösterdiği kasım ve aralık aylarındaki indirim günlerinde siber dolandırıcılar, kargo şirketlerini ve e-ticaret sitelerini taklit ederek milyonlarca tüketiciyi sahte kargo takip SMS'leriyle dolandırmayı amaçlıyor. Fiziksel mağazalar yerine online alışveriş sitelerinin her zamankinden daha fazla ziyaret edileceği bu dönemde, istediği ürünü uygun fiyatlı alan tüketiciler kargolarının bir an önce kendilerine ulaşmasını bekliyor. Birçok online alışveriş sitesinin kampanyalı satışlar planladığı 2 aylık indirim döneminde, tüketicilerin SMS'lerin gerçekten kargo şirketinden ya da e-ticaret sitesinden geldiğine çok dikkat etmesi gerektiğini belirten Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, abartılı kampanyalara, kredi kartı dolandırıcılıklarına ve sahte alışveriş sitelerine karşı tedbirli olunması uyarısında bulunarak mutlaka sanal kart ile alışveriş yapılması gerektiğini belirtti. Akkoyunlu şunları söyledi: "Birçok tüketicinin online alışveriş yapma olasılığının oldukça yüksek olduğu bu dönemi fırsata çevirmek isteyen siber dolandırıcılar, kargo şirketlerini ve e-ticaret sitelerini taklit edip sayısız kişiye rastgele sahte kargo takip SMS'i göndererek aldığı ürünün bir an önce kendisine ulaşmasını sabırsızca bekleyen vatandaşları dolandırmayı hedefliyor. Kargo şirketlerini ya da e-ticaret sitelerini taklit eden SMS'ler nedeniyle güvensiz siteleri ziyaret eden vatandaş, kredi kartı ve kimlik bilgilerini siber korsanlara kaptırabilir."

NASIL ÖNLEM ALABİLİRİZ?

Şirketler siber güvenlik yatırımlarını artırırken bu dönemi bekleyen kullanıcıların da kendi güvenlikleriyle ilgili konulara daha fazla özen göstermesi gerekiyor. Kullanıcıların alabileceği önlemler ise şöyle;

GÜÇLÜ VE ÖZEL ŞİFRELER KULLANILMALI

Ele geçirilen giriş bilgilerinin yüzde 37'si çalıntı ya da düşük şifreyle korunuyor. Bu yüzden en az 8 karakterli, büyük ve küçük harfin yanı sıra rakam ve noktalama işaretleri içeren bir şifre kullanılması çok önemli. Ayrıca giriş bilgilerinin başkalarıyla paylaşılmamasına ek olarak herhangi bir e-ticaret sitesine giriş için belirlenen bilgilerin başka üyeliklerde kullanılmaması da büyük fark yaratıyor. Şifreleri ezberlemekte zorlanan kişilerin de yardımına şifre yöneticileri koşuyor.

CİHAZLARIN EKSİKSİZ BİR ŞEKİLDE KORUNMASI ÇOK ÖNEMLİ

Bireysel cihazların yanı sıra pandemiyle birlikte evde kullanılmaya başlanan iş bilgisayarları gibi internet bağlantısı bulunan cihazlarda tehditlere karşı koruma için antivirüs yazılımının ve güvenlik duvarının kurulmuş olması gerekiyor.

SOSYAL MÜHENDİSLİK DENEMELERİNE KARŞI TETİKTE OLMAK GEREKİYOR

Siber saldırganların cihazları ele geçirmesini engellemenin en etkili yollarından birisi, sosyal mühendislik olarak da adlandırılan birçok yanıltıcı yöntemle yanlış linke tıklama ihtimaline karşı dikkatli olmaktan geçiyor. Yasal kurumlar kullanıcılarından isim ve şifre bilgilerini asla talep etmez. Dolayısıyla herhangi bir sebepten birisi şifre sorduğunda cevap her zaman net bir şekilde "Hayır" olmalı. Ayrıca şüpheli görünen bir e-postadaki bağlantılar da tıklandığı zaman yüksek ihtimal cihazınıza zarar verecektir. Bunun önüne geçmek için e-postadaki gözden kaçmayan yazım hataları, e-postayı gönderen adresin uzantısı ve e-postadaki linkin gönderdiği adrese dikkatli bakmak gerekiyor. Adres uzantısı ve link gibi bilgiler gerçek sayfayla büyük ölçüde benzerlik gösterebileceği için özellikle bu kısımlara karşı tetikte olmak, bir saldırının hedefi olmak ile olmamak arasındaki farkı belirleyebilir.

BAŞINDA HTTPS OLAN WEB SİTELERİNİ TERCİH EDİN

HTTP ile HTTPS arasındaki tek bir "S" harfi güvenlik açısından çok büyük fark yaratabiliyor. Yalnızca bir web sitesinin kimliğini doğrulayan ve şifreli bir bağlantı sağlayan dijital SSL sertifikasıyla elde edilebilen HTTPS, web sitesinin güvenli olmasına yardımcı oluyor.

SANAL KART KULLAN, LİMİTİNİ SIFIRLA

Siber saldırılar artık sadece bir hacker tarafından değil, organize siber saldırı çeteleri tarafından gerçekleştiriliyor. Akıllı cihazlar, bilgisayarlar ve elektronik cihaz kullanımları arttıkça siber güvenliğin öneminin de arttığını belirten uzmanlar, özellikle online alışverişlerde siber suçlara karşı sanal kredi kartı kullanılmasını ve alışveriş tamamlandığında limitin sıfırlanmasını tavsiye ediyor. Uzmanlar; banka, emniyet güçleri ve devlet kurumlarından kısa mesaj veya e-posta yoluyla şifre istenmediğini hatırlatarak bu tip tuzaklara karşı da tedbirli olunması gerektiğini ifade ediyor.

OKUYUCUYA NOT: Araştırmanın detayları Para Dergisi 43. sayıda. Para Dergisi'nin tüm sayılarını dijital dergilik platformlarında bulabilirsiniz.

BİZE ULAŞIN