Bir tatil fotoğrafınız bile siber saldırı için yeterli
ÜRÜN DİRİER/ Siber saldırılar artık yalnızca teknik zafiyetlerden değil, insan davranışlarından da besleniyor. Siber güvenlikte en zayıf halka hâlâ insan ve bu durum, tehdit aktörleri açısından insanı bir numaralı hedef haline getiriyor. Bu nedenle sosyal medyada yapılan her paylaşım, dijital güvenliğin bir parçası olarak değerlendirilmeli.
Sosyal medya insanların fotoğraf paylaştığı, gündemi takip ettiği ya da iletişim kurduğu bir alan olmaktan çoktan çıktı. Aynı zamanda dolandırıcıların, veri avcılarının ve sosyal mühendislik saldırıları yapan kişilerin de aktif olarak kullandığı bir ortam haline geldi. Çoğu zaman çalışanlar bunun farkına bile varmıyor. Çünkü risk artık sadece "hacklenmek" değil, farkında olmadan bilgi vermek.
Günlük hayatın ayrılmaz bir parçası hâline gelen sosyal medya platformları, eğlenceli içerikler ve paylaşımlarla dolu olsa da siber suçlular için önemli bir fırsat alanı aynı zamanda. Bu dijital mecra kimlik dolandırıcılığına yol açabilir, siber suçluların parolanızı ele geçirmesini sağlayabilir ve hatta kişisel bilgilerinizi ve eşyalarınızı hırsızlık riskiyle karşı karşıya bırakabilir.
Seyahat planları, konum bilgileri, doğum tarihi, yeni alınan eşyalar, aile fotoğrafları. Tüm bu içerikler sadece takipçilerin ilgisini çekmekle kalmaz, aynı zamanda siber suçlulara sizi tanımaları ve hedef almaları için ihtiyaç duydukları bilgileri de sunar. Kimlik avı saldırılarında ve sosyal mühendislik tekniklerinde artış yaşanırken sosyal medya üzerinden yapılan aşırı paylaşımlar bu saldırılar için adeta açık kapı hâline geliyor. Sosyal medya platformları gizlilik ayarlarını ve içerik algoritmalarını sık sık değiştiriyor. Ancak kullanıcılar bu değişiklikleri takip etmediklerinde paylaştıkları bilgilerin kimlerle ne ölçüde göründüğünü kontrol etmekte zorlanabiliyor. Siber güvenlik şirketi ESET'in yaptığı açıklamaya göre, "sadece arkadaşlarım görüyor" sanılan bir paylaşım, birkaç etkileşim ve yeniden gönderimle çok daha geniş kitlelere ulaşabiliyor.
SİBER SUÇLULAR SİZİ SİZDEN DAHA İYİ TANIYABİLİR
ESET uzmanları, sosyal medya profillerinin siber suçlular için bir bilgi kaynağı hâline geldiğini belirtiyor. Paylaşımlarınızdan hobileriniz, alışveriş alışkanlıklarınız, ilişkileriniz, hatta güvenlik sorularınızın cevapları bile çıkarılabilir. Platformların sunduğu gizlilik araçlarını kullanmak ve hesap güvenliğini artırmak önemli bir adım. Asıl önemli olan ise bireyin dijital davranışlarını sorgulamasıyla başlıyor. Sosyal medya sizi sevdiklerinizle ve ilgi alanlarınızla buluşturabilir ama kontrolsüz kullanım hem sizi hem de çevrenizdekileri tehlikeye atabilir.
C-LEVEL HEDEFLİ OPERASYONLAR ARTTI
Barikat Siber Güvenlik Teknik Operasyon Direktörü Bahadır Gökhan Sarıkoz, sosyal medyanın artık yalnızca iletişim kurulan bir mecra olmadığına, bireylerin ve kurumların dijital görünürlüğünü şekillendiren stratejik bir alan da olduğuna işaret ederek, "Ancak bu görünürlük, tehdit aktörleri için de önemli bir fırsat yaratıyor. Günlük hayatın doğal bir parçası gibi görünen paylaşımlar; kimlik dolandırıcılığından sosyal mühendislik saldırılarına, hesap ele geçirme girişimlerinden kurumsal veri sızıntılarına kadar birçok riskin başlangıç noktası haline gelebiliyor" diyor.
Özellikle son dönemde özel sektörde C-level yöneticiler ile kamu kurumlarında görev yapan üst düzey bürokratlara yönelik dijital şantaj, veri sızdırma ve itibar hedefli operasyonlarda artış görüldüğüne dikkat çeken Sarıkoz, "Bu kişiler, sahip oldukları erişim yetkileri, kritik bilgiye yakınlıkları ve yüksek görünürlükleri nedeniyle saldırganların öncelikli hedefleri arasında yer alıyor. Çoğu vakada saldırılar doğrudan teknik bir yöntemle değil, önce sosyal medya üzerinden bilgi toplanmasıyla başlıyor. Konum bilgisi içeren paylaşımlar, toplantı fotoğrafları, seyahat planları, ofis ortamından yapılan gönderiler ya da etkinlik katılımları; saldırganların hedef hakkında detaylı profil çıkarmasını kolaylaştırıyor. Bir kişinin hangi kurumda görev yaptığı, kimlerle temas halinde olduğu, hangi şehirde bulunduğu, hangi etkinliklere katıldığı veya hangi gündem başlıklarıyla ilgilendiği gibi bilgiler, hedefli saldırılar için oldukça değerli veriler sunuyor" açıklamasında bulunuyor.
Sarıkoz'un verdiği bilgilere göre, bugün birçok sosyal mühendislik saldırısı doğrudan sosyal medya verileri üzerinden şekilleniyor. Tehdit aktörleri, paylaşımlardan hareketle sahte iletişim senaryoları oluşturabiliyor; çalışanların görev tanımlarını, iş ilişkilerini ve kullandıkları platformları inceleyerek kurum içi iletişimi taklit edebiliyor. Sosyal medyada paylaşılan doğum günü, çocuk ismi, evcil hayvan adı gibi kişisel bilgiler ise parola tahmini veya güvenlik sorularının aşılması gibi risklere kapı aralayabiliyor.
Kurumsal tarafta da benzer bir tablo olduğunun altını çizen Sarıkoz, "Çalışanların farkında olmadan paylaştığı ekran görüntüleri, yaka kartları, ofis panoları veya kullanılan teknolojilere dair ipuçları; şirketlerin iç yapısına ilişkin kritik bilgileri açığa çıkarabiliyor. Bu da saldırganların daha hedefli operasyonlar geliştirmesine zemin hazırlıyor. Bu nedenle sosyal medya kullanımı yalnızca iletişim açısından değil, siber güvenlik perspektifiyle de ele alınmalı. Paylaşım yapılmadan önce 'Bu bilgi kötü niyetli biri tarafından nasıl kullanılabilir?' sorusu mutlaka sorulmalı. Gerçek zamanlı konum paylaşımından kaçınılmalı, gizlilik ayarları düzenli olarak kontrol edilmeli, hesaplarda çok faktörlü kimlik doğrulama aktif hale getirilmeli. Kurumlar ise çalışan farkındalığını artırmalı; özellikle üst düzey yöneticilere yönelik hedefli saldırı senaryoları konusunda özel bilinçlendirme programları yürütmeli ve dijital ayak izi yönetimi stratejik bir güvenlik konusu olarak ele alınmalı" diye konuşuyor.
KÜÇÜK DETAYLAR BİLE BÜYÜK RİSK
Suistimal risk yönetimi perspektifinden bakıldığında, sosyal medyanın özellikle sosyal mühendislik açısından dolandırıcıların işini ciddi şekilde kolaylaştırdığına değinen Cerebra Kurucusu ve CEO'su Fikret Sebilcioğlu şunları aktarıyor: "İnsanlar bugün çalıştıkları şirketleri, görevlerini, seyahatlerini, katıldıkları toplantıları, günlük rutinlerini ve hatta kullandıkları uygulamaları bile paylaşabiliyor. Tek başına masum görünen bu bilgiler, bir araya geldiğinde beklenmedik sonuçlar doğurabiliyor. Örneğin bir çalışan LinkedIn'de şirket içerisindeki rolünü, yetkisini ve hangi projelerde çalıştığını paylaşıyor. Aynı kişi Instagram'da tatilde olduğunu gösteriyor. Bir başka paylaşımda şirketin kullandığı sistemler, organizasyon yapısı veya iş ortakları görülebiliyor. Dolandırıcı açısından bunlar çok değerli bilgiler. Çünkü artık saldırılar rastgele değil, hedefli yapılıyor. Şirket yöneticisi taklit edilerek sahte ödeme talimatları gönderilebiliyor, finans ekipleri manipüle edilebiliyor veya çalışanlardan parola ve doğrulama bilgileri alınabiliyor."
Sebilcioğlu'nun aktardıklarına göre risk sadece şirket dışından gelmiyor. Sosyal medya paylaşımları bazen şirket içi suistimaller açısından da bazı durumlarda dikkat çekici işaretler ortaya koyabiliyor. Geliriyle açıklanması zor lüks yaşam paylaşımları, tedarikçilerle kurulan aşırı samimi ilişkilerin görünür hale gelmesi, şirket içi gizli bilgilerin paylaşılması veya çalışanların görevleriyle çelişen ticari faaliyetlerinin sosyal medyada ortaya çıkması bunlardan bazıları.
Elbette tek başına sosyal medya paylaşımları bir suistimal kanıtı değildir. Ancak birçok iç soruşturmada sosyal medya verileri; ilişkileri anlamak, çıkar çatışmalarını görmek veya belirli davranış kalıplarını analiz etmek amacıyla soruşturmalarda yardımcı veri olarak kullanılabiliyor. Özellikle satın alma, satış ve tedarik zinciri süreçlerinde çalışanların üçüncü taraflarla görünmeyen ilişkileri bazen sosyal medya üzerinden daha görünür hale geliyor.
Şirketler açısından başka bir riskin de çalışanların farkında olmadan yaptığı paylaşımlar olduğunun altını çizen Sebilcioğlu, "Toplantı fotoğrafları, ekran görüntüleri, ofis içi videolar veya belgelerin arka planda görünmesi bile veri sızıntısına neden olabiliyor. Bazen bir beyaz tahtadaki not, bazen bilgisayar ekranındaki küçük bir detay kritik bilgi içerebiliyor. Bugün birçok siber saldırı teknik zafiyetlerden çok insan davranışlarından faydalanıyor. En güçlü güvenlik sistemleri bile, çalışanların farkında olmadan paylaştığı bilgiler nedeniyle etkisiz hale gelebiliyor. Bu nedenle sosyal medya farkındalığını sadece IT veya siber güvenlik konusu olarak görmemek gerekiyor. Bu aynı zamanda bir etik, uyum ve suistimal risk yönetimi konusu. Şirketlerin çalışanlarına sadece parola güvenliği değil, bilgi paylaşımı disiplini konusunda da farkındalık kazandırması gerekiyor. Çünkü bazen en büyük risk, farkında olmadan paylaşılan küçük bir detay olabiliyor" diyor.
LINKEDIN PAYLAŞIMLARINA DİKKAT!
Konum bilgisinin dijital dünyadaki en büyük risk alanlarından biri olduğuna değinen Onlayer Kurucu Ortağı ve CEO'su Kıvanç Harputlu ise, "Günümüzde tatil fotoğraflarını gerçek zamanlı paylaşmak, evinizin boş olduğunu ilan etmekle eşdeğer. Benzer şekilde doğum tarihi, mezun olunan okul, evcil hayvan ismi gibi bilgiler de kişisel bilgiler olmanın ötesinde güvenlik açığına neden olan bilgiler arasında yer alıyor. Bir dolandırıcı, sosyal medya profillerinizden topladığı birkaç parça bilgiyle hesap kurtarma süreçlerinizi kolayca manipüle edebiliyor. Dikkat edilmesi gereken bir diğer alan da masum görünen test ve anketler. 'İlk arabanızın markası neydi?' tarzı paylaşımlar aslında parola sıfırlama sorularını toplamaya yönelik sosyal mühendislik taktikleri arasında bulunuyor" diyor.
Şirketler ve çalışanlar için riskin çok daha katmanlı olduğunun altını çizen Harputlu'nun anlattıklarına göre, bir çalışanın ofiste çektiği fotoğrafında görünen ekran, whiteboard ya da bir belge, rakiplere veya kötü niyetli aktörlere ciddi bilgi sızdırabiliyor. Organizasyon şemasını, iç yazılım araçlarını, hatta toplantı gündemini ortaya koyan paylaşımlar da hedefli oltalama (spear phishing) saldırıları için değerli veri sunabiliyor.
Fintek sektöründe bunun örneklerinin sıkça görüldüğünü belirten Harputlu sözlerini şöyle sürdürüyor: "Örneğin bir çalışanın LinkedIn'de paylaştığı 'yeni müşteriyle entegrasyon tamamlandı' paylaşımı, saldırganın o müşteri adına sahte bir e-posta kurgulaması için yeterli bağlamı sağlayabiliyor. Bu nedenle paylaşım yapmadan önce şu soruyu sormak gerekiyor: 'Bu bilgi, beni ya da şirketimi hedef almak isteyen biri tarafından nasıl kullanılabilir?' Gerçek zamanlı konum paylaşmaktan kaçınmak, güvenlik sorularıyla örtüşen bilgileri paylaşmamak, şirket içi görsellerde arka plan kontrolünü atlamamak ve sosyal medya hesaplarında iki faktörlü doğrulamayı kullanmak artık temel güvenlik alışkanlıkları arasında yer almalı. En önemlisi de dijital ayak izinin bütününe dikkat etmeli. Çünkü tek bir paylaşım zararsız görünebilir, ancak farklı platformlarda bırakılan küçük izler bir araya geldiğinde kapsamlı bir profil oluşturur."
ARKA PLAN DETAYLARI GÖZDEN KAÇMASIN
Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu da, dijital ayak izimizi küçültmemiz gerektiğine vurgu yaparak, "Bu noktada ilk dikkat edilmesi gereken konu anlık konum paylaşımlarıdır. Tatilde olduğunuzu, evinizin boş kaldığını veya bulunduğunuz noktayı gerçek zamanlı olarak paylaşmak hem dijital hem de fiziksel güvenliğinizi doğrudan tehlikeye atabilir. Bu nedenle paylaşımların bulunulan mekândan ayrıldıktan sonra ya da tatil dönüşünde yapılması daha güvenli bir alışkanlık olacaktır. Bununla birlikte fotoğrafların arka planında yer alan detaylar genellikle gözden kaçıyor. Bir biniş kartının barkodu, kargo paketinin üzerindeki açık adres, ofisteki bilgisayar ekranının yansıması veya kimlik kartına ait bir görüntü, siber saldırganlar için kimlik hırsızlığına zemin hazırlayabilecek bilgiler içerebilir. Ayrıca evcil hayvanınızın adı, doğum tarihiniz veya tuttuğunuz takım gibi sıklıkla şifre kurtarma sorularında kullanılan kişisel bilgilerin herkese açık şekilde paylaşılması da ciddi risk oluşturuyor" diyor.
Şirketlerin sosyal medya hesapları, kurumsal itibarın en önemli vitrinini oluşturuyor ve tam da bu sebeple siber saldırganların bir numaralı hedefleri arasında yer alıyor. Kurumsal hesapların ele geçirilmesi, markalar için geri dönüşü zor prestij kayıplarına, müşteri güveninin sarsılmasına ve ciddi mali zararlara yol açma potansiyeli taşıyor. Şirketlerin bu alanda alması gereken ilk önlemin, erişim kontrollerini sıkılaştırmak olduğunun altını çizen Akkoyunlu, "Sosyal medya hesap bilgilerinin tüm ekibin bildiği ortak ve zayıf şifreler şeklinde kullanılması büyük bir güvenlik oluşturuyor. Erişim yetkileri sadece ilgili yöneticilerle sınırlandırılmalı ve tüm kurumsal platformlarda iki faktörlü kimlik doğrulama (2FA) istisnasız bir şekilde aktif hale getirilmelidir" diye konuşuyor.
Akkoyunlu'nun verdiği bilgilere göre siber suçlular, sosyal medya yöneticilerini hedef alan özel oltalama kampanyalarına da sıkça başvuruyor. "Telif hakkı ihlali yaptınız", "Mavi tik başvurunuz onaylandı" veya "Hesabınız askıya alınacak" gibi aciliyet içeren sahte mesajlar, çalışanları tuzağa düşürmek için hazırlanıyor. Bu yüzden sosyal medya hesaplarını yöneten ekiplerin güncel siber tehditler konusunda düzenli olarak bilgilendirilmesi ve farkındalıklarının artırılması kritik önem taşıyor.
SOSYAL MEDYA PAYLAŞIMLARINDA NELERE DİKKAT ETMELİSİNİZ?
Kişisel bilgiler: Doğum tarihi, evcil hayvan adı gibi masum görünen bilgiler, parolalarınızı tahmin etmek için kullanılabilir.
Tatil planları: Tatil öncesi yapılan paylaşımlar, evinizin boş olduğunun işareti olur.
Konum bilgileri: Canlı konum etiketleri, güvenliğinizi riske atabilir.
Pahalı eşyalar: Yeni alınan bir cihaz ya da değerli bir takı, kötü niyetli kişilerin ilgisini çekebilir.
Çocuk fotoğrafları: İzinleri olmadan çocukların dijital ayak izini oluşturmak, uzun vadeli risklere yol açabilir.
İşle ilgili serzenişler: Çalıştığınız kurum ya da iş arkadaşlarınızla ilgili paylaşımlar profesyonel itibarınızı zedeleyebilir.
Finansal bilgiler: Kart numarası, IBAN, QR kod gibi veriler dolandırıcılığa kapı açabilir.
Yakın çevrenin bilgileri: Arkadaş ve aile bireylerinin kişisel bilgilerini onların izni olmadan paylaşmayın.
Çekiliş ve kampanyalar: Güvenilir olmayan hesaplardan gelen hediye vaatleri, kimlik avı girişimi olabilir.
Özel mesajlar: Özellikle iş içerikli ya da kişisel yazışmaların ekran görüntüsünü paylaşmak güvenlik ihlali yaratabilir.
GÜVENDE KALMAK İÇİN…
Paylaşım yaparken ne paylaştığınıza dikkat edin: Her zaman (profiliniz kısıtlı olsa bile) yanınızda oturan birine internette paylaştığınız bilgilerin aynısını söylemenin sizi rahatlatıp rahatlatmayacağını düşünün.
Arkadaş listenizi sık sık gözden geçirin: Tanımadığınız veya gönderilerinizi görmesini istemediğiniz kişileri listenizden çıkarmak faydalı bir alışkanlık olacaktır.
Arkadaş listenizi ve gönderilerinizi kimlerin görüntüleyebileceğini kısıtlayın: Bu, birisinin paylaştığınız herhangi bir bilgiyi kötü amaçlarla kullanma olasılığını azaltmaya yardımcı olacaktır.
Fotoğraf erişimini kısıtlayın: Bunlar ideal olarak sadece bilinen arkadaşlar ve onaylı aile üyeleri tarafından görüntülenebilmelidir.
İki faktörlü kimlik doğrulamayı (2FA) açın ve güçlü, benzersiz parolalar kullanın: Bu, parolalarınızı tahmin etmeyi veya kırmayı başarsalar bile birinin hesabınızı ele geçirme olasılığını azaltacaktır.