Bu aralar dikkat ediyorum da maillere Bankalardan, Microsoft'tan vb. büyük küçük kurum ve kuruluşlardan mail yağıyor. Aslında bahsettiğimiz olay olmuyor. Bu bahsettiğim kurum veya luruluşlar işi gücü bırakıp müşterilerine reklam yapma, güvenlik uyarı gönderme derdinde değiller. Hem zaten gerektiğinde hepsi uygun şekillerde müşterilerine ulaşıyorlar. Bugün bu konuda yazmama sebep olan Mustafa* abi'nin mailini kontrol ederken tesadüf gördüm (: bana iletmesini istedim maili. Siteye yazmak için malzeme çıktı. Mail aracılığı ile bankanın güvenlik konusunda alarm verdiği bildiriliyor bize. Hatta öyle güzel hazırlanmış ki sormayın (: benim bile inanasım geldi az daha. Geçenlerde de bana Microsof'tan benzer bi mail geldi "Kritik Güvenlik Güncelleştirmesi" yapmam gerekiyormuş ve bunu elle mail sonunda verilen linke tıklayıp yapmam gerekli. Ne güzel beni çok düşünüyorlar hiç uğraşmamam için ellerinden geleni yapıyorlar.
* Mustafa ALTINTEPE
Evet olaya bu gözle bakınca tamamen insanların işini kolaylaştırmak için yapılan hizmetler bunlar. Fakat "farklılık ayrıntılarda gizlidir". Bu yüzden mail ve cep telefonunuza gelen aramalar konusunda biraz daha özenli ve dikkatli olmanız gerekmektedir. Bize gelen mailde yukarıda görüldüğü hiçbir problem yok resimde Türkçe karakterde hata gözüküyor ama normalde yoktu bana iletince bozulmuş (:
Gelelim bunları nasıl yapıyolar ?
Sizi avlamak isteyen bilgisayar korsanı hatta düperdüz "sanal hırsızlık" dememizde hiçbir sakınca yok. Öncelikle "Karamail" denilen bir sistemden istedikleri mail adresini yazıyorlar yukarıdaki örnekteki gibi "alarmi@garanti.com.tr" daha sonra mail içeriğini hitap edecekleri kesime göre en uygun ve dikkat çekici şekilde hazırlıyorlar ve toplu olarak BCC karbon kopya ile sadece size gönderiliyormuş gibi "gelen kutunuza" düşüyor e-posta.
Sonrası mı ?
Sonrası sizde bitiyor çeşitli şekillerde kullanıcıdan bilgi alma yöntemleri var bu konuda gerek anti virus gerek firewall olmak üzere kişisel güvenliğinizi sağlamanız gerekmektedir. Çünkü her çeşit kendi güvenliğinizden siz sorumlusunuz. Gelen bu postayı açıp normal bir internet kullanıcısı olarak okuyorsunuz ve sizi linke tıklamanız ve işinizi kolayca halledip bankanın tepenize binip ısrarlarından kurtulmanız için bir yol gösteriyorlar. Bu yol size de öyle cazip geliyor ki hemen kurtarıcıya sarılabiliryosunuz ve verilen/görünen linke tıklıyorsunuz.
Tıklama işleminden sonra iş sanal hırsızın taktik ve izlediği stratejiye göre değişebilir. Mesela linke tıklarsınız ve bir sayfa açılır "aaa aynı garantinin sayfası bir değşiklik yok ki ?" şeklinde tepki verebilirsiniz ki bu çok normal. Fakat kullanıcı bilgilerinizi ve şifrenizi girdiğiniz anda ya da siteyi görüntülemek için açtığınız anda bizim hırsıza birçok bilginizi de ellerinizle vermiş oluyorsunuz.
Nasıl mı ?
Öncelikle tıklama ile etkinleşen XSS ismi verilen güvenlik açığına maruz kalabilirsiniz. XSS yoksa bile kullanıcı bilgilerinizi girdiğiniz andan itibaren ard arda olacak reaksiyonlar şu şekilde olacaktır. Giriş işlemi için bilgilerin size hatalı olduğu uyarısını verebilir ve size "tekrar bilgileri girmek için tıklayınız" yazar ekrana. Böylelikle o sırada bilgileriniz ellerine geçmiş bulunmaktadır. Daha sonra yönlenme için tıkladığınızda siz çoktan gerçek bankaya yönlendirilmiş olursunuz ve giriş bilgilerinizi tekrar girdiğinizde hiç sorunla karşılaşmazsınız. Onca eziyetten sonra belki bilgilerinizi vs günceller hesabınıza bakar çıkarsınız ve tüm işleminiz biter. Bu işlemler sonunda banka hesabınızdaki tüm yatırımınıza veya sizin fark edemeyeceğiniz miktarlarda eksikliklere şahit olabilirsiniz. Böylece kendi ellerinizle sadece bir e-posta okuyup iyi niyetle banka bilgilerinizi güncellemek için tek tık sonucunda bunca şey başınıza gelmiş olur ve bunların bu şekilde olduğu konusunda aklınıza hiçbir zaman şüphe gelmeyebilir.
Çözüm yolu nedir ?
Yine güvenlik önemlerini almak birinci planda yapılacaklardandır. Antivirus ve firewall... Sonrasında ise "çok önemli, acil" olan başlıklarda biraz daha hassas olmalısınız. Hatta çok normal de olan bir e-postaya şüphe ile yaklaşmak gerek. Özellikle de Bankalar genelikle size tıklanması gereken link göndermezler ve bilgi güncellemenizi istemezler genelde telefon ile hallederler. Bu yüzden e-postanıza gelen linklere tıklamayınız. Her şeyin başı merak etmeniz ya da iyi niyetiniz ile başlayabilir ve bunlar en çok suistimale açık konulardır.
Kısaca güvenlik konusunda biraz paronayak olmakta fayda vardır. İnternette kimseye ve hiç bir belgeye güvenmemenizi ve şüpheli bir paket niteliğinde bakmanızı tavsiye ederim. Tabi ki paronayanın ayarını kaçırmamak şartı ile :))
Aslında bunlar sadece e-posta ile olmuyor telefon, MSN, Uydu vb. iletişim araçları size ulaşabiliyorlar ve sizin zaaflarınızdan yaralanarak birçok işlemi yapabiliyorlar. Uygun zamanda o konulara da değinmeyi istiyorum.
Güvenli günler dilerim...
|