Siber Farkındalık & OpSec
Siz aslında sistemin güvenlik duvarısınız. Modern sosyal mühendislik saldırıları, veri sızıntısı tespiti ve dijital hijyen ilkeleri.
Sosyal Mühendislik: İnsanı Hacklemek
APT (Gelişmiş Sürekli Tehdit) grupları ve hackerlar bile sıfır gün (zero-day) zafiyeti aramak yerine genellikle en zayıf halkaya, yani "insana" hücum etmektedir. Bunlar en çok karşılaşılan tekniklerdir:
- Spear Phishing (Hedef Odaklı Oltalama): Genel ve herkese gönderilen mailler değildir. Çalıştığınız kurum, adınız, pozisyonunuz araştırılarak yalnızca size özel yazılmış inandırıcı kurumsal sahte e-postalardır. Asla kaynağını bilmediğiniz, faturaya (PDF uzantılı gibi görünen EXElere) tıklamayın.
- Vishing (Sesli Oltalama - Voice Phishing): Telefonla arayarak "Savcıyım, polis memuruyum veya banka görevlisiyim" diyerek manipüle etme sanatıdır. Son zamanlarda Yapay Zeka Ses Klonlama (Deepfake Audio) ile sevdiklerinizin sesleri dahi taklit edilmektedir. Otorite figürü olan hiç kimse sizden para veya şifre istemez.
- Smishing (SMS Oltalama): Cep telefonunuza gelen "İcra dosyanız açıldı tıklayın", "Kargonuz iade edildi" gibi kısa mesaj (SMS) üzerinden yapılan link saldırılarıdır.
Operasyonel Güvenlik (OpSec) ve Dijital Hijyen
Temel siber savunma hattı, komplike programlar kurmak değil, gündelik dijital alışkanlıkları tamamen değiştirmektir.
- İki Faktörlü Kimlik Doğrulama (2FA/MFA): Artık şifreler "hacklenmiyor", veri tabanlarından sızdırılıyor. Hesap şifreniz bilinse bile giriş yapılması için mutlaka 2FA (Authenticator Uygulamaları: Google Authenticator, Authy vb.) veya Donanımsal Anahtar (YubiKey) kullanın. ASLA SMS 2FA tercih etmeyin; Sim Swap saldırılarına kurban gidebilirsiniz.
- Şifre Yöneticileri (Password Managers): "123456" veya "Kedim123!" gibi hatırlaması kolay şifreler kaba kuvvet saldırılarında dakikalar içinde kırılır. Bitwarden, 1Password veya KeePass gibi araçlar kullanarak her servis için (Örn: \`Xy#7jKl*9%s\`) karmaşık ve farklı şifreler atayın. Sadece ana kasanızın tek bir ana şifresini öğreneceksiniz.
- Kritik Güncellemeler (Patching): "Daha sonra hatırlat" butonuna basmayın. İşletim sistemi (Windows/macOS), tarayıcı (Chrome) veya mobil OS (iOS/Android) güncellemelerinin büyük çoğunluğu, yama uygulanmış Kritik Güvenlik Açıklarını (CVE) kapatır.
- VPN & Halka Açık Ağlar: Havalimanı veya kafelerdeki şifresiz bedava Wi-Fi ağlarında asla banka uygulamasına girmeyin. Bu ağlarda "Ortadaki Adam (MitM - Man In The Middle)" saldırılarıyla tüm veriniz şüpheli şahıslar üzerinden geçer. Girecekseniz güvenilir ve şifrelenmiş bir VPN uygulaması takın.
Veriniz Zaten Sızmış Olabilir (Leak Check)
Geçmişte üye olduğunuz yemek siteleri, alışveriş mağazaları veya forumlar hacklenmiş ve o anki e-posta / şifreniz Dark Web'de dolaşıyor olabilir.
- Sahip olduğunuz e-posta adreslerini belirli aralıklarla Have I Been Pwned sitesinden sorgulayarak geçmişte yaşanan veri ihlallerinde pwned olup olmadığınızı kontrol edin.
- Eğer e-postanız listedeyse; o sızıntıda kullandığınız "şifreyi" kullanan diğer tüm sosyal ağlardaki veya sistemlerdeki varlıklarınızın tehlikede olduğunu varsayarak tüm hesap şifrelerinizi derhal değiştirin.