Elektronik Posta (e-posta) ne kadar güvenli?
E-posta, günümüzde resmi ya da özel günlük iletişimlerde kullanılan en önemli araçlardan biri haline geldi. Şüphesiz e-postanın günlük hayatımızda vazgeçilmez olmasını sağlayan bazı faktörler var.
Kolay kullanılabilmesi, ücretsiz ve hızlı olması e-postayı yaşamın vazgeçilmez bir unsuru haline getirmekte. Örneğin, bir e-posta servis sağlayıcısından, kişisel ya da kurumsal bir hesap açarak, mobil telefonlar veya bilgisayar gibi dijital cihazlar üzerinden dünyasının her hangi bir notasından çevrimiçi e-posta gönderebilirsiniz.
İletişim sağlamasının yanı sıra; e-posta hizmeti, metin tabanlı sohbetleri organize etmek ve belgelemek , aynı zamanda, belge saklamak ve yönetmek; yönetici asistanı olarak kullanılabilmek, görev yöneticisi özelikleri sağlamak gibi özelliklere sahip. E-posta servislerinin bu özellikleri ve pratikliği göz önüne alındığında, siber saldırganların saldırı araçları olarak niçin e-posta servislerini tercih ettikleri sürpriz olmasa gerek.
E-postanın güvenli kullanımı ve e-posta kullanırken edinilmesi gereken alışkanlıklar ile ilgili konunun uzmanı olan Ozan Uçar’a sorduk. Uçar, İngiltere merkezli siber güvenlik firması olan ve siber güvenlik farkındalık çözümü sağlayan Keepnet Labs’ın CEO’su ve yıllardan beri siber güvenlik alanında eğitimler ve konferanslar vermekte.
E-posta artık yaşamımızın ayrılmaz bir bütünü haline geldi. Günlük iletişimde sık sık başvurduğumuz bir araç oldu. Peki hayatımıza getirdiği ne gibi riskler bulunuyor?
E-posta kullanımının bu denli yaygınlaşması ve hayatımızın her alanına girmesi , kötü niyetli kişilerin de bu platform üzerinden hayatımıza girmesini sağladı. Nitekim, günümüzde başarılı siber saldırı vakalarının %91’i insan temellidir. Siber saldırganlar insan faktörünü hedef alarak, karmaşık hackleme metotları yerine, e-posta üzerinden sosyal mühendislik yöntemleriyle siber saldırılarını gerçekleştirmektedir. En sık görülen e-posta tehditlerini özetlersek, çeşitli sosyal mühendislik saldırıları, oltalama saldırıları, zararlı yazılımların sistemlere enjekte edilmesi ve fidye zararlısı saldırısı yöntemleridir.
Bu tehditleri biraz açabilir misiniz? Özetlediğiniz riskler ne gibi tehditler oluşturmaktadır?
Saymış olduğum bu tehditlerin hepsi e-posta üzerinden gönderildiği için benzer nitelikteki saldırılardır. Ancak siber saldırganlar, e- postaların konusu ve içeriğini de amaçları doğrultusunda değiştirdikleri için, tehditlerin de özellikleri değişmektedir.
Sosyal mühendislik yöntemleri, bireylerin e-posta üzerinden manipüle edilmesiyle ortaya çıkmaktadır. Hedef kişiler e-posta üzerinden kandırılarak, hassas ve kişisel bilgilerini saldırganlara verirler. Sosyal mühendislik saldırıları kullanan siber saldırganların istediği bilgiler çeşitlilik gösterebilir, ancak bireyler hedef alındığında, genellikle parolalar veya banka bilgileri hedef halindedir.
Oltalama saldırıları, bir çeşit sosyal mühendislik yöntemidir. Güvenilir görünen, ancak elektronik iletişimde kullanıcı adları, parolalar ve kredi kartı bilgileri (ve dolaylı olarak para) gibi hassas bilgileri elde etmeyi amaçlayan girişimlerdir. Gerçek bir e-postanın sahte versiyonunun, hedef kullanıcıya gönderilmesi ile gerçekleşir.
Zararlı yazılım ya da diğer adıyla malware, bir bilgisayara erişmek veya bilgisayara zarar vermek amacıyla özel olarak tasarlanmış bir yazılımdır. Casus yazılımlar, keylogger'lar (tuş kaydediciler), virüsler, solucanlar veya yetkisiz olarak bir bilgisayara sızan ve zararlı kodlar içeren yazılım türleri zararlı yazılımlara örnektir. Bu zararlı yazılımlar sosyal mühendislik teknikleri ile e-posta üzerinden kullanıcılara gönderilebilir, kullanıcıların bu zararlı yazılımları kendi sistemlerine yüklemeleri sağlanabilir.
Fidye zararlısı, günümüzde çok popüler ve etkili olan bir malware saldırısıdır. Fidye zararlısı yazılımı, sızdığı cihazlarda değerli verileri kilitler. Bu verilerin tekrardan açılması ya da geri iadesi için belirli bir miktarda ücret yani fidye talep eder .
E-posta güvenliğini sağlamak adına biz kullanıcılara düşen görevler nelerdir? Ne gibi önlemler almalıyız?
Öncelikle şunu belirtmekte yarar var: E-posta güvenliği yalnızca e-posta sağlayıcısı veya yöneticisinin sorumluluğunda değildir. Bu servisi kullanan herkes sorumluluk altındadır. Bu yüzden iş yerinde kullanılan kurumsal e-postalar olsun, şahsi e-postalar olsun, kullanan kişi sorumluluk altındadır. E-posta güvenliğinin sağlanması için kullanıcıların bazı alışkanları kazanması çok önemlidir. O yüzden özetleyeceğim tedbirler alışkanlık haline getirilmelidir.
Parolalarınızı sık sık değiştirin. Güçlü parolalar kullanın. Asla basit ve tahmin edilebilir parolalar koymayın. Parolalarınız en az 8 karakterden oluşmalı ve içerisinde büyük harf ve semboller bulunmalıdır. Hesaplarınızın her biri için farklı bir parola kullanın. E-posta hesabınız için kullandığınız parolayı, banka hesabınız için kullanmayın.
Tanımadığınız birisinden gelen şüpheli e-postaları açmayın. Bu tür e-postalara şüpheyle yaklaşın. Word veya Excel eklerini indirmeden önce makroları etkinleştirmenizi söyleyen e-posta iletileri konusunda dikkatli olun.
E-posta iletişimi sağladığınız bütün cihazınızda anti-virüs yazılımı kullanın ve bu yazılımların en son yamalarla güncelleştirildiğinden emin olun. E-posta iletişimi sağladığınız bütün cihazlarınızda anti-virüs yazılımı kullanın ve bu yazılımların en son yamalarla güncelleştirildiğinden emin olun.
Oltalama saldırılarını nasıl anlayacağınızı iyi bilin. Hesabınızı kapatmak adına tehdit içeren mesajlar, parola veya kimlik numaraları gibi kişisel bilgi içeren talepler, "Acil" talepli mesajlar veya sözler, sahte e-posta adresleri, yazım yanlışları veya kötü dilbilgisi gibi göstergeler e-postanın sahte olduğunu işaret eder.
E-posta içerisindeki URL'nin gerçek olup olmadığını kontrol edin. Bağlantılara doğrudan tıklamak yerine, yeni bir tarayıcı açın ve adresi kendiniz yazın.
Güvenmediğiniz sitelere e-posta adresinizi vermeyin. E-posta adresinizi genel web sitelerine veya forumlara göndermeyin. Spam gönderenler genellikle bu siteleri e-posta adresleri için tarar. Örneğin, bir spam e-postasındaki "Aboneliği iptal et" bağlantısını tıklamayın. Bu şekilde tıklarsanız, spam gönderen kişi adresinizin gerçek olduğunu anlar ve daha fazla spam gönderir. Saygın ve gerçek işletmelerin e-posta yoluyla asla kişisel bilgi talep etmeyeceğini bilin.
E-posta mesajında kişisel bilgilerinizi asla göndermeyin. İstenmeyen postaya cevap vermeyin. Bir spam e-postayı yanıtlarsanız, spam iletideki FROM başlığı büyük ihtimalle sahte olacağından yanıtınızın büyük olasılıkla orijinal spam gönderene geri dönmeyecektir. Parolalarınızı hiçkimseyle paylaşmayın. E-posta servislerini kullandıktan sonra çıkış yaptığınızdan emin olun.
E-postalarda kredi kartı, parola vb. hassas verileri paylaşmayın. Mümkünse pgp gibi e-posta iletişimi şifreleme araçları kullanın. E-posta servisiniz ile aranızdaki iletişimin SSL ile yapıldığından emin olun. Kurumsal e-posta ile kişisel işlemler yapmayın. Kurumsal ve kişisel e-postaları birbirine karıştırmayın.
Ozan Uçar
Siber Güvenlik uzmanı
Keepnet Labs LTD
soru ve görüşleriniz için
Director / Keepnet Labs.
Mobile: +441223 926610
E-mail:info@keepnetlabs.com