Video Deşifresi;
Kişisel verilerimiz İnternet ortamına nasıl sızıyor ?
Son bir iki sene içerisinde büyük alışveriş platformlarının hacklendiğini ve orada tüketicilerin alışveriş yapan vatandaşların bilgilerinin internet ortamına sızdığını biliyoruz. Şimdi böyle bir ortamda tabii buradan alışveriş yapan, buraya kredi kartı bilgilerini veren vatandaşlar ister istemez ciddi anlamda tedirgin oluyorlar. Şimdi bu tip bu kadar büyük alışveriş platformları siz sonuç itibariyle şirketinizin içerisinde bu bilgi güvenliğine çok büyük önem verebilirsiniz. Kapalı bir devresinizdir ama işletmeler bu tip platformlar kullanıcı kodu, şifre oluşturdukları zaman yani dışarıya da sistemlerini açtıkları zaman iş daha başka bir noktaya gidiyor ve bunun sonucunda da dediğim gibi çok büyük müşterileri olan yani milyonlar sayılarla ölçülen veriler hackleniyor ve sızıyor. Böyle bir durumda bu verisi sızan tüketici sizce ne yapmalı? Kendini güvene almak amacıyla ne gibi tedbirler almalı? Ne önerirsiniz? Bizi izleyen izleyicilerimize
Şöyle şimdi şirketler aslında her ne kadar donanımsal ve yazılımsal olarak kendilerini maksimum seviyede siber güvenliğe karşı zafiyete karşı kendilerini maksimum seviyede tutsalar bile maalesef ki ilk başta anlattığımız gibi bilgi güvenliği farkındalığı eğitimi olan bir çalışanın bile anlık zafiyetinden yararlanılarak sistemlere sızma gerçekleştirebiliyor.
Hackerler bu nasıl oluyor? Bir muhasebe departmanı olabilir, bir ARGE departmanı olabilir veya satın alma departmanı olabilir. O anlık yapılan bir alışveriş neticesinde karşı taraftan beklediği bir mailmiş gibi bir sahte e posta gelip bir içerisinde PDF, Word ve zararlı yazılımın bulunduğu herhangi bir ek yolluyorlar.
Bu eke tıkladığı zaman kurum içerisindeki çalışan maalesef sistemleri artık bir zararlı yazılım bulaşıyor. Bunu engellemenin yöntemi de dediğim gibi siz ne kadar bilgi güvenliği farkındalığı eğitimi verseniz de maalesef en son ki zafiyet çalışana da bağlı sistemlere girilip girilmemesi, son kullanıcının bilgileri de bu yöntemlerle maalesef dip rap dediğimiz dark web dediğimiz çeşitli internet sitelerine düşüyor.
Bizim de burada yapmamız gereken en önemli şey o platformda kullandığımız E posta ve kullanıcı şifresini kullanıcı adını anlık ve hızlı olarak değiştirmemiz gerekiyor. Çünkü bu sızan verilerde kullanıcı adı ve şifremizde internet açık kaynaklarında paylaşılıyor. Bu ve satılmaya başlanıyor bu orada, kullandığınız e posta ve şifresini hızlıca değiştirerek en azından birinci önleminizi almış oluyorsunuz.
Bu da ondan sonrasında da kullanmış olduğunuz verilerin sizin sızmış olduğu platformun iki faktörlü doğrulama dediğimiz bir yöntemi var ise bu nasıldır? Siz nasıl bir bankacılık uygulamasına giriyorsanız ve ondan sonra girdikten sonra size bir tek kullanımlık SMS kodu gönderiyorsa ve onu girdikten sonra platformun içerisine erişebiliyorsanız, bu aslında iki adımlı bir doğrulamadır bu iki adımlı doğrulama sizin kullandığınız ve hacklenen platformda da var ise en azından telefonunuza farklı bir giriş sonrasında telefonunuza SMS gelmesini doğrulayarak telefonunuza gelen SMS sonrasında içeriye kullandığınız ara yüze erişmesini sağlayabilirsiniz. Bu da ikinci bir yöntem.
Peki, kredi kartı bilgisi çalınıyor öyle enteresan siteler var ki kredi kartı bilgim saklansın ya da saklanmasın denilen birtakım tuşlar var ve onlar öyle bir ayarlanıyor ki bazen o platformdan alışveriş yapan insanlar orayı tıklıyor. Yani orada da bir yanıltma durumu var. Şimdi bu kredi kartı bilgileri o sistemde saklandığı zaman ve bunlar da deşifre edildiği zaman bunların aynı zamanda hem kredi kartının numarası, hem cvv numarası hem de şifreleri de aynı zamanda. Diyelim ki hackerlerin eline geçtiği anda ben şunu da gözlemliyorum. Bu tespitim doğru mu sizce? Çok kolay, bunun hacklendiğini de ticari itibarları zedelenecek düşüncesiyle de kamuoyuna açıklamaktan aslında imtina ettikleri de söz konusu olabiliyor. Bu hacklendikten sonra bu bilginin örnek veriyorum,24 saat sonra kamuoyuna açıklanması demek o 24 saat içerisinde oradan alışveriş yapan tüketicilerin de kredi kartlarının alışverişlerde kullanılması demek bu konularda yaşadığınız hususlar var mı böyle durumlarda? Yani o tüketicinin. Gerçi hukuki bir bilgi ama yine de tecrübenize başvuracağım. Eğer kredi kartından onun inisiyatifi dışında bir alışveriş yapması durumunda o tüketicinin nerelere başvurması gerekir, neler yapması gerekir, yaşadınız mı? Böyle bir vaka? Yani çalındıktan sonra hakikaten tüketicilerin ciddi hak ve ekonomik kayba uğradıklarını size müracaat edip veya mağduriyete ben uğradım ne yapmam gerekir diye siz aynı zamanda da siz danışmanlık veriyorsunuz. Bu tip konularda size mutlaka bu hususlarda yansıyan bu tip talepler var. Böyle talepler geldiğinde ne yapıyorsunuz? Bize yaşanmış bir hikâyeniz varsa anlatır mısınız?
Tabii ki öncelikle kurumların hacklenmesi günlük veya saatlik maalesef saatlik olmuyor. Aslında bir hacker ve hacker grubu girmek istediği sisteme veya hacklemek istediği sisteme aylar veya haftalar önce girmiş oluyor.
Bu oranın kurumun işleyişini analiz etmeleri ve analiz ettikten sonra ne zaman hangi hareketleri yapması gerektiğini önce bir gözlemliyorlar, bu gözlem sonrasında da örnek veriyorum.
Kurumun cumartesi pazar tatil olduğunu varsayarak veya kurban veya özel günlerde kurumun çalışmadığını öngörerek. Zaten hacklenme durumları kurumun anlık zafiyetinden yani kurum içerisindeki çalışanların o saat diliminde veya zaman diliminde bulunmadığı zamanlarda gerçekleşiyor.
Ondan sonra bu internete sızan veriler günlük, haftalık veya saatlik olarak internette açık kaynaklarda elde edilen bu görüntüler ve veriler son kullanıcıya ulaştıktan sonra hacklenen kurum maalesef fark etmiş oluyor.
Ondan sonra KVK kuruluna bunu bildirmek zorunluluğu oluşuyor, çünkü internette bu veriler artık sızmış oluyor. Ondan sonra da maalesef ki kullanıcıların kullanıcı adı ve şifreleri dediğiniz gibi banka bilgileri de bunlar içerisinde mevcut ayrıyeten hatta çok belirtilmese de veya tahmin edilmese de şöyle bir yöntem uygulanıyor.
Bizim orada kendi ev adresimiz veya başka bir yere kargo gönderiyorsak başka kişinin ev adresi veya lokasyon bilgileri de bu platformlar üzerinde mevcut, siz örnek veriyorum yabancı bir şirketin mensup olduğu veya Türkiye içerisinde barındırdığı bir platformdan hizmet alıyorsunuz, âmâ bu belki de casusluk üzerine kurulmuş bir şirket, Türkiye’de bunun dışında siz oraya kullanıcı adınızı, bilginizi e-postanızı girmeden ziyade adres bilginizi giriyorsunuz. Belki siz biz en sondaki zafiyet verilecek kişileriz. Ama devlet kurumlarında çalışan veya üst makamlarda çalışan kişiler de burayı kullanıp kendi ev adreslerini verebiliyorlar. Örnek veriyorum: bir yemek siparişi verdiğinizde bir pizzanın içerisinde zeytinsiz olduğu sevdiğine kadar tespit edebilirler.
Ondan sonra o platformdan geliyormuş gibi o adrese zehirli veya farklı bir teşebbüste bulunmak için o kılık kıyafetle veya o hizmeti veren bir firmaymış gibi o adreste casusluk faaliyetlerinde de bulunabiliyorlar.