Sosyal Mühendislik Haberleri - Son Dakika Sosyal Mühendislik Haber Güncel Gelişmeler

Dijital Kasanız Yüzünden Tuzağa Düşmeyin!

Parola yöneticisi LastPass, dünya çapında 33 milyonun üzerinde kullanıcısıyla siber saldırganların yeni hedefi haline geldi. Kullanıcılara "Hemen Bir Yedekleme Yapın" isimli sahte e-postalar ileten dolandırıcılar, hesapların ana şifrelerini ele geçirmeyi amaçlıyorlar. Laykon Bilişim Operasyon Direktörü ve Bitdefender Türkiye Distribütörü Alev Akkoyunlu, parola yöneticilerinin siber güvenlik için hayati olduğunu, ancak bu güvenliğin anahtarının bir e-posta bağlantısına asla bırakılmaması gerektiğini ifade ediyor. Türkiye’de de birçok bireysel ve kurumsal kullanıcıya sahip olan LastPass, son dönemde oldukça gelişmiş bir oltalama saldırısıyla karşı karşıya. Bitdefender, siber suçluların geçmişteki güvenlik ihlallerini bir tehdit unsuru olarak kullandığına dikkat çekiyor. Bitdefender laboratuvarlarının analizlerine göre, saldırganlar "spoofing" yöntemini kullanarak, e-postalarını spam filtrelerine takılmadan kullanıcının gelen kutusuna gönderebiliyorlar ve resmi bir destek mesajı izlenimi yaratıyorlar. Mesajların içeriğinde "Altyapı güncellemesi var, 24 saat içinde yedekleme yapmazsanız verileriniz kaybolacak!" gibi korku yaratıcı bir senaryo sunulmakta. Kullanıcılar bu baskı altında bağlantıya tıkladığında, orijinaline çok benzeyen sahte bir giriş ekranına yönlendiriliyorlar ve bilmeden dijital kasalarının anahtarlarını teslim ediyorlar. “Ana Parolanız Giderse, Dijital Hayatınız Biter” Bu saldırının teknik bir güvenlik açığı değil, insan hatasını hedef alan bir sosyal mühendislik saldırısı olduğunu belirten Alev Akkoyunlu, "Parola yönetim sistemleri, dijital varlıklarımızı koruyan kasalardır. Saldırganlar bu kasayı zorla açmak yerine, size kapıyı kendi ellerinizle açtırmaya çalışıyorlar. E-posta ne kadar resmi görünse de, LastPass veya başka bir güvenilir parola yöneticisi, sizden bir bağlantıya tıklayıp ana parolanızı girmenizi istemeyecektir. Bankanızın sizi arayıp 'Kasadaki anahtarınızı verin' demesi kadar absürttür. Eğer bu tuzağa düşerseniz, sadece LastPass hesabınız değil, oraya kaydettiğiniz banka, e-devlet ve şirket giriş bilgilerinize de ulaşacaklar." uyarısında bulunuyor. Sahte "Yedekleme" Tuzağına Düşmemek için 4 Kritik Kural Alev Akkoyunlu, parola yöneticileri kullanan herkesin bu tip saldırılardan korunmak için dikkat etmesi gereken hususları şöyle sıralıyor: 1. E-postadaki bağlantılara asla tıklamayın. Eğer "Bakım", "Güvenlik Sorunu" veya "Yedekleme" konulu bir e-posta alırsanız, içeriğindeki butona tıklamak yerine tarayıcınız üzerinden servisin kendi sitesine gidin. Eğer gerçek bir duyuru söz konusuysa, hesabınıza giriş yaptığınızda bildirim olarak görebilirsiniz. 2. URL adresini harf harf kontrol edin. Saldırganlar çok inandırıcı alan adları kullanabilirler. Adres çubuğunda orijinal alan adını görmediğiniz takdirde şifre girmeyin. 3. Aciliyet duygusuna yenilmeyin. Dolandırıcıların en etkili silahı "24 saatiniz kaldı" gibi zaman baskısıdır. Bir hizmet sağlayıcı, verilerinizi silmekle tehdit eden bir acil durumu asla e-posta ile bildirmez. Sakin kalın ve doğruluğunu analiz edin. 4. Oltalama koruması olan bir güvenlik yazılımı kullanın. İnsan gözü bazen sahte bir siteyi ayırt edemeyebilir. Ancak Bitdefender Total Security gibi kapsayıcı güvenlik çözümleri, tıkladığınız bağlantının sahte bir kopya olduğunu anında algılar ve siz şifrenizi girmeden önce erişimi engeller.

Dolandırıcılar Instagram ve WhatsApp Hesaplarını Çalıyor!

Instagram ve WhatsApp, Türkiye'deki internet kullanıcıları arasında en sık tercih edilen platformlar arasında bulunmaktadır. Türkiye İstatistik Kurumu'nun 2023 yılı verilerine göre erkek kullanıcıların yaklaşık yüzde 88,7’si WhatsApp ve yüzde 72,6’sı Instagram’ı aktif olarak kullanıyor. Bu oranlar kadın kullanıcılar için de benzer seviyede seyrediyor. Bu geniş kullanıcı kitlesi, dolandırıcılar için bu platformları cazip bir hedef haline getiriyor. ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, Türkiye’de giderek büyüyen bir sorun haline gelen Instagram ve WhatsApp hesaplarının çalınmasına dikkat çekti ve alınabilecek önlemler konusunda bilgi verdi. Instagram ve WhatsApp hesap çalma saldırıları, genellikle karmaşık teknik yöntemler yerine “sosyal mühendislik ve kimlik avı” gibi insan davranışını hedef alan stratejilere dayanıyor. Türkiye'de hem bireyler hem de kamuya mal olmuş kişiler bu saldırılara karşı savunmasız durumda. Dolandırıcılar, ele geçirdikleri sosyal ilişkileri kullanarak kısa süre içinde büyük maddi kayıplara neden olabiliyor. ESET'e göre çözüm, sadece bir antivirüs yazılımı yüklemekten öteye gidiyor. Güvenliği sağlamak için kullanıcı farkındalığı, güçlü kimlik ve parola yönetimi, çok faktörlü doğrulama, mobil ve uç nokta güvenliği ile entegre bir “sıfır güven” yaklaşımı benimsenmeli. İnsan faktörü en zayıf halka olmaya devam etmekte fakat doğru araçlar ve alışkanlıklar ile bu zayıf halkanın güçlendirilmesi mümkün. Neden Instagram ve WhatsApp? Türkiye’de sosyal medya ve mesajlaşma uygulamaları günlük yaşamın vazgeçilmez bir parçası haline geldi. İş hayatı, eğitim ve aile içi iletişimde WhatsApp ve Instagram, resmi kanallar kadar etkin rol oynuyor. Bu durum iki önemli sonucu beraberinde getiriyor: Hesabı ele geçirilen bir kişi, sadece kendisini değil, "tüm rehberi ve takipçi ağını" doğrudan etkileyebiliyor. Dolandırıcılar, "gerçek bir arkadaş veya aile üyesi" kimliğine bürünerek, geleneksel telefon dolandırıcılığından daha ikna edici olabiliyor. 2023 yılında dünya çapında dijital dolandırıcılık nedeniyle oluşan zararın 1 trilyon ABD dolarını aştığı tahmin ediliyor. Sosyal medya ve mesajlaşma uygulamaları bu toplam zararın önemli bir kısmını oluşturmakta. Meta'ya açılan bir dava dosyasına göre, 2022 yılında günlük ortalama 100 bin WhatsApp hesabı ele geçirilmişken, 2023'te bu sayı 400 bin’e kadar çıkmış durumda. Bu rakamlar, hesap ele geçirme saldırılarının büyüklüğünü gözler önüne seriyor. Bireysel kullanıcılar için ESET'ten öneriler WhatsApp’ta İki Adımlı Doğrulama (PIN kodu) özelliğini etkinleştirin. Instagram’da İki Faktörlü Kimlik Doğrulama’yı (uygulama tabanlı doğrulama tercih ederek) açın. Her iki platformda kullanılan şifrelerin benzersiz ve güçlü (en az 12 karakter, harf–rakam–sembol karışımı) olmasına özen gösterin. Gelen 6 haneli doğrulama kodunu kimseyle paylaşmayın. Ne WhatsApp, ne Instagram ne de "destek ekibi" bu kodu talep etmez. Mesaj içerikleri ne kadar inandırıcı olursa olsun, yüksek miktarda para veya acil talep içeren her mesajı farklı bir kanaldan (telefon, görüntülü arama) doğrulayın. Bilinmeyen kaynaklardan gelen bağlantılara tıklamadan önce, adres çubuğunu ve alan adını dikkatle kontrol edin. Küçük bir harf farkı bile sahte siteye işaret edebilir. Android cihazlarda mümkün olabildiğince sadece resmi mağaza (Google Play) üzerinden uygulama indirin; bilinmeyen kaynaklardan gelen APK dosyalarını yüklememeye özen gösterin. Telefonunuzda güncel bir mobil güvenlik çözümü (örneğin ESET Mobile Security) bulundurmayı ihmal etmeyin. İşletim sistemi ve uygulamaları güncel tutun; eski sürümler kritik güvenlik açıklarına sahip olabilir. Hesabınız ele geçirilirse yapmanız gerekenler Öncelikle e-posta hesabınızın güvenli olduğundan emin olun; gerekirse parolanızı değiştirin ve 2 Adımlı Doğrulamayı açın. Instagram ve WhatsApp’ın resmi destek sayfalarındaki "Hesabım ele geçirildi" adımlarını dikkatlice uygulayın. Dolandırıcılık şüphesi varsa ödeme dekontlarını ve yazışmaları savcılık ya da emniyet birimlerine iletin. Çevrenizi bilgilendirerek, sizin adınıza gelebilecek mesajlara karşı temkinli olmalarını sağlayın.

Aşırı Paylaşım Yapmak Saldırıya Davetiye Çıkarabilir!

Çalışan savunuculuğu 10 yılı aşkın süredir var olan bir konsepttir. Kurum itibarını, liderliği ve pazarlama stratejilerini geliştirmek amacıyla iyi niyetle başlatılan bu uygulama, bazen beklenmedik sonuçlar da doğurabiliyor. Dünya çapında siber güvenlik çözümleri sunan ESET, şirket bilgilerini paylaşmanın getirdiği risklere dikkat çekerek uyulması gereken kuralları öne çıkardı. Profesyoneller, iş dünyasında kendi işleri, şirketleri ve pozisyonlarını paylaşırken benzer profesyonellerin yanı sıra potansiyel müşterilere ve iş ortaklarına ulaşmayı hedefler. Ancak, bu bilgiler kamuya açıldığında genellikle hedefli kimlik avı (spearphishing) veya kurumsal e-posta dolandırıcılığı (BEC) türünde saldırılara zemin hazırlar. Bilgi miktarı arttıkça, kuruluşunuza verebilecekleri zarar da artar. Şirket bilgileri nerede paylaşılır? Bu tür bilgilerin çoğunlukla paylaşıldığı yerlerden biri LinkedIn'dir ve belki de en iyi bilinen örnektir. LinkedIn, dünyanın en büyük halka açık kurumsal bilgi veri tabanı olarak tanımlanabilir. İK uzmanları burada iş ilanları yayınlar ve bu ilanlar, spearphishing saldırılarında kullanılmak üzere fazlasıyla teknik detay barındırabilir. GitHub ise, güvenlik bağlamında dikkatsiz geliştiricilerin sabit kodlanmış bilgileri ve müşteri bilgilerini paylaştıkları bir platform olarak bilinir. Ayrıca çalışanlar, Instagram ve X gibi klasik tüketici platformlarında etkinlik planları gibi detayları paylaşabilirler. Bu bilgiler hem çalışanlara hem de çalışma kurumlarına karşı kötü niyetli kampanyalarda kullanılabilir. Şirket bilgileri kötü amaca hizmet edebilir mi? Tipik bir sosyal mühendislik saldırısının ilk aşaması olan bilgi toplama, daha sonra bu istihbaratı bir spearphishing kampanyasında kullanmak için hazırlık yapmayı içerir. Başka bir olasılık ise, alıcıları giriş bilgilerini kötü niyetli kişilerle paylaşmaya ikna etmektir. Bu, e-posta, kısa mesaj ya da telefon çağrılarıyla olabilir. Ayrıca, aldatıcı kimliklerle acil havale talepleri yapılabilir. Fazla paylaşımın risklerine karşı eğitim en iyi koruma Yöneticilerden çalışanlara kadar herkesin sosyal medyada aşırı paylaşımın risklerini anlamasını sağlamak için güvenlik farkındalık eğitimlerini güncelleyin. Çalışanları, istenmeyen DM'lerden uzak durma konusunda uyarın, phishing, BEC ve deepfake girişimlerini tanımayı öğretin. Bu eğitimleri katı sosyal medya politikaları ile destekleyin ve kişisel ve profesyonel hesaplar arasında net sınırlar koyun. Kurumsal siteler ve sosyal medya hesapları, silah olarak kullanılabilecek bilgiler açısından gözden geçirilmeli ve düzenlenmelidir. Olası hesap ele geçirme durumlarına karşı çok faktörlü kimlik doğrulama (MFA) ve güvenli parolalar (parola yöneticilerinde saklanan) zorunlu kılınmalıdır.

#Sosyal Mühendislik

Dijital Kasanız Yüzünden Tuzağa Düşmeyin!

Dolandırıcılar Instagram ve WhatsApp Hesaplarını Çalıyor!

Aşırı Paylaşım Yapmak Saldırıya Davetiye Çıkarabilir!