Twitter hesaplarının çalınmasına siber güvenlik bilirkişileri ne diyor?

Twitter’da yüksek takipçisi olan tanınmış isimler ve büyük markaların hesaplarının ele geçirildiği son hadiselerle ilgili, siber güvenlik bilirkişilerinin çalışmaları devam ediyor. Birinci bulgular, akının iki saatlik vakit diliminde, en az 367 kişinin saldırganlara 120 bin dolarlık para aktarımı gerçekleştirdiğini gösterdi. 

Kaspersky’nin güvenlik bilirkişilerinden Dmitry Bestuzhev bahisle ilgili şunları söyledi: 

“Son aşama büyük çaplı bir dolandırıcılık teşebbüsü olan bu vaka şunu gösteriyor ki bilgisayar kullanma yetenekleri gelişmiş kullanıcıların bile dolandırıcıların tuzağına düşebileceği; en inançlı hesapların dahi hack’lenip ele geçirileceği bir çağda yaşıyoruz. Varsayımlarımıza nazaran, atağın iki saatlik kısmı müddetince saldırganlara en az 367 kullanıcı tarafından toplamda 120 bin dolarlık para transferi gerçekleşti. Siber güvenlik, elbet tüm önde gelen toplumsal medya platformlarının en büyük önceliklerinden biri ve her gün onlarca saldırıyı önlemek için ziyadesiyle uğraş sarf ediliyor. Ancak elbette ne platformların kendisi ne de yazılımları ‘bug’lardan ‘asla’ etkilenmez durumda olmadığı üzere insan faktörünün de kusurlardan ‘tamamen’ arındırılması mümkün olamaz. Hasebiyle da native platformların her biri risklere açıktır. Bugün, yeni hücum vektörleriyle birlikte, dolandırıcıların eski ve tesirli teknikleri birleştirerek kullandığını, saldırıyı planlayıp kurbanlarını tuzağına çekebilmek için onların inançlarını kazanmak üzere sürpriz bir ögeden faydalandığını gördük. Kelam gelimi, bu, tedarik zinciri hücumlarının toplumsal mühendislik ile bir karışımı olabilir. Buna ek olarak, tehdit aktörleri kurbanın hesabına öteki yollarla da erişebilir; örneğin, kullanıcının profiline erişimi olan bir üçüncü parti pratikle giriş yapabilir yahut kullanıcı şifresini çözerek bunu yapmış olabilir.

Bununla birlikte, tüm kullanıcıları panik yapmamaya ve çok olağan bir biçimde yeni bir zihniyeti kabul etmeye davet ediyoruz: Toplumsal medya hesaplarına sorumluluk sahibi yaklaşım sergileyerek tam muhafaza sağlamalılar. Bu vaka, toplumsal medya ve hesapların güvenliğiyle alakamıza yaklaşımımızı gözden geçirmeye biraz devir ayırmamız gerektiği mealine geliyor. Lakin bunu yaptıktan sonra en ayrıntılı dolandırıcılığı bile tanımak ve tesirini en aza indirgemek için gerekli haber ve araçlara sahip olduğumuz anlaşılacaktır.”

Toplumsal medyada dolandırıcılıkla karşı zıdda kaldığınız devir:

  • Her türlü dolandırıcılığın en can alıcı ögesinin, vakit sınırlaması olduğunu unutmayın. Bu öge kurbanların bahis üzerinde ehliyetli denetimleri yapmasına ket olduğu üzere kullanıcı üzerinde de ruhsal basınç oluşmasına neden olur ve bu durumda da birtakım detaylar kolaylıkla gözden kaçabilir. Büyük bir fırsatı kaçırma korkusu, en dikkatli kullanıcıların dahi, risk almasına ve saldırganların tuzağına düşmesine neden olabilir.
  • Bu örnekte olduğu üzere, dolandırıcılık ele geçirilmiş hesabın sahibinin kişiliğine yahut onun her zamanki muhabere haline uyarlanmış olabilir ki bu da tehdit aktörünün inandırıcılığını artırır. Hatalılar daha da ileri gidebilir ve dolandırıcılığı yepyeni görünümlü bir dizaynla sunabilir veya ‘deepfakes’ kullanabilir. Resmi kampanyaların ve velev kimselerin ferdî teşebbüslerine dair girişimlerin, toplumsal medya dışında da kolaylıkla bulunabilecek dokümanlarla desteklendiğini ve en kolay teklif yahut kampanya için bile bunun beğenilen olduğunu akılda tutmak gerekiyor. Ayrıyeten, işin finansal kısmı umumiyetle çok daha şeffaf biçimde işler ve hususî bitcoin cüzdanlarına da bağlı değildir.
  • Resmi bir kurum yahut bireylere ilişkin şirket ve kuruluşların, sizden, şaka yollu bile olsa ve bir mühlet sonra iade edeceklerini belirtseler bile, kendilerine para aktarım etmenizi isteme ihtimallerinin çok küçük olduğunu unutmayın. Vergiler ve finansal raporlama ile ilgili mümkün meseleler nedeniyle bu türlü bir şeyin gerçekleşme ihtimali çok küçük.

Toplumsal medya hesaplarınızda en âlâ güvenliği sağlamak için yapmanız gerekenler:

  • Parolanız güçlü ve eşsiz olmalıdır, böylelikle şayet öteki bir site sizin haberlerinizi sızdırırsa gayrı hesaplarınız inançta kalır. Her site için farklı ve karmaşık parolalar tercih edin ve bunları hatırlamak için hafıza teknikleri ya da parola başkanı kullanın.
  • İki adımlı doğrulama kullanın, siteye giriş yaptığınızda parolanızın onaylanması için size şahsi oluşturulacak anlık kodu kullanın. Bu hususî kodu SMS ile almak yanına (sisteminizin ele geçirilmiş olması ihtimaline karşın) bu tip kodları oluşturan hususî tatbikler kullanın. Alternatif olarak USB kablosu ya da NFC üzere ilişkiler üzerinden fizikî bir anahtar da kullanabilirsiniz.
  • Alınması gereken bir öteki güvenlik tedbiri, Twitter hesabınıza erişimi olan tüm tatbikleri gözden geçirmektir. Bu tatbikler hesap ayarlarınızda görüntülenir. Bu pratik erişimlerini kaldırmanızı öneririz, böylelikle rastgele bir hücum durumunda siber hatalılar hesabınıza erişim sağlayamazlar.