Güncelleme Tarihi:
ATM’lerden para çektiğimizde makbuzu ve alışveriş yaptığımızda fişleri genelde hiç de düşünmeden çöpe atıyoruz. Hatta çoğu zaman ATM makbuzlarını almıyoruz bile… Sadece bunlarla da kalmayıp, internet üzerinden yaptığımız alışveriş kutularını hiç düşünmeden kapının önüne koyduğumuz da oluyor. Bu kargo kutularının üzerinde yer alan küçük bilgiler çoğu insan için önemli olmayabilir ama siber saldırganlar için çok fazla şey ifade edebiliyor.
Peki fişlerimizin, makbuzlarımızın, kargo poşetlerimizin siber saldırganların eline geçmesi ne kadar tehlikeli?
Tüm merak edilenleri Siber Güvenlik Uzmanı Alper Onarangil ve Siber Güvenlik Uzmanı Alev Akkoyunlu’ya sorduk. Uzmanlar hurriyet.com.tr okurları için yanıtladı.
YAPBOZUN BİR PARÇASI CİDDİ BİR SALDIRI TEMELİ OLABİLİR
Çöpe attığımız kargo paketleri, ATM ve kredi kartı fişleri gibi dokümanlarda, pek çok kişisel bilgimiz yer alıyor. Bu bilgilerin siber saldırganların eline geçmesi tehlikeli mi?
Alper Onarangil: Bu konuda ortaya çıkabilecek tehditler gerçekten düşünülenden çok daha fazla ve tehlikeli olabilir. Kimlik hırsızlığı akla gelebilecek ilk tehlikelerden biri olabileceği gibi siber saldırganların eline verilebilecek yapbozun bir parçası daha sonrasında ise sosyal mühendisliğe dönüşecek çok ciddi bir saldırının temelini oluşturabilir.
Bunu kısa bir örnek ile açıklamak gerekirse, internet servis sağlayıcılarının kullanıcılarına gönderdiği bir veya birkaç faturayı bulmuş olan siber saldırgan, buradaki bilgileri kullanarak kullanıcıları sanki hizmet aldıkları internet servis sağlayıcıdan arayan bir uzman gibi kendini tanıtabilir. Ele geçirdiği bilgileri kullanarak kullanıcıları kolaylıkla ikna edebilir ve bunun sonucunda, kullanıcıyı bir güncelleme veya güvenlik gereksinimi için bilgisayarına zararlı bir yazılım yüklemeye yönlendirebilir. Bu gibi saldırılar bireysel seviyede olabileceği gibi kurumsal seviyede de maalesef gerçekleşmekte. Kurumsal olarak da örneklendirecek olursak, bir tedarikçiye ait fatura veya kopyası ele geçirildiğinde, müşteri tedarikçi tarafından aranıyormuş süsü verilerek ödeme için farklı hesap numaralarına yönlendirilebilir.
BİLGİLERİNİZ SATIŞA BİLE ÇIKARILABİLİR
Siber saldırganlar eline geçirdiği verilerimizle ne gibi suçlar işleyebilir?
Alev Akkoyunlu: Sosyal mühendislik dediğimiz saldırıların bir çeşidi de çöp karıştırmak. Sizinle ilgili kişisel bilgiler toplanarak daha sonra sizi aldatmak, kandırmak, dolandırmak için kullanılabilir. Kötü niyetli kişilerin eline geçen bilgileriniz, daha sonra yaygın olan örneklerde olduğu gibi kendini polis, asker, savcı olarak tanıtan dolandırıcılar tarafından veya ‘ödül kazandınız’ gibi oltalama taktiklerinde kullanılabilir. Genelde hakkımızda çok fazla bilginin dolandırıcılar tarafından bilinmesi, bizi bu sahtekarlık kurgularına inanma konusunda gafil avlayabiliyor.
Alper Onarangil: Kimlik hırsızlığına maruz kalınması durumunda bu bilgileri ele geçiren siber saldırganlar sosyal mühendislik teknikleriyle bize karşı geliştirecekleri hedefli oltalama saldırıları yapabilecekleri gibi adlarına düzenleyebilecekleri sahte kimlik kartlarıyla kredi kartı ve cep telefonu hattı çıkarmayı deneyebilir. Ele geçirilen kimlik bilgileri dark web üzerinden satışa da çıkartılabilir. Bu konuda maalesef geçtiğimiz aylarda ve yıllarda ülkemizde sahte kimlik kartıyla arsa gayrimenkul satışı sırasında yakalanan veya sahte kimlikle kredi kartı çıkarıp yakalana şüpheliler gibi pek çok olay yaşandı.
KİMLİK NUMARASI SALDIRGANLARIN İŞİNİ KOLAYLAŞTIRIYOR
Siber saldırganların işini en çok kolaylaştıracak veriler hangileri?
Alper Onarangil: Saldırganların en çok işini kolaylaştıracak bilgilerin başında tabii ki kimlik numaraları geliyor. Ancak adres, telefon numarası, IBAN numaraları gibi diğer bilgilerin daha önemsiz olduğunu kesinlikle düşünmemek gerekiyor. Siber saldırganların hakkımızda profil oluşturabileceği her bilgi kesinlikle değerli olacaktır. Ele geçirilecek her bir bilgi yapbozun bir parçası olabileceği için dijital bir veri hırsızlığı sonrasında saldırganın eline geçirebileceği telefon veya adres bilgisini daha sonra çöpten bulacağı bir belgedeki kimlik numarası ile birleşerek bir bütün oluşturabilecektir.
Başka hangi dokümanlar siber saldırganlar için bir hazine niteliğindedir?
Alev Akkoyunlu: Özellikle eski kullandığımız kredi kartlarının ve kimliklerin mutlaka imha edilerek çöpe atılması gerekiyor. Kayıp olan kimliklerimizin mutlaka bağlı bulunduğumuz nüfus müdürlüğüne bildirilmesi gerekiyor. Çok uç bir örnek olmakla birlikte bazen dolandırıcılar tarafından adımıza tutulan evler, abonelik işlemleri, telefon hatları ve davalar konusunda mutlaka belli periyotlarda vatandaşlık portalına girerek kendi adımıza yapılan işlemlerin kontrolünü yapmamız şart.
Alper Onarangil: Kimliğimizi veya kişisel bilgilerimizin bir kısmını ortaya çıkartabilecek herhangi bir belge veya bir makbuz siber saldırganlar için değerli bir hazine olabilir. Bununla birlikte; fiziksel belge, makbuz ve fişler kadar tehlikeli olan bir başka önemli bilgi de dijital veriler. Gözden kaçan nokta ise bilgisayarlar, cep telefonları, USB bellekler gibi içinde verilerin dijital olarak saklandığı cihazların ikinci el olarak satışı. Cihazların geri dönüşüm kutularına atılması sonucunda da eğer içlerindeki veriler güvenli bir şekilde imha edilmediyse siber saldırganlar için büyük bir hazine haline gelebilir. Basit bir şekilde silinen verilerin ve formatlanan bilgisayarların içindeki bilgilerin veri kurtarma programlarıyla kısmen veya bütün olarak kurtarılabileceği unutulmamalı.
BELGELER YAKILARAK VEYA ISLATILARAK İMHA EDİLEBİLİR
Bilgilerimizin yer aldığı verileri ve belgeleri çöpe atmadan önce ne yapılmalı?
Alper Onarangil: Bu konuda kurumsal ve bireysel olarak izlenecek belli adımlar, bilgilerin korunması konusunda kesinlikle çok önemli bir rol üstlenecektir.
*Kurumsal olarak mutlaka hem dijital hem de fiziksel veriler için bir veri imha politikası oluşturulmalı, çalışanlar bu konuda düzenli olarak eğitilmeli ve bilgilendirilmeli.
*Bireysel olarak evraklar çöpe atılmadan mutlaka imha edilmeli. Kağıt imha makinelerinin bireysel kullanım için uygun maliyetleri olanları bulunuyor.
*Kağıt imha makinesi kullanılamaması durumunda önemli belgeler mutlaka iyi bir şekilde imha edilmeli. Burada pratik bir yöntem olarak evraklar yakılabileceği gibi sıcak su dolu bir kabın içinde bekletilip hamur haline geldikten sonra elle de kolayca parçalanabilir.
*Kargo kutularının tekrar kullanılması durumunda üzerinde bulunan eski etiketler mutlaka sökülüp imha edilmeli ve üstünde bir bilgi olmadığına emin olduktan sonra kullanılmalı.
*Bilgisayar hard diskleri, USB bellek gibi dijital veri içerilebilecek ürünler satılmadan veya geri dönüşüme gönderilmeden önce mutlaka veri imha (wipe) yazılımları ile kurtarılamayacak halde silinmeli.
*Dijital veriler için hem bireysel hem de kurumsal bazda uygulanacak veri şifreleme uygulamaları kullanarak verilerin saldırganların eline geçmesi durumunda kullanılmaz hale gelmesi sağlanabilir.
Alev Akkoyunlu: Bireysel olarak benim genelde uyguladığım yöntem delgeç kullanarak kritik olan bilgi bölümlerini imha ettikten sonra bu tip evrakların kalıntılarını dağıtarak farklı çöplere atmak. Bu şekilde parçalar bir araya getirilerek bilgilerinizin başkalarının eline geçmesini engelleyebilirsiniz.