Teknoloji gün geçtikçe gelişmekte ve dijital teknolojilerin kullanımı günümüzde yaygınlaşmaktadır. Dijital teknolojilerin birçok konuda insan yaşamını kolaylaştıran avantajlarına şahit olunurken dijital ortamlarda gerçekleştirilen saldırılar ile de yüzleşilebilmektedir. Dijital teknolojilerin güvenli bir şekilde kullanılması için öncelikle var olan tehlikelerin farkında olmak gerekmektedir. Aşağıda dijital ortamlardaki tehlikeler ve saldırı girişimleri hakkında bilgiler verilmektedir.

Güçsüz Şifreler (Weak passwords)

Güçsüz şifreler, kolayca tahmin edilebilir veya kırılabilir olan şifrelerdir. Bu tür şifreler saldırganlar tarafından kolayca ele geçirilebilmektedir. Donanımsal araçlara veya çevrim içi hesaplara erişim için kullanılan parolalar, verilerin güvenliği ve gizliliği açısından temel bir öneme sahiptir. Özellikle sosyal medya, çevrim içi platformlar ya da e-alışveriş hesaplarında güçlü parolalar kullanmaya  dikkat edilmelidir. Güçlü parola oluşturmak için şu yöntemler uygulanabilir:

• Oluşturulacak parolanın en az sekiz karakter uzunluğunda olmasına dikkat edilmelidir.
• Parola, büyük ve küçük harfler, rakamlar ve özel karakterler (*, ?, vb.) içermelidir.
• Hesaplarda kullanılan parolaların birbirinden farklı olmasına özen gösterilmelidir.
• Kullanılan parolalar, belirli aralıklarla değiştirilmelidir.
• Kolay tahmin edilmesini önlemek için kişisel bilgileri içeren parolalar kullanılmamalıdır.
• Ardışık numara veya harflerin kullanılmaması gerekmektedir. Çünkü bu tarz parolaların, saldırganlar tarafından deneme yanılma yöntemiyle veya şifre kırıcı yazılımlar aracılığıyla tahmin edilmesi kolay olmaktadır. Örneğin, "1234567" veya "abc123" gibi parolalar, zayıf parolalar olarak kabul edilebilir. 

Omuz Sörfü (Shoulder Surfing)

Omuz sörfü, kişisel bilgilerinizin (parolalar, özel dosyalar, internet aktiviteleri gibi) yakın mesafenizdeki kişiler tarafından gizlice izlenmesi işlemidir. Saldırgan, siz fark etmeden parola bilgilerinize veya normal şartlarda erişemeyeceği bilgilerinize, çok yakın bir fiziksel mesafeden kullanmış olduğunuz cihaz üzerinden ulaşmayı hedefler. Bu şekilde size farkettirmeden bilgilerinizi çalabilir. Bu tür omuz sörfü saldırılarına karşı dikkatli olunmalıdır.

Sanal Casusluk (Stalking)

Saldırganın bir kişiyi internet ortamında (sosyal medya, bloglar, fotoğraf paylaşım siteleri vb.) hedef alarak ona zarar vermek veya onu korkutmak için o kişi hakkında bilgi toplama sürecine denir. Sanal casusluk faaliyetleri, genellikle gizli ve anonim bir şekilde gerçekleştirilmektedir.

Sosyal Mühendislik (Social Engineering)

Sosyal Mühendislik bireysel etkileşim yoluyla gerçekleşen ve birden fazla kötü niyetli eylemi içeren bir saldırı türüdür. Bu saldırıda, kurban psikolojik manipülasyonlarla yönlendirilerek güvenlik veya gizlilik ihlallerine sebep olur ya da kişisel bilgilerini başkalarıyla paylaşması sağlanır. İnsanların güvenini, yardımseverliğini, merakını veya korkusunu kullanarak bilgi veya erişim elde etmeye çalışırlar. Sosyal mühendislik saldırıları genellikle belirli bir döngüye dayanır ve bu döngüde saldırganın yapacakları dört aşamada gerçekleşir:

1) Hedefini seçer, bilgi toplar ve saldırı planını yapar. 

2) Hedefle iletişim kurarak güvenini kazanır ve kontrolü ele alır. 

3) Verileri çalar, bozar veya kötüye kullanır. 

4) İzlerini siler ve saldırıyı sonlandırır. 

Sosyal mühendislik türleri arasında, belirli saldırı döngülerine sahip olan olta saldırıları ve kimlik avı saldırıları da bulunmaktadır.

• Olta Saldırıları (Fishing): Olta saldırıları (phishing), siber suçluların kurbanlarını kandırarak hassas bilgilerini (şifreler, kredi kartı bilgileri, kişisel veriler vb.) ele geçirmeye çalıştığı bir sosyal mühendislik saldırısıdır. Olta saldırılarında, kurbanın giriş bilgileri, kredi kartı numaraları gibi hassas bilgileri ifşa etmeleri için saldırganlar tarafından sahte  e-postalar,  web  siteleri veya diğer iletişim biçimlerinin kullanılması ile kandırıldığı bir saldırı türüdür. Bu tür saldırılarda kurbanın duyguları suistimal edilerek kurbanda aciliyet veya korku hissi oluşturarak dikkatsizce işlem yapmasına sebep olmaktadır. Tam tersi bir şekilde kurban ile duygusal bir bağ kurulup güven sağlanarak da bilgi elde edilebilir.
• Kimlik Avcılığı (Phishing): Kredi kartı verileri, kullanıcı isimleri ve şifreler gibi hassas bilgileri çalmayı hedefleyen bu saldırı biçimi, genellikle e-posta veya anlık mesajlar yoluyla gönderilen ve güvenilir görünen bağlantılarla yapılır. Bağlantıya tıklandığında, cihazlara zararlı yazılım bulaşır.

Siber Zorbalık (Cyber-bullying)

İnsanların birbirleriyle iletişim kurduğu dijital alanlarda (SMS, mesaj uygulamaları, sosyal medya, forumlar, oyunlar) başkalarına yönelik olumsuz, zarar verici, yalan, kaba, başkalarını utandırmayı veya aşağılamayı amaçlayan içeriklerin paylaşılması ya da yayılması, siber zorbalık olarak tanımlanır. Bu, paylaşımları da kapsar. Yaygın görüldüğü ortamlar: Facebook, Instagram, Snapchat, Twitter gibi sosyal ağlar, kısa mesaj servisleri, anlık mesajlaşma uygulamaları ve e-postalar.

Çevrim İçi Dolandırıcılık (Sahtecilik ve Hilecilik) (Online Fraud And Scams)

Çevrim İçi Dolandırıcılık, internet üzerinden yapılan dolandırıcılıklar, kullanıcıların sahte web siteleri, e-postalar veya reklamlar yoluyla kandırılarak kişisel bilgilerini vermesi ve bunun sonucunda maddi kayıplar yaşamasıdır. Örneğin, sahte bir online alışveriş sitesinde ödeme yapılmasına rağmen ürün veya hizmetin alınamaması bu duruma bir örnektir.

İnternetin kolay erişilebilirliği ve sosyal medya gibi platformlardaki kullanımının yaygınlığına rağmen, kişisel verilerin işlendiği banka, sağlık, e-devlet gibi daha özel bilgilerin işlendiği alanlarda interneti bilinçli ve güvenli kullanmak için gerekli teknik bilgi ve becerilere sahip olmalıyız.

Kaynak

Çolak, C. (2020). Dijital Güvenlik: Donanımsal Teknolojilerde ve Çevrim İçi Ortamlarda Güvenlik. A. Çebi (Ed.), Dijital Yeterlik: Dijital Çağda Dönüşüm Yolculuğu (3. Baskı, s. 385- 421) içinde. Pegem Akademi, Ankara.

Emül, Y. & Çubukçu Çerasi, C. (2023). Understanding Social Engineering and Phishing Attacks: An In-Depth Analysis. In: Çevik Tekin, İ. (ed.), Management Information Systems: Digital Transformation Management in Businesses. Özgür Publications.