Ä°nternet kullanıcılarının yarısının üye olduÄŸu Facebook’un bilgi ve iletiÅŸim güvenliÄŸi açısından taşıdığı risklerin neden olduÄŸu tehlikelerin hinterlandı da o kadar geniÅŸ. Kullanıcılarının büyük çoÄŸunluÄŸunun yetersiz güvenlik ve gizlilik malumatına sahip olması ya da umursamaması sonucu özellikle güvenlik zafiyetlerinden kaynaklı tehlikelerin sosyal arkadaÅŸlardan yayılması çok daha kolaylaşıyor.
Facebook’ta özellikle CSRF (Cross-Site Request Forgery) saldırıları, XSS Exploitleri ve sosyal mühendislik saldırıları oldukça raÄŸbet görüyor:
CSRF (Cross-Site Request Forgery) Saldırıları
Tek tık saldırısı (one-click attack), oturuma bime (session riding) gibi anlamlara da gelebilen CSRF’de saldırganlar sahte istekler (forge request) gönderir. Ama bunu sizin üzerinizden, yani sizin kimliÄŸiniz veya bunun üzerinden geçtiÄŸi tarayıcı ve sosyal aÄŸ hesaplarınız yoluyla gerçekleÅŸtirirler. Genelde tarayıcı güvenliÄŸinin tam saÄŸlanamamasından kaynaklanır.
XSS (Cross Site Scripting) Exploitleri
Genelde siteler ve web uygulamalarının HTML kod yapılarının suistimali yoluyla saldırganların zararlı kodları var olan kodların içine saklaması sonrasında gerçekleşen herhangi bir işlemde uygulamaya enjekte ile çalıştırıp hedefe ulaşmasıyla neticelenen bir saldırı türüdür. Facebook paylaşımlarına ve bağlantılarına bu şekilde zararlı kodların enjekte edilerek kullanıcıya saldırılmaya ve ona ulaşılmaya çalışılmaktadır.
Sosyal Mühendislik Saldırıları
En popüler saldırı yöntemlerinden birisi olan sosyal mühendislik, karşı tarafın zaaflarından yararlanıp, ikna edici bir konuşma, etkileme, korkutma ya da güvenebileceği kişilerin isimlerini referans olarak kullanma yoluyla gizli ve mahrem olabilecek her türlü bilgi, şifre ve bazı verilere ulaşma sanatıdır. Bu yöntemi daha çok profesyonel saldırganlar tercih ediyor.
Facebook ise sosyal mühendislik teknikleri kullanılarak bilgi edinmek ve edinilen bilgileri illegal amaçlara dönük olarak kullanmak için oldukça mümbit bir ortam saÄŸlıyor. Özellikle Facebook’taki güvenlik ve gizlilik ayarları doÄŸru düzgün yapılandırılmamış kiÅŸilerin nüfus bilgileri gibi önemli bilgilerin parçalar halinde toplanıp çaprazlamalar yoluyla bir araya getirilmesi, sosyal mühendislikle yoluyla elde edilmesi çok daha kolay bir hale geliyor.
Kısacası Facebook, hedefteki kişinin hakkında toplanan verilerdeki boşlukları doldurmak adına oldukça bereketli bir kaynak olarak öne çıkıyor. Hedefin ad ve soyadından başlayarak, doğum tarihi, doğum yeri, dayılar ile yapılan arkadaşlıktan (bunun özellikle paylaşımlarda belli edilmesi sayesinde) anne kızlık soyadının da elde edilmesiyle en temel kritik bilgilerden yola çıkılarak kişinin gerçek profilindeki bütün boşluklar çok kolay ve hızlı bir şekilde doldurulabiliyor.
Facebook’taki Tehlikelerinden Korunmanın Pratik Yolları
- Facebook’a herhangi bir oyun ya da uygulama kurduÄŸunuzda bunun profilinizdeki hangi bilgilere istediÄŸi kadar ve zaman ulaşıp ulaÅŸmadığını iyice kontrol edin.
- Facebook’ta asla kiÅŸisel bilgilerinizin tümünü ya da birkaçını paylaÅŸmayın. PaylaÅŸsanız da gerçekçi olmayan bilgiler vermeniz daha yerinde olacaktır.
- Facebook duvarlarında Facebook’tan dışarı yani internetteki baÅŸka alanlara doÄŸru giden aktif baÄŸlantılara tıklamadan önce iyice emin olun! Velev ki bu tanıdık birinden geliyor olsun!
- Hiçbir popup mesajı ya da pencereyi ve içindeki bağlantılara tıklamayın.
- Herhangi bir videonun baÄŸlantısına tıklamadan önce, ilgili videonun adını Google’da mutlaka aratarak, bunun bir aldatmaca olup olmadığını araÅŸtırın.
- Güvenlik ve gizlilik ayarları düzgün yapılmamış ya da varsayılan (default) olarak bırakılmış web tarayıcılarını kullanmaktan kaçının. Özellikle internet kafelerde daha dikkatli davranmanızda azami fayda var.
- Tarayıcılar üzerinde kodlama (scripting) işlemlerine asla izin vermeyin.
Konuyla bağlantılı olarak Facebook, Google, Twitter ve LinkedIn Gizliliğinizi Denetim Altına Alın yazımızı da inceleyebilirsiniz.