Facebook’ta Yapılan Siber Saldırılar ve Korunmanın Yolları

İnternet kullanıcılarının yarısının üye olduğu Facebook’un bilgi ve iletişim güvenliği açısından taşıdığı risklerin neden olduğu tehlikelerin hinterlandı da o kadar geniş. Kullanıcılarının büyük çoğunluğunun yetersiz güvenlik ve gizlilik malumatına sahip olması ya da umursamaması sonucu özellikle güvenlik zafiyetlerinden kaynaklı tehlikelerin sosyal arkadaşlardan yayılması çok daha kolaylaşıyor.

 

Facebook’ta özellikle CSRF (Cross-Site Request Forgery) saldırıları, XSS Exploitleri ve sosyal mühendislik saldırıları oldukça rağbet görüyor:

CSRF (Cross-Site Request Forgery) Saldırıları

Tek tık saldırısı (one-click attack), oturuma bime (session riding) gibi anlamlara da gelebilen CSRF’de saldırganlar sahte istekler (forge request) gönderir. Ama bunu sizin üzerinizden, yani sizin kimliğiniz veya bunun üzerinden geçtiği tarayıcı ve sosyal ağ hesaplarınız yoluyla gerçekleştirirler. Genelde tarayıcı güvenliğinin tam sağlanamamasından kaynaklanır.

XSS (Cross Site Scripting) Exploitleri

Genelde siteler ve web uygulamalarının HTML kod yapılarının suistimali yoluyla saldırganların zararlı kodları var olan kodların içine saklaması sonrasında gerçekleşen herhangi bir işlemde uygulamaya enjekte ile çalıştırıp hedefe ulaşmasıyla neticelenen bir saldırı türüdür. Facebook paylaşımlarına ve bağlantılarına bu şekilde zararlı kodların enjekte edilerek kullanıcıya saldırılmaya ve ona ulaşılmaya çalışılmaktadır.

Sosyal Mühendislik Saldırıları

En popüler saldırı yöntemlerinden birisi olan sosyal mühendislik, karşı tarafın zaaflarından yararlanıp, ikna edici bir konuşma, etkileme, korkutma ya da güvenebileceği kişilerin isimlerini referans olarak kullanma yoluyla gizli ve mahrem olabilecek her türlü bilgi, şifre ve bazı verilere ulaşma sanatıdır. Bu yöntemi daha çok profesyonel saldırganlar tercih ediyor.

Facebook ise sosyal mühendislik teknikleri kullanılarak bilgi edinmek ve edinilen bilgileri illegal amaçlara dönük olarak kullanmak için oldukça mümbit bir ortam sağlıyor. Özellikle Facebook’taki güvenlik ve gizlilik ayarları doğru düzgün yapılandırılmamış kişilerin nüfus bilgileri gibi önemli bilgilerin parçalar halinde toplanıp çaprazlamalar yoluyla bir araya getirilmesi, sosyal mühendislikle yoluyla elde edilmesi çok daha kolay bir hale geliyor.

Kısacası Facebook, hedefteki kişinin hakkında toplanan verilerdeki boşlukları doldurmak adına oldukça bereketli bir kaynak olarak öne çıkıyor. Hedefin ad ve soyadından başlayarak, doğum tarihi, doğum yeri, dayılar ile yapılan arkadaşlıktan (bunun özellikle paylaşımlarda belli edilmesi sayesinde) anne kızlık soyadının da elde edilmesiyle en temel kritik bilgilerden yola çıkılarak kişinin gerçek profilindeki bütün boşluklar çok kolay ve hızlı bir şekilde doldurulabiliyor.

 

Facebook’taki Tehlikelerinden Korunmanın Pratik Yolları

  • Facebook’a herhangi bir oyun ya da uygulama kurduğunuzda bunun profilinizdeki hangi bilgilere istediği kadar ve zaman ulaşıp ulaşmadığını iyice kontrol edin.
  • Facebook’ta asla kişisel bilgilerinizin tümünü ya da birkaçını paylaşmayın. Paylaşsanız da gerçekçi olmayan bilgiler vermeniz daha yerinde olacaktır.
  • Facebook duvarlarında Facebook’tan dışarı yani internetteki başka alanlara doğru giden aktif bağlantılara tıklamadan önce iyice emin olun! Velev ki bu tanıdık birinden geliyor olsun!
  • Hiçbir popup mesajı ya da pencereyi ve içindeki bağlantılara tıklamayın.
  • Herhangi bir videonun bağlantısına tıklamadan önce, ilgili videonun adını Google’da mutlaka aratarak, bunun bir aldatmaca olup olmadığını araştırın.
  • Güvenlik ve gizlilik ayarları düzgün yapılmamış ya da varsayılan (default) olarak bırakılmış web tarayıcılarını kullanmaktan kaçının. Özellikle internet kafelerde daha dikkatli davranmanızda azami fayda var.
  • Tarayıcılar üzerinde kodlama (scripting) işlemlerine asla izin vermeyin.

Konuyla bağlantılı olarak Facebook, Google, Twitter ve LinkedIn Gizliliğinizi Denetim Altına Alın yazımızı da inceleyebilirsiniz.

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.