E-Posta Hesapları ile Adreslerinin Güvenlik Rehberi

Neredeyse herkes PRISM ile Amerika’nın her istediği zaman dünya üzerindeki bütün online haberleşmeyi izleyebildiğini, şifreli olanları da sonradan kırmak için özellikle işaretleyip biriktirdiğini ve bunun artık bir komplo teorisi olmaktan çoktan çıktığını öğrendi. Eğer siz hala bunun farkında değilseniz, ciddi bir problem var demektir!

Özellikle Gmail, Outlook ve Yahoo gibi e-posta servislerini kullananların bu takipten sakınmalarının asla mümkün olmadığı da ortaya çıktı. Böyle bir dijital dünyada kişisel iletişimde dışarıya açılan ilk kapımız olan e-posta kutularımız kişileri ya da kurumları hedef alan “hedefli saldırılar” için ilk başlangıç noktasıdır. Her ne kadar onu doğru ve güvenli kullandığınızı düşünseniz de aslında o en çok tuzağa düşülen ilk savunma(sız) hattınızdır. Günümüzde dijital saldırıların en çok başvurduğu ilk kapısı olan e-posta adreslerimizi korumanın ve uzun soluklu güvende tutmanın yollarını pratik bir e-posta güvenlik rehberi olarak sunuyoruz:

 

Oltalanmamak (Phishing) İçin

Sıkça başvurulan (hedefli olanı ‘spear-phishing’) oltalama saldırılarına, son kullanıcılar özellikle gerçek kaynağından geliyormuş ya da ilgi çekici bir şeyler sunuyormuş izlenimine büründürülen mesajlardaki linklere genelde hemen tıkladıkları için maruz kalırlar. Size gelen bir e-posta mesajında (özellikle ilk defa gördüğünüz bir kaynaktan gelen ya da tuhaf bir görüntü sergileyenler) ilk dikkat edilmesi gereken kısım bu mesajın kimden geldiği yani gönderen adresidir.

Eğer adres geçerliyse, bilinen bir kaynağı ifade ediyor ve kullanıcı da bundan kesin olarak emin oluyorsa, hemen sonraki bakılacak kısım mesajın içeriğidir. Özellikle HTML içerikleriyle zenginleştirilmiş ve örneğin sanki gerçek bir banka veya kurumdan geliyormuş izlenimindeki mesajların en büyük açıkları her zaman için mesajda verilen linkler olmaktadır. Bu linleri tıklamadan önce linkin üzerine fare imleciyle gelerek tarayıcının altta gösterdiği durum satırında adresin güvenilir olup olmadığı gözlemlenebilir. Eğer bir anormallik söz konusu ise kurumun adı ve uzantısına sahip olması gereken bir adres, kesinlikle alakasız ve sahte bir hedefe doğru yönlendirilmiş bir bağlantı/link olacaktır. Adresin teyidi noktasına daha ileri bir kontrol yapmak için mesajdaki adresi sağ tık ile “bağlantı konumunu/adresini kopyala” yapıp, arama motorunda sorgulaması yapılabilir.

Ayrıca phishing konusuyla bağlantılı olarak Phishing ve Spear Phishing Nedir? yazısı da incelenebilir.

 

Saldırılar için En Çok Faturalar, EFT/Havale Dekontları ve Davetiye Mesajları Kullanılır

Türkiye’de de son zamanlarda çok sık başvurulan sahte e-fatura saldırılarıyla kullanıcılar kolayca tuzağa düşürülebilmektedir. Her nereden geliyorsa gelsin, dosya eki bulunan e-postaları açarken ve eklerini indirirken özellikle birkaç kez hem mesajı gönderen adresten de hem de mesajın formatının geçerliliğinden emin olmak gerekiyor. Aynı yöntem banka dekontları ve düğün davetiyesi gibi özel içerikli mesajları için de geçerlidir.

 

İçinde Kısaltılmış URL Adresleri Bulunan Mesajlar Her Zaman İçin Şüphelidir

Size gelen bir e-posta mesajındaki bağlantılar eğer çoğunlukla bitly, tinyurl gibi kısaltılmış servislere ait linklerden oluşuyorsa, bu linklere tıklamadan önce mutlaka ama mutlaka kısaltılmış URL adreslerinin gerçek halini öğrenmek gerekir. Bu yüzden kısaltılmış URL adreslerinin gerçek halini görmek için KnowURL, URL X-ray ve LongURL gibi servisleri kullanmak gerekir.

 

E-Posta Mesajlarında Verilen Telefon Numaraları Mesajın Gerçekliğini Kanıtlamaz

Kötü amaçlı ve sahte e-posta mesajları genellikle telefon numaralarıyla süslenerek kullanıcı nezdinde mesajın doğruluk ve geçerlilik ifade etmesi sağlanır. Siber saldırganların en çok başvurduğu yollardan biri de mesajların içini geçerli telefon numaralarıyla süslemeleridir. Oysa ki, gelen bir mesajda dikkat edilmesi gereken şey telefon numaraları değil, linklerdir.

 

E-Posta Adresleri İnternette Ulu Orta Paylaşılmamalı

Kurumsal kullanıcılar dahil olmak üzere son kullanıcıların en çok düştüğü hatalardan biri de e-posta adreslerini forumlarda, sosyal ağlarda ve çok yoğun trafiğe sahip web sayfalarında paylaşmalarıdır. Bu da saldırganlar için hedefli bir kullanıcı olmak adına yapılan ilk ve en büyük hatadır. Bu yüzden internette paylaşacağınız e-posta adresleri için özel ve gerçek olanlar yerine sahteleri kullanılmalıdır. Bunun için MailDrop ve 13dk gibi servislerden geçici veya kalıcı sahte e-posta adresleri temin etmek daha yerinde olacaktır.

 

Şüpheli Mesajlardaki Resimleri “Otomatik Olarak” Yüklemeyin

Spam veya kötücül e-posta gönderenlerin, yolladıkları mesajların okunup okunmadığını öğrenmek için en çok başvurdukları yöntem mesajlarının içine 1*1 px’lik küçük ve görünmez resimler iliştirmeleridir. Özellikle Gmail gibi e-posta servisleri gelen mesajlardaki resimleri ilk aşamada göstermeyip, kullanıcıya ister sadece o mesaj için isterse de o kaynaktan gelen bütün mesajlar için gelen resimleri otomatik olarak gösterme özelliğini aktif etmek, şüpheli görünen mesajın sahibine mesajının açıldığı bilgisini anında iletmektedir. Böylece saldırgan mesajını gönderdiği adresin gerçek olduğunu tespit etmiş ve çoğu zaman da kendisini o alıcı nezdinde e-posta servisinde güvenlik gönderici konumuna sokmuş olur. Bu yüzden kullanıcılar özellikle tanımadıkları ve güvenilir olduğundan emin olmadıkları göndericilerden gelen mesajlar için resimleri otomatik gösterme özelliğini asla aktif etmemelidir.

 

e-posta-sagligi

 

“Gönderilenler” Klasöründe Hassas Bilgiler İhtiva Eden Mesajları Asla Tutmayın

Bir e-posta kutusunda her zaman dikkatlerden kaçan en kritik klasör “gönderilmiş/gönderilen” klasörüdür. Çünkü kullanıcılar çoğu kez önemli bilgilerini içeren mesajlarını başka yerlere gönderdikten sonra bu mesajların bir kopyasının da “gönderilenler” klasörüne atıldığının farkına varmıyorlar. Ya da kullanıcılar “gönderilenler” klasörünü bir bilgi depolama arşivi olarak tutarak, e-postalarının saldırganlar tarafından ele geçirildiği durumlarda bu klasörün onları en çok perişan edecek yer olduğunun bilincinde olmuyorlar. Bu yüzden kullandığınız e-posta servisindeki “gönderilenler” klasörünü her daim boş tutmak zorundasınız.

 

Şifre Kurtarma Seçeneğinde Gizli Soruyu Umursamayanlar Hack’lenmeye Müstehaktır

E-posta kutunuzun şifresini unuttuğunuzda devreye giren ve ilk kayıt anında oluşturulması istenen “gizli soru / gizli cevap” özelliği doğru düzgün önemsenmediği için çoğu kez kullanıcıların en kolay vurulduğu yer olarak öne çıkıyor. Bu  yüzden sonradan kafanızı duvarlara vurmamak için e-posta kutunuzun gizli sorusunu sadece siz bilmeli ve asla basit bir soru/cevap şeklinde ele almamalısınız.

 

Hesap Etkinliğinizi Gözlemleyin

E-posta hesabınıza birden çok cihazda giriş/çıkış yapınca bazen oturum çerezlerinden ötürü hesabınız başka bir yerde de açık halde kalabiliyor. Bu yüzden e-posta servislerinin “hesap etkinliğini gözetleme” özelliğini kullanarak sürekli başka bir yerde hesabınızın açık kalmasını engellemelisiniz.

 

Kurtarma E-Postasının Güvenlik Durumu da Kullandığınız E-Posta Hesabı Gibidir

Bir e-posta hesabını kurtarmak için gereken ikincil e-posta hesaplarının güvenliğini de aynı birincil hesapta olduğu gibi sıkı bir şekilde gözetlemeli ve yukarıda bahsettiğimiz yaklaşımları aynen sergilemelisiniz. Çünkü sizin aslında bir değil iki tane e-posta adresiniz sürekli birbirini tamamlar şekilde hep var olacaktır.

 

E-Posta Hesabınıza Girişte 2 Adımlı Doğrulama (2FA) Özelliğini Mutlaka Etkinleştirin

En önemli maddeyi en sona bıraktık. Günümüzde neredeyse her e-posta servis sağlayıcısı e-posta hesaplarına bağlanırken bir parolanın yanında artık mobil uygulamalar ya da SMS ile rastgele üretilmiş ikinci bir parola desteği de sağlamaktadır. E-posta servisinin güvenlik ayarlarındaki bu özelliğin aktifleştirilmesi, e-postanızın hacklenmesini neredeyse kesin bir şekilde engelleyecektir.

 

Bu e-posta güvenlik rehberi ile anlatılanlar uygulanabilirse, saldırılardan önemli ölçüde korunulmuş olacaktır.

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.


    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.

Discussion

No comments yet.

Post a Comment