Çalınan internet hesapları
Parolalar her şeyimiz. Online bankacılığa, sağlık verilerimize, daha pek çok servise kullanıcı adı / e-posta bilgisi ile birlikte parolamız ile erişebiliyoruz.
Her güne yeni bir veri sızıntısı haberi ile uyanmak işten bile değil.
Farkında olun ya da olmayın bu listelerin bazılarında sizin de bilgileriniz var.
Aman canım sen de! Varsın listede bizim de adımız olsun ne olacak, diyorsanız yazının devamını okumanızı tavsiye ederim.
İnternetteki kullanıcıların yüzde 56'sı tüm platformlarda aynı parolayı kullanıyor.
Basit, alelade bir servise üye olurken verdiğiniz parola bilgisini başka bir hesapta da kullanıyorsanız saldırganların ilk denediği Password Reuse Attack yöntemi ile diğer hesaplarınız çantada keklik olacak.
Saldırgan ifşa olan bu parola bilgisini sizin muhtemel diğer hesaplarınızda da deneyecek. Meseleye yukarıdaki gibi lalettayin yaklaşıyorsanız şimdiden geçmiş olsun.
Sizi hedef alan bir saldırganın bu sızıntılara ulaşması oldukça kolay.
Binlerce hesap bilgisi internetin yeraltı dünyası olarak bilinen Dark Net'de çok cüzi rakamlara satılıyor.
(Bu hususa başka bir yazıda değinmek umarım nasip olur. Zira hakkında yüzlerce şehir efsanesi bulunan Dark Net konusunda da bir şeyler yazmak istiyorum.)
Örneğin binlerce kişinin sağlık verisi 20 dolar'dan; kredi kartı numaraları CV2 kodu ve son kullanma tarihi ile birlikte 2-12 dolar arası değişen bir fiyattan satılıyor.
Çalınan Netflix hesapları, uçuş milleri, PayPal hesapları ve daha nicesi. Bu hesapları doğrudan kullanarak başlarını ağrıtmak istemeyen saldırganlar bunları haraç mezat satarak başka bir gelir kapısı icat etmiş durumda.
Binlerce veri içerisinden sizin veriniz bu işi global düzlemde yapan saldırganların ilgisini çekmese de, size saldırı konusunda gözü karartmış birinin pekâla işine yarayacaktır.
Peki bu durumda ne yapmalısınız?
Öncelikle tüm platformlarda farklı bir parola kullanıyor olmalısınız. Üstelik bu parola doğum tarihi, tuttuğunuz takım, çocuğunuzun adı, yaşadığınız şehir gibi bilgilerden oluşmamalı. Saldırganlar için tahmini zor; ama sizin tarafınızdan hatırlanabilecek bir parola olmalı. Sayı ve harfler, hatta özel karakterler içeren, en az sekiz karakter uzunluğunda bir parola!
Bu parolaları bir yere not etmektense parola yöneticisi olarak adlandırdığımız tüm parolaları şifreli bir biçimde tutan ve erişim için master passsword yani ana parola kullanabileceğiniz programları öneriyorum.
Türkiye'nin ilk basılı hacker dergisi olan Arka Kapı Dergi'nin ilk sayısında yayımlanan bir yazı bu hususta size yardımcı olabilir. Yazıya çevrimiçi olarak da ulaşabilirsiniz: https://arkakapidergi.com/imparatorlugun-anahtari-parolalar/
Güçlü bir parola ile birlikte çoklu doğrulama adımını devreye sokmanız gerekiyor. Yani bu köşede daha önce de sözünü ettiğimiz SMS ile doğrulama ya da bir OTP yazılımı (Google Authenticator ya da Authy) kullanarak kullanıcı adı ve paroladan sonra ikinci bir değer ile hesap sahipliğini doğrulama.
Şimdiye kadar binlerce veri sızıntısı vuku buldu. Belki de bu veri sızıntılarından birinde e-posta ve parola bilgileriniz mevcut. Troy Hunt tarafından sunulan Have I Been Pwned (Hacklendim mi acaba?) servisi ile bu sızıntı listelerinde adınızın olup olmadığını kontrol edebilirsiniz: www.haveibeenpwned.com
Esas kötü olan ne biliyor musun Watson?
Nedir Holmes?
Bazıları hacklendiklerini bile bilmiyorlar...
HafazanAllah!