Bilgisayar korsanlarının, dijital sistemlere yetkisiz erişebilmek için karmaşık teknik yöntemleri kullandığına dair bir itibarları var. Ancak düşük teknoloji bilgisi gerektiren (hatta hiç teknoloji bilgisi gerektirmeyen) saldırılar çok daha yaygın. Bu makalede bu gibi düşük teknoloji bilgisi içeren saldırılara yönelik siber güvenlik risklerini ve kişilerin ve şirketlerin kendilerini bunlardan nasıl koruyabileceğini keşfedeceğiz.
İstenmeyen posta, fidye yazılımı, oltalama ve SQL enjeksiyonu, şirketlerin ve bireylerin güvenliğin ihlal edebileceği ve ettiği bilinen saldırılardır. Ancak QA, birçok kişinin bu saldırıların fiziksel unsuru (fiziksel olarak nelerin görülebileceği ve duyulabileceği) hakkında düşünmediğini fark etmiş durumda. Güvenlik duvarları, zararlı yazılımları engelleme programları, iki faktörlü doğrulama gibi uygulamalar, birisinin yapılan konuşmaları duymasına veya bir ekranı görmesine karşı koruma sağlamamaktadır. Genelde söylendiği gibi “insanlar, en zayıf halkadır”.
Boşboğazlık gemi batırır
Bir QA siber güvenlik uzmanı, Londra havalimanından Birleşik Krallık’taki bir başka yere gitmek için bindiği uçakta üç sıra önünde oturan birisinin telefonunun kilidini açtığını gördü. Bu kişinin kullandığı desen şöyleydi:
Bu desen kullanılarak telefonun kilidinin açıldığını gören kişi QA’nın uzmanı yerine bir suçlu olsaydı neler yapabileceğini bir saniyeliğine düşünelim.
Muhtemelen telefon, hassas davalar üzerinde çalışan bir avukata aitti bu nedenle de ilgili davanın tarafı olabilecek kişiler açısından oldukça hassas bilgiler içeriyordu. Peki bir bilgisayar korsanı bu kişinin telefonunu nasıl ele geçirebilir?
1. Adım, Açık kaynaktan bilgi toplama: Hukuk firmasının web sitesinde davalardan bahsedilmekte ve bu kişinin adı da yüksek profilli bu davaya katılan avukat olarak belirtilmekte. Web sitesinde bu kişinin Vcard ve LinkedIn profili gibi bilgileri de listeleniyor. Kişinin sosyal medya profilinde yapılan bir araştırma ile nerede yaşadığı ve hangi saatlerde neler yaptığı öğreniliyor.
2. Adım, Gözlem. Ofis gözlem altına alınıyor ve kişinin ne zaman işe gelip gittiği ve içki içmek için nereye gittiği bulunuyor. Bir gün kişi takip ediliyor ve akıllı telefonun kilit açma deseni görülüp (bir uçakta üç sıra arkadan görülebilen bir desen olduğu için bu iş hiç de zor değil) not ediliyor. Kişiye dokunulmuyor.
3. Adım, Müdahale. Bir başka gün bir kargaşa çıkartılıyor ve kişinin telefonu çalınıyor.
Herhangi bir teknik sihirbazlık kullanılmadan sadece kilit açma deseni ile telefona erişiliyor ve böylece bilgisayar korsanı, hukuk firmasının ağında hiçbir iz bırakmadan firmanın tüm savunmalarını kırmış oluyor.
Aynı şey, dokümanlar taşıyan veya dizüstü bilgisayarında ya da akıllı telefonunda e-postalar okuyan ve tabletine ya da dizüstü bilgisayarına parola giren kişiler için de geçerlidir. Sıkça bir resmi belgenin bir toplantıya taşınırken sızdırıldığı, Downing Sokak, No. 10 dışında bekleyen bir fotoğrafçının uzak mesafeli merceğine yakalandığını duymaktayız. Günümüzde bakanlar artık daha dikkatli olup belgeleri bir zarf içinde taşıyor olsalar da QA uzmanları, insanların hassas belgeleri (hassas hükümet belgeleri dahil) toplu taşıma kullanırken kağıttan okuduklarına veya dizüstü bilgisayarlarından baktıklarına dair birçok örnekle karşılaşmış durumda.
Bilgileri sorumlu bir şekilde koruma
Bu tür saldırılara karşı savunmalar oldukça basit.
Öncelikle kuruluşlar, ekiplerindeki kişilerin davranışlarını ve normlarını değiştirmeye çalışmalıdırlar. Kişiler, çevrelerinin ve yaptıkları konuşmaların duyulma ve ekranlarının da görülme risklerinden haberdar olmalıdır. Farkındalığı arttırmak ilk öncelik olmalıdır.
İkinci olaraksa riski azaltmak için çok basit ‘kullanıma hazır’ araçlar bulunmaktadır. Birçok cep telefonu artık parmak izi veya yüz tanıma özelliğiyle donatılmıştır ve bu özelliklerin kullanılması da bir parolanın çalınma riskini azaltmaktadır. Tüm telefonlarda ve dizüstü bilgisayarlarda görüş açısını sınırlandıran gizlilik ekranları olduğundan emin olun. Belgeleri zarf içinde taşıyın.
Bunlar, oldukça pahalı olabilecek bir soruna karşı alınabilecek oldukça düşük maliyetli çözümler. Veri güvenliği sadece yüksek teknoloji anlamına gelmiyopr, davranışsal çözümleri de uygulamak gerekli.
Siber Güvenlik kataloğumuzdan, içerikleri National Cyber Security Centre (NCSC), the Centre for the Protection of National Infrastructure (CPNI) in the UK ve Critical National Infrastructure (CNI) ortaklıklarıyla hazırlanmış eğitimleri inceleyin. Uluslarası geçerli sertifikasyon sınavlarına Bilginç'le hazırlanın, firmanızın siber tehditlerden tamamen korunmasını sağlayın!