12/05/2020 | Yazar: Aslı Alpar

Dijital İletişim Uzmanı Özgür Mehmet Kütküt yanıtlıyor: Belirli tedbirleri alarak yaşamanın kendisi bir mücadele, hatta örgütlenme pratiği.

Onlineda güvenli kal lubunya: Kimlik avından nasıl korunuruz? Kaos GL - LGBTİ+ Haber Portalı

Sosyal izolasyon, karantina, sokağa çıkma yasakları derken sosyal ağlarda iletişimimizin belki de en yoğun olduğu bu günlerde dijital güvenliğe duyduğumuz önem de haliyle arttı.

Seksting olsun, sohbet olsun fark etmez, eğer gönderilerimizi ya da yazışmalarımızı yalnızca yolladığımız kişi(ler) ile sınırlı kalmasını istiyorsak dikkat etmemiz gereken önemli noktalar var. 

Evde kal, online kal ama güvenli kal lubunya, diyerek başladığımız bu yazı dizisinde sorularımızı Dijital İletişim Uzmanı Özgür Mehmet Kütküt yanıtlıyor. Bugün sorularımız “kimlik avı” üzerine.

Kütküt bu haberde, “kimlik avcıları kimdir”, “bizleri hangi oltalarla avlamaya çalışıyorlar”, “hornet, wapa benzeri uygulamalara da sızarlar mı”, “peki avcılardan nasıl korunacağız” sorularını yanıtlıyor.

Her yerde duyuyoruz nedir bu kimlik avı?

Kimlik avı, parola, kimlik numarası, kredi kartı numarası, fiziksel adres gibi hassas bilgilerin kötü niyetli korsanlar tarafından ele geçirilmesidir. Genellikle kullanıcının güvendiği bir kaynaktan gelmiş gibi görünen bir e-posta veya taklitçi sosyal medya hesaplarından gelen bağlantılarla bir yem atılır. Zaman zaman çeşitli sosyal medya mecralarında taklitçi hesaplar reklam bile verebilir. Kullanıcı şüphelenmezse güvende olduğunu, istenen bilgilerin normal olduğunu düşünerek bunları vererek tuzağa düşer.

Diyelim ki tuzağa düştük, yemi yuttuk, kimlik avı mağduru olursak neler gelir başımıza?

Nasıl bilgiler paylaştığımıza göre yaşadığımız sorunlar da değişir. Kimlik avı mağduru olmak uzun vadeye yayılan, özellikle psikolojik ve hukuki sorunlarla bizi baş başa bırakabilir.

Mesela kredi kartı numaramızı verirsek epeyce başımız ağrıyabilir. Ancak özellikle kişisel bilgilerimizi verirsek uzun vadede pek çok sorunla karşılaşmamız olası. Hesaplarımızın parolalarını kaybetmemiz, ele geçirilen hesaplarla arkadaş listemizdekilerden para, kontör de talep edilebilir. Bulut hesaplarımıza erişilirse özel hayatımıza sızmaları mümkün.

“Tire/eksi işaretine karşı özellikle dikkatli olmalıyız”

Ne yapmamız gerek kimliğimizi avlatmamak için?

Öncelikle dijital okuryazarlık seviyemizi arttırarak kimlik avından korunabiliriz. Aslında bunu bir yurttaşlık becerisi olarak de değerlendirebiliriz. Yani her yurttaşın sahip olması gereken bir özellik dijital okuryazarlık. Tıpkı okuma yazma gibi bunun tüm yurttaşlara yaygınlaşması için gerekli adımları atmanın idarenin sorumluluğunda olduğunu düşünüyorum ama reel duruma geri dönelim. LGBTİ+’ler özelinde de pek çok şey söylenebilir. Örneğin açık kimlikli değilsek veya bize özel dosyalara erişim sağlarsak bunlarla maalesef şantaj mağduru bile olabiliriz.

Mesela şöyle mesajlar geliyor; “Tebrikler Iphone kazandınız”. Avcı mı bunlar?

Evet, zaten öncelikle gerçek olamayacak kadar iyi tekliflerden şüphelenmeliyiz. Bunlar telefon kazandığımızı, ödül kazandığımızı söyleyen veya dünyanın bir ucunda parasını bize göndererek güvene almak isteyen birinden gelen e-postalar olabilir. Bu e-postaları dikkate almamalıyız. Katıldığımızı bilmediğimiz bir kampanyadan telefon kazanmak pek gerçek gibi değil.

Bir arkadaşımızın profili taklit edilerek veya ele geçirilerek de bizler tuzağa düşürülebiliriz. Kontör istenebilir, başka başka şeyler de olabilir. Bu tip durumlarda ilgili yakınımıza ulaşarak konunun ne olduğunu öğrenmeye çalışmalıyız.

Sosyal medyada özellikle sponsorlu gönderiyle, yani reklamlarla “kredi kartı aidatlarınızı ödüyoruz”, “eski kredi masraflarınızı ödüyoruz” gibi gönderiler de olabilir. Benzeri türde e-postalar da alabiliriz. Özellikle bankalardan gelen e-postalara karşı da dikkatli olmalıyız. Bu tip sosyal medya gönderileri veya iletilerdeki bağlantı ile orijinal sitenin birebir kopyası yapılır ve güvenerek oraya bilgilerimizin girilmesi istenir. Bu tip durumlarla başa çıkabilmek için uzantıları tanımalı ve öğrenmeliyiz.

Hangi uzantı avcı hangisi iyi nasıl anlayacağız?

Birkaç temel kuraldan bahsedeyim öncelikle. Bir web adresini ele alalım: “kaosgl.org”. Bu adresin ilk bakacağımız yer “.org” uzantısından önceki kısım. Yani “kaosgl”. Örneğin “kuirsanat.kaosgl.org” adresi de yine kaosgl.org altındadır. Ancak “kaosgl.ka-os-gl.org” gibi bir adres doğru değildir. Çünkü “.org”tan önce tam olarak doğru şekilde adres yazılmalıydı ama “ka-os-gl” şeklinde yazılmış. Bu şüphelenmemiz gereken bir adres. Böyle bir durumda kaosgl.org’a girip bu bağlantının güvenliğini sorgulamalıyız. “kaosgl.org/haber/karikatur-okulu” adresinde de bakacağımız yer “.org”tan önceki kısım. Bu içeriğin kaosgl.org altında olduğunu görebiliyoruz. Tire/eksi işaretine karşı özellikle dikkatli olmalıyız. İnternette nokta(.) alan adı ayırıcıdır ama tire(-) herhangi bir harf gibidir.

Güncel tüm tarayıcılarda sitelerin güvenlik sertifikaları olup olmadığı da denetlenir ve adres satırında bir asma kilit ile bu belirtilir. Eğer adres satırında bir asma kilit yoksa bu sitelere kişisel bir bilgi girmemeliyiz. Kişisel herhangi bir bilgi gireceğimiz zaman adres satırında asma kilit olup olmadığını denetlememiz gerekir.

Kendi adıma konuşayım, bunları kesin unuturum…

O zaman okurlarımıza bu noktada farklı örnekleri görebilecekleri bir kimlik avı testini önerelim. https://phishingquiz.withgoogle.com/ adresinden Türkçe dahil pek çok dilde bu testi çözebilir, farklı kimlik avı yöntemleri hakkında bilgi edinebilirler. Doğruyu söylemek gerekirse kimlik avında en önemli şey kullanıcıların farkındalığı. 

“Karşımızdaki kişiye ne kadar güvenebileceğimiz sohbetimizin ne kadar iyi olduğuyla ilgili değil”

Wapa, Tinder, Hornet gibi arkadaşlık/tanışma uygulamaları kullandığımızda kimlik avı mağduru olabilir miyiz? Bu uygulamaları kullanırken nelere dikkat edebiliriz?

Evet, bu çok sık karşımıza çıkıyor. Aslında arkadaşlık uygulamalarında ve sexting sırasında güvenliğin farklı boyutları da var. Bunları da ayrıca ele alalım önümüzdeki günlerde ama kimlik avına burada odaklanmaya devam edelim.

Karşımızdaki kişiye ne kadar güvenebileceğimiz sohbetimizin ne kadar iyi olduğuyla ilgili değil. Flört ederken güvenmeyi ve güvenilmeyi istemek çok olağan ancak paylaşacağımız bilgilerin neler olacağına dair önceden bir düşünmek yerinde olacaktır. Örneğin açık kimlikli değilsek nerede yaşadığımız, mesleğimiz, ayırt edici özelliklerimizle ilgili tutumlu olabiliriz. Profilimizde kullandığımız aynı fotoğrafı başka sosyal mecralarda kullanıyorsak ters görsel aramayla gerçek ismimize, hesaplarımıza ulaşılabilir. Bunun farkında olmalıyız.

Hiçbir koşul altında parolalarımızı vermemeli, bize gelen her tür bağlantıya karşı tedbirli olmalıyız. Özellikle bize gelen bir bağlantı parola veya kredi kartı bilgileri istiyorsa bundan doğrudan uzaklaşmalıyız. Müzik bağlantısı, PDF gibi çeşitli ekler de aslında gizli yazılımlar barındırabilir. Parola hırsızlığı konuşurken bu tip gizli yazılımlardan söz etmiştik. Genellikle Gmail, Hotmail, Outlook, Google Drive, One Drive gibi yaygın e-posta ve bulut sistemler virüs ve istenmeyen yazılımlara karşı iyi bir tarama yaparlar ancak yine de dikkatli olmak gerekli.

Aslında kimlik avı başlığı altında konuştuğumuz her şey temelde ikiye ayrılıyor. Yarısı çeşitli dolandırıcıların her gün yeni yöntemlerle rastgele yaptığı denemelerle, diğer yarısı da daha odaklanmış girişimlerle ilgili. Arkadaşlık uygulamaları ikinci kısımla daha çok ilgili. LGBTİ+’ların yakından bildiği nefret söylemi daha düşmanca bir tutumla kimlik avı hırsızlığını da içererek karşımıza çıkabiliyor. İnternette de tıpkı gündelik hayatta olduğu gibi belirli tedbirleri alarak yaşamanın kendisinin bir mücadele, hatta örgütlenme pratiği olduğunu da bu vesileyle not etmek isterim.



Etiketler: yaşam
Nefret