Bazı Çok Önemli Siber Güvenlik Tecrübelerimi Paylaşıyorum

Dostlar merhaba, 20 yıllık hayatımın 9 yılını bilgisayar ve teknolojik şeylere olan merakımla geçirmekteyim. Sizlere bazı çok önemli siber güvenlik detayları anlatacağım korunma yöntemleri ile birlikte.
Bunlara dikkat ederseniz telefonunuz, bilgisayarınız, sosyal medya hesaplarınız, dolandırıcılık, hacklenme gibi bir çok konuda riskleri minimuma hatta sıfıra indirirsiniz. Bazılarını biliyor olabilirsiniz, bazıları size komik geliyor olabilir. Bazıları telefonla, bazıları bilgisayarınızla, bazıları sosyal medya hesap ayarlarınızla ilgili. Ama emin olun hepsinin açıklayamayacağım nedenleri var. Öncelikle burada anlatacağım yöntemleri detaylandırmayacağım, nasıl yapıldığını asla söylemeyeceğim. Bu konularda merakı olan arkadaşlara sadece nasıl korunacaklarını ve neye dikkat etmeleri gerektiğini anlatacağım. Kesinlikle zaafiyetlerin nasıl oluştuğuna ve yapıldığına dair bir bilgi içermeyecektir.
Tabiki yazılımlarınızı güncelleyin, şifrenizi paylaşmayın vb. gibi şeyler anlatmayacağım. Bunları hepimiz zaten biliyoruz. Mümkün olduğunca basit bir dille, teknik detaya girmeden anlatacağım.
Not: iOS ve macOS X içermemektedir. Duruma göre yeterli istek olursa hem iOS hem de macOS X için bir makale yazabilirim

Not: Bazı önerdiğim yöntemlerde çok dikkatli olmanızı, mutlaka yedek kurtarma yöntemleri kullanmanızı öneririm. Aksi taktirde ciddi sorunlar yaşarsınız. Aşağıda önerdiğim tüm
yöntemleri kullanmak sizin tamamen sorumluluğunuzdadır.


1-) İnternetteki hesaplarınızda (Facebook, Instagram, X, Gmail, Hotmail, e-devlet vb.) çift faktörlü doğrulama (2FA) yöntemlerinden olan SMS doğrulaması kullanıyorsanız öncelikle bunu kaldırınız. Bu güvenilir zannedilen, fakat güvenilir olmayan bir yöntemdir. Birkaç işlemle bu yöntem atlanarak şifresi bilinen hesabınıza erişilebilir.

2-) Çift faktörlü doğrulamalarda SMS yerine Authenticator uygulamalarını kullanmanız hesabınıza dışarıdan bir erişim ihtimalini neredeyse sıfıra indirir. Örneğin Google Authenticator, Microsoft Authenticator, Authy veya Duo gibi güvenilir yazılımlar kullanabilirsiniz.

3-) Bu yazılımları kullandığınız cep telefonunu kaybetmeniz durumunda eğer authenticator uygulamasına erişmek için yedek kurtarma yöntemleri edinmediyseniz hesaplarınıza bir daha asla erişemezsiniz. Bu uygulamaları kullanırken çok dikkatli olun. Ve önce çalışma mantığını anlayın.

4-) Cep telefonunda desenli kilit yerine pin kodu kullanmanız çok daha güvenilir bir yöntemdir. Desenli kilidin tespit edilmesi pin koduna göre daha kolaydır. Eğer desenli kilit kullanıyorsanız telefonunuzun ekranını sürekli temiz tutunuz, leke bırakmayınız. Aynı şekilde yüz tanıma ve parmak izi gibi yöntemler de çok güvenilir değildir. Hepsi taklit edilebilir.

5-) Eğer 3 isminiz varsa şanslısınız, internette bulunan hesaplarınızda 2 isim kullanınız. Bu konuda paranoya olan arkadaşlar, sosyal medyada kullandığı isimleri kimlikteki isim soyisimden farklı yapsın. Örneğin Mehmet Özışıksa adınız, Mehmet Işıköz yapın. Sadece isim ve soy isimle ayak numaranıza kadar öğrenilebilir.

6-) Hesaplarınıza yabancı kişilerden gelen tıkladığınız / açtığınız bir link ile HİÇBİR HESABINIZ PATLAMAZ. Ne telefonda, ne de bilgisayarda. Sadece tıklamakla, sayfayı açmakla bir hesabınızı kaybetmezsiniz. Asıl zaafiyet açılan sayfada yaptığınız eylemlerdir. Örneğin sahte bir arayüze girdiğiniz şifre sizi o uygulaya giriş yaptırsa bile öncesinde yazdığınız tüm kullanıcı adı ve şifreleri karşı tarafa iletecektir. Veya açtığınız link size eklenti kurdurmaya, bir şey indirmeye çalıştırır. Eklenti kabul ederseniz her yerde reklam görürsünüz, bu eklenti yetenekliyse bilgisayarınıza veya telefonunuza güzelce yerleşir. İndirme işlemi yaptırırsa bir şey olmaz, açıp kurmadığınız sürece. Bilgisayarda ise indirdiğinizi açmanız yeterlidir bulaşması için, kurulum yapmanıza gerek bile yok. O yüzden bilmediğiniz bir dosyayı açarken çok düşünün. PC için en tehlikeli 2 uzantı .exe, .bat, .vbs, .scr ve .msi, telefon için .apk'dır. Tüm uygulamalar bu uzantılarla kurulur, ama aynı zamanda virüsler de bunlarla çalışır.

7-) Arkadaşınız telefonla sizi arıyorsa ve normalde yapmayacağı bir şey istiyorsa (örneğin para istemek vb.) karşınızdaki kişinin o olup olmadığını iki defa düşünün. Evet, numarası doğru olsa dahi. Evet, sesi aynı olsa dahi. Bu konuda tereddütünüz varsa konuşmayı WhatsApp üzerinden gerçekleştirebilirsiniz. Bunda da hesabın güvenlik kodunun ne zaman değiştiğine bakarak ele geçirilip geçirilmediğini anlayabilirsiniz. WhatsApp yeni kurulduysa karşınızdaki kişiyle sohbet ekranında güvenlik kodu değiştiği ibaresi alırsınız. Bu ibare yoksa karşınızdaki kişi gerçekten arkadaşınızdır.

8_) Arkadaşınızın size gönderdiği bir SMS'de gönderen kişinin gerçekten arkadaşınız olup olmadığından emin olamazsınız. Evet, kendi cep telefonu numarasından size mesaj göndermiş olsa dahi.

9-) Banka, devlet kurumu gibi numaralardan (Gerçekten bu kuruma ait olan numaralarla) sahte aranmanız mümkün. Konuşmanız size kalmış.
10-) Size herhangi bir banka uygulamasından gelen bildirimi onaylamanız istenirse çok çok dikkatli olun. Neredeyse tüm bankacılık işlemlerindeki zaafiyetler tam olarak bu noktada ortaya çıkıyor. BİLDİRİMİ İYİCE OKUYUN. Bankanın kimlik doğrulamak için gönderdiği onay bildirimi ve ödeme bildirimleri farklıdır. Ayırt edin.

11-) Gizliliğinize önem veriyorsanız WhatsApp’da “Bağlantı Önizleme” özelliğini mutlaka devre dışı bırakın.

12-) Bilgisayarınızda şifre olsa dahi başka bir bilgisayara bu disk bağlanıp sahiplik alma işlemiyle verilerinize erişilebilir. Wİndows şifresi verilerinizi şifrelemez ve korumaz. Varsayılan olarak kapalı gelen BitLocker özelliğini aktif ederek tüm diski kriptolarsınız. Bu işlem disk kullanım alanınıza bağlı olarak biraz sürmektedir. Aynı şekilde yedek kurtarma yöntemlerini muhafaza etmeyip şifrenizi unutursanız verilerinizi kalıcı olarak kaybedersiniz.

13-) Aktif olarak bilgisayar kullanırsanız, sizi piyasadaki tüm keylogger’lardan koruyacak az bilinen müthiş bir yazılım önereceğim. İsmi KeyScrambler. Çok çok eski bir yazılımdır. Kendimi bildim bileli kullanırım. Free versiyonu var, ücretlisi de ucuz. Bu program tam olarak klavye ile bilgisayarınız arasına yerleşerek bastığınız her harfi kullandığınız yazılım dışındaki tüm yazılımlar tarafından farklı bir karakter olarak algılamasını sağlayarak yazışma, şifre gibi bir çok konuda takip edilmenizi engelliyor.

14-) Bilgisayarınızda çalışan uygulama ve hizmetleri takip etmeyi öğrenin. Görev yöneticisinde çalışan uygulamalara şöyle bir göz atıp adını sanını duymadığınız, çok kaynak tüketen bir uygulama gördüyseniz sağ tıklayıp dosyanın özelliklerinden konumuna bakın. Şüphelendiyseniz bu dosyayı virustotal’e atın. Copyright bilgilerinde Microsoft, NVIDIA vb. yazıyorsa genellikle sorunsuzdur. Hizmetlerde de aynı şekilde tuhaf ve dikkatinizi çeken bir şey varsa devre dışı bırakabilirsiniz. Aynı zamanda artık açılıştaki uygulamaları Görev Yöneticisi üzerindeki Başlangıç sekmesinden görebiliyoruz. Bir çok virüs buraya yerleşme eğilimindedir. Buradaki uygulamaları minimumda tutmanızı, anormal bir şey görürseniz tarama yapmanızı öneririm.

15-) Üzerinize veya yakınınızın üzerine ev veya arsa varsa E-Devlet > Web Tapu'ya giriş yaparak sol taraftaki menüden Beyan İşlemleri > İşlem Yapılmaz Beyan Tesisi' menüsüne gidip sağdaki taşınmazınızın en sağında bulunan Beyan Tesis Et tuşuna basarak beyan talebi oluşturun. Artık taşınmazınızın, siz bizzat tapuda bulunmadığınız sürece satışı hiçbir şekilde mümkün olmamaktadır. Dolayısıyla sahte ve habersiz bir vekaletname ile evinizi ve arsanızı kaybetme riski tamamen ortadan kalkmakta. Bkz; sahte vekaletname dolandırıcılığı

16-) E Devlette bunu herkesin yapmasını şiddetle öneririm. Kimlik bilgilerimizle haberimiz olmadan ticari bir ortaklık yapılamaması için E-Devlet'de bir hizmet açıldı. Bu kısıtlamaları yaptığımızda en azından haberimiz olmadan bir işlem yapılamıyor. E-Devlet üzerinden “Kısıtlama İşlemleri (MERSİS)” diye aratarak Yetkili / Ortak kısıtlamasını aktif edebilirsiniz.

17-) En çok unutulan şeylerden birisi modem, modeminizin firmware’ına güncelleme geldiğince güncellemeyi unutmayın. Özellikle eski modem kullanan arkadaşlar bu konuda daha dikkatli olmalı.

18-) Şirketler için, penetrasyon testleri yaptırmayı unutmayın. Sosyal mühendislik yöntemleri gibi yöntemler için bu testler çok iyi olur. Örneğin şirketinize gelen bir misafiri toplantı odasına aldınız, bir kenarda access point prizde takılı. Buraya takacağı bir 100 dolarlık raspberry pi ile artık uzaydan bile şirketinizin içinde ağdaymış gibi davranabilir ve tüm ağ trafiğinizi izleyebilir. Bu tarz açıklar tespit edilirse en azından önlem alabilir ve kendinizi koruyabilirsiniz.