TurkishTimes İçimizden Haberler
Merhaba Arkadaşlar,
Özellikle COVID-19 Pandemi dönemi dahilinde hepimiz için zor ve alışılagelmişin dışında bir döneme girmiş bulunuyoruz.
Uzaktan çalışmanın öne çıktığı bu günlerde, saldırganların (hacker) başlıca hedefinde olan finans sektöründe hizmet sunmakta olan Bankamız ve Turkish Yatırım’ın sistem altyapılarında gerekli güvenlik önlemlerini titizlikle alarak, bir zafiyet yaşanmaması adına oldukça yoğun bir çalışma dönemi yaşıyoruz.
Kurumlarımızın altyapısında mevcut durumda almış olduğumuz tedbirleri sürekli olarak gözden geçiriyor ve mümkün olduğunca ek kontroller ile daha güvenli hale getirmeye çalışıyoruz.
Bu noktada özellikle uzaktan çalışma kültürünün hakim olduğu bu gibi dönemlerde öne çıkan iletişim gereksinimleri ve iş yapma kültürlerinde meydana gelen marjinal değişiklikler nedeniyle, özellikle son kullanıcıları hedefleyen saldırganlardan korunmak adına kurumsal ve kişisel bazda alabileceğiniz önemli tedbirlerin bazılarını özetlemeye çalışacağım.
- Alınabilecek Online Alışveriş Tedbirleri
- HTTPS : Son dönemde son kullanıcılarda artan farkındalık sayesinde bilinmeye başlayan SSL (Secure Sockets Layer) / Transport Layer Security (TLS) üzerinde iletişimin şifrelenmesi adına kullanılan sertifikalar sayesinde saldırganlarca önemli bilgilerin ele geçirilmesinin önüne geçmek hedeflenmektedir. Bu noktada sertifikası bulunan ve tarayıcılarda adres satırında güveni temsil eden “Yeşil” işaretleme öne çıkan sitelerden alışveriş yapılmasını öneriyorum.
- Güvenli Ödeme – 3D Secure : İkinci önemli tedbir olan “Kredi Kartı” ile yapılan ödemelerde “Güvenli Ödeme – 3D Secure” ile ödeme yöntemi kullanan e-ticaret firmalarının tercih edilmesini öneriyorum.
Kısaca açıklamak gerekir ise Güvenli Ödeme – 3D Secure hizmeti alışveriş yapılan e-ticaret sitesinde ödeme anında banka tarafından sunulan ödeme sağlayıcı uygulamanın ekrana getirilmesi ve kart müşterisine ikinci doğrulama güvenliği bileşeni olan Tek Kullanımlık Şifre – OTP (One Time Password) iletilmesi ve işlemin müşteri tarafından doğrulanmasıdır.
- Bilindik ve yaygın hizmet/servis ağı olan e-ticaret siteleri tercih edilmesini öneriyorum.
- Ticaret Bakanlığı ve Türkiye Odalar ve Borsalar Birliği (TOBB) tarafından denetime tabi tutulan e-ticaret sitelerine verilmeye başlanan ve önümüzdeki dönem yaygınlaşması beklenen “Güven Damgası” taşıyan sitelerden alışveriş yapılmasını öneriyorum.
- Oltalama Saldırıları (Phishing / Vishing ) ve Alınabilecek Tedbirler
Oltalama, saldırganlar tarafından uygulanan çok iyi dizayn edilmiş aldatma senaryoları dahilinde kurbanın dikkatinin çekilmesi, merak uyandırılması ve gönderilen iletiye tıklanması ile birtakım önemli verilerin aktarılması/çalınması yönteminin genel ifadesidir. Kullanıcı motivasyonu genel olarak indirim, aidat iadesi, hediye gibi cezbedici unsurlardan oluştuğu için saldırıların başarı oranı yüksek seyredebilmektedir.
Vishing ise, son dönemde e-posta gibi yazılı ortamlardan dışında teknolojinin gelişiminin olumsuz şekilde kullanılarak diğer iletişim araçlarından biri olan ses oltalamaları / aldatmaları ile kurbanın yine önemli bilgileri paylaşması ya da işlemlerin tarafı olmayan saldırganların talimatı ile yetkisiz kimselerce gerçekleştirilmesi olarak tanımlanabilir. Son dönemde önemli ölçüde yaygınlaştığı görülmektedir. İletişim mevzubahis olduğu için daha hedef odaklı saldırı türlerinden biridir.
- Bilinmedik göndericilerden iletilen e-postaları açmamanızı, doğrudan silmenizi, varsa eklerini ve içerisindeki linkleri kesinlikle tıklamamanızı
- İndirim, aidat iadesi, hediye gibi konu başlıklarının dikkate almamanızı bu gibi durumlarda şüpheye düşmeniz durumunda gönderici olduğu düşünülen platformların gerçek ve bilindik web siteleri üzerinden işlem yapılmasını
- Bu ve benzeri girişimlerin kurumsal e-posta hesaplarına gelmesi durumunda kurumumuzun süreçleri dahilinde geri bildirimlerde bulunmanızı
- Vishing saldırısına maruz kalındığı düşünüldüğünde görüşmenin hızlıca sonlandırılmasını, şüphe oluşması durumunda ise işlemi gerçekleştirmeden bilindik iletişim numaraları üzerinden geri arama ile durumun ilgili kimse üzerinden doğrulanmasını
öneriyor ve özellikle pandemi dönemi doğrultusunda uzaktan işlemlerin gerçekleşme sekanslarının yükseldiği bu gibi ortamlarda daha fazla dikkat göstermenizi sizlerden rica ediyorum.
Unutmayalım ki, alınan teknik güvenlik tedbirleri ancak bilgi güvenliği farkındalığınız sayesinde alacağınız aksiyonlar ve ileteceğiniz geri bildirimler doğrultusunda hedeflenen konuma ulaşmamızı sağlayacaktır.
Sağlıklı ve Güvenli günler dilerim…
Mert ÇAKAR
Direktör
Bilgi Güvenliği Yöneticisi (CISO)