Sosyal Medya Dolandırıcılığından Nasıl Korunabilirsiniz?
Dünya genelinde toplumun her kesimi tarafından yoğun olarak kullanılan sosyal medya, dolandırıcılık faaliyetleri için zemin oluşturur.
Özellikle pandemi dönemiyle birlikte iş, eğitim ve sosyal hayatın neredeyse tamamen internet üzerine taşınması sosyal medya kullanım oranlarını arttırmış, bu durum sosyal medya üzerinden yapılan dolandırıcılıkları da hem kişiler hem de kurumlar açısından tehlikeli boyutlara taşımıştır.
Yine pandemi döneminde sosyal medya aracılığıyla yapılan satış oranlarının yükselmesi farklı dolandırıcılık yöntemlerini de beraberinde getirmiştir. Cazip koşullarla sözde ürün satışı yapan sahte sosyal medya hesapları ya da markaların taklit sayfaları pandemi döneminde hackerlar tarafından artarak uygulanan dolandırıcılık türlerindendir.
Sosyal medya üzerinden kimlik avına çıkan dolandırıcılar, ulaştıkları bilgileri farklı kaynaklara satabilir, sosyal medya takipçilerini kendi menfaatleri için yönlendirebilir, mali bilgilerinizi ele geçirerek sizi ciddi boyutlarda maddi zarara uğratabilir. İşletmeniz ve bireysel hesaplarınız için olası saldırılara göre siber güvenlik önlemleri alarak sosyal medyanın avantajlarını güvenle kullanabilirsiniz.
Sosyal Medya Platformlarında Gerçekleşen Dolandırıcılık Türleri Nelerdir?
Phishing Oltalama Saldırıları
Ağırlıklı olarak e-posta üzerinden gerçekleştirilen phishing saldırılarında siber suçlular son dönemde sosyal medya platformlarını da sıklıkla kullanıyor ve kişilerin veya kurumların şahsi ve iş hesaplarına ulaşıp kimlik, kredi kartı ve banka hesapları gibi kritik bilgilerini ele geçirmeye çalışıyorlar.
Sosyal Mühendislik
Sosyal mühendislik oltalama kullanılarak yapılan siber saldırılarla kullanıcıların gizli verilerini ele geçirmeye yönelik kurulan psikolojik baskıdan ibarettir. Bilgisayar korsanları bu yöntemle işletmelerde daha çok sosyal medya hesaplarını kullanan çalışanları hedef alırlar. Günümüzde en çok karşılaşılan dolandırıcılık türlerinden biri olan sosyal mühendisliği başarıya ulaştıran unsur ise daha meşru olan e-postalarla kişi hakkında bilgi edinmenin daha kolaylaşmasıdır.
Sahte Sosyal Medya Hesapları
Sahte sosyal medya hesapları sayesinde siber casuslar, kendini gerçek bir kişiymiş gibi göstererek kötü amaçlı yazılımları ya da kimlik verilerini ele geçirmek amacıyla düzenledikleri kampanyaları kolaylıkla herkese yayabilirler. Aynı zamanda bir kurum ve kuruluşta üst düzey bir yöneticiyi taklit ederek o şirket çalışanına bir eylemi gerçekleştirmesi üzerine yaptırım uygulayabilirler.
Catfishing adı verilen geniş çaplı saldırılarda ise siber suçlu kişi, birini bir kurum ya da kuruluşun finansal verilerine erişmeye ikna edebilir. Ayrıca sanal yastık sohbeti ile de sistemlere erişim için gerekli kimlik bilgilerini ele geçirterek sonrasında siber suça maruz kalan kişiyi kendini ifşa ettirmeye kadar zorlayabilir.
Profil Uzlaşması
Hesabı onaylanmış ve sözde güven veren sosyal medya dolandırıcıları da bir kuruluşu tehlikeye atmaya yetebilir. Bu bağlamda dolandırıcı, hedef kitlesi düşük ya da kötü niyetli bir kurum ya da kuruluşun müşteri kitlesini hedef alarak güvenlik ihlaline uğramış bir sosyal medya profili kullanır. Bu hesaplardan gerçekte olmayan, geçersiz çekilişler düzenlenir ve insanlara belli bir meblağ karşılığında kâra geçeceği vadedilir. Dolandırıcılar, kişileri yaptıkları tekliflerle bu meblağı göndermeye ikna ederler.
Kötü Amaçlı İçerik
Bu yöntemde dolandırıcı, sosyal medya hesaplarından kullanıcıları kötü amaçlı içerikle üçüncü taraf sitelere yönlendirerek bir bağlantıya tıklamaya ikna eder. Kullanıcı bağlantıya tıkladığında dolandırıcı o kullanıcıya ait verileri kolayca ele geçirebilir.
Kişisel Verileri Koruma Kanunu ve Kurumlara Düşen Sorumluluklar
Kişisel veri, kişiye özgü her türlü bilgi anlamına gelir. Kişisel verilerin en yaygın kullanıldığı alanların başında sosyal medya bulunur. Kişisel verilerin çalınması siber suç kapsamındadır. Siber saldırılar ya da farklı dolandırıcılık yöntemleriyle çalınan ve kullanılan kişisel verilerin korunması kapsamında düzenlenen Kişisel Verileri Koruma Kanunu (KVKK) ile istenmeyen olayların önüne geçilmesi hedeflenmiştir. Bu noktada özellikle kişisel veri toplayan tüm kurumlara önemli sorumluluklar yüklenmiştir.
Kişisel veri toplayan kurum ve kuruluşlar, bu verileri kanuna uygun bir şekilde muhafaza etmekle yükümlüdür. Aksi bir durum halinde kurum ve kuruluşlar 1 milyon TL’ye kadar para cezası ödemek zorunda kalabilir. Kurumlara düşen sorumluluklar şunlardır:
- Veriler çeşitli şifreleme teknikleriyle saklanmalıdır.
- Belirli aralıklarla sızma testleri yapılarak güvenlik açığının olup olmadığı tespit edilmelidir.
- Saldırılara yönelik tespit ve önleme sistemleri aktif edilmelidir.
- Erişim loglarının tutulup, log kayıtlarının belirli zaman aralıklarında incelenerek yedeklerinin alınması gerekir.
- Veri kaybını önlemek için ortaya çıkarılan yazılımlar kullanılmalıdır.
- Verilerin kontrolleri yapılarak önemine göre silme, yok etme ya da anonimleştirme işlemleri yapılmalıdır.
- Güncel antivirüs teknolojileri kullanılmalıdır.
- Verilere erişimin kısıtlanması amacıyla kurum içi çalışanlara erişim yetkisi oluşturularak bu yetkilerin kontrollerinin düzenli olarak yapılması gerekir.
- Yetkilendirme matrisi oluşturulmalıdır.
- Ağ ve uygulamaların güvenliğinin test edilmesi ve üst düzeye çıkarılması oldukça önemlidir.
- Anahtar yönetimi olmalıdır.
- Kullanıcı hesaplarının yönetimi sağlanmalıdır.
Sosyal Medya Saldırılarından Korunma Yöntemleri
Sosyal medya dolandırıcılarına karşı bireysel ve kurumsal olarak bilinçlenmek bu mecraları güvenle kullanabilmek açısından önemlidir. Bireysel olarak sosyal medya güvenliğinizi sağlamak için aşağıdaki maddeleri uygulayabilirsiniz:
- Üye olduğunuz herhangi bir yerden, istememiş olmanıza rağmen gönderilen e-posta, mesaj ya da gelen aramalara karşı tedbirinizi mutlaka alın.
- İnternet üzerinden alışveriş yaparken asla posta çeki ve transfer yoluyla ödeme yapmayın. Bunun yerine sizin için daha güvenli olan kredi kartı ile ödemenizi gerçekleştirin.
- Bazı banka ve kuruluşlara ait logolar kullanılarak açılan sosyal medya hesapları ya da oluşturulan sahte internet sitelerine itibar etmeyin. Sosyal medyada bu kuruluşların hesapları onaylıdır. Bu durumla ilgili ikilemde kaldığınız zaman hemen banka ya da kuruluşla iletişime geçin.
- Bir iletişimin işletme bilgilerini bulmak için her zaman arama motorlarından ya da başka bağımsız kaynaklardan yararlanın.
- Bazı dolandırıcıların herhangi bir nedenle sizden masraflarını ödemesi için belli bir miktar ücreti havale yapmanızı ya da banka detaylarınızı paylaşmanızı istemesi durumunda hemen emniyet güçleriyle iletişime geçin.
- Sosyal medya platformlarına kişisel ve önemi büyük bilgilerinizi aktarmayın.
- Sosyal medya ya da üye olduğunuz herhangi bir yer için oluşturduğunuz parolayı belli aralıklarla güncelleyin. Eğer platformda iki faktörlü kimlik doğrulaması (2FA) varsa mutlaka etkinleştirin.
- Profillerinizi olabildiğince gizli tutun. Çünkü açık profil her zaman sosyal medya dolandırıcıları için veri toplama kaynağıdır.
- Ne olduğunu bilmediğiniz e-postalardaki linklere kesinlikle tıklamayın. E-postayı direkt silerek göndereni engelleyin.
- Kişisel bilgisayarınızda düzenli olarak güncellenen antivirüs ve anti-casus yazılımları bulundurarak gelen tehditlere karşı sıkı bir güvenlik tedbiri oluşturun.
- Kişisel bilgilerinize erişmeye çalışan aramalara yanıt vermeyin.
- Sosyal medya hesaplarınızın “şüpheli durumlar” bildirimlerini açık tutun.
Çalışanlar Üzerinden Gerçekleştirilmesi Olası Saldırılar
Bilgisayar korsanları şirketlerin sosyal medya hesaplarını yöneten çalışanları hedef alabilirler. Özellikle sosyal medya hesaplarını fazla sayıda çalışanın kullandığı şirketlerde bu durum çok daha büyük risk teşkil eder. Bu sebeple şirketiniz açısından sosyal medya güvenliğinde teknik önlemlerin yanı sıra çalışanlarınızın bilinçlendirilmesi de önemlidir. Çünkü farkında olmadan dahi bilgilerinizin dolandırıcıların eline geçmesine sebep olabilirler.
Çalışanlarınıza sosyal medya hakkında eğitimler verin. Kurumunuza ait güvenlik prosedürlerini harfiyen uygulamaları konusunda düzenli denetimler yapın. Bireysel hesaplarından şirket hesaplarına kadar güvenli kullanım yöntemleri konusunda onları bilinçlendirin.
Ana sponsorları arasında Berqnet’in de bulunduğu “Herkes İçin Siber Güvenlik” ücretsiz siber güvenlik eğitim programı ile çalışanlarınızın bu konuda bilinçlenmesini sağlayabilirsiniz. Siber tehditlere karşı farkındalık yaratmak amacıyla bir sosyal sorumluluk projesi olarak hayata geçirilen program, çalışanlarla birlikte ev hanımları ve öğrenciler gibi tüm internet kullanıcılarının katılımına açıktır. Eğitim, katılımcıların siber tehditlere karşı doğru internet kullanımı hakkında kapsamlı bilgi ile donatılmasını hedefler. Sürecin sonunda dilerseniz ücretsiz sertifika sınavına katılarak eğitiminizi belgeleyebilirsiniz.
İşletmeler Açısından Sosyal Medya Güvenliği
İşletmeler müşterilerine ait kişisel verileri kanuna göre korumanın yanı sıra kendi özel bilgilerini korumak için de ekstra önlemler almalıdır. Bugünün dijital dünyasında müşteri ilişkilerinde etkili iletişimin en avantajlı platformlarından biri olan sosyal medyayı doğru kullanmak için güvenlik riski oluşturabilecek durumları ortadan kaldırmak önemlidir:
- Hesaplarınızı güvence altına almak için mutlaka sosyal medya politikası ve prosedürleri oluşturun.
- Sosyal medya hesaplarınızı güvenli tutan güvenlik yazılımlarına yatırım yapmanız gerektiğini unutmayın. Bu yazılımlar, kötü niyetli kişilerin hesaplarınıza bağlantı gönderme ya da kurumunuz adına açılan sahte hesaplara karşı sizi uyarır.
- Sosyal medyada güçlü parolalar oluşturarak şifrelerinizi güvenli yerlerde saklayın ya da şifre algoritmalarıyla şifrelerinizi çözülmesi zor bir hale getirin.
- Sosyal medya hesaplarınızda halka açık olan e-posta adreslerinizi kullanmayın.
- Kullanılan tüm programların güncelleştirmelerini zamanında yapın.
- Ağ güvenliği, şirketinizi sosyal medya hesaplarından gelebilecek her türlü sızma ve farklı dolandırıcılık türlerine karşı güvence altına alır.
İnternet üzerinden kurulan bağlantılar; güvenli olmayan web siteleri ve virüsler gibi tehlikelere karşı sosyal medya hesaplarınızı da açık hale getirir. İnternet üzerindeki şifreleme için VPN teknolojisi günümüzde güvenli internet için zorunluluk haline gelmiştir. Ancak her VPN bağlantısı tam anlamıyla güçlü bir koruma sağlamaz. Bunun için çok yönlü ve güçlü bir kriptolama kullanan VPN teknolojisine ihtiyaç vardır. Berqnet, sosyal medya üzerindeki internet trafiğinin kontrolü için işletmelere kapsamlı bir VPN hizmeti sunar. Sistem, standart bir VPN bağlantısı üzerinde virüs içeren tehlikeli sitelere girişin engellenmesi gibi URL limitleme özelliğini kullanarak kısıtlama yapmanıza izin verir.
Kurumunuzun sosyal medya hesaplarını ve müşterilerinizin kişisel verilerini bu tip dolandırıcılık ve saldırılardan korumak için Logo Siber Güvenlik ve Ağ Teknolojileri A.Ş. tarafından geliştirilen Berqnet Firewall yerli siber güvenlik çözümleri ile tanışın.