Kimlik Avı Saldırılarına Karşı Güvenliği Sağlamak

Kimlik avının artık eskimiş bir saldırı türü olduğunu mu düşünüyorsunuz? Tekrar düşünseniz iyi olur. İstenmeyen postaların daha akıllı bir şekilde filtrelenmesine rağmen, Kimlik Avına Karşı Çalışma Grubu , 2014’ün son çeyreğinde benzersiz kimlik avı bildirimlerinde %18 artış olduğunu duyurdu. Güvenlik uzmanları 2016’da bu eğilimin daha da artacağını öngörüyor.

Kimlik avı, parolalar, güvenlik kodları ve kredi kartı numaraları gibi hassas bilgileri çalmak için hala sık kullanılan bir taktik. Ayrıca, kişisel cihazlara ve şirket sistemlerine kötü niyetli yazılımları sızdırmak için de bu yola başvuruluyor. Bir kimlik avı saldırında bir LastPass hesabı bile hedef olabilir. Kimlik avına karşı korunma, hem kullandığımız yazılımların daha akıllıca algılama yapmasını hem de bir saldırıda ilk savunma hattı anlamında bireysel olarak daha iyi hazırlık yapmamızı gerektirir.

Burada LastPass’in kimlik avına karşı nasıl mücadele ettiğini, kimlik avı algılama yeteneklerinizi nasıl artırabileceğinizi ve hata yaptığınız zaman da en hassas bilgilerinizi nasıl koruyabileceğinizi okuyabileceksiniz.

Kimlik avı nedir?

Kimlik avı saldırıları birçok farklı şekilde gelir. Bankanızdan geldiği görünümünü yaratan ve hesap faaliyetlerinin doğrulanmasını isteyen sahte e-postalar şeklinde olabilir. Ya da alışverişinizi doğrulamak amacıyla ilişikteki dosyayı indirmenizi isteyen sahte faturalar şeklinde. Sosyal medya üzerinden kötü niyetli reklamlar veya bağlantılar şeklinde olabilir. Saldırganlar sizi, kullandığınız ve iyi bilinen, güvenilen bir web sitesine çok benzeyen, klonlanmış bir oturum açma sayfasına da yönlendirebilir.

Hedef odaklı kimlik avında her şey daha kişiye özeldir. Saldırganların size yolladıkları e-postalar bir meslektaşınızdan veya patronunuzdan, hatta BT departmanınızdan geliyormuş gibi görünür. Hakkınızda daha fazla bilgi edinmek, kötü niyetli bir dosya indirmenizi veya para havale etmenizi sağlamak için hakkınızda öğrendikleri bilgileri kullanarak taleplerini meşru göstermeye çalışırlar.

Kimlik Avı Saldırıları Nasıl Saptanır?

Birçok kimlik avı saldırısını saptamak basit ve kolaydır. Ama bazıları çok daha gelişmiştir; şüpheli e-postaları, bağlantıları ve bildirimleri tanımlamak için güçlü bir kuşkucu yaklaşım gerekir. Temel bir kimlik avı saldırısı nasıl saptanır:

  • URL adresini kontrol edin: Açtığınız web sitesinin adres çubuğuna bakın veya açmadan önce, farenizi bir bağlantının üzerine getirerek, tarayıcınızın sol alt köşesindeki URL adresine bakın, güvendiğiniz bir URL mi yoksa sahtekarlık yapan birine mi ait, kontrol edin. Örneğin LastPass ile karşınızda daima şunun gibi bağlantılar görürsünüz: https://lastpass.com veya https://subdomain.lastpass.com. Ama kimlik avı için kullanılan bir URL şuna benzer: http://lastpass.otherdomain.com. Bu durumda gerçek alan adı “otherdomain.com”dır, bundan uzak durmalısınız.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Kime hitap ettiğini kontrol edin: ‘Sevgili müşteri’ diye başlayan veya hiç kimseye hitap etmeyen e-postalara kuşkuyla yaklaşın. Bugünlerde çoğu satıcı size isminizle hitap eder. Ama hedef odaklı kimlik avı saldırıları çoğunlukla özel olarak sizi hedef aldığı için, bu şekilde tam güvenliğinizi sağlayamazsınız.
  • Web sitesini kendiniz açın: Eğer emin değilseniz, tarayıcınızda yeni bir sekme veya pencere açarak, URL adresini doğrudan girin (veya parola yöneticinizden başlatın); bu şekilde gerçek bir siteye gittiğinize emin olabilirsiniz.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Parola yöneticinizde eşleşen bir oturum açılmış diye kontrol edin: LastPass, sahte bir siteye otomatik oturum açılmamasını sağlayarak sizi kimlik avına karşı koruyabilir. Alan adı LastPass’ın kaydettiği son adla eşleşmediği için, verileriniz otomatik olarak doldurulmaz. Bunun gerçekleştiğini görürseniz URL adresini kontrol edin.
  • Sizden acele etmenizi isteyen bir ileti okuduğunuzda yavaşlayın: Acele etmenizi, aksi takdirde bir sorun olacağını söyleyen her tür iletinin amacı, düşünmeden harekete geçmenizi sağlamak olabilir.
  • Kendinize sorular sorun: Bu kişiden bana bir ek dosya göndermesini istedim mi? Bu kişinin davranışlarında bir tuhaflık var mı? Şüpheye düştüğünüzde, kuşkunuzu gidermek için sorun.
  • Adreste HTTPS:// ve kilit simgesi olduğunu kontrol edin: Bir web sitesindeyken, güvenli bir iletişim üzerinden HTTPS ile bağlandığınıza emin olmak için daima URL adres çubuğunu kontrol edin. Kilit simgesinin bulunduğuna da emin olun; bu, söz konusu web sitesinin üçüncü taraf bir güvenlik şirketince doğrulandığı anlamına gelir. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Kimlik Avı Saldırısı Parola Yöneticinizi Hedef Aldığında

Kimlik avı saldırıları artık sadece kötü niyetli e-postalarla, reklamlarla veya sosyal medyadaki bağlantılarla sınırlı değil. Bazı kimlik avı saldırıları, tarayıcınızda kullandığınız uzantıları bile hedeflemeye kalkışabilir; hatta bir parola yöneticisinin yerine geçmeye çalışabilir.

Örneğin, kötü niyetli bir web sitesi tarayıcı uzantınızın yerine geçerek, kullanıcı adınız, parolanız ve iki aşamalı kimlik doğrulama kodunuz gibi bilgileri talep eden bildirimler görüntüleyebilir. Bu bildirimlerin tarayıcı uzantınızdan değil de kötü niyetli web sitesinden geldiğini ayırt etmek zor olabilir.

LastPass Sizi Kimlik Avı Saldırılarına Karşı Nasıl Korur

  • Ana parolanın LastPass harici bir sayfada girildiğine dair uyarı: LastPass ana parolanızı, LastPass harici bir sayfaya her girmeye kalkıştığınızda; ana parolanızı bir sayfaya girmeden bile önce LastPass sizi kuvvetle uyarır. Böylesi bir durumda ana parolanızın tehlikeye düştüğünü anında bilirsiniz ve bunu değiştirebilirsiniz.
  • Bilinmeyen konumlardan veya cihazlardan oturum açıldığında doğrulama istenmesi: LastPass’ın doğrulama süreci, siz bilinmeyen bir konumdan veya cihazdan oturum açmaya kalkışınca gereken bir adımdır. Bu yüzden, ana parolanızı ve iki aşamalı bilgilerinizi yanlışlıkla girerseniz, saldırganın bu verileri kullanmaya yönelik herhangi bir girişimi, e-posta doğrulama adımlarıyla engellenir. Saldırganın aynı zamanda e-posta hesabınıza da erişim imkanı elde etmesi gerekir; e-posta hesabınız için iki aşamalı kimlik doğrulaması olması bunun engellenmesine yardımcı olabilir. Bu nedenle, başlatmadığınız bir doğrulama talebi görürseniz; bunu rahatlıkla göz ardı edebilir ve LastPass Kasa Hesap Ayarları’nda ana parolanızı güncelleyebilirsiniz.
  • Oturum kapatılmasını önleme: Kötü niyetli bir sayfa, oturumunuzun kapatıldığını ve tekrar oturum açmanızın gerektiğini belirten sahte bir LastPass bildirimi görüntülese bile; LastPass uzantısı oturumunuzun hala sürdüğünü kontrol etmeli ve sadece bu uzantı üzerinden oturum açmalısınız.

Bu güvenlik önlemlerine ek olarak; Google ve diğer tarayıcıları, tarayıcı haricinde bildirim görüntüleme için güvenli yollar sunarak, kullanıcılara daha da gelişkin koruma sağlamamız için bize yardımcı olmalarına dair teşvik ediyoruz.

LastPass Hesabınızı Korumaya Nasıl Yardımcı Olabilirsiniz

Devreye soktuğumuz güvenlik önlemlerine ek olarak; aşağıdaki en iyi uygulamalarla kasanızı güvende tutabilirsiniz:

  • Daima LastPass uzantısından oturum açın. Daima LastPass uzantısından oturum açın Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Ana parolanızı başka bir yerde asla kullanmayın. Ana parolanızı başka bir yerde kullanmanız, birilerinin kasanızı çalma riskini artırır. LastPass için daima benzersiz bir ana parola kullanın ve LastPass’a oturum açmak dışında başka bir yerde ana parolanızı girmeniz durumunda da uyarımızı dikkate alın.
  • LastPass’ı nereden indirdiğinize dikkat edin. LastPass’ı sadece LastPass.com’dan veya tarayıcınız ya da cihazınız tarafından sağlanan eklenti mağazalarından indirin. Üçüncü taraf indirme sitelerini asla kullanmayın; eklenti mağazalarında bile LastPass’a benzeyen ama aslında farklı bir yayıncı adı taşıyan ve derecelendirmeye sahip olmayan ürünlere karşı tetikte olun.
  • Ana parolanızı asla paylaşmayın. LastPass takımı sizden asla ana parolanızı istemez. LastPass’dan olduğunu iddia eden ve ana parolanızı isteyen kişilere güvenmeyin. Parolanızı asla kimseyle paylaşmayın.
  • İki aşamalı kimlik doğrulaması ekleyin. İyi güvenlik kavramının temelinde riski azaltan koruma katmanları vardır. İki aşamalı kimlik doğrulaması sayesinde hesabınıza erişilmesi için başka bir bilgi daha gerekir. Bu sihirli bir değnek olmasa da, hesabınızı korumaya ciddi katkı sağlar.
  • E-postanızı korumak için güçlü bir parola ve iki aşamalı kimlik doğrulama kullanın. E-posta hesabınız genellikle krallığınızın anahtarlarını sahiptir. Dijital dünyadaki yaşamınız ona bağlıymış gibi koruyun; çünkü gerçekten de ona bağlı olabilir. LastPass, e-posta hesabınız için güçlü ama yine de “söylenebilir” şifreler üretebilir; tercih ederseniz bunları ezberleyebilirsiniz. Ayrıca, e-posta sağlayıcınız sağlıyorsa, iki aşamalı kimlik doğrulamayı her zaman devreye sokun.

Çevrimiçi ortamda güvenliği sağlamaya ilgili tüm taraflar sürekli destek vermelidir. Aynen yeni tehditler ortaya çıktıkça LastPass’ın ürünümüzü geliştirmek ve güçlendirmek için güvenlik araştırma camiasıyla birlikte çalışmaya kararlı olması gibi. Kullanıcılar olarak bizlerin de aşağıdaki en iyi güvenlik uygulamalarını takip etmesi gerekir.