Verilerim Çalındı Mı? Olası Veri İhlali Senaryoları ve Kısa Yol Haritası

Veri ihlallerinin etkisinden kendinizi nasıl korursunuz?

1. Veri İhlali Nedir?
2. Nasıl Etkilenebilirsiniz?
3. Bir İhlalin Ardından Yapılacak İşlemler
4. Şüpheli Mesajları Bildirme
5. Bir Zarara Uğradıysanız:

Hayatımızın neredeyse her alanında çevrimiçi teknolojileri kullanıyoruz ve veri ihlalleri modern yaşamın bir gerçeği haline gelmiş durumda. Bu kılavuz, veri ihlallerinin ne olduğunu, sizi nasıl etkileyebileceğini ve bir veri ihlalini takiben nelere dikkat etmeniz gerektiğini açıklayacaktır.

Veri İhlali Nedir?

Bir kuruluş tarafından tutulan bilgiler çalındığında veya yetkisiz erişildiğinde bir veri ihlali (data breach) meydana gelir.

Saldırganlar, meşru görünmeleri için kimlik avı iletileri (e-postalar ve metinler gibi) oluştururken bir takım bilgileri kullanırlar. Mesajlar, gerçekte saldırganlar bu dolandırıcılık mesajlarından milyonlarca gönderirken, tek tek hedeflenmişsiniz gibi görünmesi için tasarlanmaktadır.(Phishing Attack-Yemleme Saldırısı) Saldırganlar, yakın zamanda veri ihlaline uğramış bir organizasyondan geliyormuş gibi mesajlar göndererek bilgilerinizi girmenizi veya yenilemenizi isteyen bağlantılar gönderebilirler.

Nasıl etkilenebilirsiniz?

Tipik bir dolandırıcılıkta, yakın zamanda veri ihlaline uğramış bir kuruluştan olduğunu iddia eden bir mesaj alabilirsiniz. Mesaj sizden oturum açmanızı ve hesabınızı doğrulamanızı isteyebilir.

Bu dolandırıcılık mesajları tipik olarak gerçek görünen , ancak siz onları yazdıktan sonra gerçek bilgilerinizi saklayan web sitelerine bağlantılar içerir. Bu web siteleri bilgisayarınıza virüs yükleyebilir veya girdiğiniz şifreleri çalabilir.

Birçok kimlik avı dolandırıcılığı gibi, bu dolandırıcılık mesajlarını da tespit etmek zordur ve sizi tıklamanız için kandırmaya çalışmak için gerçek dünyada var olan endişelerinize odaklanarak zafiyetlerinizi sömürürler.

İhlal sırasında çalınan bilgiler telefon numaralarını içeriyorsa, şüpheli bir çağrı alabilirsiniz. Yaklaşım daha doğrudan olursa, sizden hassas bilgilerinizi paylaşmanız (banka bilgileri veya parolalar gibi) veya bilgisayarınıza erişim istenebilir.

Kaynak: https://www.paguard.com/phishing-attack-101/

Bir ihlalin ardından yapılacak işlemler:

Veri ihlaline uğramış bir kuruluşun müşterisiyseniz aşağıdaki önlemleri almalısınız.

1. Resmi web sitesi veya sosyal medya kanallarını kullanarak kuruluşla iletişime geçerek bu veri ihlalinden etkilenip etkilenmediğinizi öğrenin.
2. Gönderdiğiniz mesajların hiçbirinde bağlantıları veya iletişim bilgilerini kullanmayın.

Kuruluş iletişime geçtiğinizde aşağıdaki konularda bilgi verebilmelidir:

• Gerçekten bir ihlal meydana gelip gelmediği,
• Nasıl etkilendiğiniz,
• Nasıl bir yol izlemeniz gerektiği

Kuruluşa doğrudan da telefon edebilirsiniz, ancak birçoğunun büyük bir ihlal sırasında tüm çağrılara yanıt verme kapasitesine sahip olamayacağı için destek iletişim kanallarını kullanmak daha sağlıklı olabilir.

3. İhlal kamuya açıklandıktan bir süre sonra gönderilebilecek şüpheli mesajlara karşı dikkatli olmalısınız. Unutmayın, bankanız (veya başka bir resmi kuruluş) sizden asla kişisel bilgilerinizi vermenizi istemez.

Dikkat edilmesi gereken noktalar şunlardır:

1. ‘Şifre sıfırlama ilgili mailler’, ‘para alacağınızı söyleyen, hediye kazanacağını söyleyen mailler’, ‘cihazda güvenlik taraması yapacağını söyleyen bağlantılar’ gibi mesajlara tıklamayın!

2. Kulağa daha inandırıcı gelecek şekilde tasarlanmış ‘teknoloji konuşması’ ile dolu e-postalara karşı dikkatli olun.

3. Hemen veya sınırlı bir süre içinde harekete geçmeye teşvik edildiğiniz bağlantılara tıklarken tekrar düşünün!

Kaynak: https://www.tutorialspoint.com/ethical_hacking/ethical_hacking_email_hijacking.htm

Yukarıdaki e-maili birlikte inceleyelim:

Öncelikle mail adresine bakıyoruz. Mail adresi resmi bir Amazon e-mail adresinden gelmediği görülüyor.

Mail içeriğinde kişisel bir selamlama ifadesi yerine “Sayın Müşteri” ifadesi kullanılmış. Bu ifadeyi mailin birden fazla kişiye otomatik olarak atılmış olabileceği ve bir oltalama saldırısı olabileceği konusunda bir uyarıcı olarak kaul edebiliriz. Mailin içeriğinde ise hesabınızın bir başkası tarafından kullanıldığına dair yüksek bir şüphe bulunması nedeniyle Amazon hesabınızın kilitlendiği ve kimlik doğrulamak için 36 saatiniz bulunduğu söylenmektedir. (Hemen veya sınırlı bir süre içinde harekete geçmeye teşvik edilme)

Kimlik doğrulama linkine baktığımızda ise bağlantının bizi Amazon web-sitesi dışındaki bir yere yönlendirdiğini gözlemlemekteyiz.

Bütün bu belirteçler bir oltalama saldırısının kurbanı olabileceğimizin birer göstergesidir.

4. Geçmişte kullandığınız bir şifreyi içeren şüpheli bir mesaj alırsanız paniğe kapılmayın:

• Bu hala kullandığınız bir şifre ise, mümkün olan en kısa sürede değiştirmelisiniz.
• Diğer hesaplarınızdan herhangi biri aynı şifreyi kullanıyorsa, onları da değiştirmelisiniz.
• Güçlü parolalar oluşturmaya dikkat edin.

Güçlü Şifreler Oluşturarak Hackerları Atlatabilir Miyiz?

5. Yetkisiz herhangi bir etkinlik olmadığını doğrulamak için çevrimiçi hesaplarınızı kontrol edin.

Dikkat edilmesi gerekenler şunları içermektedir:

1. Hesaplarınıza giriş yapamamak

2. Güvenlik ayarlarınızdaki değişiklikler

3. Hesabınızdan gönderilmiş tanımadığınız mesajlar veya bildirimler

4. Garip yerlerden veya alışılmadık zamanlarda oturum açma veya oturum açma girişiminde bulunma uyarıları

5. Bilgilerinizin başka herhangi bir kamuya açık veri ihlalinde görünüp görünmediğini kontrol etmek için https://haveibeenpwned.com gibi kullanabileceğiniz bir dizi çevrimiçi araç vardır .Hizmet, yüzlerce veritabanı dökümünü ve yapıştırmasını toplamakta ve analiz etmektedir. Milyarlarca sızdırılmış hesap hakkında bilgi içeren bu site ve kullanıcıların kullanıcı adlarını veya e-posta adreslerini girerek kendi bilgilerini aramalarına olanak tanmaktadır. Bu araca e-mail adresinizi girdiğinizde eğer pwned olduğunuz gözüküyorsa hemen endişeye kapılmayın. E-posta filtrelerinizi ve yönlendirme kurallarınızı kontrol edin. istenmeyen e-posta yönlendirme kuralları olmadığını onayladıktan sonra , saldırıya uğramış hesapla aynı parolaya sahip tüm hesaplardaki parolaları değiştirin . Ardından, saldırıya uğramış hesaba şifre hatırlatıcıları / sıfırlamaları gönderen diğer tüm hesapların şifrelerini değiştirin. Belki de yeni bir e-posta adresi almanızın vakti gelmiştir? Önemli verilerinizi güvenli e-postalar aracılığıyla gönderin.

Pwned olmak ne demek derseniz:

Aslında Pwned bir internet oyun jargonu denilebilir. Trash talk’da denilen bu konuşma türünde anlamlı kelimeler bir araya getirilip yeni bir kelime yaratılır ya da bir kelimenin harfleri değiştirilerek yeni bir kelime türetilir.

League of Legends ve Fortnite gibi devasa popüler oyunlar , çevrimiçi oyunları ana akım yüz milyar dolarlık bir endüstri haline getirerek, bu oyuncu terimlerini gün ışığına çıkartmıştır.

Pwned oyuncu argosunda, herhangi bir durumda bir rakibin tamamen ve tamamen hakim olmak anlamına gelen “sahip olunan(owned)” kelimesinin yanlış yazımıdır. İnternet jargonunda ‘Pwn’, ‘(birisi) üzerinde güç veya hakimiyet sahibi olmak’ anlamında kullanılır. “Bir şeye yasadışı erişim sağlama eylemini tanımlamak için de kullanılmaktadır.”

Şüpheli mesajları bildirin

Doğru gelmeyen bir güvenlik ihlali hakkında bir mesaj veya telefon alırsanız, yapmanız gerekenler:

• Rahatsız edici, şüpheli veya istenmeyen çağrılar aldıysanız telefonu kapatın ve telefon sağlayıcınızla iletişime geçin. Kişisel veri ihlali yaşadığınızı düşünüyorsanız 6698 sk. uyarınca öncelikle veri sorumlusuna yani verilerinizi işleme yetkisine sahip olan veri sorumlusuna bazı sorular sorma ve taleplerde bulunma hakkına sahipsiniz.
• Veri ihlalinin kaynaklandığını düşündüğünüz kuruluşla iletişime geçin. Eğer gerçekten bir veri ihlali söz konusu ise 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası : “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” hükmünü binaen KVKK kurumuna bildirmesi ve gerekli önlemleri alması gerekecektir. Bu nedenle bildiriminiz hem sizin verilerinizin güvenliği hem de aynı ihlalden etkilenen diğer kimseler için büyük önem taşımaktadır.

Bir Zarara Uğradıysanız:

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini verinizi işleyen ve veri ihlaline uğrayan kurumdan talep edebilirsiniz. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır.Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sorumlusunun cevabını öğrendiğiniz tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilirsiniz.

Ancak, bir zarara uğramanız halinde her zaman için veri sorumlusunun statüsü doğrultusunda adli veya idari yargıda dava açmanız mümkündür. Bu ihlal nedeniyle uğradığınız maddi ve manevi zararına yönelik tazminat davası açabilirsiniz.

Daha Fazlası İçin:

Marriott Hotels fined £18.4m for data breach that hit millions

KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | Veri Sorumlusu Kimdir?

What is phishing? How this cyber attack works and how to prevent it

Phishing(Oltalama) Saldırısının ne Olduğunu Merak Ediyorsanız:

Farkındalık Özgürlüktür. Tercih ise sizin.