Geçtiğimiz yıl Celebgate'in (medya tarafından saldırıya verilen isim) ardından, Celebuzz'a göre 600 kadar ünlünün iCloud hesaplarına yapılan saldırıların haberleri hemen her mecrada yer aldı. İçerikler arasında bulunan, saldırıya uğrayan ünlülerin ele geçirilen kişisel müstehcen fotoğrafları 4chan adlı resim tabanlı sosyal paylaşım sitesinde ve hemen ardından tüm internette yayıldı.

Bu yıl yüksek profilli bir sosyal saldırının hedefi, kendisini evlilik dışı ilişkilerde uzman olarak tanıtan çöpçatanlık sitesi Ashley Madison'dı. Sitenin üyelik listesi çalınıp internette yayınlanmasının ardından medya harekete geçti ve sitenin müşterilerinin arasında ünlüleri bulmaya çalıştı. Ancak Ashley Madison saldırısı sadece ünlülerle alakalı değildi. Amerika genelinde şirketler, siteye kayıt olan çalışanların "hedef odaklı kimlik avı" saldırılarına veya diğer siber şantaj türlerine maruz kalıp kalmadığı konusunda endişeli.

Özel Yaşamlara Yönelik Saldırılar

Bu ünlü saldırılarının kaderi yalnızca ünlüler için bir endişe konusu değil. İnternet Çağı'nda herkes tanınan biri haline gelebilir, hem de görüntülerin veya diğer çok özel içeriklerin ele geçirilip internette yayılması gibi en istenmeyen biçimde. Bu olaylar herkes için önemli siber güvenlik dersleri.

Celebgate saldırısının en teknik ayrıntıları henüz kamuoyuyla paylaşılmadı. (Bunun çok iyi bir nedeni var çünkü bu ayrıntılar gelecekteki saldırganlar için yol haritası sunabilir.) Not edilmesi gereken bir nokta, iPhone'larda depolanan görüntülerin ve diğer verilerin Apple'ın bulut depolama hizmeti iCloud'a otomatik olarak kopyalanması. Android ve diğer mobil işletim sistemleri de çok önemli bir nedenden ötürü bir bulut hizmetine kopyalar kaydeder. Böylece kullanıcılar bunlara tüm cihazlarından erişebilirler. Ancak bu, tüm mobil cihaz kullanıcılarının farkında olmaları gereken olası güvenlik açıklarını da beraberinde getirir.

Saldırı, ünlülerin parolalarının tahmin edilmesi kadar basit bir süreç olabilir (güvenlik konusunda iyi bir itibara sahip olan Apple, bu olayın ardından "Parolamı unuttum" özelliğine yönelik tedbirlerini sıkılaştırdı) ya da kullanıcının kandırılarak parolasını ifşa etmesi gibi "sosyal mühendislik" yoluyla yapılabilir.

Potansiyel Kurbanlar Yalnızca Ünlüler Değildir

Aksine Ashley Madison saldırısı, teknik açıdan diğer perakende satış web sitelerinin uğradığı saldırılara benziyor. Yalnızca sonuçları farklıydı ve Ashley Madison'dan çok daha geniş bir alana yayılmıştı. Perakende saldırıları genellikle kredi kartı bilgilerinin çalınmasını hedefler. Bu, siber suçlular için altın kadar iyidir. Buna karşın Ashley Madison saldırganları, doğrudan kişileri utandırmayı amaçlıyordu ve bu nedenle saldırganlar milyonlarca Ashley Madison müşterisinin e-postalarını internette yayınladı.

Üye listesinde çok sayıda ünlünün e-posta adresi olmasına rağmen Ashley Madison bu adresleri kontrol etmedi veya doğrulamadı ve sadece birkaç tanesi gerçek gibi görünüyordu. Şimdiye kadar Josh Duggar ( 19 Kids and Counting adlı reality şovun yıldızı) bu skandala adının karıştığını kabul eden en yüksek profilli ünlüydü ancak elbette bunun sonuçlarıyla karşılaşan tek kişi o değil. Ancak Infoworld'de saldırıya uğradığı doğrulanan ünlülerin sayısının az olması, saldırının ciddi bir endişe yaratmasını önlemedi. Hem listede gerçek e-posta adresleri yer alan bireyler hem de çalışanları siteye kaydolan şirketler ve kuruluşlar artık "sosyal mühendislik" ve yüksek teknoloji ürünü şantajlara karşı savunmasız durumda olabilirdi.

Sosyal Mühendislik ve İnsanların Savunmasızlığı

"Sosyal mühendislik", siber güvenlik uzmanlarının insanları hedefleyen saldırılar için kullandığı terimdir. Çok yaygın görülen örnek, "hedef odaklı kimlik avı"dır. Burada bir siber suçlu, kötü amaçlı web sitesinin veya dosyanın bağlantılarının yer aldığı (genellikle bir arkadaş veya iş arkadaşından geliyormuş gibi görünen) bir e-posta gönderir. Dikkatsiz kurban bu bağlantıya tıklayarak kötü amaçlı yazılımın cihazına virüs bulaştırmasına ve gizli verilerini almasına izin vermiş olur.

Kuruluşlar açısından endişe yaratan konu, e-postaları Ashley Madison listesinde bulunan tüm çalışanların şimdi de avukatlardan veya özel dedektiflerden geliyor gibi görünen hedef odaklı kimlik avı e-postalarına karşı savunmasız olabilecekleriydi. Bu senaryoda saldırganlar, kurbanları avlamak için dostane bir yaklaşım geliştirmek zorunda kalmaz. Kurbanın teşhir korkusu ve koruma konusundaki çaresizliği, bir bağlantıya tıklayıp saldırganların cihaza girip daha sonra kullanabileceği parolaları veya diğer verileri almalarına izin vermesini sağlamak için yeterli olabilir.

Mobil çağda internet bağlantısı olan her cihaz potansiyel olarak saldırılara açıktır ve güçlü parolalar gerçekten önemlidir.

Tweet: Mobil çağda internet bağlantısı olan her cihaz potansiyel olarak saldırılara açıktır ve güçlü parolalar gerçekten önemlidir. Bunu tweet'leyin!

Sosyal mühendisliğin farkında olun ve e-postalardaki beklenmeyen ya da olağan dışı bağlantılara tıklama konusunda iki kez düşünün. Zenginler ve ünlüler, ünlülere yönelik yeni saldırıların tek hedefi değildir.

Mobil Cihaz Güvenliği Tehditleri ile ilgili diğer faydalı makaleler ve bağlantılar