1. GİRİŞ (INTRODUCTION)

Transkript

1 SOSYAL MEDYA GÜVENLİĞİ Mehmet Emre Tuncer Bilgisayar Mühendisliği, Başkent Üniversitesi, Ankara, Türkiye Özet: Hızla yayılan ve hemen hemen bütün insanların kullandığı sosyal medyanın daha güvenli nasıl kullanılabileceği mevcut tehditleri ve ileride oluşabilecek tehditleri içeren, bu tehditlere karşı mevcut çözümleri ve daha güvenli orijinal çözümleri içeren bilgilendirici bir çalışma yapılacaktır. Bu çalışmadaki amaç sosyal medya tehditlerinin araştırılması ve bu tehditlere karşı alınabilecek önlemlerin incelenmesidir. Anahtar Kelimeler: Sosyal medya güvenliği Abstract: Social media security. Social media become a part of our life. It s dramatic raise effected millions of people. Usage of social media brought its own problems. This article investigates security risks of social media and shows how to get prevented from these risks. Keywords: Social Media Security 1. GİRİŞ (INTRODUCTION) İnsanlar sosyal canlılardır. Sosyal medya siteleri de bunu kullanarak çok büyük başarılar elde ettiler. İstatistiklere göre her gün Facebook a yüz yetmiş beş milyon kullanıcı giriş yapmaktadır. Bu da sosyal medyanın hayatımıza ne kadar girdiğinin güzel bir kanıtıdır. Bu durumun iyi yönleri olduğu gibi kötü yönleri de vardır. Sosyal medya kullanımının artması sonucunda insanlar kişisel bilgilerini sosyal medyada dikkatsizce paylaşmaya başlamıştır. Bu durum kötü niyetli insanların iştahını kabartmıştır. Önceleri kişilerin bilgilerini elde etmek istediklerinde sosyal mühendisliğe başvuran hackerlar artık bunun için fazla uğraşmak zorunda kalmamaktadır. Kişilerin paylaşımlarına ve bilgilerinin ne kadarını kimin görebileceğine dikkat etmemelerinin sonucunda kişiyle ilgili özel bilgilerin ele geçirilmesi son derece kolaylaşmıştır.[1] Ele geçirilen bilgiler sosyal mühendislik yapılarak hayatın her alanında dolandırıcılıkta kullanılabilmektedir. Bu bilgiler aynı zamanda kişinin profilini de yansıttığı için pazarlamacılar arasında mali bir değere de sahiptir. Kişilerin yaş, cinsiyet, hobi, yaşadığı yer, telefon, mail adresi, ev iş adresi gibi temel bilgileri sosyal medyadan kolaylıkla ulaşılabilen bilgilerdir. Bu bilgilere ulaşabilen kötü niyetli kişiler ya da pazarlamacılar bu bilgileri depolayabilir ve bir kere depoladıktan sonra birbirleriyle değiştirebilir, alıp satabilirler. Böylece sürekli arayan pazarlamacılara, kişisel bilgilere sahip dolandırıcılara, ve zarar

2 vermek isteyen kötü niyetli insanlara açık hale gelinmektedir.[2] 2. BULGULAR(FINDINGS) 2.1 Genel Bilgi (Common Information) Sosyal medya siteleri yapılırken her ne kadar hackerların saldırabileceği düşünülüp kodlama ona göre yapılsa da düşünülememiş ya da gözden kaçmış noktaların olması olasıdır. Bu açığı keşfeden bir hackerın birçok veriye ulaşması ve bu verileri kopyalaması büyük bir problem olabilir.[3] Biz her ne kadar sosyal medya sitelerinin böyle açıklarının olmadığını düşünsekte Linkedin gibi dünyaca ünlü ve hepimizin kullandığı bir sitenin altı buçuk milyon kullanıcısının, sistemdeki bir açıktan faydalanan Rus bir hacker tarafından ele geçirildiği gerçeğini değiştirmez. Linkedin bu durumla karşılaşan ne ilk sitedir ne de son olacaktır. 2.2 Gizlenmiş Bağlantılar (Hidden Links) Özellikle Twitter tarzı paylaşım sitelerinde takip edilen kişinin paylaştığı bir bağlantıya tıklayıp başka bir siteye yönlendirilmek çok olasıdır. Eğer bağlantıyı paylaşan kişi kötü niyetliyse takipçisini görülen içerikten başka bir yere yönlendirebilir. Bu yönlendirilen bağlantı da bilgisayara zararlı / casus yazılımların yüklenmesine sebep olabilir ya da istenmeyen bir içeriğe yönlendirebilir. Örneğin pdf olarak görünen bir linke exe gömülebilir. Bu da html in <a> etiketlerinin href özelliğinin istenen link verilmesi ve görünmesi istenen linkinde domain/dosya.pdf şeklinde yazılmasıyla sağlanabilir. Bu şekilde kullanıcı, gideceği zannettiği linkten çok daha farklı bir adrese yönlendirilebilir. 2.3 Phishing İstekleri (Phising Request) Sosyal medya kullanıcıları arkadaşlardan gelen benim muhteşem resimlerim görmek için tıkla, Aaa adama bak napıyor şeklinde mesajlara, iletilere maruz kalmıştır. Bu paylaşımların çok gerçekçi olması sonucunda çoğu kullanıcı bu bağlantılara tıklamıştır. Bu bağlantılar kullanıcıları sahte giriş ekranlarına yönlendirip kullanıcı adı ve şifre bilgilerini ele geçirmiştir.[4] Elinde bu bilgiler olan Phisher lar artık kullanıcının bütün arkadaşlarına ulaşabilecek onlardan para isteyebilecek ya da aynı yöntemi kullanıcının arkadaşlarına uygulayabilecektir. Yapabilecekleri tamamen Phisher ın hayal gücüyle sınırlıdır. 2.4 Gizli Ödetmeler (Hidden Payments) Gizli ödetme yönteminde Şu zeka testini çözdün mü? bütün arkadaşların bunu çözdü sen de dene şeklinde ilgi çekici bir yöntemle kişinin telefon numarasını yazması sağlanır. Hatta mobil bağlantı yapıyorsa sadece Onaylıyorum düğmesine tıklar ve telefonuna hiç istemediği bir servise üye olduğu ve aylık ücretinin X TL olduğu bilgisi gelir. O hizmetten hiç faydalanmayacak olmak ya

3 da yanlışlıkla o servise abone olmanın hiçbir yararı olmayacaktır. Firmayı arayıp servisi iptal ettirmek ve parayı geri almak istediğinizde geri ödeyip ödememek tamamen firmanın insafına kalmış durumdadır. Tabi ki hakkınızı tüketici mahkemesine giderek arayabilirsiniz. 2.5 Para Çalma (Stealing Money) Sosyal medyadaki bir arkadaşın aniden paraya ihtiyacının olması ya da bir numaraya kontör atmanız gerektiği şeklindeki dolandırıcılık göstergelerine karşı dikkatli olmak gerekmektedir. Bu masum bir istek olmayabilir. Arkadaşınızın hesabını bir şekilde ele geçirmiş kötü niyetli kişi bu şekilde bir istekle kendine para ya da kontör yollatabilir. 2.6 Zincirleme Paylaşımlar gelmektedir. Dolayısıyla paylaşım yapılan bilgi eğer kişisel ve önemli bir veriyse elde edilmesi ve kötü amaçlara hizmet etmesi muhtemel bir veri haline gelir.[6] 3. YÖNTEMLER(METHODS) 3.1 Bağlantılara Tıklarken Dikkatli Olmak (Be Careful with Lİnks) Sosyal medya sitelerinde dolaşırken her ne kadar bir site üzerinde kalmak istense de kötü niyetli kişilerin rant elde etmek, reklam yapmak, zarar vermek amacıyla oluşturduğu bağlantılara açık hale gelinebilmektedir. Dolayısıyla bir bağlantıya tıklarken şüpheci davranmak ve her zaman kötü ihtimalleri düşünmek gerekmektedir. (Chained Posts) Eğer bu iletiyi paylaşırsan resimdeki çocuğun hastane masrafını Facebook üstlenecek gibi paylaşımlar herkesin maruz kaldığı paylaşımlardır. Bu tür paylaşımların hiçbir gerçeklik payı yoktur. Facebook eğer birinin hastane masrafını üstlenecekse tıklama sayılarına ihtiyaç duymayacaktır. Bu tür paylaşımlar eğlenmek dalga geçmek ya da hit toplamak amacıyla yapılmaktadır.[5] 2.7 Kişisel Bilgi İstismarı (Personal Information Stealing) 3.2 Güncel Antivirus/Spyware Yazılımı Kullanmak (Using Updated Antivirus Software) Sosyal medya siteleri her türlü casus yazılıma aracı olabilmektedir. Bu casus yazılımlar bilgisayara zarar verebilir ya da bilgilerinizin yabancı kişilerin eline geçmesine sebep olabilir. Güncel Antivirus programları ön uyarı sistemleriyle kullanıcıyı uyararak yanlış bağlantılara gitmesini engelleyebilir. Yanlış ve tehlikeli bir bağlantıya tıklamanız halinde de arka planda çalışabilecek zararlı yazılımları engelleyebilir. Sosyal medyada yapılan paylaşımlar her ne kadar bir kere yapılmış gibi görünse de bir kere paylaşım yapıldıktan sonra istenildiği zaman erişilebilen bir bilgi haline

4 3.3 Phising e Karşı Dikkatli olmak (Be Careful with Phising) Bu yöntemle bilgileri alınan ve zarara uğratılan çok fazla insan bulunmaktadır. Sosyal medyanın hayata daha çok girmesiyle bu yöntemin inandırıcılığı da artmıştır. Sosyal medya zaten insanların merak duyguları üzerine inşa edilmişken aa bak burada kimin resmi var şeklindeki insanın merak duygusunu arttıran ve tıklandığında yayılan bağlantılar çok tehlikeli olmaktadır. Kredi kartı şifresi gibi kişisel bilgilerinize ulaşmak isteyen ve gerçeğine çok yakın olan giriş ekranları gibi ekranlar çoğu insanı mağdur etmiştir. Bu yüzden gelen bağlantılara şüpheci bakmak ve sosyal medyayla banka hesabının bir ilişkisinin olmadığını bilmek gerekir. 3.4 Bir Butona Tıklamadan Önce Dipnotları Okumak (Read Everything Before Confirm) Günümüzde telefon firmalarıyla anlaşan ve uygulamalarını telefon üzerinden çalıştıran çeşitli firmalar bulunmaktadır. Bu tür firmalar mobil bir bağlantınız varsa GSM şirketiyle anlaştığı için bir butona tıklamanızla faturanıza belirli bir miktar yöneltebilmektedir. Dolayısıyla Onaylıyorum, Kabul ediyorum gibi butonlara basmadan önce sayfanın her yerindeki yazıların okunması önemlidir. 3.5 Arkadaşlardan Gelen Maddi İsteklerde Şüpheci Olmak (Be Careful with Money Transfer Requests ) Sosyal medyadaki arkadaşlar o kişinin hesabına ulaşabilmiş herhangi bir insan olabilmektedir Arkadaşınızın yerine geçen ve paranızı çalmak isteyen dolandırıcı hızlı ve düşünmeden para göndermenizi isteyecektir. Bu durumda arkadaşınızla konuşurken daha önceden aranızda geçen bir olayı sorgulayarak gerçekten karşınızdaki kişinin arkadaşınız olup olmadığını anlayabilirsiniz. 3.6 Zincirleme Bağlantıların Bir Parçası Olmamak (DontBe a Part of Chain Links) Zincirleme bağlantılar dalga geçmek ya da hit elde etmek gibi çeşitli sebeplerden yapılabilmektedir. İnsanların vicdanlarıyla dalga geçen bu zihniyet bu durumdan herhangi bir kar elde etmese dahi haberlere çıkabilecek kadar güçlü yalanların etrafta dolanması ve insanların zihnini işgal etmesi gereksizdir. Dolayısıyla böyle bir durum fark edilince kişiler uyarılmalı ve itibar etmemesi söylenmelidir. 3.7 Özel / Kişisel Verileri Paylaşmamak (Do Not Share Personal Information) Kişisel verilerimiz kıymetlidir. Belki ailece bir tatil yerinde çekilmiş bir fotoğraf çok masum gelebilir ancak o fotoğrafa ulaşabilecek hırsızlar evinizi soyabilirler. Her an nerede olduğunuzu bildirmekte bir güvenlik açığı yaratabilmektedir.

5 Dolayısıyla Kişisel bilgilerimizi paylaşmamak gerekmektedir. bilgilere ne kadar ulaşabileceğine iyi karar verilmesi gerekmektedir. 3.8 Güvenlik Ayarlarını Yapmak (Configure Security Settings) Sosyal paylaşım sitelerinde çok yakınlarınızdaki insanları ve yıllar önce görüştüğünüz ancak yollarınızın tamamen ayrıldığı insanlar da bulunmaktadır. Bu iki grupta sizin aktivitenizi aynı şekilde görmemelidir. Dolayısıyla sosyal medya sitesinin ayarlarını kullanarak belirli gruplar oluşturmak ve bu gruplara yakınlık derecenize göre engelleme uygulamak faydalı olabilecektir. 3.9 Yabancıları Arkadaş Olarak Eklememek 3.11 Sosyal Medyaya Kimlik ile Giriş Zorunluluğu (Using Identity to Login) Devletlerle imzalanacak protokollerle sosyal medya sitelerine kayıt sırasında kimlik numarası alınıp eşsiz hesapların yaratılması sağlanabilir. Böylece sahte hesapların önüne geçilebilir. Kötü niyetli kişiler de daha rahat tespit edilebilir. Bu yöntemin uygulanabilmesi için öncelikle devletlerin yöntemi kabul etmesi gerekmektedir. Daha sonra kimlik numaralarıyla sosyal medya hesapları ilişkilendirilir. (Do Not Add People You Don t Know) Tanımadığınız kişileri arkadaş olarak eklemek büyük bir risktir. Her ne kadar ortak arkadaşınız varsa da bilgilerinizi bir yabancıyla paylaşmak bütün dünyayla paylaşmak kadar ciddi bir risk getirir Olabildiğince Az Uygulama Kullanmak (Use Apps as Least As Possible) Sosyal medya üzerindeki uygulamalar kişisel bilgilerinize ulaşmak hatta bildirim vermek isterler. Yani uygulamalar da kendi reklamını yapmak ister. Arkadaşlarınıza ulaşıp ağlarını büyütmek için çabalarlar. Aynı zamanda bu uygulamalar kötü niyetli olup bilgilerinizi çalmaya da çalışabilir. Uygulamaları kabul ederken hangi 3.12 Sosyal Medyaya Fazladan Güvenlik Önlemleri (Extra Security for Login) Sosyal medyaya girişlerde bildiğiniz bir şey, sahip olduğunuz bir şey ve parçanız olan bir şey gibi güvenlik yöntemlerinin birleştirilmesiyle daha güvenilir bir sistem yaratılabilir. Örneğin cep telefonu mesajıyla girişin onaylanması yöntemi sosyal medya sitesi tarafından zorunlu hale getirilirse çalınan şifrelerle hesaplara giriş durumu engellenebilir. Parçanız olan bir şey yöntemiyle siteye giriş işlemi birleştirilebilir. Giriş ekranına bir yüz tanıma sistemi konulabilir böylece şifrenin yanı sıra biyolojik bir yöntemle de doğrulama yapılabilir. Cep telefonlarının ön yüzündeki kameralar, laptoplarda

6 entegre gelen kameralar ve her evde bulunan web cam ler bu yöntemin uygulanmasına kolaylık sağlayacaktır Aynı Şifreyi Kullanmamak (Do Not Use Same Password Everywhere) Bir diğer dikkat edilmesi gereken hususta bütün sitelerde aynı şifreyi kullanmamaktır. Bu şekilde şifrelerden birini ele geçiren kötü niyetli kişi diğer hesaplarınıza ulaşamayabilir Toplumu Bilinçlendirme şekilde şüpheci yaklaşım da kullanıcıların riskini azaltmaktadır. Sosyal medyayı kullananlara farkındalık eğitimi vererek toplumsal bilinçlendirmenin sağlanması tehditlerden korunmak için en önemli yöntemdir. Bu sayede sosyal medyanın en önemli aldatma yöntemi olan sosyal mühendisliğin önüne geçilmesi olasıdır. Bu makalede önerilen güvenlik yöntemleri ile daha güvenli bir sosyal medya ortamı sağlamak mümkündür. Ancak bu yöntemlerin maddi ve manevi külfet getirmesi uygulanabilirliğini sorgulamaktadır. (Public Consciousness) Bilindiği gibi sosyal medyaya 7 den 70 e herkes erişebilmektedir. Her ne kadar tehlikeden uzak durulmaya çalışılsa da yine de tehditlerle karşı karşıya kalmak kaçınılmaz bir durumdur. Dolayısıyla çocukların korunması için okullarda erken yaştan itibaren başlatılacak bir farkındalık eğitimi tehditlerden korunmak için yaralı olacaktır. Aynı zamanda yetişkinlerin de yararlanması için medya araçları kullanılarak insanların bilinçlendirilmesi sağlanabilir. 4. SONUÇ(CONCLUSION) Araştırmalar ve elde edilen bulgular sonucunda sosyal medyanın kişilerin güvenliğini tehdit edebilecek risklere sahip olduğu görülmüştür. Bu riskler kişilerin hayatlarında önemli değişiklikler yapabilecek kadar etkili olabilir. Dolayısıyla kişiler sosyal medyayı kullanırken son derece dikkatli olmalıdırlar. İstismar alanları arttıkça ve dünya genelinde sosyal medya yayıldıkça devletlerin vatandaşlarını korumak adına önlemler alması gerekecektir. Sosyal medyayı kullanma şekli ve süresi de güvenlik için önemli bir etkendir. Sosyal medya da çok bağlantı paylaşmayıp arkadaşlarının paylaşımlarını izlemeyen bir kullanıcı tipi daha az risk altındadır. Aynı 5. TARTIŞMA(DISCUSSION) Daha güvenli bir sosyal medya için devletlerle ortaklaşa çalışılıp kişilerin kimlik bilgilerinin kayıt şartı olarak sunulması sahte hesapların önüne geçebileceği gibi kötü niyetli insanları da bir daha düşünmeye zorlayacaktır. Diğer yandan bu durum devletler açısından kabul edilmeyebilir. Kişilerin kimlik bilgilerinin bir sosyal paylaşım sitesinde bulunması ülkeler açısından güvenlik açıkları doğurabilecektir. Ayrıca giriş işlemi için yüz tanıma sistemi ya da cep telefonu mesajı doğrulaması kullanılması da şifresi kötü niyetli kişilerin eline geçmiş olan insanları koruyabilecektir. Bu yöntem banka hesaplarına giriş için kullanıldığı gibi sosyal medya hesaplarına giriş için de zorunlu tutulabilir. Bu yöntemlerin zorunlu hale getirilmesi ise kullanıcıların özgürlüğünü kısıtlayıcı, kullanım alışkanlıklarını olumsuz etkileyeceği ya da maddi olarak külfet getirebileceği için tercih edilmeyebilir. Sosyal medyayı daha güvenli hale getirmek için birçok güvenlik önlemi alıp zararlı kişilerden korurken, bunlara göre çok daha fazla sayıda olan sıradan kullanıcılara sitenin kullanımını güçleştirmek de bir diğer olumsuz yöndür.

7 Son olarak toplumun eğitilmesi tehditlerden korunmak için en önemli yöntem olarak öne çıkmaktadır. Bunun devlet eliyle yapılması televizyonlarda sosyal medya dolandırıcılıklarıyla ilgili kamu spotları yayınlamaları toplumun bilincinin arttırılmasında önemli bir etken olacaktır. Okullarda sosyal medyayı bilinçli kullanma eğitimi verilmesi gelecekte daha bilinçli kullanıcılar yetişmesi açısından önemlidir. 6. REFERANSLAR(REFERENCES) [1] Qualman E, How social media transforms the way we live and do business, Socialnomics, second edition, 1-316,2013 [2] Scott M, The new rules of marketing,1-289,2010 [3] Rose C, The Security Implications Of Ubiquitous Social Media,1-6,2011 [4]Borden J, Dismantling the Pyramid: The How & Why of Privitizing Social Security,2005 [5] danah m, Nicole b, Social Network Sites: Definition, History, and Scholarship,Journal of Computer-Mediated Communication Volume 13, Issue 1, pages , October 2007 [6] Everett C, Social media: opportunity or risk?,2010