Yakın zamanda Obama’nın özellikle tüm Amerikan devlet kurum web sitelerinin SSL kullanmasını önermesi üzerine, sadece Amerika’da değil diğer birçok ülkede de kamu web sitelerinde SSL kullanılması için harekete geçildiğini görüyoruz. Aslında burada amaç tabii ki bilgi güvenliğini sağlamak ve SSL sertifikasının esas görevi olan kullanıcı-sunucu arasında akan önemli bilgilerin çalınmasını engellemek gibi görünse de bilgi korsanlarının Oltalama (Phishing) tekniğini kamu sitelerinde kullanmasını engellemektir. Keza devlet kurumundan gelmiş gibi görünen bir e-maile itimat etme ihtimalimiz hepimiz için çok yüksek. Böylece HTTPS olarak görünmeyen hiçbir kamu web sitesine itimat edilmemesi üzerinde gerekli bilgilendirmeler kamuoyuna zaten yakın zamanda yapılacaktır.
Son birkaç senedir yoğunca kullanılmaya başlanılan bu metodu bilmeyenler için bir kez daha yineleyecek olursak; Yemleme metodunu kullanan bilgi korsanları size atmış olduğu e-postayı bir bankadan veya büyük bir kurumdan gelmişçesine göstererek, sizi kullandığı sahte ama gerçeğine çok benzer bir link ve web sayfasıyla kandırarak sizden kişisel veya finansal bilgilerinizi alabilmektedir.
Birkaç Oltalama örneğiyle konuyu pekiştirelim;
Hedef kişiye temas halinde olduğu veya tanıdığı kişi, kurum veya kuruluşlardan gönderiliyormuş izlenimi verilen sahte bir e-mail gönderilir. Şifresinin süresinin dolduğu ve yenilenmesi gerektiği söylenerek kendi sahte sitelerine link verirler. Tıkladığında; daha önceden hazırlanan ve tanıdık kuruluşa ait site ile aynı görünümde olan bu sahte siteye girilen her bilgi ellerine geçer.
Genelde ilgili kuruluşun web site adresine yakın adreslerin seçiliyor olması da anlaşılmasını zorlaştırıyor. “microsoft.com” yerine “microfost.com” veya “microsot.com” adresini kullanabildikleri gibi alt alan adlarını kullanarak, “microsoft.abcd.com” gibi, web adresleri konusunda bilgili olmayan kullanıcıların veya dikkatsiz kullanıcıların hemen güvenebileceği adresleri seçiyorlar.
Servis sağlayıcı firmalardan (TTNet, Turkcell vb.) gelmiş gibi görünen ve yüklü miktarda fatura bilgilerine ekteki doküman sayesinde ulaşabileceğinizi söyleyen e-mailler ile hala başarılı oranlarda oltalama yapılabilmektedir. Son zamanlarda çok sık rastladığımız en etkili ve zaralı bu tür saldırılar güncel olarak “Cryptolocker” atağı olarak nitelendirilmektedir.
Bankalardan gönderilmiş gibi görünen ve kullanıcılara banka şifrelerini değiştirmelerini öneren e-postalar yine oltalama amaçlı kullanılabiliyor. ‘Güvenlik sorunlarını’ gerekçe gösteren bu e-postalar kullanıcıyı önce sahte bir link ile bankanın taklit sitesine yönlendiriyor, daha sonra da kullanıcıdan şifresini değiştirmesini istiyor. Kullanıcı güvenlik nedeniyle şifresini değiştirdiğini sanırken, bilgi korsanları hala geçerli olan eski şifreyi ele geçirmiş oluyor.
Oltalama metodunu anlamak ve hatta güvenli bir şekilde herhangi bir siteyi ziyaret etmek için dikkat edilmesi gereken birkaç hususun üzerinde duralım;
E-posta göndericisi; ilk yapılması gereken e-postanın size kimden geldiğini kontrol etmeniz. Eğer e-postanın büyük bir kurumdan gönderildiği söyleniyor ise bu e-postada mutlaka kurumun alan adını taşıyan bir kullanıcı veya servisinden gelmiş olmalıdır.
E-posta hitap şekli; Bilgilerinizin bulunduğu herhangi bir kurum size hitap ederek e-posta atar. Bu yüzden e-postanın başında size adınızla hitap edilmemiş ise, genellikle bu e-posta içerisindeki linklere tıklamamanız önerilir.
Eğer kullandığınız tarayıcıda SSL kilidi ni görmüyorsanız, bu site kesinlikle SSL sertifikası kullanmıyor demektir. Şu anda her banka ve e-ticaret sitesi mutlaka SSL sertifikası kullanmakta olup (ödeme bilgilerinin paylaşıldığı internetteki her platform kanun gereği SSL kullanmak zorunda), kullanmayan sitelere itibar etmemeniz tavsiye edilmektedir.
Alan adı isim uyuşmazlığı; tarayıcınızda yazan ve ziyaret ettiğiniz sitenin sunucu adı olarak kullanılan ismi iyice analiz edin. Bunu özellikle bankalar, e-ticaret siteleri ve bilgi paylaşacağınız her site için mutlaka yapın. Özellikle tanınır markalara yakın isimler seçilmekte ve bazen de alt alan adı olarak sunucu adına yazılmaktadır. Örneğin “garanti.ödeme.com” adresinin garanti bankasıyla hiçbir alakası olmayıp bu adres ödeme.com adlı alan adının sahibi tarafından kontrol edilmektedir.
Antivirus yazılımınızın daima çalışır ve güncel durumda olduğunu kontrol ediniz.
Güvenilmeyen sertifika uyarısı; tarayıcınız eğer güvenilmez sertifika uyarısı veriyorsa burada kaynağı belli olmayan bir SSL sertifikası kullanılmakta olup güvenilmemesi gerekir. Burada ayrıyeten önemli bir noktayı açıklamak yerinde olacak; keza son zamanlarda Chrome tarayıcısında görülen ve sertifikanın geçersiz olduğu ibaresini taşıyan çarpı işareti aslen SSL sertifikasının SHA1 algoritmasıyla üretildiğine ve artık SSL sertifikalarının SHA2 algoritmasıyla üretilmesi gerekliliğini ifade eden bir uyarı mesajıdır. Diğer her sertifika üreticisi gibi, TÜRKTRUST olarak bizde, SHA1 algoritmasıyla ürettiğimiz ve hala aktif olan SSL sertifikalarımızı yenileriyle değiştirmekteyiz
Uluslararası SSL Standartlarına yön veren organizasyonlar tarafından da tartışıldığı üzere yakın zaman içerisinde bilgi paylaşımı yapılan her web sitesinin SSL sertifikası ile donatılması zorunluluğu söz konusu olacaktır.
Ayrıca belirtmek gerekir ki; Google, artık aramalarda SSL sertifikası kullanan sayfaları daha üst seviyelerde göstermektedir. Yani yakın zamanda SSL sertifikaları bir tercihten ziyade güvenli bilgi akışı olan her internet bağlantısında kullanılacak gibi görünüyor.