Hackerlar Facebook'a göz koymuş

Facebook başta olmak üzere diğer sosyal ağ sitelerine dikkat edin.

Hackerlar Facebook'a göz koymuş
Son dönemde yapılan araştırmaların ortaya koyduğu bulgulara göre, küçük ve orta ölçekli işletmeler gün geçtikçe daha da artan oranda, güçlü ve yaygın bir iş alanı aracı olarak Facebook, Linkedln ve diğer sosyal ağ oluşturma sitelerinde boy gösteriyor.

New-York –merkezli AMI Partners Inc'de yayınlanan bir araştırmada yer alan öngörüye göre, sosyal ağ oluşturma sitelerini kullanan küçük ve orta ölçekli işletmelerin sayısının bu yıl ikiye katlanarak 300,000'den 600,000'e çıkması bekleniyor. Bu siteleri kullanan kurum çalışanları genellikle meslektaşları, iş ortakları ve müşterileri ile iletişim halinde olmak ve olası iş potansiyelleri yaratmak amacı güdüyor. Facebook, Linkedln, Twitter gibi sitelere üye olmak için herhangi bir ücret talep edilmemesi de küçük ölçekli kurumların kendi iş alanlarını genişletmek üzere bu sitelerden faydalanma oranını artırıyor. Bu tür sosyal ağ oluşturma sitelerini kullanmanın bir başka avantajı ise, potansiyel müşterilere, ne kadar küçük bir işletme olsalar dahi o kurumun son teknolojiden faydalanan dinamik bir yapı olduğuna ilişkin bir imaj giydirmesi olarak karşımıza çıkıyor. Bu anlamda internet, sınırları yok eden bir dünya olarak kurumların iş alanlarını global olarak genişletmelerine imkan hazırlıyor.

Peki, Olası Risklerin farkında mısınız?

Elbette, bu tür sosyal ağ oluşturma sitelerini kullanıyor olmak, bir takım risklerle karşı karşıya kalmak durumunu da beraberinde getiriyor. Symantec tarafından Mayıs ayında yayınlanan Internet Güvenliği Tehdit Raporu'na göre, internet üzerinden yürütülen zararlı kod aktiviteleri için bir numaralı araç webler iken en sık rastlanan saldırılar da web tabanlı ataklar olarak tanımlanıyor. Rapora göre, hem Twitter hem de Facebook, phishing saldırılarının başlıca hedefleri oldukları için günümüz popüler medyasında sık sık güvenlik sorunları ile gündeme gelmeleri hiç de şaşırtıcı görünmüyor.

Web-tabanlı ataklarla ilgili olarak bir örnek verecek olursak şöyle bir özet yapabiliriz: Saldırganlar öncelikle sahte bir Twitter hesabı oluşturuyor ve ardından meşru olarak tanımlanmış Twitter kullanıcılarını takip etmeye başlıyor. Twitter, yeni bir takipçisi olan kullanıcıları konu ile ilgili olarak bilgilendiriyor ve yeni takipçinin Twitter profilini ziyaret etmesi için kullanıcıya bir link gönderiyor. Bu noktada kullanıcı, kendisini phishing sitesine yönlendirecek bir link ile karşılaşıyor. Böylelikle yeni takipçisi hakkında bilgi edinmek isteyen kullanıcı, kendisini farkında olmadan sahte bir sitenin içinde bularak, site tarafından istenen kullanıcı adı ve şifre bilgilerini giriyor. Kullanıcının şifre ve kullanıcı bilgilerini ele geçiren saldırgan ise bir diğer saldırılar için bu bilgilerden faydalanmaya başlıyor.

Spam yağmuru

Son zamanlarda Symantec Yanıt Merkezi tarafından gözlemlenen bir başka saldırı tekniği ise şöyle: Facebook kullanıcısının hesabı ele geçiriliyor ve kullanıcının iletişim halinde olduğu (arkadaşı ya da arkadaşının arkadaşı) herhangi bir kişiden meşru olarak tanımlanmış bir mesaj gönderiliyor. O mesajı kabul eden kullanıcı mesaj içindeki web sayfasında gezinmeye başladığı zaman zararlı kod da sızmak ve yerleşmek için gerekli fırsatı yakalamış oluyor. Bu noktada sosyal ağ oluşturma sitelerinde yer alan kullanıcılar için en iyi hatırlatma ise şu: "Bir arkadaşınızdan gelse dahi gelen mesaj her zaman arkadaşınızdan gelmiyor olabilir!"

Symantec ayrıca, çeşitli sosyal ağ oluşturma sitelerinden geldiği farz edilen birçok spam saldırısı da tespit etmiş bulunuyor. Oldukça sık kullanılan, popüler bir siteden geliyor gibi görünen bir e-posta, kullanıcıları, yeni bir "adult" videosunu izlemek üzere henüz videoyu izlemeden doğrudan bir video oynatıcı indirmeye yönlendiriyor. İndirilen bu "video oynatıcı" ise aslında zararlı kodun ta kendisi oluşturuyor.

Symantec çözümü

Dikkat edilmesi gereken diğer ataklar:

• Ünlü kişilerle ilgili Facebook ve Twitter mesajları (Michael Jackson'ın ölümünün ardında yatan "gizli" gerçeklere ilişkin mesajlar gibi.)
• Facebook'taki "arkadaşlardan" para yardımı için gelen mesajlar
• Online gruplara üye olmak için gelen, istenmeyen davet mesajları (okul, iş vs. yıllık, albüm üyelikleri gibi.)

Tüm bu yöntemler, siber suçlular tarafından daha sonra yine farklı saldırılar tasarlamak üzere kullanıcılara ilişkin gizli ve kişisel bilgilere ulaşmayı hedeflemektedir.

Bu tür tehditlere karşı korunmak için Symantec Internet Security Threat Report (Internet Güvenliği Tehdit Raporu)'da yer alan Symantec pratiklerini uygulayabilirsiniz. Örneğin bir antiphishing çözümü kullanabilirsiniz. Bazı phishing atakları spyware ve/veya tuşa basma izlerini takip eden uygulamalar da kullanabildikleri için Symantec, kullanıcılara, antivirüs, antispam, güvenlik duvarı, araç çubuğu engelleyicileri ya da diğer yazılım/tespit yöntemlerini kullanmalarını tavsiye ediyor. Size gelen talebin meşru ve güvenilir olduğunu doğrulamadıkça, gizli kişisel ve finansal bilgilerinizi kesinlikle ifşa etmeyin.

Bu da bir anlamda kullanmakta olduğunuz antivrüs çözümünü daha gelişmiş bir tehdit koruma çözümü ile değiştirmeniz anlamına geliyor. Daha detaylı bilgi için Symantec Small Business Solutions Website adresini ziyaret edebilirsiniz.