Akıllı Telefonlarda Güvenlik Riskleri

 

Güvenli Olmayan Kablosuz Ağlar:

 

Birçok akıllı telefon kullanıcısı, operatöründen aldığı internet paketini kullanmak yerine, kafelerde, havalimanlarında veya başka alanlarda sunulan ücretsiz WiFi bağlantılarını tercih ediyor. Norton’un yaptığı bir araştırmaya göre, kullanıcıların %59’u ücretsiz WiFi hizmetine bağlıyken, kişisel e-posta hesaplarına, %56’sı sosyal medya hesaplarına giriş yaptıklarını, %44’ü de fotoğraf ve video paylaştıklarını belirtmiş.  Birçok kullanıcı tarafından tercih edilmesine rağmen, ücretsiz WiFi ağları güvenlik risklerini de beraber getirir. Ağ tabanlı saldırılar en yaygın risk olarak değerlendirilir ve siber saldırganlar internet trafiğinizden şifrelenmemiş verilerinizi kolaylıkla ele geçirebilir.

 

 

Verilerinizin güvenliği için, ücretsiz WiFi servislerini kullanırken seçici olmaya çalışın. İşinizle ilgili işlemlerde, kullanıcı bilgilerinizi gireceğiniz durumlarda, özellikle bankacılık işlemlerinizde ve online alışverişlerinizde mobil verinizi kullanmaya özen gösterin.

 

Şifre Alışkanlıkları:

 

Zayıf şifre probleminin hala listede yer alması birçok kişiyi şaşırtabilir ama ilginç bir şekilde kullanıcıların çoğu online hesaplarını güçlü şifrelerle korumamaya devam ediyor.  NordPass araştırmasında 275 milyon şifre incelenmesi sonucunda “123456”, “123456789”, “12345”, “qwerty” ve “password” şifrelerinin en çok kullanılanlar olduğu belirlenmiş.

 

 

Zayıf şifre kullanmanın yanında, kullanıcıların diğer şifre alışkanlıkları da saldırganlar için kullanabilecekleri yeni kapılar açmaktadır. Bunların başında şifre belirlerken kolay tahmin edilebilir verilerden üretilmeleri gelir. Keeper Security firmasının gerçekleştirdiği anket çalışma gösteriyor ki; kullanıcıların %37’si şiflerinin içerisinde şirket adı, %34’ü kendi isimleri ya da doğum tarihleri, %31’i ise çocuklarının ismi ya da doğum tarihi gibi kolay tahmin edilebilir veriler kullanmaktalar. Aynı araştırmada, kullanıcıların %62’sinin şifrelerini kağıt veya defter gibi kolay ulaşılabilir yerlere not ettikleri görülmüş. Kullanıcıların %62’si işle ilgili olan şifrelerini iş arkadaşlarıyla e-posta ya da mesajlaşma uygulamalarıyla paylaştıklarını belirtmişler. Burada işle ilgili olan şifrelerin paylaşımının yanında, ilginç olan bir diğer madde, kullanıcıların %45’i iş ve kişisel hesaplarında aynı şifreleri kullandıklarını belirtmişler.

 

Hesaplarınızın ele geçirilmesini önlemek için, şifrelerinizin tahmin edilebilir kelimeler içermemesine, karmaşık karakterlerden oluşmasına özen gösterin ve bunları herhangi bir şekilde paylaşmayın. Bunun yanında, mümkünse SMS, Google Authenticator gibi çok adımlı kimlik doğrulama yöntemlerini kullanmaya çalışın.

 

Sosyal Mühendislik:

 

Akıllı telefonların sürekli açık ve bağlantıda olmaları, sosyal mühendislik saldırılarında daha cazip hedef olmalarına neden olmaktadır. Bununla beraber, akıllı telefon ekranlarının bilgisayarlara göre çok daha küçük olması, kullanıcıların saldırı içeriğini kontrol etmelerini zorlaştırır ve saldırılara karşı daha savunmasız olmalarına sebep olur.

 

 

- Oltalama (Phishing) saldırılarında, kullanıcılar hileli içerikle tuzak bir siteye yönlendirilerek kişisel verilerinin alınması ya da hazırlanmış zararlı yazılımların akıllı telefonlarına yüklenmesi hedeflenmektedir. FBI’ın siber suçlarla ilgili olan IC3 biriminin raporuna göre, 2020 yılında Amerika’da bir önceki yıla göre oltalama saldırıları 2 katına çıkmış, 2016 yılına göre ise 11 katına çıkmış. Verizon’un 2021 yılı araştırmasına göre, dünyadaki tüm organizasyonların %75’i bir şekilde oltalama saldırılarına maruz kalmış.

 

- Smishing saldırılarında, tuzak site barındıran yanıltıcı içerik kullanıcılara SMS ile gönderilir. Metin içerisindeki adrese girilerek, kullanıcının kişisel verilerini girmesi ya da zararlı yazılımı yüklemesi hedeflenmektedir. Proofpoint araştırmasına göre 2020 yılında Smishing saldırıları bir önceki yıla %328 artış gösterirmiş. 2021 yılı henüz bitmemesine rağmen sadece ilk 6 ayda, 2020 yılının tamamına göre %700 artış gözlenmiş. NextCaller araştırmasında, salgının başlamasıyla beraber, Amerikan vatandaşlarının %44’ü Covid-19 test merkezleri nerede ve nasıl aşı olunur içerikli Smishing saldırılarına maruz kaldıklarını belirtilmişler.

 

Sosyal mühendislik saldırılarından korunmak için, e-posta ya da mesajlaşma uygulamaları ile gelen linkleri açmamaya, dosyaların indirilmemesine özen gösterilmelidir. İçerikteki alan adının güvenilirliği ve doğru yazılıp yazılmadığı kontrol edilmelidir. Özellikle Smishing atağında, metin içerisinde adresi kontrol etmek daha zor olacağından, bu içeriklere daha da dikkat edilmelidir.

 

Zararlı Yazılımlar:

 

Kullanıcının bilgisi dahilinde ya da bilgisi dışında yüklenen bu tür uygulamalar, kullanıcıya ait bilgileri ya da cihazda bulunan verileri elde ederek üçüncü parti bir sisteme gönderirler. Sıkça karşılaşılan zararlı yazılım çeşitleri şöyledir;

 

- Kötücül Yazılımlar (Malware): Kullanıcıların isteyerek ya da istemeyerek kurdukları bu uygulamalar, işletim sistemini hedef alarak çalışamaz duruma getirirler ya da kişisel verilerin ele geçirilmesini sağlarlar. Bazı uygulamalar ise, fonksiyonları dışında uygulama izinleri isteyerek, kullanıcılar farkında olmadan kişisel verilerini alıp kendi sistemlerine gönderebilirler.

 

- Reklam Amaçlı Yazılımlar (Adware): Bu tür yazılımlar ya da kod parçacıkları, mobil cihazlar için reklam gösterme amacıyla geliştirilmişlerdir. Kullanıcıların farkında olmadan yükledikleri bu uygulamaların temel amacı, kullanıcı hakkında veriler toplayarak, kullanıcıya uygun reklamları gösterebilmektir. Aşağıdaki grafikte 2019 yılından itibaren Kaspersky tarafından tespit edilen adware sayıları paylaşılmıştır.

 

Mobil adware sayısı (https://securelist.com/mobile-malware-evolution-2020/101029/

 

- Casus Yazılımlar (Spyware): Diğer zararlı yazılımlarda genel olarak tüm kullanıcılar hedef alınırken, casus yazılımlar ise hedef kullanıcı odaklı çalışır. Bu yazılımlar sosyal mühendislik yöntemleriyle hedef cihaza yüklenebildiği gibi, kullanıcının farkında olmadan erişilerek manuel de yüklenebilir. Uygulamalar menüsünde dahi gözükmeyen casus yazılımlarda amaç, kullanıcıya ait telefondaki kamera görüntüsünden mikrofonla ortam sesine, konum bilgisinden arama geçmişine kadar tüm verilerin elde edilmesidir.

 

Zararlı yazılımlardan korunmak için ilk dikkat edilmesi gereken nokta, telefonda kullanılacak uygulamanın resmi uygulama marketinden yüklenmesidir. Buna ek olarak, yüklenecek uygulamanın erişim yetkilerine dikkat etmek gerekir ve fonksiyonu dışındaki erişim izinleri kapalı tutulmalıdır. İstem dışı uygulamaların yüklenmesini engellemek için özellikle sosyal mühendislik saldırılarına karşı dikkatli olmak gerekmektedir. Bunun yanında, güvenilir olmayan kaynaklardan dosya indirmemeye özen gösterilmelidir.

 

Güncel Olmayan İşletim Sistemi / Uygulamalar:

 

Akıllı telefon kullanıcılarının çoğu ekranlarına işletim sistemi güncelleme uyarısı geldiğinde, bu işlemi en kısa sürede yapmak yerine sürekli ertelemekteler. Ancak, güncel olmayan bir işletim sistemini veya güncellenmemiş uygulamaları kullanmak telefondaki verilerin güvenliğini riske atmaktadır. İşletim sistemi ve uygulama güncellemelerine dair bilgilendirme içeriğinde güvenlik iyileştirmelerinin hep var olduğu düşünülürse, telefonların, neden işletim sistemlerini ısrarla güncelleme uyarısı verdiği daha iyi anlaşılır.

 

Diğer Riskler:

 

- Zayıf Şifreleme Kullanan Uygulamalar: Evde daha çok vakit geçirmeye başlamakla beraber, görüntülü ve yazılı iletişim araçlarının kullanımı da artmaya başladı. Bu amaçla uygulama tercih ederken, uygulamaların verileri uçtan uca şifreli olarak ilettiklerinden, güncel güvenlik algoritmalarını kullandıklarından emin olmak, iletişim verilerinin güvenliği için önemli olacaktır.

 

- Kayıp / Çalıntı: Akıllı telefonların kaybolması ya da çalınması kullanıcıların tamamen kontrolünde olmayabilir, ancak sonrasında oluşabilecek veri kayıpları engellenebilir ya da en aza indirilebilir. Alınabilecek önlemlerin başında verilerin telefonda şifreli tutulması, yardımcı programlar ile verilerin uzaktan silinmesi ya da transfer edilmesi gelmektedir.

 

Kaynaklar:

 

https://www.gsma.com/

https://www.avsystem.com/blog/wifi-statistics/

https://www.enisa.europa.eu/publications/smartphones-information-security-risks-opportunities-and-recommendations-for-users

https://nordpass.com/most-common-passwords-list/

https://siliconangle.com/2021/04/07/doh-poor-password-management-still-rampant-u-s-workplaces-survey-finds/

https://www.safetydetectives.com/blog/what-is-smishing-sms-phishing-facts/

https://www.kaspersky.com/resource-center/threats/top-seven-mobile-security-threats-smart-phones-tablets-and-mobile-internet-devices-what-the-future-has-in-store

https://www.tessian.com/blog/phishing-statistics-2020/

https://www.itpro.co.uk/security/scams/360873/smishing-attacks-increase-700-percent-2021

https://mudita.com/community/blog/top-10-mobile-security-concerns-of-2021/

https://auth0.com/blog/the-9-most-common-security-threats-to-mobile-devices-in-2021/