Sosyal Medya Güvenlik Araçları
"Web 2.0’ın ideolojik ve teknolojik temelleri üzerine inşa edilmiş, kullanıcı tarafından üretilen içeriğin değiş tokuşuna izin veren bir grup internet tabanlı uygulama” aşağıdakilerden hangisidir?
Sosyal Medya
We Are Social (Ocak 2020) Raporuna göre Günümüzde 7.75 milyarlık dünya nüfusunun 5.19
milyarı (%67) cep telefonu, 4.54 milyarı (%59) internet, 3.8 milyarı (%49) ise aktif sosyal medya kullanıcısıdır. Başka bir ifadeyle dünya nüfusunun yaklaşık yarısı aktif olarak sosyal medya kullanmaktadır.
Yine yine aynı rapora göre, en fazla kullanılan sosyal medya platformları hangileridir?
Facebook (2.49 milyar), Youtube (2 milyar), WhatsApp (1,6 milyar kullanıcı), Messenger (1,3 milyar), Weixn/Wechat (1,151 milyar), Instagram (1 milyar) ve Tiktok’tur (800 milyon). Ayrıca bir insan gününün 6 saat 43 dakikasını internette, 2 saat 24 dakikasını sosyal medyada geçirmektedir.
Sosyal medya platformlarının sunduğu kişisel verilerin korunmasına ve gizliliğe ilişkin taahhütler ile gerçeklik arasındaki ilişkiyi yorumlayınız?
Facebook, Instagram, Twitter, Foursquare gibi sosyal medya platformları, kullanıcılar tarafından
genellikle ayrıntılı şekilde okunmayan “hizmet şartları”, “gizlilik ilkeleri”, “kullanım koşulları” gibi
isimler taşıyan uzun sözleşmeler aracılığıyla, kullanıcılarının platformda paylaşmış olduğu her türlü
bilgi ve görseli doğrudan ya da dolaylı şekilde kullanma hakkını elde etmektedir. Böylece kullanıcılar
ücretsiz olarak kullanma hakkı karşılığında, sosyal medya platformlarına kişisel verilerini kayıt ve işleme
hakkı vermekte; dolaylı olarak da bunları başka şahıs ve kurumlarla paylaşma hakkını devretmiş
olmaktadır. Sosyal medya platformları, her ne kadar kişisel verilerin korunmasına ve gizliliğe büyük
önem verdiklerini vurgulasalar ve belirli periyotlarla kullanıcıların paylaşımlarını sildiklerini ifade etseler
de bunun pek de doğruyu yansıtmadığı görülmektedir.
Sosyal Mühendislik nedir?
Sosyal mühendislik “bir bilişim korsanının ilgilendiği bilgisayar sistemini kullanan veya yöneten meşru kullanıcılar üzerinde psikolojik ve sosyal numaralar kullanarak, sisteme erişmek için gerekli bilgiyi elde etme tekniklerine verilen genel ad” olarak tanımlanmaktadır (Canbek ve Sağıroğlu, 2006).
Sosyal Mühendislikte ilkeler nelerdir?
Otorite-Bir otorite figürünü taklit eden biri tarafından yürütülür veya bu kişi
kendi otoritesini yanlış gösterir.-“Bu CEO’nun aramasıdır.”
Gözdağı-Tehditle korkutma ve zorlama-“Parolamı sıfırlamazsanız amirinizi
arayacağım.”
Uzlaşma-Başkalarının yaptıklarıyla etkileme-“Geçen hafta aradım ve iş arkadaşınız
şifremi sıfırladı.”
Kıtlık-Bir şeyin yetersiz olduğunu ifade etme-“Burada zaman harcayamam.”
Aciliyet-Anında harekete geçilmesi gerektiğini belirtme-“Yönetim kurulu ile görüşmem beş
dakika içinde başlayacak.”
Bilinirlik-Kurbanın tanınmış ve iyi bilinen birisi olduğunu ifade etme-“Seninle ilgili iyi bir değerlendirme
okuduğumu hatırlıyorum.”
Güven-Güven vurgusu yapma-“Kim olduğumu biliyorsun”
Sosyal mühendislikte yapılan saldırı tekniklerinden biri olan çöplük dalışı nedir?
Çöp karıştırma olarak da bilinen teknik, bir saldırıda faydalı olabilecek bilgileri bulmak için çöplükleri karıştırmayı içerir (Ciampa, 2018: 80). Amaç bireysel çöplüklerin ve şirket çöplüklerinin
karıştırılması yoluyla hedeflenen bilgilerin elde edilmesidir.
Sosyal mühendislikte yapılan saldırı tekniklerinden biri olan yakından takip etme (tail gating) nedir?
Bir başka popüler sosyal mühendislik tekniği olan yakından takip, bir güvenlik sistemine erişime
yetkili olan kişi ya da kişileri, yetkilerini çalmak ve sisteme giriş yapmak amacıyla takip etme eylemidir (Brody, Brizzee ve Cano, 2012: 341).
Sosyal mühendislikteki saldırı tekniklerinden biri olan Sahte Senaryolar Uydurmak (Pretexting) kavramını açıklayınız?
Sahte senaryolar uydurmak, hedef kullanıcıda güven tesis ederek hassas bilgilere erişmeyi amaçlayan
bir sosyal mühendislik tipidir.
Sosyal mühendislik tekniklerinden biri olan Tuzak Donanımlar (Baiting) nedir?
Tuzak Donanımlar (Baiting), Dolandırıcılar tarafından kullanılan klasik bir
tekniktir. Hedef kişi ya da kişileri aldatmacaya çekmek için cazip bir fırsat sunulur. Birçok yönden bu fırsat, basit bir yem ve tuzaktır.
Sosyal mühendislik teknikleri arasında yer alan Taviz Saldırıları (Quid pro quo)'nı açaklayınız?
Taviz Saldırıları (Quid pro quo), Tuzak donanım saldırılarına benzer özellikler gösterir ancak ondan farklı olarak bu tür bir sosyal mühendislik saldırılarında bilgi karşılığında, teknik bir hizmet fırsat olarak sunulur. Saldırgan, bir bilgi teknolojisi temsilcisini taklit edebilir ve teknik zorluklar yaşayan mağdurlara yardım edebilir. Saldırganın hedefi kullanıcının sistemine kötücül amaçlı bir yazılım yüklemektir (Conteh ve
Schmick, 2016: 32).
Sosyal mühendislik tekniklerinden olan Başkasının Kimliğine Bürünme (impersonation) nasıl kullanılmaktadır açıklayınız?
Başkasının Kimliğine Bürünme (impersonation), yaygın sosyal mühendislik tekniklerinden birisi
olup sosyal mühendisler tarafından, kuşkucu olmayan sosyal medya kullanıcılarından çeşitli
menfaatler elde etmek amacıyla uygulanan eski bir yöntemdir (Kizza, 2017: 100). Bir saldırganın
başkasını taklit ederek kimliğini gizlemesini içerir. Saldırgan, üst düzey personeli taklit etmek veya şirketin BT (bilgi teknolojileri) departmanından aradığını iddia etmek gibi bir dizi farklı tekniği deneyebilir (Mennie, 2015: 223).
Sosyal mühendislik tekniklerinden olan Kimlik Avı/Oltalama/Yemleme (Phishing) kavramlarını açıklayınız?
Türkçeye “kimlik avı”, “oltalama” ya da “yemleme” saldırıları olarak çevrilen “phishing” sosyal
mühendisliğin en yaygın biçimlerinden birisidir. “Phishing” terimi, yeterince büyük bir ağ atılması durumunda, birkaç balığın birden yakalanacağı felsefesinden gelir. Mümkün olduğunca çok kişiye
toplu e-posta veya anlık ileti göndermeyi ve onlardan bilgi vermelerini ya da bir bağlantıyı tıklamalarını istemeyi gerektirir. Bağlantı genellikle kullanıcıları yasal bir siteye benzeyen sahte bir web sitesine
götürür. Bu sahte web sitesi kullanıcının gireceği bilgileri çalmak için ayarlanmıştır.
Kimlik Avlama saldırıları türleri nelerdir?
zıpkınla kimlik avı” (spear phishing),
“klon kimlik avı” (clone phishing)
“balina kimlik avı” (whaling)
“sesli kimlik avı” (vishing)
Sosyal medya güvenlik araçları arasında yer alan parola-şifre yönetim araçlarından last past kavramını açıklayınız?
LastPass veri tabanı, kullanıcıların tüm şifrelerini, şifrelenmiş bir şekilde saklamaktadır. LastPass’ın bu veritabanına erişmek için ise yalnızca bir ana şifre
yeterlidir. Kullanıcı adı, şifre, URL ve her girişle ilişkili notlar için alanlara sahip bir arayüze sahip olan LastPass, şifrelerinizi düzenlemek için Windows,
web siteleri veya Wi-Fi ağları gibi giriş grupları oluşturmaya imkân vermektedir.
Sosyal medyada şüpheli etkinliklerle ilgili uyarılar gönderen araçlar arasında yer alan LogDog ne işe yarar?
LogDog, kullanıcı verilerine kaçak yollarla erişilmesini önleyen bir güvenlik aracıdır/uygulamasıdır.
Kullanıcının önceki etkinlik günlüklerinin kullanılması suretiyle yapılabilecek yetkisiz erişimleri
engeller (Gupta ve Chaudhary, 2020: 47).
Şüpheli etkinliklerle ilgili uyarılar gönderen araçları sıralayınız?
LogDog
Lookout
Antivirüs Yazılımları ve Güvenlik Araçları
AVG PrivacyFix
Norton Safe Web
McAfee
Bitdefender
Çocukları sosyal medyanın neden olduğu güvenlik risklerinden korumak için kullanılan çözüm araçları nelerdir?
Norton Family, belirli kategorilerdeki web sitelerine erişim aile üyelerine erişimine kapatılabilmekte, çocukların internette kalma süreleri belirlenebilmekte, çocukların internette yaptıkları aramalar hakkında bilgi sahibi olunabilmekte ve uygunsuz sitelere erişimi engellenebilmektedir.
Minor Monitor, temel olarak ebeveynlerin çocuklarının Facebook’ta ne yaptığını bilmelerine
yardımcı olan ve ebeveynleri uyaran veya ebeveynlerin etkinliği gözden geçirmelerine izin veren ücretsiz
bir yazılımdır (Lance, 2013: 35).
Kaypersky Safe Kids, ebeveynlere çocuklarının sosyal medya internet kullanımını belli sürelerle sınırlandırma yanında onların yetişkin web sitelerine, içeriklerine, uygunsuz oyun sitelerine engelleme
olanağı da sağlar.
Uknowkids.com, Norton ve Kaypersky ailelerinin, aile koruma araçlarına benzer nitelikte bir çocuk koruma aracıdır. Norton Family’inin ücretsiz sürümünün sahip olduğu tüm özelliklere sahip değildir ancak denemek
için birkaç farklı sürümü vardır ve temel sürümü
Sosyal medya yönetim araçları nelerdir ve ne işe yarar?
HootSuite; Twitter, Facebook, Google+, LinkedIn, Foursquare, WordPress, Myspace ve mixi
gibi sosyal medya platformlarında birden çok profili yönetmeyi kolaylaştıran bir araçtır. Kullanıcı,
ücretsiz bir HootSuite hesabı açarak tüm sosyal medya hesaplarına, aynı arayüzü kullanarak erişebilmektedir.
Sprout Social, birden fazla sosyal medya hesabını yönetmek için geliştirilen diğer bir sosyal medya
yönetim aracıdır. Kullanıcılarına, sosyal medya etkinliklerini koordine etme ve bunların sonuçları
gözden geçirme olanağı sağlayan Sprout Social, hem
yönetim hem de analiz aracıdır.
Nimble
Nimble, kullanıcılarına e-postalarını, arkadaşlarını, takipçilerini, sosyal medya mesajlarını ve daha fazlasını tek bir merkezi panoda yönetme imkânı sağlayan ücretli bir sosyal medya yönetim
aracıdır.
Sosyal medya arşivleme araçları nelerdir örnek veriniz ve ne işe yaradığını kısaca açıklayınız?
Digi.me
Kullanıcının sosyal medya verilerini herhangi
bir şekilde kaybolmaya karşı korumak için tasarlanan
Digi.me, kullanıcıların birden fazla hesaptan
kendi verilerini indirmesine, sıralamasına ve depolamasına
olanak sağlayan bir sosyal medya aracıdır.
IFTTT (https://ifttt.com/), kullanıcılarına birden
fazla hesap veya araç arasında iş akışları (Uygulama
adı verilir) oluşturmasına yardımcı olan
ücretsiz bir uygulamadır. IFTTT, kullanıcılarına
hesaplarını istedikleri şekilde arşivlemek için kullanabilecekleri
önceden oluşturulmuş birkaç araç
sunar. Örneğin Pinterest pinlerini, Google Drive
hesaplarına yedekleyebilmek mümkündür (Karle,
2020: 146-147).
"Sosyal medya hesaplarını ele geçirmenin en kolay yollarından biri bir e-posta hesabıdır.
Bir kişi e-postanıza erişebiliyorsa veya kullanıcı adını/şifresini kırıyorsa, sitelerin her birini ziyaret edebilir ve
“Şifremi unuttum” bağlantısını tıklayabilir. Saldırgan daha sonra parolayı değiştirmek
için bir bağlantı içeren e-posta bildirimlerini kullanır. Bu işlemi tamamlanması hâlinde, artık doğru şifreye kullanıcı değil saldırgan sahiptir. Bu sorunu önlemek için, e-posta hesaplarınız için güvenli bir şifre kullandığınızdan ve erişimi olanları sınırladığınızdan emin olunmalıdır (Cross, 2014: 345)" açıklaması çerçevesinde şifre oluştururken nelere dikkat edilmelidir?
Şifre belirlerken özenli davranılmalı, kolay hatırlanması için basit (1,2,3… ya da 10, 9, 8
gibi sıraya sayılar vb.) ya da kolayca tahmin edilecebilecek (isim, doğum tarihi ya da aileden
birisinin isimleri) şifreler belirlenmemelidir. Şifreler sözlükte bulunabilecek bir sözcük ya da bir isim olmamalı; aynı anda büyük ve küçük harfler, rakamlar ve özel karakterler içermelidir.
Şifreler kimseyle paylaşılmamalı; farklı sosyal medya platformlarında aynı şifreler kullanılmamalıdır.
Şifrelerin unutulması hâlinde seçtiğiniz bazı güvenlik sorularının yanıtlarının verilmesi
istenilmektedir. Bu soru seçilirken, yanıtı sosyal medya profil ve paylaşımlarınızda yapılacak hızlı bir araştırmayla tespit edilebilecek nitelikte olmamalıdır. Örneğin anne kızlık soyadı, çoğu zaman dayı, dede
ya da anneanne gibi akrabaların soyadlarına bakılarak kolayca tespit edilebilmektedir. Ya da evcil hayvanıyla ilgili sıkça paylaşım yapan bir kullanıcı, evcil hayvanının ismini
güvenlik sorusu olarak belirlememelidir.