Dijital dünyada her gün siber tehditlerle karşı karşıyayız. Kimlik avı e-postaları, veri ihlalleri, fidye yazılımları, hesap hırsızlıkları günlük haberler arasında sıradan haline geldi. Veri ihlallerinin yaklaşık yüzde 60'ında insan faktörü rol oynuyor. Sosyal mühendislik saldırıları yapay zeka ile güçlenerek daha ikna edici hale geliyor. Bu ortamda kişisel siber güvenlik artık lüks değil zorunluluk. Bu rehberde dijital güvenliğinizi sağlamak için bilmeniz gereken temel konuları ve uygulamaları inceliyoruz.
Parola Güvenliği
Parolalar dijital güvenliğin ilk savunma hattıdır. Ne yazık ki çoğu insan hala zayıf, tahmin edilebilir ve tekrar eden parolalar kullanıyor.
Güçlü Parola Oluşturma
Karmaşıklık değil uzunluk önemli. Siber güvenlik otoriteleri en az 16 karakter öneriyor. "Yildiz2024!" gibi kısa ama karmaşık bir parola, "mavi-araba-sokakta-kosuyor" gibi uzun bir paroladan çok daha kolay kırılır.
Kişisel bilgilerden kaçının. İsim, doğum tarihi, evcil hayvan adı veya yaygın ifadeler kullanmayın. Saldırganlar sosyal medyadan bu bilgileri kolayca toplar.
Parola cümleleri (passphrase) etkilidir. Rastgele kelimelerden oluşan anlamlı ama tahmin edilemez cümleler hem güçlü hem hatırlanabilir. Örneğin: "pembe-fil-dagda-yüzüyor-42"
Her Hesaba Farklı Parola
Tek parola birden fazla hesapta kullanıldığında bir ihlal tüm hesaplarınızı tehlikeye atar. Büyük veri ihlallerinden sızan parolalar dark web'de satılıyor. Saldırganlar bu parolaları diğer sitelerde deniyor.
Haveibeenpwned.com gibi sitelerden e-postanızın veri ihlallerinde bulunup bulunmadığını kontrol edebilirsiniz.
Parola Yöneticileri
Onlarca benzersiz, karmaşık parolayı ezberlemek imkansız. Parola yöneticileri bu sorunu çözer. Güçlü rastgele parolalar oluşturur ve güvenli şekilde saklar. Siz yalnızca bir ana parola (master password) hatırlarsınız.
Popüler parola yöneticileri:
- Bitwarden: Açık kaynak, ücretsiz plan mevcut. Güvenilir ve kullanışlı.
- 1Password: Kullanıcı dostu arayüz, aile ve takım planları.
- LastPass: Yaygın kullanılan seçenek. Geçmişte güvenlik olayları yaşandı ama iyileştirmeler yapıldı.
- Dashlane: VPN dahil premium özellikler.
Ana parolanız çok güçlü olmalı. Kişisel bilgi içermemeli, yalnızca aklınızda bulunmalı. Son çare olarak fiziksel olarak güvenli bir yere (kasa gibi) yazılabilir, asla bilgisayarda saklanmamalı.
Düzenli Parola Değişikliği
Eskiden sık parola değişikliği önerilirdi. Ancak NIST ve Microsoft artık rutin değişiklik önermiyor. Nedeni: Kullanıcılar tahmin edilebilir değişiklikler yapıyor ("Parola1" -> "Parola2"). Bunun yerine yalnızca bir ihlal şüphesi olduğunda değiştirmek öneriliyor.
Çok Faktörlü Doğrulama (MFA)
Parola tek başına yeterli değil. Çalınsa veya tahmin edilse bile saldırganı durduran ikinci faktör kritik öneme sahip. MFA etkinleştiren kullanıcıların hack olma olasılığı dramatik şekilde düşüyor.
MFA Türleri
SMS kodu: Telefona gelen mesaj. Yaygın ama en zayıf yöntem. SIM swap saldırılarına açık.
Authenticator uygulamaları: Google Authenticator, Microsoft Authenticator, Authy gibi uygulamalar. SMS'ten daha güvenli. Zaman tabanlı kodlar üretir.
Donanım anahtarları: YubiKey, Titan Security Key gibi fiziksel cihazlar. En güvenli yöntem. Kimlik avına dirençli.
Biyometrik: Parmak izi, yüz tanıma. Cihaz seviyesinde güvenlik sağlar.
MFA Önceliklendirme
Tüm hesaplara MFA eklemek zaman alabilir. Öncelik sırası:
- E-posta hesabı: Diğer hesapların sıfırlanması buradan geçer.
- Finansal hesaplar: Banka, yatırım, ödeme uygulamaları.
- Sosyal medya: Kimlik ve itibar riski.
- Bulut depolama: Hassas belgeler ve fotoğraflar.
Kurtarma Kodları
MFA etkinleştirdiğinizde kurtarma kodları verilir. Telefonu kaybetseniz bile hesabınıza erişmenizi sağlar. Bu kodları yazdırın ve fiziksel olarak güvenli bir yerde saklayın. Ana parolanızdan ayrı bir yerde olmalı.
Kimlik Avı (Phishing) ve Sosyal Mühendislik
Sosyal mühendislik siber saldırıların en yaygın başlangıç vektörü. 2024-2025 döneminde olay müdahale vakalarının yüzde 36'sı sosyal mühendislikle başlıyor.
Yapay Zeka Tehdidi
Yapay zeka kimlik avı saldırılarını daha tehlikeli hale getirdi. Dilbilgisi hataları ve garip cümle yapıları azaldı. Kişiselleştirilmiş, ikna edici mesajlar üretiliyor. Deepfake sesler yönetici taklidi için kullanılıyor.
2025'te yapay zeka destekli kimlik avı saldırılarında tıklama oranları geleneksel yöntemlere göre 4 kata kadar daha yüksek.
Kimlik Avı Belirtileri
Aciliyet ve korku: "Hesabınız askıya alınacak", "24 saat içinde işlem yapmazsanız..."
Beklenmedik istekler: Parola, kredi kartı bilgisi veya kişisel veri talepleri.
Şüpheli gönderici: Tanıdık bir isim ama farklı e-posta adresi. Domain adındaki küçük farklar (microsoft.com vs microsft.com).
Garip linkler: Fareyi linkin üzerine getirin (tıklamadan), gerçek URL'yi kontrol edin. Kısaltılmış linkler (bit.ly gibi) ekstra dikkat gerektirir.
Ekler: Beklenmedik dosya ekleri, özellikle .exe, .zip veya makro içeren Office belgeleri.
Korunma Yöntemleri
Şüpheyle yaklaşın: Beklenmedik e-postalar, mesajlar ve aramalara ihtiyatlı olun. Meşru kuruluşlar nadiren e-postayla hassas bilgi ister.
Doğrudan erişin: E-postadaki linki tıklamak yerine bilinen web adresini tarayıcıya elle yazın.
Doğrulama yapın: Şüpheli bir istek aldığınızda farklı kanaldan doğrulayın. Patronunuzdan acil para transferi isteği geldiyse telefonla arayın.
Bildirin: Şüpheli e-postaları BT departmanınıza veya ilgili platforma bildirin.
Kurumsal Korumalar
DMARC, DKIM ve SPF gibi e-posta doğrulama standartları domain sahteciliğini önler. Güvenlik farkındalık eğitimleri kritik. Eğitim alan çalışanların tıklama oranları yüzde 1.5'e kadar düşüyor.
VPN Kullanımı
VPN (Virtual Private Network) internet trafiğinizi şifreler ve IP adresinizi gizler. Ancak ne işe yaradığı ve sınırları hakkında yanlış anlaşılmalar yaygın.
VPN Ne Zaman Kullanmalı?
Halka açık Wi-Fi: Kafe, havalimanı, otel gibi güvenilmeyen ağlarda kesinlikle kullanın. Bu ağlar saldırganların favori hedefleridir.
ISS'den gizlilik: İnternet servis sağlayıcınızın hangi siteleri ziyaret ettiğinizi görmesini engellemek istiyorsanız.
Konum gizleme: Gerçek konumunuzu ve IP adresinizi gizlemek istediğinizde.
VPN Ne Yapmaz?
VPN anonim hale getirmez. Tarama alışkanlıklarınız VPN sağlayıcısına görünür olabilir. Tam anonimlik için Tor Browser gerekir.
VPN güvensiz siteleri güvenli yapmaz. HTTP trafiği hala risklidir. HTTPS kullanımı ayrıca önemlidir.
VPN virüs veya zararlı yazılımlardan korumaz. Ayrı güvenlik yazılımı gerekir.
VPN Seçimi
No-log politikası: VPN'in aktivitenizi kaydetmemesi kritik. Bağımsız denetimlerden geçmiş sağlayıcıları tercih edin.
Kill switch: VPN bağlantısı kesildiğinde internet trafiğini otomatik durdurur.
DNS sızıntı koruması: DNS isteklerinin VPN tüneli dışına sızmasını önler.
Açık kaynak: Proton VPN gibi açık kaynak uygulamalar güvenlik denetlemelerine açıktır.
Ücretsiz VPN riski: Çoğu ücretsiz VPN verilerinizi satarak para kazanır. Proton VPN ücretsiz planı iyi bir istisna ama sınırlamalar var.
Veri Yedekleme
Fidye yazılımları, donanım arızaları veya kazalar verilerinizi kaybettirebilir. Düzenli yedekleme tek çözüm.
3-2-1 Kuralı
Fotoğrafçı Peter Krogh tarafından 2005'te popülerleştirilen bu kural hala geçerli:
- 3 kopya: Orijinal veri + en az 2 yedek
- 2 farklı ortam: Farklı depolama türleri (dahili disk + harici disk + bulut)
- 1 uzak konum: En az bir kopya fiziksel olarak farklı konumda
Modern Güncellemeler
2025'te fidye yazılımları yedekleri de hedefliyor. Bu nedenle 3-2-1-1-0 kuralı ortaya çıktı:
- Yukarıdaki 3-2-1 +
- 1 değişmez (immutable) kopya: Saldırganların şifreleyemeyeceği veya silemeyeceği yedek
- 0 hata: Düzenli geri yükleme testleriyle doğrulanmış
Yedekleme Çözümleri
Yerel yedekleme: Harici disk veya NAS'a düzenli yedek. Hızlı geri yükleme. Fiziksel hasar veya hırsızlık riski var.
Bulut yedekleme: Backblaze, iDrive, Carbonite gibi servisler. Otomatik, uzak konum avantajı. İnternet hızına bağımlı.
Hibrit yaklaşım: Her ikisini birlikte kullanmak en güvenli.
Yedekleme Hatalarından Kaçının
Tüm yedekleri aynı ağda tutmayın. Fidye yazılımı ağdaki tüm cihazları şifreleyebilir.
Geri yükleme testi yapın. Yedekler ancak geri yüklenebildikleri sürece değerlidir. Düzenli test kritik.
Otomatikleştirin. Manuel yedekleme unutulur. Planlı otomatik yedekler tutarlılık sağlar.
Cihaz Güvenliği
Yazılım savunmaları cihaza fiziksel erişim sağlanırsa anlamsız kalabilir.
İşletim Sistemi Güncellemeleri
Güvenlik yamaları kritik açıkları kapatır. Otomatik güncellemeleri etkin tutun. Güncellemeleri ertelemeyin.
Disk Şifreleme
Modern işletim sistemleri yerleşik disk şifreleme sunar:
- Windows: BitLocker (Pro ve üstü sürümlerde)
- macOS: FileVault
- Linux: LUKS
Şifreleme etkinken cihaz çalınsa bile veriler okunamaz.
Ekran Kilidi
Kısa sürede otomatik kilit ayarlayın. Güçlü PIN veya parola kullanın. Biyometrik (parmak izi, yüz tanıma) hız ve güvenlik dengesi sağlar.
Uygulama İzinleri
Mobil uygulamaların erişim izinlerini düzenli gözden geçirin. Gereksiz izinleri kaldırın. Konum, mikrofon, kamera erişimi dikkatle verilmeli.
Yazılım Güvenliği
Güncelleme Disiplini
Yalnızca işletim sistemi değil tüm yazılımlar güncel tutulmalı. Tarayıcı, ofis uygulamaları, medya oynatıcıları hedef olabilir.
Parola yöneticinizi de güncel tutun. Kritik bir güvenlik yazılımı olarak en son yamaları almalı.
Güvenilir Kaynaklardan İndirme
Yazılımları resmi sitelerden veya onaylı uygulama mağazalarından indirin. Torrent veya şüpheli sitelerden kaçının.
Tarayıcı eklentilerini sınırlı tutun. Her eklenti potansiyel risk. Yalnızca gerçekten kullandıklarınızı tutun.
Antivirüs ve Güvenlik Yazılımları
Windows Defender çoğu kullanıcı için yeterli. Üçüncü parti antivirüs ek özellikler sunabilir ama zorunlu değil.
Dikkatli davranış herhangi bir yazılımdan daha etkili. Sosyal mühendislik saldırıları teknik savunmaları atlatır.
Sosyal Medya ve Gizlilik
Paylaşım Dikkatı
Sosyal medyada paylaştığınız bilgiler saldırganlar için istihbarat kaynağı. Doğum tarihi, evcil hayvan adı, mezun olunan okul gibi bilgiler parola ipuçları veya kimlik doğrulama soruları için kullanılabilir.
Konum paylaşımı hırsızlık riski oluşturabilir. Tatildeyken gerçek zamanlı paylaşım evinizin boş olduğunu duyurur.
Gizlilik Ayarları
Her platformun gizlilik ayarlarını gözden geçirin. Profilinizi kimlerin görebildiğini kontrol edin. Arkadaş listesi, konum geçmişi ve etiketleme izinlerini yönetin.
Üçüncü Parti Uygulamalar
Sosyal medya hesabınızla giriş yaptığınız uygulamaları düzenli denetleyin. Kullanmadığınız uygulamaların erişimini kaldırın.
Olay Müdahalesi
Tüm önlemlere rağmen bir güvenlik olayı yaşanabilir. Hızlı ve doğru müdahale hasarı sınırlar.
Hesap İhlali Durumunda
- Parolayı hemen değiştirin (mümkünse)
- Diğer hesaplardan çıkış yapın (tüm oturumları sonlandır)
- MFA'yı kontrol edin veya etkinleştirin
- Bağlı uygulamaları denetleyin
- Aynı parolayı kullanan diğer hesapları da değiştirin
- Hesap aktivitelerini gözden geçirin
Fidye Yazılımı Durumunda
- Cihazı ağdan hemen ayırın
- Fidye ödemeyin (ödeme geri yükleme garantisi vermez)
- Yedeklerden geri yükleme yapın
- Yetkililere bildirin
- Gelecekte koruma için güvenlik değerlendirmesi yapın
Veri İhlali Bildirimi Aldıysanız
- Etkilenen hesabın parolasını değiştirin
- Aynı parolayı kullanan diğer hesapları değiştirin
- Kredi kartı veya banka bilgisi sızdıysa finans kuruluşunuzu bilgilendirin
- Hesap aktivitelerini yakından izleyin
Sık Sorulan Sorular
VPN kullanmak yasal mı?
Türkiye dahil çoğu ülkede VPN kullanımı yasal. Ancak VPN ile yapılan yasadışı aktiviteler yine yasadışı.
Antivirüs programı yeterli mi?
Antivirüs önemli ama tek başına yetersiz. Güncellemeler, MFA, güçlü parolalar ve dikkatli davranış bir bütün oluşturur.
Halka açık Wi-Fi'da banka işlemi yapabilir miyim?
VPN kullanarak ve HTTPS'den emin olarak yapılabilir. Ancak mümkünse mobil veri tercih edin.
Parola yöneticisine güvenmek riskli değil mi?
Yüzlerce zayıf veya tekrar eden parola kullanmaktan çok daha güvenli. Güvenilir parola yöneticileri sıfır bilgi mimarisi kullanır, şifrelenmiş verilerinizi okuyamazlar.
Fidye ödersem verilerimi alabilir miyim?
Garanti yok. FBI ve güvenlik uzmanları ödeme yapmamanızı önerir. Ödeme suç örgütlerini finanse eder ve sizi tekrar hedef yapar.
İki faktörlü doğrulama için SMS yeterli mi?
Hiç yoktan iyidir ama en zayıf yöntemdir. SIM swap saldırılarına açık. Authenticator uygulamaları veya donanım anahtarları çok daha güvenli.
0 Yorum
Yorum Yaz