Yatırımcı İlişkileri
Kurumsal Bilgiler
Ortaklık Yapısı Ticaret Sicil Bilgileri Denetçi Bilgileri
Kurumsal Yönetim
Kurum Politikaları Kurumsal Yönetim İlkelerine Uyum Raporu Sermaye Artırımı Bilgileri Komiteler Kurumsal Yönetim Derecelendirme Raporu Özel Durum Açıklamaları Genel Kurul Bilgileri
Kurum Mevzuatı
Kuruluş Kanunu Esas Sözleşme
İştirakler
Kalkınma Girişim Sermayesi Portföy Yönetimi A.Ş. Kalkınma Yatırım Varlık Kiralama A.Ş. Birleşik İpotek Finansmanı A.Ş. JCR Avrasya Derecelendirme A.Ş. IVCI (İflas Nedeniyle) Tasfiye Halinde Arıcak Turizm ve Ticaret A.Ş. Maksan Malatya Makine Sanayii A.Ş. Takasbank İstanbul Takas ve Saklama Bankası A.Ş.
Finansal Raporlar
Yıllık Faaliyet Raporları Ara Dönem Faaliyet Raporları Denetim Raporları Yatırımcı Sunumu
Kredi Derecelendirme Notları
İletişim
Ürün ve Hizmet Ücretleri Bize Ulaşın EN
Anasayfa
Güvenlik Bilgilendirme Metni
Güvenlik Bilgilendirme Metni
Dijital Güvenlik Sözlüğü
L - M - P - S

L - M - P - S

L

LOCAL EXPLOIT

Local exploit, Linux sistemindeki bir kullanıcının belirli bir eylem dizisini gerçekleştirerek kök ayrıcalıkları kazanmasına izin veren bir güvenlik açığıdır. Exploit, genellikle ayrıcalıklı bir uygulama, root erişimi olan bir komutu çalıştırmadan önce kullanıcı üzerinde yeterli kontrollerin yapılmaması sonucunda meydana gelir.

Local Exploit Nedir?

Local exploit teknikleri hedeflenen bilgisayara erişim olduğunda çeşitli bileşenlerden yararlanmak için kullanılır. Örneğin, ayrıcalıkları yükseltmek için başarılı bir uzaktan saldırıdan sonra veya hedef makineye zaten erişim varsa tek başına local exploit kullanılabilir. Bu tür teknikler genellikle standart bir kullanıcının, daha ayrıcalıklı bir kullanıcının (sistem veya kök kullanıcı gibi) ayrıcalıklarına sahip olmasını sağlar. En kötü durumlarda ayrıcalıkları çekirdek düzeyine yükseltmenin bir yolunu sunar.Tüm exploitler aynı değildir. Birçoğu rastgele kod çalıştırmaya izin verirken bazıları yalnızca dosyaların okunmasına veya silinmesine izin verir. Örneğin, remote exploit bir ağ üzerinden çalışır ve güvenlik açığı olan sisteme önceden erişim olmaksızın güvenlik açığından yararlanır. Bu sayede harici bir makinede komut dosyaları çalıştırılabilir. Local exploit ise güvenlik açığı bulunan sisteme önceden erişim gerektirir. Exploit genellikle kodu çalıştıran kullanıcı hesabının ayrıcalıklarını artırmayı içerir. Yerel exploit’ler, önce bir kullanıcı hesabına ihtiyaç duyulduğundan sisteme izinsiz girişlere izin vermez. Ancak güçlü bir şifre politikası uygulanmıyorsa veya sistem web barındırma sunucuları gibi kullanıcı hesaplarını bir hizmet olarak sağlıyorsa kullanıcının bir sisteme erişmesi genellikle mümkündür.

Local Exploit Ne Demektir?

Local exploit, genellikle bellek bozulması, kötü izin yapılandırması ve mantıksal güvenlik açıklarından yararlanır. Memory corruption, yüksek ayrıcalıklarla çalışan yerel bir hizmette meydana gelen bellek bozulmasıdır. Exploit’in böyle bir güvenlik açığından yararlanma yeteneği işletim sistemi tarafından sunulan exploit korumasına bağlı olarak genellikle düşüktür. Kötü izin yapılandırılmasından kaynaklanan güvenlik açığı yerel bir hizmette oluşur. Ayrıcalıkların veya erişim kontrol listelerinin (ACL'ler) nesnelere yanlış uygulanmasından kaynaklanır. Local exploit teknikleri açısından mantıksal güvenlik açıkları bulunması en zor güvenlik açıklarıdır. Mantıksal bir güvenlik açığı genellikle ayrıcalıklı bir kaynağın tamamen yasal yollarla, tipik olarak antivirüsün kullandığı yollarla aynı şekilde ele geçirilmesine izin veren bir tasarım kusurudur.

 

M

MOBIL MALWARE

Mobil Malware özel verilere erişim sağlamak amacıyla akıllı telefonlar ve tabletler gibi mobil cihazları hedeflemek için özel olarak tasarlanmış kötü amaçlı yazılımdır. Bu yazılımlar bilgisayarlara saldıran kötü amaçlı yazılımlar kadar yaygın olmasa da büyüyen bir tehdittir. Özellikle şirketler açısından, çalışanlarının kişisel cihazlarını kullanarak kurumsal ağlara erişebilmesi, potansiyel olarak mobil malware saldırılarının ciddiyetini gösterir. ‘’Mobil Malware nedir?’’ konusunda bilinçlenmek bilgisayar korsanlarına karşı güvenliğinizi artırabilir.

Mobil Malware Ne Demektir?

Siber suçlular, mobil cihazlara ulaşmak için çeşitli Mobil Malware araçları kullanır. Pek çok kötü amaçlı yazılım türü olsa da Mobil Malware genellikle kullanıcının cihazına bilgisi dışında indirilen kötü amaçlı ve zararlı program olarak tanımlanır. Yazılımların çoğu cihazlara uygulamalar, özellikle üçüncü taraf uygulama mağazalarından indirilen veya cihazlara yandan yüklenen uygulamalar aracılığıyla ulaşır. Hassas verileri çalmak, cihaz işlevlerini kötüye kullanmak, fidye istemek ve ayrıca dolandırıcılık amaçlı trafik oluşturmak için Mobil Malware kullanılabilir. Örneğin Ransomware türü zararlı yazılımlar, erişilen sistemi kapatarak “fidye” ödeme talebinde bulunur. Kullanıcı fidyeyi ödediğinde, mobil cihazın kilidini açması için erişim kodları sağlanır. Kötü amaçlı kripto madenciliği yazılımları saldırganların kullanıcı cihazından hesaplamalar yapmasına ve böylece kripto para birimi oluşturmasına olanaklı hale getirir.

Mobile Malware Yöntemleri Nelerdir?

Saldırganların kötü amaçlı Mobile Malware kodlarını dağıtmak için kullandıkları en yaygın yöntemlerden biri, mobil kimlik avıdır. Kimlik avı, kullanıcıları hesap veya kişisel bilgilerini vermesi için kandırma uygulamasıdır. Kimlik avı geleneksel olarak e-posta yoluyla kimlik bilgileri edinmeye odaklanırken SMS mesajları (sms phishing) ve mesajlaşma uygulamaları yoluyla kimlik avı da yaygındır. Mağdurları kötü amaçlı yazılım yüklemeleri için kandırmanın popüler bir yöntemi, onlara SMS sahtekarlığı yoluyla saldırgan tarafından kontrol edilen web sitelerinde barındırılan Android Paketi (APK) dosyalarına bağlantılar göndermektir. Örneğin, kullanıcılardan "bankacılık uygulamasını güncellemeye" ikna etmek için tasarlanmış sahte bir bankacılık sitesine giden bir SMS bağlantısını tıklamaları istenebilir. Güncelleme daha sonra kötü amaçlı kodu yükleyerek saldırganın erişim kazanmasına ve kimlik bilgileri toplamasına izin verir. Mobil cihazlardaki zararlı yazılımlar Mobile Malware tarama araçları ile tespit edilebilir. Genellikle saygın siber güvenlik markaları tarafından piyasaya sürülen programlar antivirüs uygulamalarına benzer şekilde çalışır.

 

P

PENETRASYON TESTİ

Penetrasyon testi, bir kişi, kurum veya işletmenin dijital altyapısı ve bilişim sistemlerine yapılan bir tür kontroldür. Penetrasyon testinin amacı, kötü amaçlı kişi veya kişilerin ilgili bilişim sistemine saldırmaları durumunda söz konusu bilişim sisteminde bulunan açıklıkların tespit edilmesidir. Bu sayede bu siber açıklar kapatılarak kötü niyetli kişiler tarafından yapılması muhtemel saldırıların önüne geçilmiş olur. Peki, penetrasyon testi nedir?

Penetrasyon Testi Ne Demektir?

Penetrasyon testi, sızma testi olarak da bilinir. Bilişim altyapısına ve siber sisteme sızmak suretiyle ne gibi verilerin elde edilebileceği penetrasyon testi ile anlaşılır. Penetrasyon testi ile elde edilen bulgular neticesinde, varsa sızmanın mümkün olduğu güvenlik açıkları giderilir. Penetrasyon testleri, siber güvenlik uzmanları tarafından en etkili şekilde yapılabilir.

Penetrasyon Testi Hangi Yöntemlerle Uygulanabilir?

Bir penetrasyon testi yaptırmanın üç farklı yöntemi vardır. Bunlar; blackbox, whitebox ve graybox adı verilen yöntemlerdir. Blackbox yönteminde, penetrasyon testini yapacak olan siber güvenlik uzmanına ilgili sistemle alakalı hiçbir bilgi verilmez ve sisteme tamamen bir yabancı gibi sızmaya çalışması beklenir. Whitebox yönteminde, siber güvenlik uzmanına bilişim altyapısı ile alakalı tüm bilgiler verilir ve bu bilgileri de kullanarak penetrasyon testi yapması istenir. Graybox yöntemi ise her iki yöntemin bir karışımı gibidir. Bu yöntemde, siber güvenlik uzmanına bilişim altyapısı ile alakalı bazı ipuçları verilse de detaylar bildirilmez.

Penetrasyon Testi Çeşitleri Nelerdir?

Amaca göre birbirinden farklı penetrasyon test çeşitleri bulunur. Penetrasyon testi çeşitleri aşağıdaki gibi sıralanabilir:

  • Web Tabanlı Penetrasyon Testi: Bu penetrasyon testi, FTP, mail, DNS ve web gibi internet erişimi olan bilişim sistemleri üzerinde uygulanır.
  • Ağ Tabanlı Penetrasyon Testi: Ağ tabanlı penetrasyon testleri bilişim altyapısının kurulu olduğu yerel ağ üzerinde uygulanır.
  • Mobil Penetrasyon Testi: Mobil işletim sistemlerine sahip cihazlar üzerinde uygulanır.
  • Bulut Tabanlı Penetrasyon Testi: Kurum veya işletmenin bulut tabanlı olarak kullandığı sistemler üzerinde uygulanır.
  • Kaynak Kodların Analiz Edilmesi: Bilişim sistemleri üzerinde çalışan yazılımların kaynak kodlarının analiz edilmesi ile yapılan bir test türüdür.
  • DDoS Penetrasyon Testi: Sunucu ve internet sisteminin DDoS saldırıları karşısındaki durumunu ölçmek amacıyla uygulanır.
  • Wireless Penetrasyon Testi: Wireless ve benzeri kablosuz ağlara karşı gelebilecek saldırıların analiz edilmesi amacıyla uygulanır.
  • VOIP Penetrasyon Testi: Kullanılan VOIP sistemi üzerindeki açıklıkların tespit edilmesi amacıyla uygulanır.

PHREAKER

Phreak telefon ağlarını ve cihazlarını hacklemek için kullanılan argo bir terimdir. Phreaking saldırılarını yapan kişilere ‘’phreaker’’ denir. Telefon korsanlığı olarak da bilinen ‘’phreaking’’, telefon hırsızlığı, özel numara kodları ve bağlantılar aracılığıyla telefon ağlarının ve otomatik menülerin istismar edilmesidir. Örneğin, bir dolandırıcılık saldırısı, telefon ağlarına yetkisiz erişim sağlamayı ve ağ altyapısında gizli grup aramaları oluşturmayı içerebilir. Phreaking eski bir tekniktir ancak IP Üzerinden Ses (VoIP) ağlarının gelişmesiyle birlikte popülaritesi yeniden canlanmaktadır. ‘’Phreaker nedir’’ bilmek, telefon korsanlarının neden olduğu ciddi tehditlere karşı daha bilinçli olmanıza yardımcı olabilir.

Phreaker Ne Demektir?

Phreaker, telefon şebekesini "hacklemek" isteyenler için ilk olarak 60'ların sonunda kullanılmıştır. Freak (meraklı/ istekli) ve phone (telefon) kelimelerinden türetilmiştir. Kendi yetkisiz kullanımları için telefon sistemlerine yasa dışı ve gizli bir şekilde erişen profesyonel ve yüksek düzeyde organize PBX korsanlarına phreak ya da phreaker adı verilir. Günümüzde herhangi bir telekomünikasyon ağının güvenliğini kıran veya kırmaya çalışan herkesi kapsayacak şekilde kullanılır. Tipik phreaker telefon müşterilerine çeşitli hizmetler sağlamak için kullanılan tonlarla ilişkili çeşitli ses frekanslarını belirlemeye ve manipüle etmeye çalışır. Saldırılarda, ağı bir şekilde "kandırmak" için tasarlanmış özel olarak yapılmış bir "kutu" kullanılır. Farklı renklerle adlandırılan farklı kutular, farklı phreak yaklaşımları için kullanılır. Örneğin siyah kutular bir ev telefonundan, kırmızı kutular ise ankesörlü telefonlardan ücretsiz arama yapmak için kullanılır. Mavi kutu ise telefon sistemi üzerinde tam kontrol sağlar.

Phreaker Tehditleri Nelerdir?

Phreak, telefon teknolojilerinin analogdan dijitale dönüşmesi ile birlikte günümüzde daha çok VoIP sistemlerini hedef alır. IP üzerinden ses veya VoIP, telefon görüşmeleri yapmak için çevrimiçi altyapıya dayanan bir internet teknolojisidir. Phreaker'lar genellikle, tespit etme olasılığının en düşük olduğu saatlerde veya hafta sonlarında saldırır ve bunu yaptıklarında, yetkisiz arama trafiği yoluyla ürettikleri telefon faturaları genellikle normalden 10 ila 100 kat daha fazladır. Deneyimli bir phreaker telefon sisteminize eriştiğinde, telefon görüşmelerinizi dinleme, kendi seslerini aramalarınıza ekleme ve erişimi reddetme dahil olmak üzere telefon sistemini yeniden programlayabilir. Telefon sistemini çökertme, veritabanını bozma ve PBX'i yetkisiz aramalarla doldurarak erişimi kesme gibi tipik phreaking saldırıları özellikle kurumlar açısından ciddi zararlara neden olabilir.

 

S

SİBER GÜVENLİK

Siber saldırılar daha yaygın ve karmaşık hale geldikçe, kurumsal siber riski azaltmak için kapsamlı siber güvenlik çözümlerine ihtiyaç duyulur. Peki, siber güvenlik nedir? Siber güvenlik, bir organizasyonu ve çalışanlarını ve varlıklarını siber tehditlere karşı korumanın her yönünü ifade eder.

Siber Güvenlik Ne Demektir?

Siber güvenlik, bilgisayar sistemlerini, ağları, cihazları ve programları her türlü siber saldırıdan koruma ve kurtarma durumu veya sürecidir. Saldırganlar geleneksel güvenlik kontrollerini atlatmak için sosyal mühendislik ve yapay zeka tarafından desteklenen yeni yöntemler kullandığından, siber saldırılar hassas veriler için giderek daha karmaşık hale gelen bir tehlikedir. Yeni nesil siber saldırılar, siber güvenliğe yönelik eski yaklaşımlarla artık tespit edilemez. Modern kurumsal ağların, şirket içi altyapı ve çoklu bulut ortamlarına yayılması, BT altyapısı genelinde tutarlı güvenlik izleme ve politika uygulamasını çok daha zor hale getirir. Modern bir siber güvenlik altyapısı eğitimler, veri koruma ve üçüncü taraf risk yönetimi gibi birlikte çalışmak üzere tasarlanmış kapsamlı çözümlerden oluşur.

Siber Güvenlik Nasıl Sağlanır?

Siber güvenlik, birçok disiplini kapsayan geniş bir alandır. Örneğin çoğu saldırı ağ üzerinden gerçekleşir. Ağ güvenliği çözümleri bu saldırıları tespit edip engellemek için tasarlanır. Başlıca ağ güvenliği çözümleri arasında, güvenli web kullanım ilkelerini uygulamak için Veri Kaybını Önleme, Kimlik Erişim Yönetimi, Ağ Erişim Kontrolü ve Yeni Nesil Güvenlik Duvarı uygulama kontrolleri gibi veri ve erişim kontrolleri yer alır. Uç nokta güvenliği uygulamaları şirketlerin, bilgisayarlar gibi son kullanıcı cihazlarını kimlik avı ve fidye yazılımı koruması gibi gelişmiş tehditlere karşı güvence altına almasını sağlar. Kurumsal verilere erişimi olan mobil cihazlar, işletmeleri kötü amaçlı uygulamalar, kimlik avı ve IM (Anında Mesajlaşma) saldırılarından kaynaklanan tehditlere maruz bırakır. Mobil güvenlik uygulamaları hem saldırıları hem de cihazlara jailbreak yapılmasını engeller. Nesnelerin İnterneti (IoT) cihazları üretkenlik gibi önemli faydalar sağlarken, sistemleri yeni siber tehditlere maruz bırakır. Tehdit aktörleri, kurumsal bir ağa giden yol veya küresel bir bot ağındaki başka bir bot gibi kötü amaçlı kullanımlar için internet'e bağlanan savunmasız cihazlar başlıca hedeflerdir. IoT güvenliği bağlı cihazların keşfi ve sınıflandırılması, ağ etkinliklerini kontrol etmek için otomatik segmentasyon ve savunmasız IoT cihazlarına karşı istismarları önlemek için cihazları korur. Web uygulamaları, doğrudan internete bağlı diğer her şey gibi, tehdit aktörlerinin hedefidir. Uygulama güvenliği ile bot saldırıları önlenebilir, uygulamalar ve API'lerle her türlü kötü niyetli etkileşimi durdurulabilir.

SİBER İHBAR

İngilizce “Cyber” kelimesinden çevrilerek kullanılan “siber” kavramı temel olarak “bilgisayar ağlarına ya da internete ait olan” anlamına gelir. İnternetle ilgili tanımlamalarda da siber kelimesinden türetilen bir kavram olan “siber alem” tamlaması kullanılır. Dolayısıyla siber terimi bilişim dünyasının soyut altyapısı ile ilişkilidir. İnternet kullanımının artması sonucu ortaya çıkan risk ve tehlikeler de siber kelimesi ile birlikte tanımlanmaktadır. Siber suçlar, siber ihbar gibi kavramlar gün geçtikçe daha sık duyulmaktadır. Peki, bilişim suçları hangileridir ve siber ihbar nedir?

Siber İhbar Ne Demektir?

Bir siber suç şikayete bağlı suç ise, şikayet edildiğinde savcılık konuya ilişkin olarak soruşturma başlatır. Elde edilen bilgi ve belgeler neticesinde savcılık kovuşturmaya gerek olmadığına karar vererek takipsizlik isteyebilir. Takipsizlik kararı soruşturma dosyasının kapatılmasını ifade eder. Soruşturma neticesinde savcılık kovuşturmaya geçilmesini isterse konuya ilişkin bir iddianame düzenler ve iddianame ile birlikte kovuşturma aşamasına geçilir. Şikayete bağlı suçlarda dikkat edilmesi gereken şikayetin bir süreye bağlı olmasıdır. Dolayısıyla şikayet, şikayet süresi geçmeden yapılmalıdır. Bu süre, ilgili suçun Türk Ceza Kanunu’nda düzenlendiği maddede belirtilir. Bilişim suçlarının hepsi şikayete bağlı değildir. Bazı durumlarda şikayet olmaksızın siber ihbar üzerine savcılık soruşturma başlatır. Bir suç için şikayet öngörülmemişse kişiler, bulundukları yerdeki Cumhuriyet Başsavcılığı ya da Siber Suçlarla Mücadele Şube Müdürlüklerine bir şikayet dilekçesi ile ya da sözlü bir şekilde ihbarda bulunabilir veya suç duyurusunda bulunabilir. Yetkili savcılık suçun işlendiği yerde bulunan Cumhuriyet Başsavcılığı’dır. Bulunduğunuz yer ile suçun işlendiği yer farklı ise dilekçeniz suçun işlendiği yerdeki Cumhuriyet Başsavcılığı’na gönderilir.

Siber Suçlar Nelerdir?

Siber suç ya da bilişim suçu, bilişim sistemleri ya da veriler kullanılarak işlenen veya bilişim sistemlerine ya da verilere karşı işlenen suçu ifade eder. Siber suç, bilişim sisteminin ve verilerin işleyişine, güvenliğine veya bütünlüğüne karşı işlenen her türlü suçtur. Bilişim suçları Türk Ceza Kanunu’nda düzenlenmiştir. Bilişim sistemine girme, sistemi engelleme, bozma, verileri yok etme ya da değiştirme, banka ve kredi kartlarının kötüye kullanılması, hack ve yasak program kanunda düzenlenen bilişim suçlarıdır. Ayrıca Türk Ceza Kanunu’nda sayılmasa da niteliği dolayısıyla bilişim sistemleri veya internet üzerinden işlenebilen, yani bilişim sisteminin araç olarak kullanıldığı suçlar da bilişim suçları olarak tanımlanır. Buna bilişim sisteminin kullanılması aracılığıyla dolandırıcılık, hırsızlık, bahis oynanması gibi suç tipleri örnek olarak verilebilir.

SİBER SALDIRI

Siber saldırılar, her geçen gün yaygınlaşan suç türleri arasında yer alır. Çeşitli teknolojik aletleri hedef alarak sürdürülen çalışma kişilerin maddi ve manevi zararlara uğramasına neden olabilir. “Siber saldırı nedir?” öğrenmek ve kişisel önlemlerinizi almak yaşayacağınız sorunların önüne geçmenizi sağlayabilir.

Siber Saldırı Ne Demektir?

Siber saldırı, dijital bir sistemdeki açıkları kullanarak sızmak olarak tanımlanabilir. Amaç bilgi hırsızlığı olabileceği gibi sistemi çalışmaz hale getirmek ya da var olan içeriği değiştirmek de olabilir. Siber saldırılar farklı kaynaklardan gelebilir. Saldırgan kendisine kişisel çıkar sağlamak isteyen bir hacker olabileceği gibi politik düşüncelerini geniş kitlelere duyurmayı amaçlayan hacktivistler, ülkelerin güvenliğini riske atmak isteyen terör grupları da olabilir.

Siber Saldırı Yöntemleri

Saldırganlar amaçları ve sızmak istedikleri sisteme göre farklı teknikler kullanabilirler. Bu tekniklerden korunmak içinse bazı ipuçlarına dikkat etmenizde fayda vardır.

  • Kötü amaçlı yazılımlar kullanmak en çok kullanılan saldırı türleri arasında yer alır. Bu yazılımlar genellikle tanımadığınız kişilerden gelen mail ya da sosyal medya mesajlarını açtığınızda cihazınıza bulaşır. Ayrıca crackli yazılımları indirmek de cihazınızdaki açıkların tespitini kolaylaştırabilir. Sisteminize giren saldırganlar kimlik bilgilerinizi çalarak kişisel çıkarları için kullanabileceği gibi cihazınızdaki bilgilere erişi engelleyerek para talep edebilir ya da şantajda bulunabilirler.
  • SQL injection veri tabanlarını hedefleyen bir saldırı yöntemidir. Genellikle paylaşımlı sunucularda, sunucudaki bir yazılımdan sızma gerçekleştiren saldırganlar çeşitli kodlar aracılığıyla sistemi ele geçirebilir. Bu yöntemle erişim izni olmayan alanları görüntüleyebilir, veri tabanındaki tüm bilgileri silebilir ya da değiştirebilirler.
  • DDos saldırısı, genellikle internet siteleri ve sunucuların hedeflendiği bir yöntemdir. Sisteme sahte istekler gönderilir ve bu istekler sunucunun kaldırabileceğinden çok daha yüksek kapasiteli olur. Böylece sunucular kilitlenir ve internet sitesi ya da yazılıma ulaşmak mümkün olmaz. Sağlık sistemi gibi stratejik önemi bulunan ağlara yapılan Ddos saldırıları, ciddi mağduriyetlerin de ortaya çıkmasına neden olabilir.
  • Özellikle kamusal alanlarda kullanılan ortak ağlar, saldırganların cihazınıza sızmak için ihtiyaç duydukları zafiyeti sunar. Cihazınız ağa bağlanırken araya giren saldırgan, cihazınıza sızarak bilgilerinize erişebilir.
  • Kişilerin hesap bilgilerini ele geçirmek için kullanılan yöntemler e- dolandırıcılık kapsamında yer alır. Çeşitli kurumların sistemlerini taklit eden platformlarda paylaştığınız kredi kartı, oturum açma bilgileri gibi önemli veriler saldırganın eline geçer.

SİBER ŞANTAJ

Siber şantaj, özellikle son yıllarda artmış olup cinsiyet ayrımı yapılmadan kişilerin yanı sıra kurumlara karşı da gerçekleştirilebilir. Şantaj, gerçek yaşamda olduğu gibi dijital ağlarda da korkutucu olabilir. Ancak “Siber şantaj” nedir?” öğrenmeniz kendinizi nasıl korumanız gerektiği konusunda yol gösterici olabilir.

Siber Şantaj Ne Demektir?

Siber şantaj basit olarak dijital yöntemlerle bazı bilgilerinizin ele geçirilmesi ve sizden isteneni yapmadığınız takdirde ifşa ile tehdit edilmek şeklinde tanımlanabilir. Siber şantaj yasalara göre bir suçtur. Suçun gerçekleşmesi için tehdit ile istenenin sağlanması şart değildir. Tehdidin gerçekleşmesi yeterlidir.

Siber Şantajdan Korunma Yöntemleri

Siber şantajda en çok kullanılan yöntem kişilerin cihazlarına erişim sağlamaktır. Bunun için genellikle zararlı yazılımlar kullanılır ve kişiler rastgele seçilir. Lisanslı olmayan programlar ya da güvenilmeyen internet siteleri üzerinden cihazınıza virüs, trojan ya da solucan yüklenmiş olabilir. Bu sayede şantajcı cihazınızdaki kişisel bilgilere ulaşabileceği gibi ortamdaki ses ve görüntüleri de kayıt altına alabilir.

  • Cihazınızın güvenliğini sağlamak için şifrelerinizi belirlerken tahmin edilemeyecek şekilde olmasına özen gösterebilirsiniz.
  • Yalnızca lisanslı programları kullanmanız ve indirmelerinizi resmi internet siteleri üzerinden gerçekleştirmeniz önemlidir.
  • Cihazınızın yetkilendirmelerini kontrol edebilir ve mikrofon, kamera gibi araçların yalnızca izin verdiğiniz uygulamalarda kullanıldığından emin olabilirsiniz.
  • Mail adresinize ya da sosyal medya hesaplarınıza bilmediğiniz kişilerden gelen postaları açmamaya özen gösterebilirsiniz.
  • İnternette çok sayıda yetkisiz site bulunur. Banka, devlet kurumları gibi güvenilir kuruluşların adreslerini taklit ederler. Bu siteler üzerinden yapacağınız işlemlerde verdiğiniz bilgiler ise doğrudan saldırganların eline ulaşır. Bu nedenle kullandığınız sitelerin resmi adresler olmasına dikkat etmelisiniz.

Siber Şantaj CezasıSiber şantaj hukukta, kişinin yapmak istemediği bir şeyi yapmaya zorlanması için dijital kaynakların kullanılması olarak tanımlanır. Yargı sürecinin başlaması için mağdurun şikayette bulunması şart değildir. Şantajın tespit edilmesi durumunda dava süreci otomatik olarak başlar.Kişi siber şantaja maruz kaldıktan sonra 8 yıl içerisinde suç duyurusunda bulunmalıdır. Aksi takdirde zaman aşımına uğrar. Ancak dava açıldıktan sonra zaman aşımı söz konusu olmaz. Asliye ceza mahkemesinde görülen siber şantaj suçlarında uzlaşma da teklif edilemez.Şantaj suçunun işlendiğinin tespit edilmesi durumunda şantajcı 1 ile 3 yıl arasında hapis cezası ve 5000 güne kadar da adli para cezası alır.

SİBER SUÇLAR

Dünyada en hızlı büyüyen suç faaliyetlerinden biri olan çevrimiçi suçlar, hem bireyleri hem de işletmeleri etkiler. ‘’Siber suçlar nedir? sorusu geniş bir perspektiften yanıtlanabilir. Genel olarak çevrimiçi ortamda gerçekleşen veya teknolojinin saldırı için bir araç kullanıldığı birçok farklı suç türünü içeren genel bir terimidir. Siber suçlar insanları farklı şekillerde etkileyebilir ve çoğu durumda mağdurlar olanlardan dolayı endişeli ve korkmuş hisseder. Bu nedenle siber suçlar, hukuki yaptırımları olan suçlar olarak ele alınmakta ve kovuşturulmaktadır.

Siber Suçlar Ne Demektir?

Siber suç; dolandırıcılık, çevrimiçi görüntünün kötüye kullanımı, kimlik hırsızlığı veya tehdit ve yıldırma gibi suçları işlemek için bir bilgisayarın veya çevrimiçi ağın kullanılmasıdır. Siber suçlar farklı şekillerde işlenebileceği için tek bir siber suç kapsamı yoktur. Tipik olarak dijital bir sistemin hem hedef hem de saldırı aracı olarak kullanıldığı suçlarda, BT altyapısını bozmak için bilgisayar sistemlerine saldırı yapılır ve kötü amaçlı yazılım kullanarak bir ağ üzerinden veri çalma hedeflenir. Veri hırsızlığının amacı genellikle daha fazla suç işlemek içindir. Bununla birlikte internetin uyuşturucu ticaretini, insan kaçakçılığını ve diğer birçok 'geleneksel' suç türünü kolaylaştırmak için kullanılması gibi faaliyetler de siber suçlar kapsamında değerlendirilir. Yaygın görülen siber suçlar arasında kimlik hırsızlığı ve dolandırıcılık, çevrimiçi dolandırıcılık ve çevrimiçi görüntünün kötüye kullanımı gibi suçlar yer alır. Kimlik hırsızlığı, bir siber suçlunun para çalmak veya başka avantajlar elde etmek için kişisel bilgilere erişmesidir. Bu sayede suçlular sahte kimlik belgeleri oluşturabilir.

Siber Suçlular ve Bilgisayar Korsanları Arasında Fark Nedir?

Siber suçlular, dijital ortamda hassas ve önemli olabilecek verileri çalan ve bunları maddi çıkar sağlamak amacıyla kullanan kişilerdir. Siber suçlulardan farklı olarak bilgisayar korsanlığı her zaman siber suç kapsamında değerlendirilmez. Örneğin dünyanın önde gelen beyaz şapkalı bilgisayar korsanları, global şirketlerle işbirliği yaparak sistemlerin açıklarını keşfetmeye çalışır. Siber suçlular için amaç istismar üzerinden para kazanmaya yöneliktir. Becerilerini iyi amaçlar için kullanan beyaz şapkalı bilgisayar korsanları ise dijital güvenlik önlemlerini test edip geliştirerek şirketleri, hükümetleri ve tüketicileri korur.

SİBER TEHDİT

Siber tehdit, yalnızca kurumların değil, bireylerin de maruz kalabileceği bir sanal şiddettir. Oldukça geniş bir kapsamı bulunur ve ciddi sorunlara neden olabilir. Kendinizi korumak ve önlemlerinizi almak içinse “Siber tehdit nedir?” bilmek oldukça önemlidir.

Siber Tehdit Ne Demektir?

Siber tehdit, dijital olarak saklanan verilerin çalınması, değiştirilmesi ya da bozulması olaylarının tamamına verilen addır. Bilgisayarınıza giren basit bir virüs olabileceği gibi ulusal güvenliği tehdit altına alacak kapsamlı bir saldırı da olabilir.

Siber Tehditlerde Kullanılan Yöntemler

  • Şifre hırsızlıkları en çok kullanılan yöntemlerin başında yer alır. Bu yöntemde genellikle Brute Force saldırılardan faydalanılır. Özel yazılımlar ile hesaplarınıza ait şifreler denenir.
  • Veritabanlarına sızmak için SQL injection yöntemi kullanılabilir. Veritabanının açıklarından faydalanılarak çeşitli sorgular gönderilir. Bu sayede erişim izni olmayan sayfalara erişilmesi ya da sistemin tamamen silinip değiştirilmesi söz konusu olabilir.
  • İndirdiğiniz dosyalarda yer alan kötü niyetli yazılımların cihazınıza yüklenmesi sonrasında cihazınıza kolaylıkla sızılabilir. Virüs, solucan, trojan gibi yazılımlarla tüm hesap bilgileriniz ele geçirilebilir ya da ortam kaydı alınabilir.

Siber Tehdit Nereden Gelir?

Siber tehditlerin kaynağı ve amaçları değişiklik göstermekle birlikte bazı genellemeler yapılabilir.

  • Bilgisayar korsanları siber tehdit olaylarına en çok karışan kişilerdir. Cihazınızdaki ya da web sitenizdeki açıklardan faydalanarak sızma girişiminde bulunabilir. Amacı genellikle kendisi için çıkar sağlamaktır. Para talep edebileceği gibi bilgilerinizi kendi amaçları doğrultusunda da kullanabilir.
  • Hactivist’ler özellikle son yıllarda en çok karşılaşılan siber tehditler arasında yer alır. Sahip oldukları düşünceyi daha geniş kitlelere yaymak amacıyla sistemleri ele geçirerek mesajlarını verebilirler.
  • Kurumsal casuslar söz konusu olduğunda siber tehditler çok daha tehlikeli hale gelebilir. Şirketlerin gizli bilgileri ya da formüllerini çalabilecekleri gibi müşteri bilgilerini kamuoyuna sızdırarak prestij kaybına da neden olabilirler.

Siber Tehditlerden Nasıl Korunulur?

  • İşletmelerde personelin sahip olduğu erişim derecesini belirlerken dikkatli olmak önemlidir. Güvenliği riske atabilecek izinler vermemeye özen gösterilmelidir. 
  • İnternet sitelerinde SSL kullanılarak verilerin şifreli ağlar üzerinden gönderilmesi sağlanabilir.
  • Şifre güvenliğine dikkat edilmeli ve kolay tahmin edilir şifreler kullanılmamalıdır.
  • Her zaman lisanslı yazılımlar kullanılmalıdır. Ayrıca yazılımların güncellenmesi de güvenlik açıklarının kapatılması için şarttır.

SİBER TERÖR

Teknolojinin gelişmesi ve kullanılırlığının artması siber saldırıların da yaygınlaşmasına neden olmuştur. Pek çok hacker, kendi çıkarları için sistemlerin açıklarından faydalanarak ağlara ve yazılımlara sızabilir. Ancak siber terör, ciddi sonuçları olabilen çok daha tehlikeli saldırılardır. Peki, siber terör nedir? Korunmak için nasıl önlemler alınmalıdır?

Siber Terör Ne Demektir?

Siber terör, genellikle politik motivasyonlara dayanan ve devletlerin ya da stratejik öneme sahip kurumların ağlarına yapılan saldırılardır. Siber saldırı ile terör arasındaki en büyük fark, siber terörün amacının yüksek miktarda fiziksel ya da ekonomik zarar vermesidir. Siber terör eylemlerinde saldırganlar genellikle kamusal internet üzerinden devletin gizli ağlarına sızar. E-devlet gibi önemli web sitelerinin çalışmasını durdurmak, askeri teknoloji kontrolünde etkili sinyalleri pasif hale getirmek ya da üzerinde değişiklik yapmak, bölgenin elektrik ağlarını kesmek, sağlık sistemini çalışmaz hale getirmek gibi olaylar siber teröre örnek verilebilir.

Siber Terörde Kullanılan Yöntemler

Devletler ve toplum için üzücü sonuçlara neden olabilecek siber terörde kullanılan farklı yöntemler mevcuttur. Bu yöntemleri bilmek önlem almayı da kolaylaştırır.

  • Kimlik avı, siber saldırılarda en çok kullanılan yöntemlerin başında yer alır. Amaç öncelikle kişinin mail adresine ulaşmaktır. Bunun için genellikle en çok kullanılan şifreler ve kişisel bilgiler içeren denemeler yapılır. Çalışanların mail adresleri üzerinden ise kurumların ağlarına sızmak kolaylaşır. Bu durumun önüne geçmek için güçlü ve benzersiz şifreler kullanmak son derece önemlidir.
  • DOS saldırıları, bir ağ ya da sunucuya gönderilen yüksek trafiği ifade eder. Bu trafik nedeniyle sunucular kilitlenir ve kritik öneme sahip hizmetlerde aksama olabilir. Saldırının önüne geçmek için çeşitli güvenlik duvarlarından faydalanılabileceği gibi yurt dışı IP engellemesi de yapılabilir.
  • Cihazlara yüklenebilecek kötü amaçlı yazılımlar siber terörde sıklıkla kullanılır. Bu programlar genellikle lisanslı olmayan farklı uygulamalar üzerinden yüklenir ve kullanıcı farkında olmaz. Solucan, virüs, truva atı gibi yöntemler nedeniyle kamu hizmetlerinde aksama, askeri sistemlerde açıklar oluşması gibi durumlarla karşılaşılabilir. Bu sorunun önüne geçmek için kurumlar genellikle çalışanların yetkilerine kısıtlamalar getirmektedir.
  • Advanced persistent threat, en tehlikeli saldırı türlerindendir. Sistemin açıklarından faydalanılarak sızma gerçekleştirilir. Ancak genellikle bu sızma kurum tarafından fark edilmez ve uzun süre boyunca kurumun gizli bilgilerine erişilmesi mümkün olur.

SİBER ZORBALIK

Siber zorbalık çoğunlukla sosyal medya, e-posta, mesajlaşma uygulamaları ve oyunlar üzerinden gerçekleşen, kişileri utandırmak için zararlı veya kötü içerik gönderme veya paylaşma biçimidir. Bazen bu içerikler isimsiz olarak paylaşılarak siber zorbalığın daha da tehditkar bir hal almasına neden olur. Araştırmalara göre günümüzde 8 ila 17 yaş arasındaki her 5 gençten biri, siber zorbalığa uğrar. Failler genellikle mağdurla aynı yaştadır. Her cinsiyetten insan zorbalık yapabilir. Bununla birlikte cinsiyete göre zorbalığa neden olan davranışlar cinsiyete göre değişiklik gösterebilir. İstatistiklere göre söylentiler yayma gibi siber zorbalık davranışlarının kız çocuklarda, incitici resimler veya videolar yayınlama davranışının ise erkek çocuklarda görülme sıklığı daha yüksektir. Bununla birlikte ‘’siber zorbalık nedir?’’ konusunda farklı yorumlar olduğundan ve araştırmalar kendi kendini raporlamaya dayandığından, siber zorbalıkla ilgili istatistikler değişebilir.

Siber Zorbalık Ne Demektir?

Siber zorbalık, birinin başka bir kişiye çevrimiçi ortamda, örneğin bir sosyal medya sitesinde, e-posta veya mesaj göndererek zorbalık yapmasıdır. Zorbalık, bir kişi veya grup tarafından başka bir kişiye veya gruba zarar verme niyetiyle tekrarlanan davranışlardır. Siber zorbalık sosyal, psikolojik ve hatta aşırı durumlarda fiziksel zararı içerebilir. Küfürlü e-postalar ya da incitici mesajlar göndermek; çevrimiçi olarak başkalarını taklit etmek, dışlamak, kişiler hakkında sosyal medyada paylaşımlarda bulunmak, yanlış söylentiler yaymak, kişilerin izinleri olmadan çevrimiçi medya yayınlamak ya da çevrimiçi dedikodular yoluyla siber zorbalık yapılabilir. Zorbalık engellenmediğinde utanç, suçluluk, korku, geri çekilme, sosyal izolasyon, yalnızlık ve depresyona gibi ciddi sorunlara neden olabilir.

Siber Zorbalık Kimleri Hedef Alır?

Çevrimiçi ortamda gerçekleşen siber zorbalıktan sıklıkla çocuklar ve gençler etkilenir çünkü bu yaş grubunda rahatsız edici eylemlerden bilinçli bir şekilde kaçınmak zor olabilir. Kötü mesajlar, videolar ve dedikodular internette hızla yayılabilir ve tamamen ortadan kaldırılması genellikle zordur. Ekran görüntülerinin kopyaları kolayca oluşturulabilir ve başkalarıyla geniş çapta paylaşılabilir. Bu, siber zorbalığın hızlı ve kontrolsüz bir şekilde yayılmasını kolaylaştırır. Çoğu zaman, istismarcılar ya da saldırganlar, kimliklerini gizlemek için sahte veya anonim bir hesap kullandıkları için mağdur tarafından tanınmayabilir. Bu durum zorbalığı durdurmayı ve yetişkinlerin olaya müdahalesini zorlaştırabilir.

SİYAH ŞAPKALI HACKER

İnternet ağlarına izinsiz girerek saldırı gerçekleştiren kişiler hacker adı ile bilinir. Ancak aslında hacker’ların farklı türleri mevcuttur. Black hat hacker (siyah şapkalı hacker) da bunlardan birisidir. Peki, black hat hacker nedir?

Black Hat Ne Demektir?

Black hat (siyah şapka) teriminin kullanılmaya başlanması 1950’li yıllara dayanır. Western filmlerindeki kötü adamların siyah şapka takmasından esinlenerek kullanılmaya başlanan bir terimdir. Dijital çağda ise bilgisayar ağlarına kendi çıkarları için kötü niyetle sızan kişilere verilen addır. Black hat hacker (siyah şapkalı hacker)’lar çalışmalarını illegal olarak sürdürür ve herhangi bir kuruma resmi olarak bağlı değildir. Amaçları kişilerin ya da kurumların cihazlarına sızarak bilgi hırsızlığında bulunmak olabileceği gibi yazılımlara zarar verip kullanılmaz hale getirmek de olabilir. Çoğu zaman ise siber şantaj ile devam eder. Sistemin eskiye döndürülmesi ve bilgilerin kamuya açılmaması için para talep ederler.

Black Hat (Siyah Şapka) Teknikleri ve Korunma Yolları

Black hat hacker (siyah şapkalı hacker)’lar, kendi çalışma sistemleri ve amaçlarına uygun şekilde yöntemlerden faydalanabilirler. Bu yöntemleri bilmek ve önleminizi almak ise dijital güvenliğinizi sağlamak için oldukça önemlidir.

  • Black hat (siyah şapka) saldırılarında en çok kullanılan yöntemlerin başında şüpheli bağlantılar yer alır. Müzik dinlerken, program indirirken ya da güvenilmeyen sitelere girdiğinizde karşınıza çıkacak bağlantılara tıkladığınızda tüm bilgilerinizin ele geçirilmesine neden olabilirsiniz. Cihazınıza yüklenecek kötü yazılımlar sayesinde klavyenizden çıkan her karakter karşı tarafa ulaşabilir. Bu nedenle bilmediğiniz bağlantılara kesinlikle tıklamamalısınız.
  • USB içerisine bulaşan virüsler, cihazınıza virüs buluşmasına ve saldırılara açık hale gelmenize neden olabilir. Bu nedenle kendinize ait olmayan USB sürücülerini kullanmamanızda fayda vardır.
  • Cihaz kamerasına erişerek ortamdaki ses ve görüntülere ulaşarak gizliliğiniz ihlal edilebilir. Bunun için genellikle zararlı yazılımlardan faydalanılır. Kendinizi korumak için cihazınızın kamera ve mikrofonunu kullanabilen programları kontrol etmeli ve yalnızca ihtiyacınız olanlara izin vermelisiniz.
  • “12345”, “şifre”, “password” gibi şifreler dünyanın hemen her yerinde sıklıkla kullanılır. Black hat hacker (siyah şapkalı hacker)’lar da genellikle çok kullanılan ve içerisinde kişisel bilgiler barındıran şifrelerin zayıflığından faydalanarak cihazlara sızarlar. Cihaz ve hesaplarınızda aynı şifreleri kullanmamanız ve içerisinde mümkün olduğunca farklı karakterler kullanmanız önemlidir. Ayrıca çok faktörlü doğrulamalardan da faydalanabilirsiniz. Bu sayede hesabınıza girmek için şifrenizin bilinmesi yeterli olmaz. Aynı zamanda farklı bir doğrulama yöntemine daha ihtiyaç duyulur.

SPAM

Spam, toplu olarak gönderilen, her türlü istenmeyen dijital iletişimdir. Spam genellikle e-posta yoluyla gönderilir; fakat kısa mesajlar, telefon görüşmeleri veya sosyal medya yoluyla da dağıtılabilir. E-posta sağlayıcıları, istenmeyen postaları filtrelemede oldukça başarılıdır, ancak iletiler gelen kutunuza ulaştığında bunları bildirebilirsiniz. Ayrıca genellikle mesajı bildirmekle aynı adımda göndereni engellemeyi de seçebilirsiniz. İstenmeyen e-postalardan tamamen kaçınmak mümkün olmasa da ‘’spam nedir? bilgisine sahibi olmak, risklerden daha iyi korunabilirsiniz.

Spam Ne Demektir?

Çok sayıda alıcıya gönderilen veya çok sayıda yerde yayınlanan, istenmeyen ve genellikle ticari mesajlardan oluşan iletişim yöntemlerine spam adı verilir. Kötü amaçlı yazılım spam ya da malspam, cihazınıza kötü amaçlı yazılım dağıtan bir spam mesajıdır. Bir bağlantıyı tıklayan veya bir e-posta ekini açan şüphelenmeyen okuyucular; fidye yazılımı, Truva atları, botlar, bilgi hırsızları, kripto madencileri, casus yazılımlar ve tuş kaydediciler dahil olmak üzere bir tür kötü amaçlı yazılımla karşılaşır. Kötü amaçlı komut dosyaları sıklıkla bir Word belgesi, PDF dosyası veya PowerPoint sunusu gibi tanıdık türdeki bir dosyaya eklenir. Ek açıldığında, komut dosyaları çalışır ve kötü amaçlı yazılım aktif hale gelir. Spam mesajlarını toplu olarak göndermek için birçok iletişim biçimi kullanılır. Bunlardan bazıları, istenmeyen malları satan pazarlama mesajlarıdır. Diğer spam ileti türleri kötü amaçlı yazılım yayabilir, kişisel bilgilerinizi ifşa etmeniz için sizi kandırabilir veya kötü bir durumdan kurtulmak için ödeme yapmanız gerektiğini düşündürerek sizi korkutabilir. E-posta spam filtreleri bu tür mesajların çoğunu yakalar.

Spam ile Yapılan Başlıca Saldırılar Nelerdir?

Tipik spam türlerinden biri olan kimlik avı e-postaları, siber suçluların birkaç kişiyi "çekmeyi" umarak birçok kişiye gönderdiği bir tür istenmeyen e-postadır. Kimlik avı e-postaları, kurbanları, web sitesi oturumları veya kredi kartı bilgileri gibi hassas bilgileri vermeleri için kandırır. Phishing, en basit siber saldırı türüdür ve aynı zamanda en tehlikeli olanıdır. Sahte e-postalar, meşru bir göndericiden gelen bir e-postayı taklit eder veya sahtekarlık yapar. Yaygın e-posta sahteciliği spam mesajları, ödenmemiş bir faturanın ödenmesi talebi, şifrenizi sıfırlamak veya hesabınızı doğrulamak için bir istek ya da yapmadığınız satın alma işlemlerinin doğrulanması olabilir. Teknik destek dolandırıcılığında, spam mesajı teknik bir sorununuz olduğunu ve telefon numarasını arayarak veya mesajdaki bir bağlantıya tıklayarak teknik desteğe başvurmanız gerektiğini belirtir. E-posta sahtekarlığı gibi bu tür istenmeyen e-postalar genellikle Microsoft gibi büyük bir teknoloji şirketinden veya bilinen bir siber güvenlik şirketinden geldiğini söyler.

SQL INJECTİON

Günümüzde internet sitelerinin sayısı artmış ve hemen her firma tarafından kullanılmaya başlanmıştır. Ayrıca pek çok kişi de kendi web sitesini açmıştır. Ancak internet sitelerinin çoğalmasıyla birlikte ağ saldırıları da yaygınlaşmıştır. İnternet sitesine sızmak için en çok kullanılan yöntemlerin başında ise SQL injection gelir. “SQL injection nedir?” öğrenerek internet sitenizi korumak için gerekli önlemleri alabilirsiniz.

SQL İnjection Ne Demektir?

SQL, veri tabanlarını anlatmak için kullanılan bir terimdir. SQL injection saldırıları sunucu ya da kullanılan yazılımlarda bulunan açıklardan yararlanarak veri tabanına sızmayı amaçlayan yöntemler olarak tanımlanabilir. Bir hacker saldırıya geçmeden önce sitelerdeki açıkları tespit eder. Bunun için de çeşitli yöntemler bulunur. Örneğin Wordpress, Joomla gibi hazır sistemler kullanıyorsanız açık kaynak kodundan kullandığınız sürümü öğrenir ve bu sürümün açıkları üzerinden ilerlerler. Ayrıca paylaşımlı bir sunucu kullanıyorsanız diğer web sitelerinin kullandığı hosting’ler üzerinden de sızılması mümkündür.

SQL İnjection ile Neler Yapılabilir?

  • SQL injection yöntemi ile saldırganın sunucunuza giriş yapması mümkündür. Bu sayede saldırgan, veri tabanı kullanıcıları arasına kendisini ekleyerek web siteniz üzerinde sınırsız kontrol hakkına sahip olur.
  • İnternet sitenizdeki bazı bilgiler yalnızca özel kişilerin görüntülemesine açık olabilir. SQL injection ile saldırgan görüntülemesine izin olmayan sayfalara erişebilir.
  • SQL injection ile yapılabilecek en kötü işlemler arasında kredi kartı hırsızlığı gelmektedir. Özellikle e-ticaret siteleri bu konuda oldukça titiz çalışmalıdır. Aksi takdirde hesaplarda kayıtlı kredi kartlarına ulaşım sağlanarak kullanıcılar zor durumda bırakılabilir.
  • Veri tabanınıza sızan saldırganlar sitede yer alan bilgileri değiştirerek kendi istekleri doğrultusunda kullanabilirler. Bu yöntem genellikle hacktivist’ler ya da hacklink satışı yapan kişiler tarafından kullanılır.

SQL İnjection Korunma Yolları

  • İnternet sitenizi SQL injection ile yapılacak saldırılara karşı korumak için alabileceğiniz önlemlerin başında şifrelerinizin güvenliğini sağlamak gelir. Genellikle brute force denilen yöntemle şifreler ele geçirilerek siteye sızılır.
  • Kullandığınız hosting firmasının güvenilirliğinden emin olmalısınız. Ayrıca paylaşımlı hosting kullanacaksınız firmanın hizmetler arasında geçiş olmaması için güvenlik önlemleri alması önemlidir.
  • Her ne kadar kaliteli yazılımlar kullansanız da güvenlik açıkları olabileceğini göz önünde bulundurmalısınız. Ancak bu açıklar yeni gelen güncelleme ile kısa sürede çözülür. Bu nedenle kullandığınız yazılımları güncel tutmaya özen göstermelisiniz.