Hesaplarınızın giriş ekranında veya “Şifremi Unuttum” adımında gördüğünüz o tanıdık görüntüyü bilirsiniz:
“Güvenlik kodunu şu numaraya gönderiyoruz: +44 7** *** ** 23” veya “Kod gönderildi: l*.design@*.com”
Pek çok kullanıcı bu maskelenmiş formatı güvenli bir koruma sanır ancak bu, modern internet çağının en büyük yanılgılarından biridir.
Saldırganlar eksik rakamları sırayla deneyerek bulmaz.
Onlar OSINT ve veri korelasyonu teknikleriyle dijital izlerinizi birleştirir.
Bu yazıda Londra’da yaşayan kurgusal karakterimiz Liam üzerinden maskelenmiş verilerin nasıl çözümlendiğini inceleyeceğiz.
Neden Saldırganlar Tahmin Etmez Brute-Force Neden İşe Yaramaz
“Hacker eksik rakamı 00’dan 99’a kadar dener” düşüncesi artık gerçek dışıdır.
Bunun nedeni: Rate Limiting.
Art arda gelen hatalı girişler bir süre sonra:
429 – Too Many Requests
hatasına düşer ve sistem saldırganı engeller.
Bu yüzden doğrudan tahmin denemek mantıksızdır.
Siber saldırganlar bunun yerine sızdırılmış veritabanlarını kullanır.
Asıl Tehdit: Veri Korelasyonu Tahmin Değil, Eşleştirme Yapılır
Saldırgan önce kurbanı analiz eder, sonra eski veri sızıntılarıyla eşleştirir.
Keşif Reconnaissance
Liam’ın herkese açık profilinden şu bilgiler toplanır:
- Ad: Liam Smith
- Konum: Londra
- Bio: “Freelance Graphic Designer — l*.design@*.com”
- Instagram ipucu: +44 7** *** ** 23
Elindeki bulmaca şuna döner:
“Bu e-postaya sahip ve numarası 23 ile biten kişi kim?”
Veri Madenciliği Data Mining
Saldırgan, dark web’de dolaşan eski veri sızıntılarını açar.
Basit bir sorgu yapar:
“Bu e-posta ile kayıtlı kullanıcıyı getir.”
Milyonlarca kayıt içinden saniyeler içinde sonuç gelir.
Doğrulama Validation
Eski sızıntıdaki bilgiler:
- E-posta: l*.design@*.com
- Telefon: +44 789 *** ** 23
Saldırgan sadece son iki haneye bakar: 23
Instagram’daki ipucu da: … 23
Artık numaradan %100 emin olur Maskelenmiş veri bir güvenlik değil, bir doğrulama aracına dönüşür.
Numara Bulunduğunda Ne Olur Sosyal Mühendislik Başlar
Numaranızın bulunması, hesabınızın hemen çalınacağı anlamına gelmez Ama saldırgan artık en tehlikeli silahı kullanabilir:
Kişiye özel oltalama (Spear Phishing)
Liam’a şu mesaj gelir:
GÖNDEREN: InstagramSecurity
“Sayın Liam, hesabınıza Londra’dan şüpheli bir giriş yapıldı.
Hesabınızın kapanmaması için doğrulama yapın.”
İsim doğru. Numara doğru.
Liam paniğe kapılır ve linke tıklar.
Hesap o anda ele geçirilir.
Nasıl Korunulur Dijital Hijyen Alışkanlıkları
Maskelenmiş veriler güvenlik sağlamaz Güvenliği sağlayan sizin davranışlarınızdır.
1. Bilgi Bölümlendirmesi (Compartmentalization)
- Ana e-postanızı asla sosyal medya biyosunda paylaşmayın.
- İş/iletişim için ayrı bir e-posta kullanın.
2. SMS Tabanlı 2FA Kullanmayın
SMS doğrulama artık en zayıf yöntemdir.
Bunun yerine:
- Google Authenticator
- Microsoft Authenticator
- Authy
- TOTP tabanlı uygulamalar kullanın.
3. Sızıntı Kontrolü Yapın (Breach Monitoring)
Aşağıdaki hizmetlerle düzenli kontrol yapın:
- haveibeenpwned.com
Sızıntı varsa o dönem kullandığınız şifreleri hemen değiştirin.
İnternet unutmaz yıllar önce girdiğiniz bir site, bugün sosyal medya hesabınızın kilidini açabilir.
Saldırganlar tahmin etmez,
bildiklerini birleştirir.
Dijital izlerinizi kontrol edin.
Güvende kalın.
Top comments (0)