Çoğu insan siber saldırıyı devlet düzeyindeki operasyonlar veya Hollywood filmlerinde gördüğü gibi hayal eder, oysa gerçeklik çok daha basit ve acımasız: ortalama bir şirketin veya bireyin hedef alınması dakikalar alır, koruma yoksa da haftalar sürmeden veri çalınır.
Temel savunmanın başında şifre yönetimi gelir. "123456" veya "şifre" gibi parolalar kullanmak, kapısına yazı yapıştırarak "ben buradayım" demekle eş değerdir. Güvenli bir şifre en az 12 karakter içermeli, büyük-küçük harf, rakam ve sembol karışmalıdır. Daha önemlisi her platform için farklı şifre gerekir. İnsan hafızası bunu tutamayacağından, 1Password veya Bitwarden gibi şifre yöneticileri kullanılmalı; bu araçlar şifreleri şifreli depolayıp otomatik doldururlar.
İkinci katman iki faktörlü kimlik doğrulamadır (2FA). Telefonunuza gelen kod olmadan hesaba giriş mümkün değilse, şifrenizi çalsa bile saldırgan içeri alamaz. Gmail, Twitter, banka uygulamaları gibi kritik hesaplarda 2FA mutlak olmalıdır. SMS yerine authenticator uygulaması (Google Authenticator, Microsoft Authenticator) tercih edilmeli; SMS'ler SIM takas saldırılarına maruz kalabilir.
Yazılım güncellemeleri görmezden gelinmesi çok yaygın bir hata. Windows, macOS, iOS, Android'in her güncellenmesi güvenlik açıklarını kapatır. Saldırganlar bu açıkları biliyor ve çalıyor. Güncellemeleri hemen yapmamak, bilinen bir açıkla dolaşmak demektir.
Antivirus ve firewall kullanmak hala geçerli kalkan. Windows Defender yeterli korumasını sağlar, ekstra ücretli yazılıma gerek yoktur. Ağ güvenliği için router'ın varsayılan şifresini değiştirmek ve WPA3 şifrelemesi etkinleştirmek gerekir (eski WEP veya WPA2 yerine).
Son olarak, şüpheli e-postalara tıklamadan önce düşünmek lazım. "Hesabınız doğrulanmaktadır" başlıklı e-postalar genellikle sahte; banka asla bu şekilde e-posta göndermez. Gönderici adresini kontrol etmek, bağlantıya tıklamadan URL'yi görmek (fareyi üzerine getirmek) basit ama etkili bir savunmadır. Phishing e-postalar büyük ölçüde sosyal mühendislik üzerine kuruludur; insan faktörü en zayıf halka kalır.
Temel savunmanın başında şifre yönetimi gelir. "123456" veya "şifre" gibi parolalar kullanmak, kapısına yazı yapıştırarak "ben buradayım" demekle eş değerdir. Güvenli bir şifre en az 12 karakter içermeli, büyük-küçük harf, rakam ve sembol karışmalıdır. Daha önemlisi her platform için farklı şifre gerekir. İnsan hafızası bunu tutamayacağından, 1Password veya Bitwarden gibi şifre yöneticileri kullanılmalı; bu araçlar şifreleri şifreli depolayıp otomatik doldururlar.
İkinci katman iki faktörlü kimlik doğrulamadır (2FA). Telefonunuza gelen kod olmadan hesaba giriş mümkün değilse, şifrenizi çalsa bile saldırgan içeri alamaz. Gmail, Twitter, banka uygulamaları gibi kritik hesaplarda 2FA mutlak olmalıdır. SMS yerine authenticator uygulaması (Google Authenticator, Microsoft Authenticator) tercih edilmeli; SMS'ler SIM takas saldırılarına maruz kalabilir.
Yazılım güncellemeleri görmezden gelinmesi çok yaygın bir hata. Windows, macOS, iOS, Android'in her güncellenmesi güvenlik açıklarını kapatır. Saldırganlar bu açıkları biliyor ve çalıyor. Güncellemeleri hemen yapmamak, bilinen bir açıkla dolaşmak demektir.
Antivirus ve firewall kullanmak hala geçerli kalkan. Windows Defender yeterli korumasını sağlar, ekstra ücretli yazılıma gerek yoktur. Ağ güvenliği için router'ın varsayılan şifresini değiştirmek ve WPA3 şifrelemesi etkinleştirmek gerekir (eski WEP veya WPA2 yerine).
Son olarak, şüpheli e-postalara tıklamadan önce düşünmek lazım. "Hesabınız doğrulanmaktadır" başlıklı e-postalar genellikle sahte; banka asla bu şekilde e-posta göndermez. Gönderici adresini kontrol etmek, bağlantıya tıklamadan URL'yi görmek (fareyi üzerine getirmek) basit ama etkili bir savunmadır. Phishing e-postalar büyük ölçüde sosyal mühendislik üzerine kuruludur; insan faktörü en zayıf halka kalır.
00