Güvenli İnternet ve Web Kullanımı

Günlük Güvenlik Davranışları

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Google Safe Browsing her gün milyonlarca kullanıcıyı tehlikeli site uyarısıyla durduruyor ve aktif takip edilen oltalama (phishing) sitesi sayısı milyonları aşmış durumda. Tek bir yanlış tık, kurumsal ağa zararlı yazılımın açılan kapısı olabilir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste günlük işimizin merkezindeki web kullanımını güvenli hâle getirmeyi öğreniyoruz: HTTPS'in ne anlama geldiği (ve neyi GARANTİ ETMEDİĞİ), sahte/taklit siteleri tanıma, indirme ve eklenti riskleri, tarayıcı ayarları ve halka açık Wi-Fi tehlikeleri. Soldaki interaktif sahnede (secMalwareDefense3D) zararlı içeriğin tarayıcıya nasıl ulaştığını ve katmanlı savunmanın bu zinciri nasıl kırdığını adım adım dene; tehdit vektörünü görselleştirerek hangi davranışın hangi katmanı koruduğunu incele.

Anlatım

GÜVENLİ WEB KULLANIMI — NEDEN ÖNEMLİ? Tarayıcı, kurumsal verinin internete açılan ana penceresidir. Saldırıların büyük bölümü teknik bir zafiyetten değil, kullanıcının web üzerindeki bir kararından (yanlış siteye giriş, kötü dosya indirme, sahte uyarıya tıklama) başlar. Bu yüzden web hijyeni, ISO 27001:2022 Annex A kapsamındaki teknik ve insan-temelli kontrollerin günlük hayattaki ön cephesidir. 1) HTTPS VE KİLİT SİMGESİ — GERÇEKTE NE GARANTİ EDER? • HTTPS (TLS), tarayıcı ile sunucu arasındaki trafiği ŞİFRELER ve bütünlüğünü korur — aradaki birinin (örn. halka açık Wi-Fi'de) veriyi okuması/değiştirmesi zorlaşır. • ÖNEMLİ YANILGI: Kilit simgesi sitenin "güvenli/dürüst" olduğunu KANITLAMAZ. Bir oltalama sitesi de ücretsiz sertifika alıp HTTPS kullanabilir. Yani kilit = "bağlantı şifreli", DEĞİL "site güvenilir". • Doğru davranış: Adres çubuğundaki ALAN ADINI (domain) dikkatle oku. Asıl alan adı en sağdaki noktadan önceki kısımdır: "banka.guvenli-giris.com" aslında "guvenli-giris.com" sitesidir, banka değil. • "Bağlantı güvenli değil / sertifika hatası" uyarısını ASLA geçiştirme; özellikle giriş/ödeme sayfalarında geri dön. 2) SAHTE / TAKLİT SİTELERİ TANIMA (Typosquatting & Homograph) • Saldırganlar gerçeğe çok benzeyen alan adları kurar: "micr0soft.com" (o yerine sıfır), "paypa1.com" (l yerine 1), tireli/eklemeli türevler veya farklı uzantılar (.com yerine .co, .net). • Homograph saldırısı: Kiril/Yunan benzeri harflerle gözle ayırt edilemeyen alan adları. • İşaretler: acele ettiren dil ("hesabınız 24 saatte kapanacak"), bozuk Türkçe, beklenmedik giriş ekranı, çalışmayan bağlantılar, düşük kaliteli logo. • Doğru davranış: Hassas siteye (banka, e-posta, kurumsal portal) e-postadaki linkten DEĞİL, adresi elle yazarak veya kayıtlı yer iminden (bookmark) gir. YAPILMASI / YAPILMAMASI GEREKENLER (Do / Don't) YAP: • Tarayıcıyı ve eklentileri otomatik güncel tut (zafiyet yamaları kritik). • Yalnızca BT'nin onayladığı eklentileri kur; izinlerini (özellikle "tüm sitelerdeki verileri oku/değiştir") oku. • Dosyaları yalnızca resmî/bilinen kaynaktan indir; kurumsal antivirüs/tarama açık olsun. • Şüpheli URL'yi tıklamadan önce üzerine gelip (hover) gerçek hedefini gör. • İş ve kişisel tarayıcı profillerini/oturumlarını ayır. YAPMA: • Sertifika/güvenlik uyarısını "yine de devam et" diyerek geçme. • "Bilgisayarınız virüslü, hemen tara/ara" sahte pop-up'ına tıklama veya numara arama (teknik destek dolandırıcılığı). • Korsan yazılım, crack, "ücretsiz premium" sitelerinden indirme yapma (zararlı yazılım en sık buradan bulaşır). • Halka açık Wi-Fi'de VPN olmadan kurumsal sisteme/bankaya girme. • İş verisini kişisel bulut/çevrimiçi dönüştürücü sitelerine yükleme. 3) İNDİRME VE EKLENTİ GÜVENLİĞİ • En tehlikeli uzantılar yürütülebilir/makro içeren dosyalardır: .exe, .scr, .js, .bat, makro içeren .docm/.xlsm, parolalı .zip içindeki çalıştırılabilirler. • "Çift uzantı" tuzağı: "fatura.pdf.exe" — Windows uzantıyı gizlerse zararsız PDF gibi görünür. Dosya uzantısını gösteren ayarı açık tut. • Tarayıcı eklentileri geniş izin ister; kötü niyetli/ele geçirilmiş bir eklenti tüm gezinti ve form verinizi sızdırabilir. 4) TARAYICI VE OTURUM HİJYENİ • Otomatik kaydedilen parolaları kurumsal cihazda parola yöneticisi politikasına uygun kullan; ortak/paylaşımlı cihazda kaydetme. • İş bitince hassas oturumları kapat (logout); paylaşımlı bilgisayarda gizli/incognito pencere kullan. • Güvenli arama/Safe Browsing korumasını ve açılır pencere engelleyiciyi açık tut. 5) ISO 27001:2022 VE KVKK BAĞLANTISI • ISO 27001:2022 Annex A — A.5.10 (varlıkların kabul edilebilir kullanımı), A.6.3 (bilgi güvenliği farkındalık eğitimi), A.8.7 (kötü amaçlı yazılıma karşı koruma), A.8.8 (teknik zafiyet yönetimi/güncelleme), A.8.23 (web filtreleme) doğrudan güvenli web kullanımıyla ilgilidir. • KVKK (6698 sayılı Kanun) md.12: veri sorumlusu, kişisel verilerin hukuka aykırı erişimini önlemek için uygun teknik ve idari tedbirleri almakla yükümlüdür. Sahte siteye girilen kimlik/şifre veya zararlı yazılımla sızdırılan kişisel veri bir veri ihlalidir ve KVKK'ya göre Kurul'a ve ilgili kişilere bildirim gerektirebilir. • Özet ilke: Güvenli web davranışı bireysel bir alışkanlık değil, kurumun yasal ve sertifikasyon yükümlülüğünün parçasıdır.

📌 Senaryolar

📌 Senaryo 1 (HTTPS yanılgısı): E-postayla gelen "Kargonuz beklemede, ödemeyi tamamlayın" linkine tıkladınız; açılan sayfada kilit simgesi (HTTPS) var ve kredi kartı istiyor.
  Doğru davranış: Kilidi güvence saymayın. Adres çubuğundaki ALAN ADINI okuyun; kargo firmasının resmî alan adı değilse sayfayı kapatın, kart bilgisi girmeyin. Takibi firmanın resmî sitesine elle giderek yapın.
  Sonuç/Neden: HTTPS yalnızca bağlantıyı şifreler, sitenin dürüstlüğünü kanıtlamaz. Oltalama siteleri de ücretsiz sertifikayla kilit gösterebilir; gerçek koruma alan adını doğrulamaktır.

📌 Senaryo 2 (Taklit/typosquatting site): Acele bir işte tarayıcıya banka adresini yazarken yanlış yazıp "garantii-bank.com" gibi bir siteye düştünüz; sayfa gerçeğine birebir benziyor ve giriş bilgisi istiyor.
  Doğru davranış: Alan adının harf harf doğru olduğunu teyit edin; en ufak şüphede bilgi girmeyin, sekmeyi kapatın ve bankaya kayıtlı yer iminizden / resmî uygulamadan girin. Olayı BT/güvenlik ekibine bildirin.
  Sonuç/Neden: Saldırganlar yazım hatalarını ve benzer harfleri (typosquatting/homograph) kullanır. Hassas sitelere her zaman bookmark veya elle doğrulanmış adresle girmek bu tuzağı etkisiz kılar.

📌 Senaryo 3 (Sahte 'virüs' pop-up'ı — teknik destek dolandırıcılığı): Bir sitedeyken ekranı kaplayan "Bilgisayarınız 5 virüsle enfekte! Hemen bu numarayı arayın / bu aracı indirin" uyarısı ve siren sesi çıktı.
  Doğru davranış: Hiçbir şeye tıklamadan sekmeyi/pencereyi kapatın (gerekirse Görev Yöneticisi/Force Quit ile tarayıcıyı kapatın). Numarayı ARAMAYIN, önerilen "temizleyiciyi" İNDİRMEYİN. BT'ye haber verin ve kurumsal antivirüsle tarama isteyin.
  Sonuç/Neden: Bu pop-up'lar sahte korku (scareware) taktiğidir; aramak veya indirmek sizi dolandırıcıya bağlar ya da gerçek zararlı yazılımı kurar. Gerçek antivirüs uyarısı tarayıcı pop-up'ından gelmez.

📌 Senaryo 4 (Tehlikeli indirme): Bir forumdan ücretsiz bir PDF dönüştürücü indirdiniz; dosya adı "PDF_Converter_Setup.pdf.exe" ve indirir indirmez çalıştırmanızı istiyor.
  Doğru davranış: Çalıştırmayın. Çift uzantıyı (".pdf.exe" = aslında çalıştırılabilir dosya) fark edin, dosyayı silin ve ihtiyaç duyduğunuz yazılımı yalnızca BT onaylı/resmî kaynaktan, kurumsal yazılım kataloğundan edinin.
  Sonuç/Neden: Çift uzantı ve resmî olmayan kaynak, zararlı/fidye yazılımının en yaygın bulaşma yoludur. ISO 27001 A.8.7 (kötü amaçlı yazılıma karşı koruma) gereği indirmeler kontrollü kaynaklardan yapılmalıdır.

📌 Senaryo 5 (Halka açık Wi-Fi + iş verisi): Havaalanında ücretsiz açık Wi-Fi'ye bağlanıp kurumsal portala girip bir müşteri raporunu çevrimiçi ücretsiz bir dönüştürücü siteye yükleyecektiniz.
  Doğru davranış: Açık Wi-Fi'de kurumsal VPN olmadan hassas sisteme girmeyin; mümkünse telefonun mobil bağlantısını (hotspot) ve VPN'i kullanın. Müşteri verisini onaysız çevrimiçi sitelere ASLA yüklemeyin; dönüştürmeyi kurumun onayladığı araçla yapın.
  Sonuç/Neden: Açık ağda trafik dinlenebilir/araya girilebilir (man-in-the-middle); onaysız siteye yüklenen müşteri verisi KVKK md.12 kapsamında veri ihlali ve kontrol kaybı yaratır. VPN bağlantıyı şifreler, onaylı araç veri sahipliğini korur.

Özet

• HTTPS/kilit yalnızca bağlantıyı şifreler — sitenin güvenilir olduğunu KANITLAMAZ; her zaman alan adını doğrula. • Sahte/taklit siteler yazım hatası ve benzer harf kullanır; hassas sitelere link yerine elle adres veya yer iminden gir. • Sertifika/güvenlik uyarısını geçiştirme; sahte 'virüs' pop-up'larını arama/indirme — sadece kapat ve BT'ye bildir. • İndirmeleri yalnızca resmî/onaylı kaynaktan yap; çift uzantı (.pdf.exe) ve makro içeren dosyalara dikkat et. • Tarayıcı ve eklentileri güncel tut, sadece onaylı eklenti kur; açık Wi-Fi'de VPN'siz kurumsal sisteme girme. • Güvenli web davranışı ISO 27001 Annex A (A.6.3/A.8.7/A.8.23) ve KVKK md.12 yükümlülüğünün parçasıdır.

✅ Mini-Test (5)

1.Bir web sitesinin adres çubuğunda HTTPS kilit simgesinin bulunması aşağıdakilerden hangisini GARANTİ EDER?

2."micr0soft.com" (o harfi yerine sıfır) gibi gerçeğe çok benzeyen sahte alan adları kurma tekniğine ne ad verilir?

3.Bankanıza ait bir işlemi, e-postayla gelen bağlantıya tıklayarak değil, adresi elle yazarak veya kayıtlı yer iminden (bookmark) girmek daha güvenlidir.

4.İndirilen "fatura.pdf.exe" adlı bir dosya neden tehlikelidir?

5.Bir web sitesinde "Bilgisayarınız virüsle enfekte! Hemen bu numarayı arayın" diyen açılır pencere, gerçek bir antivirüs uyarısıdır ve verilen numara aranmalıdır.

🧩 Uygulama Soruları (5)

1.Kargo firmasından geldiğini iddia eden bir e-postadaki linke tıkladınız. Açılan sayfada HTTPS kilidi var ve kredi kartı bilgisi istiyor; ancak adres çubuğunda firmanın resmî alan adı yok. Ne yaparsınız?

2.Acele bir işte kurumsal portala girmek için havaalanındaki ücretsiz açık Wi-Fi'ye bağlandınız. En güvenli davranış hangisidir?

3.Bir tarayıcı eklentisi kurarken "Ziyaret ettiğiniz tüm sitelerdeki verileri oku ve değiştir" iznini istiyor. Doğru davranış nedir?

4.Tarayıcı, gireceğiniz sayfa için "Bu bağlantı güvenli değil / sertifika hatası" uyarısı veriyor ve bu bir kurumsal giriş sayfası. Ne yaparsınız?

5.Bir müşteri raporu PDF'ini hızlıca sıkıştırmak için bir e-postada önerilen "ücretsiz çevrimiçi PDF dönüştürücü" sitesine yüklemeniz isteniyor. En doğru davranış hangisidir?

← Temiz Masa / Temiz Ekran Fiziksel Güvenlik ve Erişim Ko →

← Tüm modüllere dön · Güvenlik Sözlüğü