E-postanızın sızdırılıp sızdırılmadığı nasıl kontrol edilir

Veri ihlalleri, e-posta adresinizin internete sızdırılmasının en yaygın yoludur. Bu durum, adresinizin çevrim içi forumlarda, karanlık webde ve diğer halka açık alanlarda görünmesine neden olabilir. 2022 yılına ait bir IBM raporuna(yeni pencere) göre, bir ele geçirilme durumunu belirlemek ve kontrol altına almak ortalama 277 gün sürer; bu da saldırganların kişisel verilerinize sahip olduğunu fark etmenizden önce dokuz ay geçebileceği anlamına gelir. Bu durum, çevrim içi gizliliğiniz ve güvenliğiniz için ciddi bir tehdit oluşturur.

Bir e-posta sızıntısının etkisini sınırlamanın tek yolu, kişisel verilerinizin tehlikeye atılıp atılmadığını düzenli olarak kontrol etmektir. Bu makalede, e-postanızın sızdırılıp sızdırılmadığını nasıl kontrol edebileceğinizi ve bu konuda neler yapabileceğinizi görüntülüyoruz.

• E-postanız sızdırılırsa ne olur? 
• E-posta sızıntısı nasıl kontrol edilir
• E-posta sızıntılarından kendinizi nasıl korursunuz
• Güvenli bir e-posta hizmeti sağlayıcı seçin

E-postanız sızdırılırsa ne olur?

Veri ihlallerinde ifşa olan kişisel veriler her an karanlık webde görünebilir ve kurbanlar için pek çok soruna yol açabilir. Siber suçluların e-postanızı ve parolanızı ele geçirmesi durumunda olabilecekler aşağıda belirtilmiştir.

Artan istenmeyen ve kimlik avı girişimi e-postaları

E-postanızın sızdırıldığına dair en büyük uyarı işaretlerinden biri, gelen kutunuzdaki istenmeyen e-postalarda ve kimlik avı girişimi e-postalarında görülen ani artıştır. Çoğu istenmeyen e-posta sadece can sıkıcı olsa da kimlik avı girişimi e-postaları daha tehlikelidir. Kimlik avı dolandırıcıları, sizi kişisel bilgilerinizi ifşa etmeniz için kandırmak amacıyla kredi kartı şirketiniz veya sağlık hizmeti sağlayıcınız gibi yasal bir gönderici gibi davranırlar.

Diğer bir yaygın hile ise bilgilerinizi sızdıran hizmetin kimliğine bürünmektir. Örneğin, Twitter 2022’nin sonlarında 200 milyondan fazla e-postayı sızdırdı(yeni pencere) ve saldırganların, hizmetten gelen yasal bir e-posta gibi görünmesini sağlamak için gerekli tüm bilgileri dahil etmeleri oldukça kolaydır. Burada, onaylanmış hesaplara sahip Twitter kullanıcılarını hedef alan “hedefli kimlik avı” saldırılarının bir örneğini görebilirsiniz.

https://twitter.com/zackwhittaker/status/1587188619000922112?s=20

Neyse ki, genellikle sadece biraz sağduyu ile kendinizi kimlik avı dolandırıcılıklarına karşı koruyabilirsiniz. Garip ifadeler içeren cümlelere dikkat edin, size iletiyi gönderen kişinin e-posta adresini yakından inceleyin ve e-postanın yasal olduğunu onaylamak için onlara başka bir kanal üzerinden ulaşın.

Bir e-postanın kimlik avı girişimi olduğundan şüphelenirseniz, hiçbir bağlantıyı veya ek dosyayı açmayın ve e-postayı derhal e-posta hizmeti sağlayıcınıza bildirin.

Hesap ele geçirme saldırıları

E-posta parolanız da bir veri ihlalinde sızdırıldıysa, bir korsan bir hesap ele geçirme saldırısıyla e-posta hesabınızın kontrolünü ele geçirebilir. Genellikle, gelen kutunuzdaki bilgileri çevrim içi bankacılık veya sosyal medya hesaplarınız gibi diğer, daha hassas hesaplara erişmek için kullanırlar. Hatta e-postalarınızı kullanarak size şantaj yapabilirler veya hesaplarınıza yeniden erişim sağlamanız için sizi bir fidye ödemeye zorlayabilirler.

Kimlik hırsızlığı

Bir e-posta sızıntısının olası bir diğer sonucu da kimlik hırsızlığıdır. Kimlik hırsızlığı, bir korsanın diğer kişileri ve kuruluşları siz olduğunuza inandırarak kandırmak için kişisel verilerinizi kötüye kullanmasıyla gerçekleşir. Şunları yapabilirler:

• Adınıza yeni abonelikler ve sözleşmeler için hesap açabilirler
• Ayrıntılarınızla yeni kredi kartları, krediler ve banka hesapları için başvuruda bulunabilirler
• Sahte satın alımlar yapabilirler 
• Siz olduğunuzu iddia edip arkadaşlarınızdan ve ailenizden para isteyebilirler
• Ayrıntılarınızı kullanarak suç işleyebilirler

Kimlik hırsızlığının yıkıcı sonuçları vardır; kariyerinize ve itibarınıza ciddi şekilde zarar verebilir, hatta bir sabıka kaydıyla karşı karşıya kalmanıza neden olabilir.

E-posta sızıntısı nasıl kontrol edilir

Veri ihlallerinin ne kadar yaygın olduğu göz önüne alındığında, e-postanızın sızdırıldığına dair işaretleri düzenli olarak izlemek çok önemlidir. Bunu yapmanın harika bir yolu, web güvenliği danışmanı Troy Hunt tarafından insanların kişisel bilgilerinin tehlikeye atılıp atılmadığını kontrol etmelerine yardımcı olmak için tasarlanmış bir site olan Have I Been Pwned (HIBP) veri tabanında(yeni pencere) e-posta adresinizi aramaktır. HIBP, e-posta adresinizi, telefon numaranızı ve parolanızı aramanıza olanak tanır.

E-posta adresinizi veya telefon numaranızı aramak için:

1. Have I Been Pwned sitesine(yeni pencere) gidin.
2. Arama çubuğuna e-posta adresinizi veya telefon numaranızı yazın ve pwned? düğmesine tıklayın.

Parolanızı aramak için:

1. Have I Been Pwned sitesine(yeni pencere) gidin.

3. Üst gezinti menüsünde bulunan passwords (parolalar) öğesine tıklayın.
4. Arama çubuğuna parolanızı yazın ve pwned? düğmesine tıklayın.

Sonuçlar nasıl yorumlanmalıdır?

E-posta adresiniz ve telefon numaranız ele geçirilmemişse şu iletiyi görürsünüz:

Öte yandan, bilgilerinizin sızdırıldığını fark ederseniz bunun yerine şu iletiyi görürsünüz:

Bir e-posta sızıntısının kurbanı olduğunuzu fark ederseniz, kendinizi derhal korumak için şu adımları uygulayın.

E-posta sızıntılarına karşı kendinizi nasıl korursunuz

Parolalarınızı değiştirin

E-postanızın sızdırıldığını keşfettikten sonra yapmanız gereken ilk şey, etkilenen hesaplardaki parolaları değiştirmektir. Bu, tüm hesaplarınız için güçlü ve benzersiz bir parola kullandığınız varsayıldığında geçerlidir. Birden fazla hesap için aynı parolayı kullandıysanız ve bu hesaplardan biri sızdırılmış veya etkilenmişse, bu parolayı kullandığınız her yerde değiştirmelisiniz. Parolaları yeniden kullanmamanız için bir neden daha — bu durum, bir ele geçirilme durumunda kurtarma sürecini daha zor hale getirir.

Birden fazla güçlü ve benzersiz parolayı hatırlamanızı kolaylaştırmak için açık kaynaklı bir parola yöneticisi kullanmanızı öneririz.

Parola yöneticileri, çevrim içi hesaplarınızın her biri için otomatik olarak karmaşık parolalar oluşturur ve saklar, bu da bilgisayar korsanlarının bunları kırmasını zorlaştırır. Tek yapmanız gereken, parola yöneticinizde oturum açmanızı sağlayan bir ana parolayı hatırlamaktır.

İki adımlı doğrulamayı kullanıma alın

Çevrim içi hesaplarınızın e-posta adreslerini ve parolalarını değiştirirken, mümkün olan her yerde iki adımlı doğrulamayı (2FA) da etkinleştirmelisiniz. İki adımlı doğrulamayı kullandığınızda, oturum açarken parolanızın yanı sıra ek bir doğrulama gerektirerek hesabınızı yetkisiz erişime karşı korursunuz. Bu genellikle bir güvenlik anahtarı veya mobil aygıt gibi sahip olduğunuz bir şey ya da yüz iziniz veya parmak iziniz gibi biyometrik bir veridir.

Güvenlik anahtarları, ayrıca 2FA anahtarları veya donanım anahtarları (örneğin YubiKeys(yeni pencere)) olarak da bilinir ve iki adımlı doğrulamanın en güvenli biçimlerinden biridir. Mobil aygıta yüklenen bir kimlik doğrulama uygulaması tarafından oluşturulan tek kullanımlık kodların aksine, güvenlik anahtarları taklit edilemez, zamana bağlı değildir ve bir mobil aygıta erişim gerektirmez. USB anahtarları oldukları için bu güvenlik anahtarlarını anahtarlığınıza kolayca ekleyebilir ve gittiğiniz her yere yanınızda götürebilirsiniz. Ne yazık ki tüm hizmetler güvenlik anahtarlarını desteklememektedir.

Kişilerinize haber verin

Kişilerinizin, e-posta adresinizi kullanan (veya kullanıyormuş gibi görünen) kimlik avı girişimlerine kanmasını önlemek için onlara sizden geliyormuş gibi görünen tuhaf e-postalar alabileceklerini bildirmelisiniz.

Sızıntıdan önce e-posta hesabınızda iki adımlı doğrulamayı kullanıma aldıysanız ve bilgisayar korsanının kimlik doğrulama uygulaması veya güvenlik anahtarınıza erişimi olmadığından eminseniz bu adımı atlayabilirsiniz.

Banka ve kredi kartı ekstrelerinizi inceleyin

Tanımadığınız ödemeler, büyük satın almalar ve hatta fatura adresinizdeki değişiklikler gibi olağan dışı etkinlikleri belirlemek için banka ve kredi kartı ekstrelerinizi de gözden geçirmelisiniz. Suçlular bazen daha büyük işlemler yapmaya çalışmadan önce 1 veya 2 dolarlık küçük “test ödemeleri” yaparlar.

Herhangi bir şüpheli etkinlik tespit ederseniz bunu derhal bankanıza veya kredi kartı sağlayıcınıza bildirin. Genellikle bankanız veya kredi kartı şirketiniz size yeni bir banka hesabı veya kredi kartı tanımlayacak ve eski olanı kapatacaktır.

E-posta takma adlarını kullanın

E-posta takma adı kullanmak, özellikle bir e-posta sızıntısından sonra çevrim içi gizliliğinizi korumak için faydalı bir stratejidir. Bir e-posta takma adı kullanarak, birincil e-posta adresinizi güvenli tutabilir ve çevrim içi ortamda verdiğiniz kişisel bilgi miktarını sınırlayabilirsiniz. E-posta takma adlarını iki şekilde oluşturabilirsiniz:

• Artı (+) işareti ekleyerek: Kullanıcı adınıza “+birşey” ekleyin. Örneğin e-posta adresiniz bobsmith@proton.me ise e-posta takma adınız bobsmith+finances@proton.me olabilir. Bu işlem, e-posta alt adresleme olarak bilinir. 
• Farklı bir kullanıcı adıyla yeni bir e-posta takma adı oluşturarak: Farklı çevrim içi hesaplar için tamamen yeni e-posta takma adları oluşturabilirsiniz.

Not: Tüm e-posta hizmeti sağlayıcıları bu özellikleri desteklemez. Proton Mail bu desteği sunar ve biz ayrıca ücretsiz olarak +takma adlar da sağlıyoruz.

Kullanışlı ve pratik olsa da bir saldırgan gerçek e-posta adresinizi e-posta alt adresinizden kolayca ayıklayabilir ve bunu istenmeyen e-posta kampanyalarında kullanabilir. Bir e-posta alt adresi kullanmanız gerekiyorsa bunun gerçek adınızı içermediğinden emin olun.

Otomatik olarak benzersiz e-posta takma adları oluşturun

Yeni e-posta takma adları oluşturmanın daha iyi yolu, bunları tek tek ayarlamaktır. Ancak günlük olarak kullandığımız çevrim içi hesapların sayısı göz önüne alındığında, hepsi için manuel olarak yeni e-posta takma adları oluşturmak imkansızdır. Ayrıca bu kadar çok gelen kutusunu düzenlemek ve yönetmek de tam bir operasyonel kabus olurdu.

Bu nedenle, bu adresleri oluşturmak için SimpleLogin by Proton(yeni pencere) gibi açık kaynaklı bir e-posta takma adı hizmeti kullanmanızı öneririz. SimpleLogin, çevrim içi bir hesap için her kaydolduğunuzda size anonim e-posta adresleri veren bir tarayıcı eklentisi, web uygulaması ve mobil uygulamadır. Takma adlarınıza gönderilen e-postalar anında gelen kutunuza iletilir.

SimpleLogin ile kendi özel takma adınızı oluşturabilir veya yazılımın otomatik olarak rastgele bir tane oluşturmasına izin verebilirsiniz. Artık bir takma adı kullanmak istemediğinize karar verirseniz onu kolayca silebilirsiniz.

Şüpheli bağlantıları ve ek dosyaları açmayın

Saldırganlar sizi sahte web sitelerinde kişisel verilerinizi açıklamaya veya bilgisayarınıza kötü amaçlı yazılım yüklemeye(yeni pencere) ikna etmek için genellikle kimlik avı e-postaları kullanır. Güvende kalmak için en iyisi yalnızca güvenilir göndericilerden gelen e-postaları ve ek dosyaları açmak ve sizi acil işlem yapmaya yönlendiren (hemen para göndermenizde ısrar etmek gibi) e-postalara karşı dikkatli olmaktır.

Şüpheye düştüğünüzde, resmi yardım hattını aramak gibi alternatif bir yöntemle göndericiyle iletişime geçin ve size bir e-posta gönderdiklerini doğrulamalarını isteyin. Bir kimlik avı e-postası ile karşı karşıya olduğunuzdan eminseniz bunu derhal e-posta hizmeti sağlayıcınıza bildirin.

Sızıntılara karşı e-posta adreslerinizi düzenli olarak izleyin

Olası e-posta sızıntılarını yakından takip etmek, kişisel bilgilerinizi ve çevrim içi kimliğinizi korumada büyük fayda sağlayabilir. Düzenli izleme, olağan dışı etkinlikleri ve güvenlik olaylarını hızlı bir şekilde tespit edip bunlara müdahale etmenize yardımcı olur.

Kişisel bilgilerinizin bir veri ihlalinde ele geçirilmesi durumunda bildirim almak için HIBP’nin “Beni bilgilendir” özelliğini de kullanabilirsiniz:

1. Have I Been Pwned sitesine(yeni pencere) gidin
2. Üst gezinti menüsünde bulunan Notify me (Beni bilgilendir) seçeneğine tıklayın
3. E-posta adresinizi yazın ve notify me of pwnage seçeneğini belirleyin

Alternatif olarak, en son veri sızıntılarını takip etmek için HIBP’nin Twitter hesabını(yeni pencere) takip edebilirsiniz. 1Password gibi ücretli bir parola yöneticiniz varsa 1Password’ün HIBP veritabanını düzenli olarak arayacağı ve oturum açma ayrıntılarınızdan herhangi birinin görünmesi durumunda sizi bilgilendireceği otomatik sızıntı tespiti güncellemelerini de ayarlayabilirsiniz.

Güvenli bir e-posta hizmeti sağlayıcı seçin

E-posta hizmeti sağlayıcınız, gelen kutunuza yetkisiz erişimi engellemede de kritik bir rol oynar. E-posta hesabınızı bilgisayar korsanlığı, kimlik avı girişimi ve kötü amaçlı yazılım gibi siber tehditlerden koruyan güçlü güvenlik önlemlerini uygulamakla sorumludur.

Dünyanın en büyük şifrelenmiş e-posta sağlayıcısı olarak Proton’daki en büyük önceliğimiz, çevrim içi gizliliğinizi korumak ve verilerinizin kontrolünü elinize almanızı sağlamaktır. Proton Mail kullandığınızda aşağıdaki güvenlik özelliklerinden yararlanabilirsiniz:

• Uçtan uca şifreleme: İletilerinizi sizden ve hedef alıcınızdan başka kimse okuyamaz. 
• Sıfır erişimli şifreleme: Sunucularımızda depolanan tüm veriler tamamen şifrelenmiştir. Bir korsan sunucularımızı ele geçirse bile e-postalarınızı okuyamaz.
• Ek e-posta takma adları: Ücretli bir Proton Mail tarifeniz varsa en az 10 ek e-posta takma adı oluşturabilirsiniz. Takma adlarınıza gönderilen tüm e-postalar her zamanki gibi gelen kutunuza düşer.
• Şüpheli etkinliği engelleme: Proton Mail’in güvenlik sistemleri, gelen kutunuza sızmaya çalışan biri gibi şüpheli bir davranış tespit ederse hesabınızı geçici olarak kilitler. Kimliğinizi bir doğrulama koduyla (yalnızca kurtarma e-posta adresinize veya telefon numaranıza gönderilir) kanıtlayabildiğinizde hesabınızın kilidi açılır.
• Güvenlik günlüklerini gözden geçirin: Proton Mail hesabı ayarlarınızda güvenlik günlüklerini gözden geçirebilir ve tüm aktif oturumların erişimini geçersiz kılabilirsiniz. Ayrıca güvenlik günlüklerindeki her bir etkinlik için IP adresini kaydeden gelişmiş günlükleri de kullanıma alabilirsiniz.
• Güçlü istenmeyen süzgeçleri: Akıllı istenmeyen e-posta algılama sistemimiz, istenmeyen e-postaları otomatik olarak algılar ve bunları istenmeyen klasörünüze yönlendirir. Daha ayrıntılı bir denetim için Engellenenler listenize e-posta adresleri ekleyebilir veya silebilirsiniz.
• İki adımlı doğrulama (2FA) ve güvenlik anahtarları: Proton Mail hesabınızı korumak için iki adımlı doğrulama özelliğini kullanabilirsiniz. Kimlik doğrulama uygulamaları, YubiKey ve diğer U2F/FIDO2 uyumlu anahtarlar tarafından oluşturulan geçici kodları destekliyoruz. 
• Kimlik avı koruması: Kimlik avı girişimi ile mücadele etmek için özel olarak tasarlanmış bir dizi gelişmiş özellik olan PhishGuard ile kimlik avına karşı koruma sağlıyoruz.
• Özel etki alanları için kimlik sahtekarlığı önleme önlemleri: Özel etki alanınıza yönelik kimlik sahtekarlığı saldırılarına karşı sizi korumak için SPF, DKIM ve DMARC yöntemlerini destekliyoruz. 

E-postalarınızı sızıntılara karşı izleyerek, güçlü parolalar uygulayarak ve Proton Mail tarafından sunulan güvenlik özelliklerinden yararlanarak, e-posta sızıntısı riskini azaltabilir ve kişisel verilerinizi siber tehditlere karşı güvende tutabilirsiniz.

Daha iyi ve daha güvenli bir internet oluşturma misyonumuzu desteklemek isterseniz, ücretsiz bir Proton Mail hesabı açmayı düşünebilirsiniz.