“HTTPS” güvenli demek değildir

Dürüst olalım; çoğu insan bir URL’nin sol tarafında “Güvenli” kelimesi ile birlikte yeşil bir kilit gördüğünde, sitenin güvenli olduğunu düşünür. “Bu site güvenli bir bağlantı kullanıyor” cümlesini veya “https” harfleri ile başlayan bir URL’yi gördüklerinde de aynı durum geçerlidir. Günümüzde giderek daha fazla site HTTPS’ye geçiyor. Aslında çoğunun başka seçenekleri yok. Öyleyse sorun ne? Ne kadar çok güvenli site bulunursa o kadar iyidir, değil mi?

Şimdi size küçük bir sır vereceğiz: “Güvenli” sembolü, web sitesinin tüm tehditlerden uzak olduğunu garanti etmez. Örneğin kimlik hırsızlığı yapan bir site, https adresinin yanında meşru olarak o iç rahatlatıcı yeşil kilidi ekleyebilir. Peki bu nasıl oluyor? Hadi öğrenelim.

Güvenli bağlantı, güvenli site anlamına gelmez

Yeşil kilit, siteye bir sertifika verildiği ve bunun için bir çift şifreleme anahtarı oluşturulduğu anlamına gelir. Bu tür siteler siz ve site arasında iletilen bilgileri şifreler. Bu durumda, sayfa URL’leri HTTPS ile başlar ve sondaki “S” harfi “Güvenli” ifadesini temsil eder.

Tabii ki iletilen verileri şifrelemek iyi bir şeydir. Bu, tarayıcınız ile site arasında alınıp verilen bilgilerin üçüncü kişiler (ISP’ler, ağ yöneticileri, davetsiz misafirler vb.) tarafından erişilebilir olmadığı anlamına gelir. Meraklı gözler konusunda kaygılanmadan şifreleri veya kredi kartı bilgilerini girmenizi sağlar.

Ancak sorun, yeşil kilidin ve verilen sertifikanın sitenin kendisi hakkında hiçbir şey ifade etmemesidir. Kimlik hırsızlığı yapan bir sayfa, kolayca sertifika alabilir ve sizinle kendisi arasındaki tüm trafiği şifreleyebilir.

Basitçe söylemek gerekirse, yeşil kilitin garantilediği tek şey, girdiğiniz veriyi başka kimsenin gözetleyememesidir. Ancak şifreniz yine de site tarafından (eğer sahteyse) çalınabilir.

Kimlik hırsızları bu yöntemi aktif olarak kullanıyor: Phishlabs‘a göre, günümüzde yaşanan kimlik hırsızlığı saldırılarının dörtte biri HTTPS sitelerinde gerçekleşiyor (bu oran, iki yıl önce yüzde 1’in altındaydı). Dahası, kullanıcıların yüzde 80’inden fazlası, yalnızca küçük bir yeşil kilidin ve URL’nin yanındaki “Güvenli” sözcüğünün varlığının, sitenin güvenli olduğu anlamına geldiğine inanıyor ve verilerini bu sitelere girmeden önce pek fazla düşünmüyor.

Peki kilit yeşil değilse?

Adres çubuğunda hiçbir kilit görünmüyorsa, bu web sitesinin şifreleme kullanmadığı, standart HTTP kullanarak tarayıcınızla bilgi alışverişinde bulunduğu anlamına gelir. Google Chrome, bu tür web sitelerini “güvensiz” olarak etiketlemeye başladı. Aslında zararsız olabilirler, ancak siz ve sunucu arasındaki trafiği şifrelemezler. Web sitesi sahiplerinin çoğu, Google’ın web sitelerini güvensiz olarak etiketlemesini istemiyor; bu nedenle giderek daha fazla site HTTPS’ye geçiyor. Hassas verileri HTTP sitesine girmek her zaman kötü bir fikirdir; çünkü isteyen herkes bunları gizlice görüntüleyebilir.

Görebileceğiniz ikinci bir işaret ise, kırmızı çizgiyle çapraz çizilmiş bir kilit simgesi ve kırmızı olarak işaretlenmiş HTTPS harfleridir. Bu işaret, web sitesinin sertifikasının bulunduğunu, ancak sertifikanın doğrulanmadığını veya zaman aşımına uğradığını gösterir. Diğer bir deyişle, sizinle sunucu arasındaki bağlantı şifrelidir, ancak hiç kimse bu alanın gerçekten sitede belirtilen şirkete ait olduğunu garanti edemez. En şüpheli senaryo budur; bu tür sertifikalar genelde yalnızca test amaçlı kullanılır.

Alternatif olarak, sertifika zaman aşımına uğramış ve site sahibi bunu henüz yenileyememişse, tarayıcılar sayfayı güvensiz olarak işaretleyecek, ancak daha görünür olarak, kırmızı kilitli bir uyarı görüntüleyecektir. Her iki durumda da, kırmızı uyarıyı olduğu gibi kabul edin ve bu siteleri kullanmaktan kaçının; hele kişisel verilerinizi bu sitelere asla girmeyin.

Tuzağa düşmemek için

Özetle, bir sitede sertifika ve yeşil kilit bulunması, yalnızca sizinle site arasında iletilen verilerin şifrelendiği ve sertifikanın güvenilir bir sertifika yetkilisi tarafından verildiği anlamına gelir. Fakat bu, hiçbir HTTPS sitesinin kötü amaçlı olmayacağı anlamına gelmez; bu da kimlik hırsızlığı dolandırıcıları tarafından çok ustaca manipüle edilen bir gerçektir.

Bu nedenle bir site ilk bakışta ne kadar güvenli görünürse görünsün, her zaman tetikte olun.

• Güvenilirliğinden emin olmadığınız sürece bir sitede oturum açma, parola, banka kimlik bilgilerinizi veya başka herhangi bir kişisel bilginizi asla girmeyin. Emin olmak için, her seferinde ve çok dikkatli bir şekilde alan adını kontrol edin; sahte sitenin adı yalnızca bir harfle farklılık gösterebilir. Ve tıklamadan önce bağlantıların güvenilir olduğundan emin olun.
• Olağandışı sitelerin sunduklarını, şüpheli görünüp görünmediğini ve bu sitelere kaydolmanızın gerçekten gerekli olup olmadığını her zaman dikkatlice değerlendirin.
• Cihazlarınızın iyi korunduğundan emin olun: Kaspersky Internet Security, URL’leri kapsamlı bir kimlik hırsızlığı siteleri veritabanıyla karşılaştırarak kontrol eder ve kaynağın ne kadar “güvenli” göründüğüne bakmaksızın dolandırıcılıkları tespit eder.