Kaspersky, 2024 yılının ilk 10 ayında Avrupa genelinde 476 milyon, Türkiye özelinde 36 milyon web tabanlı tehdit tespit etti ve engelledi*. Web tabanlı tehditler, internet üzerinden zararlı olayları veya eylemleri tetikleyebilecek geniş bir siber risk yelpazesini kapsıyor. Kaspersky uzmanlarına göre bu tür riskleri barındıran önemli kaynaklardan birini dosya formatlarını dönüştürmek için ücretsiz çevrimiçi hizmetlerin kullanımı oluşturuyor. Bu web siteleri, örneğin bir *.pdf dosyasını *.doc'a veya bir *.heic resim dosyasını *.jpg'ye hızlı ve ücretsiz dönüştürme imkanı sunuyor. Dosya dönüştürme işiyle düzenli olarak uğraşan bireysel ve kurumsal kullanıcılar bunları genellikle aceleyle kullanırken, bu 'ücretsiz' araçlarla ilgili bazı riskleri gözden kaçırabiliyor.

Masaüstü ve mobil işletim sistemleri için bu dönüştürme görevlerini yerine getirebilen yazılımlar mevcut. Ancak bunlar genellikle birçok kullanıcının ödemek istemediği abonelik bedelleri gerektiriyor. Ayrıca kurumsal ortamlarda bu yazılımlar hızlı ve kolay kurulum için mevcut olmayabiliyor. Sonuçta da kullanıcılar ücretsiz çevrimiçi hizmetlere yöneliyor. Bununla birlikte görüntüleri, belgeleri ve diğer dosya türlerini dönüştürmek için ücretsiz çevrimiçi hizmetlerin kullanılmasıyla ilişkili ciddi siber güvenlik riskleri mevcut.

Aşağıda hem bireysel hem de kurumsal kullanıcılar için karşılaşılabilecek bazı potansiyel riskler yer alıyor.

1. Veri Gizliliği Riskleri

• Hassas bilgilerin açığa çıkması: Bu hizmetlere dosya yüklediğinizde, hassas veya gizli verileri hizmet sağlayıcıya ifşa etme riskiyle karşı karşıya kalırsınız. Dosyalar özel veya müşteri bilgileri içerebileceğinden, bu durum özellikle kurumsal kullanıcılar için endişe verici olabilir.
• Veri saklama politikaları: Birçok ücretsiz hizmet, yüklediğiniz dosyaları ne kadar süreyle sakladıklarını veya işledikten sonra silip silmediklerini açıkça belirtmez. Dosyalar potansiyel olarak süresiz olarak saklanabilir.
• Verilerin izinsiz kullanımı: Bazı hizmetler, muğlak hizmet koşulları yoluyla platformlarına yüklenen dosyalar veya veriler üzerinde mülkiyet hakkı iddia edebilir ve bu da özel veya kişisel içeriğin kötüye kullanılmasına yol açabilir.
• Düzenlemeye tabi sektörlerdeki şirketler (örneğin sağlık, finans) hassas dosyaları onaylanmamış üçüncü taraf hizmetlerine yükleyerek yasaları ihlal edebilir. Bu durum ağır para cezalarına ve itibar kaybına yol açabilir.
• Bir hizmet sağlayıcı saldırıya uğrarsa, sunucularında depolanan dosyalar sızdırılabilir ve hassas bilgiler açığa çıkabilir.

1. Kötü Amaçlı Yazılım ve Kimlik Avı Tehditleri

• Kötü Amaçlı Kod Enjeksiyonu: Bazı şüpheli hizmetler dosyaları değiştirebilir veya PDF'lere veya resim meta verilerine gömülü komut dosyaları gibi çıktılara kötü amaçlı kod ekleyebilir.
• Kimlik Avı Siteleri: Sahte dosya dönüştürme web siteleri, özellikle oturum açma veya abonelik gerekiyorsa, kullanıcı kimlik bilgileri gibi hassas bilgileri çalmak için kurulabilir.

1. Ara Müdahale Saldırıları

• Hizmet güvensiz iletişim protokolleri kullanıyorsa veya web sitesinin kendisi tehlikeye girmişse, saldırganlar dosyaları ele geçirebilir.

Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Marc Rivero, şunları söylüyor: "Ücretsiz çevrimiçi dosya dönüştürme hizmetleri büyük bir kolaylık sunarken, özellikle dijital iş akışlarının hızlı ve kullanışlı olması gereken çözümlere giderek daha fazla bel bağladığı günümüzde, giderek büyüyen bir siber güvenlik noktasını temsil ediyorlar. Asıl tehlike sadece verilerin açığa çıkması veya kötü amaçlı yazılım risklerinde değil, bu hizmetlerin nasıl gelişebileceğinde yatmaktadır. Daha fazla kullanıcı hassas dosyalarını bu tür platformlara emanet ettikçe, siber suçluların bunları istismar etme konusundaki iştahı da artacaktır. Gelişmiş kimlik avı planlarının ve hatta kötü niyetli aktörlerin kullanıcıları hassas bir şekilde hedeflemek için yüklenen dosyalardan yararlandığı yapay zeka odaklı saldırıların yükseldiğini gözlemliyoruz. Kurumsal ortamlar için bu hizmetlere duyulan güven, özellikle düzenleyici kurumlar veri işleme uygulamaları üzerindeki incelemelerini sıkılaştırdıkça sistemik güvenlik açıklarına yol açabilir. Bugün zararsız bir kısayol gibi görünen şey, yarının Truva atı haline gelebilir." 

PDF'ten Word'e dönüştürme hizmetleri için arama sonuçları

Riskleri en aza indirmek için aşağıdaki önlemleri alabilirsiniz:

1. Güvenilir Hizmetleri Kullanın: Yalnızca açık gizlilik politikaları ve veri işleme uygulamaları olan saygın ve iyi bilinen dosya dönüştürme platformlarını kullanın.
2. Güvenlik Özelliklerini Kontrol Edin: Sitenin HTTPS ve tercihen dosya aktarımları için uçtan uca şifreleme kullandığından emin olun.
3. Şartları ve Politikaları Okuyun: Hizmetin yüklenen dosyaları nasıl işlediğini, sakladığını ve sildiğini anlayın.
4. Çevrimdışı Araçlar Kullanın: Hassas veya gizli dosyalar için çevrimiçi hizmetler yerine çevrimdışı veya yerel yazılım kullanma alternatifini değerlendirin.
5. Kurumsal Yönergeler: Kuruluşunuzun BT güvenlik politikalarına uyun ve belge işleme ve dönüştürme için kurumunuzdan onaylı araçları kullanın.
6. Kimlik Bilgilerini Yeniden Kullanmaktan Kaçının: Kurumsal veya hassas kimlik bilgilerini asla üçüncü taraf platformlarda kullanmayın.

* Bu tespitler Kaspersky'nin ana B2B ve B2C çözümleri serisinden gelmektedir.