İnternette popüler bir ürünün satış reklamı, ünlü birinin ölüm veya kaza geçirdiği haberi veya çok ucuza tatil reklamı gördüğünüzde paylaşımı açmadan önce iyi düşünün. Bu sosyal mühendislerin size kurduğu bir para tuzağı olabilir.
Son zamanlarda giderek yaygınlaşan, özellikle internet ve iletişim teknolojilerini profesyonelce kullanan, yöntemler geliştiren, sizin için önemli olanı ve en önemlisi direkt sizi de hedef alabilen bir suç örgütlenmesinin adı: Sosyal Mühendislik’tir.
İngilizce „Social Engineering“ olarak adlandırılan en yaygın ve en temel hacking yöntemlerinden biridir. Özünde insanların zaaf, bilgisizlik ve dikkatsizliklerini kullanarak, hedef aldıkları kişi, kurum ve kuruluşların gizli kalması gereken bilgilerini, daha sonra yapacakları saldırılarda kullanmak üzere toplamalarını kapsayan bir süreçler bütünüdür. Kısaca tanımlamak gerekirse „sosyal mühendislik“ insanları aldatma sanatıdır denilebilir.
Kimimiz internette günde kısa bir süre de olsa şöyle bakıp geçerken, kimimiz ise saatlerce başından kalkmaz. Akıllı telefon ve tabletlerle artık yanımızda taşıdığımız teknoloji ile özellikle sosyal paylaşım platformları bu mühendislerin sıkça gezinme, av arama alanlarıdır. Kişi veya kurumların ağlarına sızmak, bilgi toplamak ve zarar vermek; bunu yaparken de insanların maddi birikimlerini hortumlamak ana amaçları olduğundan, bunları nasıl yaptıklarını ve bu tehlikelerden korunma yöntemlerini sizlerle paylaşmak istedik.
İnternette dolaşan insanların dikkatlerini çekecek fotoğraf, video, haber, ucuzluk veya süper indirim reklamlarını paylaşırlar. Siz merak eder ve bunlara tıklayarak açtığınızda potansiyel olarak kurulan tuzağa ilk adımınızı attınız demektir. Konu içinde konu oluşturularak sizi farklı sahte sitelere yönlendirirler. Popüler bir ürünün satış reklamı, ünlü birinin ölüm veya kaza geçirdiği haberi gibi toplumda infial uyandıracak skandal haber başlıkları çıkar önünüze; dayanamayıp açarsanız bir virüsün sizin cihazınıza erişimine izin verdiğiniz anlamına gelmektedir.
Birçok güvenlik programları bu tarz saldırıları fark edip engellese de sürekli farklı kombinasyonlarla yapılan girişimler engellenememektedir. Kaynağı belirsiz veya şüphe uyandıran elektronik postalarda sizi tuzağa çeken farklı bir yöntemdir.
Mesela yılın nerededeyse tüm zamanlarında tatil kampanyaları düzenlenir. Özellikle erken rezervasyon dönemlerinde genelde yurt dışında, farklı ülkelerde yaşayan insanlara özenle hazırlanmış sahte sitelerden tatil pazarlanır. Eğer telefonla teyit etmeden yola çıkarsanız, planladığınız uçuşta ve otelde sizin adınıza bir rezervasyon yapılmadığını öğrenirsiniz.
Sosyal Mühendisliğin ilk aşamasını siber saldırılar oluşturmaktadır. Tüm dünyada bu saldırılara karşı „bilişim suçları ile mücadele“ teknik ve birimleri geliştirildi. Ancak bu suç dünyasının ikinci ve en önemli aşaması vardır ve bu aşamada harcadıkları tüm çabaları nakite dönüştürme evresidir. Burada, kötü amaçlı yazılımlarından daha tehlikeli olan, insan psikolojisi üzerine uzmanlaşan, taklit ve doğaçlama yetenekleri gelişmiş, karşısındaki insanın duygu değişimlerini kontrol edebilen, öfkelendiren, ruhunu okşayan, suçluluk duygusu oluşturup direnç kırabilen, kişiyi zayıf anına getirip isteklerini ikna yolu ile kabul ettirebilen gerçekten profesyonel kişiler devreye girerler.
Hedef kişi veya kurumda hassas noktadaki kişilerle farklı yöntemlerle, özellikle sosyal medya üzerinden dost olurlar, genelde erkeklere bayan, bayanlara erkek uzman düşer. Hedef kişiden şahsına ait finans bilgileri veya çalıştığı kurumların bilişim ağlarına sızmak için gerekli kimlik, şifre veya başka ne isterlerse almayı başarana kadar uğraşırlar. Amaçlarına ulaştıklarında artık karşı tarafta değerli ne varsa alacaklardır. Bunlara alet olan kişiler ise ne kadar şikâyetçi olsalar da haftalar, hatta aylarca beraber oldukları bu kişileri bulmak pek mümkün olmayacaktır. Zira geride iz bırakmadan şehir veya ülke değiştirmişlerdir.
Bu insanlarla karşılaşıldığında sizi kurtaracak tek şey sadece yeterince bilgi sahibi ve dikkatli olabilmektir.
Türkiye’de gazete haberlerine yansıyan, artık aşinası olduğumuz dolandırıcılık olaylarının çoğu amatör kişilerce organize edilir ve buna rağmen kandırılan insan sayısı azımsanmayacak kadar çoktur.
Sosyal medyada karşılaştığınız, sizinle özellikle ısrarla ilgilenen veya telefonla arayıp iknaya dayalı bir diyalog kurmaya çalışan insanların profilini çok rahat ortaya çıkarabilirsiniz. Mesela üzerinizde baskı kurmaya çalışması, sürekli aynı sözleri tekrarlayarak uzatması, sizde dikkat ve merak uyandıracak hamleler yapmaya çalışması, kendini abartılı şekilde övmesi, kısa süre sonra sizi sıkmaya başlaması, siz vermediğiniz halde size ait basit de olsa kişisel bilgilerinizi paylaşması, lafın dönüp dolaşıp parasal konulara veya asıl hedef olan çalıştığınız kurumun özel bilgilerine gelmesi gibi. Zaten hedef şirketin en zayıf halkası siz iseniz bu görüşmeler buluşmaya, ikna çalışmalarının yüz yüze devam etmesi ile gelişir ve son olarak ya reddetmeyeceğiniz bir para teklif edilir ya da açıkça tehdit edilirsiniz.
Benzer durumla karşılaşmadan önce her insanın başına gelebilecek bu tür konular hakkında bilgili ve dikkatli olmasını, özellikle resmi kurumlarda konu ile ilgili açıklayıcı duyuru ve makaleleri okunmasını öneririz.
Barbaros Alayoğlu
- Haberleri kaçırmamak için sayfamızı takip edin: www.facebook.com/turizmavrupa