Elimdesin!

Bir önceki yazımızda hem kurumsal hem de bireysel hayatımızda siber bilinçin öneminden söz etmiş ve siber hırsız-polis oyununun insanlık varolduğu sürece oynanacağını belirtmiştik. Yazılarımızda, temel örneklerle, göz korkutmaktan çok temel siber bilinci vermeyi hedefliyoruz. Bu nedenle çok detaylı teknik bilgiden ziyade konunun özü hakkında bilgi vermek amacındayız.

Bu yazımızdaysa, saldırganların kendilerini belki de en az yorulduğu bir konudan söz edeceğiz: Sosyal mühendislik.

Sosyal mühendislik, saldırganın istediği yola girmenizi ve bu yolda istedikerini harfiyen yapmanızı sağladığı bir saldırıdır. Bu saldırı tamamen psikolojiktir.

Sosyal mühendislik yapılarak, sizi ele geçirmek isteyen saldırganın muhteşem bir hacker, harika bir bilgisayar mühendisi olmasına gerek yoktur. Eminim bu yazıyı okuyan bir çok kişinin telefonu aranmış ve telefonun ucundaki ses size, “bir terör suçuna karşıtınız bize para getirin bu konuyu kapatalım” demiştir. Bir çok SMS almışızdır, “Eğer bizi arasanız faturalarınız düşecek” ya da “linki tıkla telefon kazan” gibi.

Her gün defalarca girdiğimiz sosyal medya uygulamalarında, “paylaştığınız fotoğraflarda telif problemi var, aşağıdaki linki tıklayıp şifrenizi güncelleyerek, kimliğinizi teyit edin” gibi uyarılarla karşılaşabilirsiniz.

Peki bu mesajların psikolojik yanı nerede? Günümüzde o kadar çok reklam, subliminal mesaj ve zorlu hayat şartlarına maruz kalıyoruz ki, farkında bile değiliz psikolojimizi alttan alta bitirdiklerini.

Açıklayalım sorumuzun cevabını: Eğer, emeğe saygılı bir kişiyseniz, bir kişinin emeğinin karşılığını ödemek isteyebilirsiniz ve eğer bir de hukuka karşı saygılıysanız, bir problem yaşamamak için hemen linke tıklayıp sorunu çözmek isteyebilirsiniz. Bu tamamen kişisel bir bilinç ile yapılan istemsiz eylemdir. Vatanseversiniz, terör kelimesi ile isminizin yanyana olması kabul bile edilemez diye düşünebilirsiniz ve hemen o parayı saldırganlara ödemek istersiniz. Üstelik defalarca bu örnekleri duymuş olmanıza rağmen. Tamamen bilinçaltınız devreye girer ve saldırganın çizdiği yoldan yürümeye başlarız. İşte o an itibari ile saldırgan rahatlar ve şöyle der: “Elimdesin!”

Özellikle yeni jenerasyon, takipçi sayısı konusunda çok hassas. Nitelikten çok niceliğe dönen dünyamız, takipçi sayılarını çok önemsiyor. Çok takipçi, çok salırgan anlamına gelebilir. Hayatlarımızı, tercihlerimizi, özelimizi, özelliklerimizi, evimizi, adresimizi, adres defterimizi, bedava, gönüllü bir şekilde, paylaşıyoruz. Biraz sosyal medyayı kullanan ve size takip eden hırsız, sizin evde olmadığınız zamanı çok iyi biliyor. Bunun için uzman olmasına gerek yok. Paylaşılan her fotoğraf, gelişen fotoğraf editör programlarında binlerce değişik hal alıyor. Bu tür değişikliklerle saldırıya maruz kalanların ertafına, yanlış ve onu rencide edici paylaşımlar sahte hesaplarla yapılıyor. Çünkü herkes takipçi sayısındaki artış için her hesabı kabul ediyor. Bu paylaşımlarla rencide edilmiş olan mağdurun hayatı tam bir kabusa dönüyor. Saldırganın her dediğini yapmak zorunda kalandan, intihar edene kadar geniş bir yelpazade yaşanan kabus dolu hayatlar ne yazık ki var! Sosyal medyanın etkisini bir başka yazıda ele alacağımız için burada detaya girmiyorum.

Evet, bunun adı sanal alem ve çok başka bir alem. Size gelen linki tıkladınız ve internete bağlandığınız linki kontrol etmediniz. Bankanızın sayfasının neredeyse birebirini gördünüz ekranda. Kredi kartı numaranızı ve şifrelerinizi girdiniz ve paralarınızı birilerine “kendi rızanızla” gönderdiniz. Çünkü size gelen mesajda “bir borcunuzun olduğu ve linke tıklanarak hemen ödenmezse icra geleceği” yazıyordu. Sizde borcunuza sadık bir insanınız.

Aslında bütün bunlar, balık avlamak için iğnenin ucuna yemi takıp denize atmak ile aynı. Oltaya gelen balık gibiyiz. Yani “oltalanıyoruz”. Oltaya gelen balık olmamak bizim bir an düşünmemiz ve nefesimizi kontrol etmemize bağlı. Bunun için gerekiyor siber bilinç.

Teknik anlamda da bu saldırı adının tam karşılığı Türkçemiz ile de tam uyumlu: Oltalama.

Kişisel zaafiyetleri kullanan bu saldırı türü, kurumsal hayatımızı da direkt etkilemektedir. Yukarıda detaylı aktardığımız örneklerin çok benzeri yöntemlerle kurumsal sistemlere sızmak çok mümkün. Pandemi dönemince, kurumsal firmalara çok fazla bilgilendirme e-postaları gönderildi. Bunların 1/3’ü saldırı amaçlı e-postalardı. Bir çok firma bu tür e-postalar nedeni ile ciddi siber tehditler aldı. Ciddi mali kayıplar yaşadı.

Peki ne yapmalı? Çok özetle, gelen telefonun, SMS’in, e-postanın ve size yönlendirilen linkin mutlaka kaynağı kontrol edilmeli. Oltalama ve sosyal mühendislik içeren mesajları aldığınızda “Neden bana geldi?” sorusunu kendimize sormalıyız. Sadece bu soru ile bir an düşünmek size çok büyük dertlerden kurtaracaktır. Çünkü kimse size durup dururken telefon hediye etmez, faturalarınızı düşürmez ya da siz aslında hiç bir zaman teröre bulaşmadınız.