İbrahim Kudret Elçiboğa
NWSESYS TECHNOLOGY FRAUD & ÖDEME SİSTEMLERİ MÜDÜRÜ
Dijital dünyadaki kötü niyetli kişiler, ne gibi tekniklerle insanları kandırmaya çalışıyor? Sosyal mühendislik hakkında bilinmesi gerekenleri sizler için sıraladık.
Sosyal Mühendislik; insanların zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır. Tüm sosyal mühendislik yöntemleri, insan davranışlarındaki önyargılar üzerine kurgulanır ve temeli insanı kandırmaya dayanır. İnsanların karar verme süreçlerini değiştirmeye yönelik teknikler içerir. Çünkü insan güvenliğin en zayıf halkası olarak bilinir ve sosyal mühendislik de hedefe en zayıf halkayı aşarak ulaşmayı amaçlar.
Sosyal mühendislik dolandırıcılığında kullanılan genel yöntemler
Sosyal mühendislik yoluyla dolandırıcılık, temeli insana ve bilgisayar-teknolojiye dayanan olmak üzere iki temel kategoride değerlendirilir.
1. Temeli bilgisayar ve teknolojiye dayanan sosyal mühendislik dolandırıcılık yöntemleri
Temeli bilgisayar ve teknolojiye dayanan sosyal mühendislik olaylarında kişiye ait bilgiler teknoloji kullanılarak elde edilir.
Truva Yazılımları (Trojan):
Truva yazılımları ismini “Truva Atı”ndan almaktadır. Bir bilgisayar programına bağlanarak saklanan, zararsız bir işlevi varmış ve programın olağan çalışmasına izin veriyormuş gibi görünerek, arka tarafta tahribatını yaparak zarar veren virüslere “Truva atı” denir. Tespit edilmesi oldukça zor olan Truva atı, genellikle sistemlere e-posta yoluyla, güvensiz kaynaklardan bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla veya bilgisayar virüsleri aracılığıyla bulaşmaktadır. Sanal dolandırıcılar tarafından zararsız bir programın (oyunlar, anlık bilgi veren yazılımlar vb) içine ek olarak yerleştirilebilir veya gizlenebilir.
Truva atları çoğunlukla, bulaştıkları bilgisayarlarda kullanılan şifre, kullanıcı adı gibi özel bilgileri ele geçirmek amacıyla kullanılır. Truva atı içeren e-posta ya da ekindeki dosya açıldıktan veya uygulama çalıştırıldıktan sonra zararlı kodlar aktif hale gelir. Truva atı aktif olduktan sonra bilgisayara girilen her türlü şifre, parola, kredi kartı numarası gibi önemli bilgiler saldırgana ulaşabilir.
Phishing (Olta Saldırıları):
Sanal dolandırıcılar tarafından finansal kurum ve kuruluşlar, resmi kurumlar veya alışveriş şirketlerinden gönderilmiş gibi hazırlanan e-postaya phishing (olta saldırıları) denir. Olta saldırıları, internet üzerinde en yaygın dolandırıcılık yöntemlerinden biridir. Bu saldırıların amacı bireylerin veya kurumların finansal işlem yapmak için kullandıkları bilgileri çalmaktır. Hazırlanan e-postalar, elde edilen tüm e-posta adreslerine gönderilir. E-postanın konusu, müşteri bilgilerinin güncellenmesi veya şifrelerin değiştirilmesi amacını içeren ifadelerden oluşur ve ilgili kurumun bire bir kopyası şeklinde görünen internet sayfalarına giden linklerden oluşur. Bazı kullanıcılar adreslere tıklayarak istenilen bilgileri doldurur ve bunun sonucunda, kişisel bilgileri ve şifreleri dolandırıcılar tarafından çalınmış olur.
Tuş ve Ekran Kaydediciler (Keylogger ve Screenlogger):
Tuş kaydediciler, bilgisayarda, klavye vuruşlarını anlık olarak kopyalayabilen ve bunları kaydederek e-posta yoluyla korsanın eline geçmesini sağlayan programlardır. Bu tür programlar klavye ile yazılan her şeyi kaydedebilme yeteneğine sahiptir. Tuş Kaydedici yazılımları; uzaktan erişime açık, yeterince korunmayan bilgisayarlara sanal dolandırıcılar tarafından yüklenebileceği gibi, kullanıcı tarafından oyunlar, e-postalar vb. yollarla farkında olmadan da yüklenebilir. Program, kullanıcı bilgisayarında aktif hale geldiği andan itibaren çalışmaya başlar. Klavye ile yazılan bütün bilgileri mouse ile tıklanan ya da mouse’un üzerinde uzun süre beklenen bölgelerin resimlerini kaydederek rapor haline getirir ve bu rapor zararlı yazılımı derleyen veya yazan kişilere internet aracılığı ile gönderilir. Bu sayede Tuş Kaydedici yüklenmiş bir bilgisayardan, kullanıcıya ait bütün e-posta, bankacılık, finans, özel ve diğer bütün şifreleri ele geçirilebilmektedir.
Ekran kaydediciler ise, ekran görüntülerini kopyalayan ve bunları e-posta ile saldırgana ulaştıran programlardır. Yakalanan anlık görüntüler sayesinde o anda ekranda ne yapıldığı veya şifrelerin nereye yazıldığı kolaylıkla görünebilir.
Wi-Fi Dolandırıcılığı:
Bu yöntem ile dolandırıcılar tarafından bir kafe, otel, lokal gibi bir yerin aynı adlı Wi-Fi erişim noktası oluşturulmakta, bu hizmet ücretsiz olarak sunulmakta ve kullanıcılara sağlanan bir ara yüz ile kişisel bilgileri veya internet bankacılığına bağlanırken girilen bilgileri alınmaktadır. Kullanıcıların farkında olmadan verdikleri bu bilgiler dolandırıcıların eline geçmekte ve dolandırıcılık amacıyla kullanılmaktadır. E-postaları yada sosyal ağları kontrol etmek için bağlanan ücretsiz bir Wi-Fi ağı, siber saldırganlar tarafından kontrol ediliyor olabilir ve hesapların şifreleri dışında, cihazdaki kritik bilgilerinin de kaybedilmesi mümkündür.
Spam e-Postalar:
SPAM çoğunlukla ticari reklam niteliğinde olup sıklıkla güvenilmeyen ürünlerin, çabuk zengin olma kampanyalarının, yarı yasal servislerin duyurulması amacına yöneliktir. İnternet kullanıcıları üzerindeki etkileri incelendiğinde iki tip SPAM vardır. Birincisi e-mail aracılığıyla gönderilen SPAM doğrudan gönderilen mesajlarla bireysel kullanıcıları hedef alır. İkinci SPAM türü ise, içeriğinin mutlaka ticari olması gerekmeyen UBE (Unsolicited Bulk e-mail Talep Edilmemiş Kitlesel e-posta), aynı anda yüzbinlerce e-posta hesabına gönderilen e-posta iletileridir. Bu iletiler ticari içerikli olabileceği gibi politik bir görüşün propagandasını yapmak yada bir konu hakkında kamuoyu oluşturmak amacı ile gönderilen e-posta iletileri de olabilir.
Yukarıda detaylı biçimde açıklanan, çoğu zaman istenmeyen bu elektronik postalar, içeriğinde zararlı yazılım taşıyabileceği gibi, zararlı yazılım yayan sitelere de yönlendirme yapabilmektedirler.
Man in the Middle Attack:
Bir network üzerinde bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir. Bu saldırıda da amaç kullanıcıların bilgilerini ele geçirmek, şifre almak ve yerel ağda kullanıcıların hesaplarını elde etmek için kullanılmaktadır. Bu dolandırıcılık türü, daha çok internetin genel kullanıma açık alanlarda gerçekleştirilmektedir. Genel kullanıma açık ağ üzerinden kullanıcı internette dolaşırken, saldırgan kullanıcı ile internet sitesi arasındaki bağı keserek, gerçek siteden sahte siteye yönlendirme yapar ve böylece kullanıcı girmek istediği sitenin birebir kopyası olan farklı bir siteye girer. Bu site üzerinde girdiği kullanıcı bilgileri ve şifreleri saldırganların eline geçer.
Genel kullanıma açık alanlarda yapılan bağlantılarda tarayıcı sertifika konusunda uyarı vermesi durumunda bağlantının kesilmesi ve devam edilmemesi en güvenilir yoldur.
2. Temeli insana dayanan sosyal mühendislik dolandırıcılık yöntemleri
Temeli insana dayanan sosyal mühendislikte ise kişiden bilgi almak ya da istenilen işlemleri yapmasını sağlamak amacıyla taklit, etkileme ve ikna etme kabiliyetleri kullanılır.
Sahte Çağrı Merkezleri:
Son yılların en popüler sosyal mühendislik yöntemi, Sahte Çağrı Merkezleri aracılığıyla yapılan dış aramalar sonucu veya cazip mesajlarla Sahte Çağrı Merkezlerine yönlendirilme suretiyle dolandırmaktır. Polis ya da kamu görevlisi olarak arama, ödül kazandın diye mesaj atarak yönlendirme, kredi kartı aidatı ve banka hesap işletim ücretini geri almak vadiyle kandırılma, **** takip numaralı kargonuz geldi ama adres yetersizliğinden teslim edilmedi diye mesaj atarak yönlendirme gibi veya birçok benzer yöntemler ile yapılan dolandırıcılığa günümüzde çok sık rastlıyoruz.
İlk yıllarda kontör/TL transferi şeklinde görülen bu tarz dolandırıcılık yöntemleri, daha sonra, gelişen teknoloji ve yeni ikna yöntemleri ile birlikte, bankaların ürün yelpazesindeki gelişmeler ve hizmet kalitesinin artmasına paralel olarak (kartsız para transferi, cepten cebe para transferi, hızlı kredi tahsisi, internet ve mobil bankacılığı kullanımının artması vb.) para transferine, şubeden ve ATM’den nakit çektirilerek dolandırıcıya teslim etme yöntemlerine dönüşmüştür.
Burada amaç kart bilgilerini veya internet/mobil bankacılık kişiye özel şifre ve parolalarını ele geçirmektir. Gelen aramaya inanan kişiler telefondaki dolandırıcıya tüm kart bilgilerini (16 haneli kart numarası, kartın son kullanma tarihi ve CVV kodu) veya internet/mobil bankacılık ile ilgili kişiye özel bilgilerini sözlü olarak verir. Dolandırıcı tarafından ele geçirilen bu bilgiler ile karttan harcama yapılmak veya internet/mobil bankacılık üzerinden para transferi yapılmak suretiyle mağdurlar dolandırılır.
Bu durumda, zarar gören mağdurların en kısa sürede bankasına bilgi vermesi, kolluk kuvvetlerine bildirmesi veya savcılığa şikayette bulunması, ile ilgili süreci başlatması önerilir.
Çöp Karıştırma:
Bireylerin ve şirketlerin değersiz olarak nitelendirdikleri, üzerinde bilgi bulunan her türlü materyallerin çöplüklere atılabildiği ve bu atıkların kötü niyetli kişiler tarafından bilgiye erişmek amacıyla toplandıkları görülmüştür. Bunlar; kimlik belgeleri, kurumun iş yaptığı kişilere ait telefon bilgileri, organizasyon çalışanlarının adı, soyadı, unvanları, toplantı konu ve tarihleri, günü geçmiş DVD, CD, hesap ekstreleri, dekontlar ve benzeri belge ve bilgileri içeriyor olmaktadır.
Bu belge ve bilgilerle ile dolandırıcılar tarafından; dolandırıcılık amaçlı şirket kurulduğu, bankalardan çek karnesi talep edildiği, cep telefonu hattı alıp tehdit, şantaj, terör amaçlı kullanıldığı, bankadan kredi veya kredi kart başvurusu yapıldığı ve benzeri birçok dolandırıcılık vakaları ile karşılaşılmaktadır.
Omuz Sörfü ve Kulak Misafirliği:Şifre yazılırken ya da erişim kısıtlı sistemlere erişilirken izleme yapılması, kullanıcının girdiği şifrenin görülene kadar takip edilmesi ve şifrenin ele geçirilmesi sosyal mühendislik yöntemlerinden bir diğeridir. Bunun için fiziki yakınlık, dürbün ve kamera kullanılabilmektedir. Aynı şekilde kişiler arasında geçen konuşmalara kulak kabartmak ipuçlarına giden yoldur. Fiziki yakınlığın yanı sıra, masaya bırakılmış bir telefon, gizli bir mikrofon gibi kayıt yapan veya ses ileten cihazlarda kullanılmaktadır.
Ön Ödeme Dolandırıcılığı:
Ön Ödeme Dolandırıcılığı gelişen iletişim imkanlarından da yararlanarak, insanların kısa süre içinde büyük kazançlar elde edecekleri vaadiyle, çeşitli adlar altında mağduru ön ödeme yapmaya ikna edilmesine dayalı bir dolandırıcılık türüdür.
Bu yönteme örnek senaryoda, internetten okunan bir ilan ile veya telefonla ulaşılarak kredi geçmişine bakılmaksızın kredi vermeyi teklif eden bir şirket yetkilisi iletişime geçer. Kredi faizi de oldukça cazip olur genelde. Ve özellikle bankadan kredi talebi olumsuz sonuçlanan kişiler hedef seçilir. Dolandırıcı şirket yetkilisi sizden tüm gerekli bilgileri alır ve kredinin size verileceği garantisini verir. Tek koşul olarak, kredinin ilk iki taksitinin geri ödenmesinin iyi niyet göstergesi olarak önceden yapılması talep edilir. Para gönderildiğinde, dolandırıcı parayı aldığını ve en yakın zamanda kredi tutarını göndereceğini belirtir. Ve dolandırıcılık gerçekleşir.
2017 yılında da sosyal mühendislik konusu yine gündemdeki en önemli konulardan biri olacak. Kişisel, maddi veya kart bilgileri tanınmayan rastgele kişilerle paylaşılmamalı, özellikle kişisel bilgilerin gizliliği konusunda duyarlı davranılmalı, yardım amacıyla yaklaşan kişilere karşı dikkatli olunmalıdır.
Bankalar kurulan müşteri ilişkisi çerçevesinde müşteri bilgilerine zaten sahip olduğundan bankalar tarafından telefonla arama yapılarak bankacılık işlemlerinde kullanılan kişisel nitelikli bilgiler hiçbir şekil ve surette talep edilmemektedir.
Bu nedenle, herhangi bir dolandırıcılık olayına maruz kalınmaması açısından; kendilerini banka personeli veya diğer kurum/kuruluş personellerinden biri olarak tanıtarak bankacılık işlemlerine ilişkin bilgi talep eden şahıslara itibar edilmemeli, bir dolandırıcılık olayına maruz kalınmaması için söz konusu bilgilerin korunması hususunda azami dikkat ve özen gösterilmelidir.
