Sülün Osman’dan Kevin Mitnick’e dolandırıcılığın adım adım gelişmesini hayretle izliyoruz. Amaç aynı, sadece yöntemler farklı.
5237 sayılı Türk Ceza Kanunun’da Dolandırıcılık;
Madde 157- (1) Hileli davranışlarla bir kimseyi aldatıp, onun veya başkasının zararına olarak, kendisine veya başkasına bir yarar sağlayan kişiye bir yıldan beş yıla kadar hapis ve beş bin güne kadar adlî para cezası verilir.
Buna ek olarak bazı şartlarda suçun Nitelikli hali oluşur ki bu durumda da üç yıldan on yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunur. Devamındaki maddeleri de incelersek çeşitli durumlara göre bu belirttiğimiz cezaların daha da arttığı veya azaldığı görülebilecektir. Bizim konumuz dolandırıcılık suçunun ceza karşılığı değil. Nasıl oluyor da Galata kulesinin satışı gibi sansasyonel ve unutulmaz dolandırıcılıktan instagram hesaplarının ele geçirilip hesaptaki kişileri dolandırmaya geldik. İşte asıl konumuz bu.
Social Engineering namı değer Sosyal Mühendislik ya da daha anlaşılır ismi ile Aldatma Sanatı. Geçtiğimiz yüzyılın en ünlü hackerı olarak tanımlayabileceğimiz Kevin Mitnick tarafından bize tanıtılan bir kavram. Teknolojinin gelişmesi ile çok daha kolaylaşan bir alan oldu insanların aldatılması ve onlardan haksız menfaat sağlanması. Her zaman için bir kişiyi aldatmak için o kişinin zayıf yönlerini bilmek gerekir. Geçmişte dolandırıcıların aldatılarak kendisinden haksız menfaat sağlanmak istenen kişinin zaaflarını tespit etmek ve bu zaaflarını kullanıp kişiyi kandırmaları için çok fazla çalışma yapmaları gerekiyordu. Günlerce takipler yapılıp kişi hakkında bilgi toplanıyordu. Bunları nereden biliyoruz? Bu ünlü dolandırıcıların tövbe edip yazdıkları anılarından tabi ki. Bunlardan birisi de ismini yazımın girişinde kullandığım rahmetli Sülün Osman. Ancak benim asıl dikkat çekmek istediğim O değil tabi ki. Bu işi teknolojinin tüm nimetlerinden faydalanıp çok daha rahat ve hızlıca yaparak büyük miktarda haksız kazanç elde eden Siber Dolandırıcılar.
Siber dolandırıcılar önce gündemde öne çıkan konularla ilgili bilgi toplayarak işe başlarlar. Bunu da hedef kitlesi olan halkın habere ulaştığı medya organlarında en çok karşılaşılan konulardan seçerler. Onlar için hedef kitlenin merakları, korkuları, çekinceleri hazırlayacakları senaryolar için çok önemlidir. Sonrasında kendi rollerini belirlerler. Bazen bir kolluk kuvveti personeli olurken bazen de ne yapacağını bilmeyen bir define bulan vatandaş rolüne bürünürler. Burada önemli olan insanların zaaflarıdır. Bazen rasgele hedefler belirlerken bazen de özenle belirledikleri hedefler üzerinde çalışırlar. Bu tercih tamamen beklenen menfaatin büyüklüğüyle belirlenmektedir.
Basında o kadar farklı haberler gördük ki insan bazen inanmakta güçlük çekiyor. Tanınmış kişilerin ellerindeki tüm ziynet eşyalarını toplayıp istenen çöp kutusuna koyduklarını gördüğümüzde nasıl olur da bu kadar kolay inanırlar dediğimiz oldu. Ama bir sonraki dolandırıcılığın hedefi olduğumuzda kendi durumumuza şaşırdık. İşte tüm bunların nedeni siber dolandırıcıların bizim hakkında bildikleri özel bilgiler. Tabi ki konu kişisel veriler ile yakından ilgili. Bir diğer ilgili olduğu konu ise sosyal medya . Hayatımızla ilgili her şeyi öylesine ortaya saçıyoruz ki bu dolandırıcılara sadece bu bilgileri derleyip bizim üzerimizde kullanmaları kalıyor. Öylesine yüksek siber güvenlik önlemleri alınmış sistemlere o kadar basit yöntemlerle yetkisiz erişimler oluyor ki insan bu kadar da olmaz diye düşünüyor. Siber savaş tarihinin tozlu sayfalarında sadece bir kişinin yaptığı bir hata ile tüm sistemin kullanılamaz duruma geldiği nice olaylar yazılmıştır.
Zincir en zayıf halkası kadar güçlüdür. Güvenlik sistemi içerisinde insan faktörü olduğu müddetçe bu sözün geçerliliği devam edecektir. Her bilgiye erişilebilir. Sadece nasıl talep edeceğinizi bileceksiniz. Bu talep bazen tehdit, bazen şantaj, bazen aldatma bazen de hırsızlık ile olur. Ama her zaman bir zaaf kullanılır. Sizden instagram hesabınızın şifrenizi isteseler kesinlikle vermezsiniz. Ama geçen hafta paylaştığınız hayvan hakları ile ilgili bir posteri size gönderip “Siz de bu işkenceye uğrayan hayvanlar için bir imza atın” sloganıyla bir internet sitesine yönlendirip, o internet sitesine girdiğinizde ise karşınıza sanki instagram sayfanıza yeniden bağlantı yapmanızı isteyen çok tanıdık bir instagram giriş sayfası çıksa acaba kaç kişi instagram hesabının çalınmak üzere olduğunu anlayabilir ki? Ben cevap vereyim. Çok az. İşte burada sizin hayvan sevginiz kullanıldı. Bu örnekleri yüzlerce ve belki de binlerce çoğaltabiliriz.
Zaman zaman eski medeniyetlere ait altın sikkeler bulan insanlar, bazen de boş kağıtlara sürdüğünüzde bu kağıtları değerli paralara çeviren solüsyonlara sahip insanlardan telefonunuza mesajlar gelir. Buradaki konuların çeşitliliği tamamen hayal gücünün sınırlarıyla ölçülebilir. Siber dolandırıcılar dönem dönem değişmekle birlikte genelde kolay kazanç ve insanların sahip oldukları korkulara odaklanmaktadırlar. Bu saldırılarda önemli olan doğru konu, doğru zaman ve doğru duygusal tetikleyicinin beraber kullanılmasıdır. Bunlar sağlandığı zaman herkes av olabilir. Teknolojinin sağladığı olanaklar da düşünüldüğünde bir kişiye ulaşmanın bir çok yolu ortay çıkmaktadır. Herkes telefon kullanmaktadır. Akıllı telefon olmasına gerek yoktur. Kişinin telefon numarasına arama yaparak kişiyle sesli bağlantı kurulabilir. Mesaj gönderilerek yazılı bağlantı kurulabilir. E-posta adresine yemleme e-postası gönderilebilir. Önemli olan bir şekilde hedefe ulaşmaktır.
Hedefin eğitim düzeyi ya da sosyal düzeyi hiç önemli değildir. Önemli olan doğru zamanda uygulanacak olan duygusal tetikleyicidir. Bir iş başvurusu yapan ve sonuç bekleyen kişiye en uygun bağlantıyı insan kaynaklarından aradığını söyleyen siber dolandırıcılar kurabilir. Beklentiler, bu saldırılarda en önemli bölümdür. Yapılan incelemelerde aynı yemleme saldırılarına birden fazla maruz kalıp her defasında aldatılan kişilerin olduğu görülmüştür. Bunun nedeni siber dolandırıcının hedef karşısında güven sağlamasıdır. Sosyal Mühendislik saldırısının bilgi toplamadan sonraki diğer önemli adımı güven sağlamaktır. Hedef üzerinde istenilen etki yaratılıp güven sağlandıktan sonra her türlü veriye erişim rahatlıkla sağlanabilir. Bazen hedef üzerinde oluşturulan güven etkisi o kadar yüksek olur ki hedef kendisi dahi aldatıldığını kabul etmek istemez.
Klasik dolandırıcılığın teknolojik altyapı ile birleşmesi sonucu ortaya çıkan modern dolandırıcılar, siber dolandırıcılar, siber ortamın karmaşıklığından en güzel şekilde faydalanırlar. En temel olarak dikkatli olacağımız hususlardan bahsetmek gerekirse; Bu siber dolandırıcılara fırsat vermemek için öncelikle kolluk kuvvetlerinin zaman zaman yaptıkları uyarılara titizlikle uymak gerekir. Sonrasında hiçbir banka veya kamu görevlisinin bizden hiç bir kişisel bilgimizi telefon veya e-posta ile istemeyeceğini aklımızdan çıkarmıyoruz. Kişisel bilgilerimize önem veriyoruz. Sosyal medyada gereğinden fazla kendimizle ilgili bilgi paylaşmıyoruz. Mobil cihazlarımızdan ya da bilgisayarımızdan işlem yaparken mutlaka bağlandığımız internet sitesinin doğru adres olduğunu kontrol etmeden işlem yapmıyoruz. Siber ortamda yaptığımız her işlemi mutlaka birkaç defa kontrol ediyoruz. Şifre güvenliğimizi her zaman ön planda tutuyoruz.
En önemli olan şu hususu ise hiçbir zaman unutmuyoruz. Bedava peynir ancak fare kapanında olur.