Suçluların Yeni Gözdesi: “Sosyal Mühendislik”

Teknolojik gelişmeler büyük bir hızla ilerlerken pek çok yeniliği beraberinde getirmekte ve kuşkusuz sosyal hayatımızı da etkilemektedir. İnsan hayatına pek çok kolaylık sunan, uzak mesafeleri yakın eden, bir bilgisayar ve internet ağı ile pek çok işin evden dışarı çıkmadan yapılmasını sağlayan bu teknoloji ürünleri gün geçtikçe hayatımızın vazgeçilmezleri arasına girmektedir.

Bankaya gitmeden her türlü bankacılık işlemini internet üzerinden yapmak, mağazaya gitmeden internet web sitesi üzerinden alış-veriş yapmak, cep telefonu ile görüntülü ve sesli görüşme yapmak, hayatımızın herhangi bir anını sosyal paylaşım ağlarındaki arkadaşlarımızla paylaşmak gibi olgular yıllar önce bir hayal iken, günlük hayatımızın olağan akışı içerisinde çok sıradan bir hal almıştır.

Teknolojinin temelini oluşturan bilgisayar sistemleri, insanlar tarafından amacına uygun olarak tasarlanır, bakımı ve işletilmesi yine insanlar tarafından yapılır. Teknolojik ürünler her ne kadar otomatik olarak programlanan işlevleri yapsalar da daima insan müdahalesine açıktır. Şu da bir gerçek ki insan müdahalesinin söz konusu olduğu her sistemde güvenlik büyük ve önemli bir sorun olarak karşımıza çıkmaktadır. Bu sorununun en hassas yanını ise ünlü bilgisayar korsanı Kevin MITNICK “Güvenlik zincirindeki en zayıf halka insandır.” sözüyle dile getirmiştir. Çoğu zaman insanları kandırmak bilgisayar ve teknolojik ürünleri kandırmaktan daha kolay olabilmektedir. Bu nedenle olacak ki, ünlü bilim adamı Albert Einstein “Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim” sözüyle insanoğlunun kandırılmaya ve istismar edilmeye çok müsait bir varlık olduğunu belirtmiştir.

İnsanoğlu tarih boyunca güven ve huzur ortamı içerisinde yaşamak için çabalamış ve bunu sağlamak amacıyla kendince çeşitli tedbirler geliştirmiştir. Evinin etrafını duvar ya da tel çit ile çevirmiş, yetmemiş demir parmaklıklar ilave etmiş, kapısına özel kilitler takmış, bahçesinde köpek beslemiş, çevre aydınlatması ve kamera sistemi ile donatarak çeşitli teknolojik ürünlerle güvenliğini sağlamayı hedeflemiştir. Aslında yapılan tüm çabalar insanın kendi vicdanını ve huzurunu sağlamaya yönelik hususlar olup, alınan her tedbir insanın evinde güven içerisinde yaşadığı duygusunu güçlendirmiştir. Bu kadar farklı tedbirin alındığı bir eve hırsızın girmesinin çok zor ve hatta imkânsız olduğu iddia edilebilir. Ancak, alınan bu tedbirler ne kadar çok çeşitli ve özel olursa olsun, eve girmek isteyen kötü niyetli bir misafiri ya da hırsızı engellemeye yeterli olmayabilir. Çünkü eve girmeyi kafasına koymuş biri, köpeği zehirleyerek, kamera ve elektronik tedbirleri eve giden elektrik hattını keserek, duvarı kırıp, tel çiti makasla kesip, kilitli kapıyı maymuncukla açarak ya da pencereleri kırarak eve girebilir. Hatta ve hatta önce garaj kapısından ya da penceresinden girip, garaj içerisindeki geçişten eve geçebilir. Tüm bunları kısa bir zamanda, sorunsuzca ve hızlı bir şekilde yapabilmek amacıyla evin etrafında ve evin içerisinde çeşitli kılıklara girerek (postacı, tamirci, anketör v.s.) ve çeşitli bahaneler uydurarak keşif yapabilir.

İnsanın tam anlamıyla güvende olduğunu bilmeyi istemesi doğal bir duygu olmakla beraber, bu duygu pek çok insanın sahte bir güvenlik hissi ile yaşamasına da neden olmaktadır. Zira güvenlik kavramı çok ciddi bir iştir ve hele hele işin içerisinde tedbirsizlik, dikkatsizlik, saflık ve bilgisizlik de varsa sonuçları çok daha ağır olabilir.

Bir evin güvenliği ile ilgili yukarıda anlatılan senaryo, bilişim teknolojileri alanında çalışan kişi ve kurumlar için de geçerlidir. Öyle kurumlar vardır ki, bina girişlerin de son derece yüksek emniyet tedbirleri uygulanır; çalışan ve ziyaretçilerin giriş kapıları ayrıdır, her kapıda özel güvenlik elemanı ve kamerası vardır, giriş yapanlar kimlik kontrolü ve x-ray sisteminden geçtikten sonra manyetik kartlarını okutarak binaya girerler. Şirket içerisindeki verilerin saklandığı sistem odaları ise 24 saat kamera ile izlenir, sistem odalarına giriş için parmak izi ya da diğer biyometrik sistemler kullanılır, sunucunun bağlı olduğu ağ ileri seviye güvenlik duvarı, saldırı tespit ve ikaz sistemleri ile korunur. Ancak, unutulan çok önemli bir güvenlik unsuru vardır ki, o da bütün bu tedbirleri geçersiz kılan insan.

Güvenlik sistemlerinin en zayıf halkası olan insanı, saflığı, dikkatsizliği, bilgisizliği ve zafiyetlerinden yararlanıp, tatlı dil, ikna etme, inandırma ve korkutma gibi yöntemlerle kandırarak, ona normalde yapmayacağı şeyleri yaptırtma sanatına “sosyal mühendislik” ya da “toplum mühendisliği” denilmektedir. Kevin MITNICK’e göre ise “normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlayan bir gösteri sanatı”dır. [1] Sosyal mühendislikte insan hem hedef hem de araç olduğundan, insanoğlu var oldukça, hangi çağ ve teknoloji devri olursa olsun sosyal mühendislik de o çağa ayak uydurarak kendi imkân ve yöntemleriyle var olmaya devam edecektir.

Sosyal mühendisler, bir kurum ya da şirkete ait bir sisteme nüfuz etmek ya da önemli bir bilgiyi elde etmek için çeşitli yöntem ve teknikler kullanırlar. Bu yöntem ve tekniklerin uygulanabilirliği ülkeden ülkeye ya da toplumun sosyal hayatı, eğitim ve kültür düzeyi, dil, din, ırk gibi faktörlere göre değişkenlik gösterebilir. Örneğin, terör sorunu olmayan bir ülkedeki vatandaşa kısa mesaj (SMS) göndererek cep telefonunun terör örgütü tarafından kullanıldığına onu ikna edip, olayı çözmek için kontör ya da para talebinde bulunursanız başarılı olamazsınız. Her ne kadar sosyal mühendislik uygulamaları pek çok farklılığı bünyesinde bulundursa da, uygulamanın safhaları bir kronolojik süreç içerisinde olmaktadır. Bu safhalar:

1. Amaç ve hedef tespit etme: Sürecin ilk basamağı olup yapılacak işin amacı ve bu amacı gerçekleştirebilmek için bir hedef belirlenir.
2. Hedef ve amaca uygun planlama yapma: Tespit edilen amaç ve hedef doğrultusunda sonuca en uygun ve güvenli şekilde ulaşmak için planlama yapılır. Yapılan planlamada, süreç değerlendirilerek zaman içerisinde atılacak tüm adımlar, kullanılacak araç ve gereçler ile uygulanacak yöntem ve tekniklerin planlaması yapılır.
3. Bilgi-veri toplama ve gözlem-keşif yapma: En uygun, maliyeti düşük ve ulaşılabilir bilgi toplama kaynakları herkesin kullanımına açık olan internet, gazete, dergi, haber yayın organları, telefon rehberi gibi kaynaklardır. Ancak, süreç içerisinde elde edilecek bilginin türü ve değerine göre bazı maliyetleri karşılamak gerekebilir. Bu maliyetlerin büyüklüğü amaç ve elde edilecek hedefin değerine göre değişebilir.
4. Suistimale açık en zayıf halkaları tespit etme: Amaç ve hedefi gerçekleştirebilmek için suistimale açık en zayıf halka hedef alınır. Çoğu zaman en zayıf ve doğru halkayı bulmak için yoğun bir bilgi-veri toplama ve gözlem-keşif yapma süreci gerekebilir.
5. En uygun senaryoyu hazırlama: Elde edilen bilgiler çerçevesinde sonuca en uygun şekilde ulaşmayı sağlayacak bir ya da birden fazla senaryo hazırlanır. Hazırlanan senaryodaki roller öğrenilir, sorulacak sorular ya da verilecek cevaplar üzerinde çalışmalar yapılır.
6. Test ve deneme: Hazırlanan senaryo, bazen gerçek alanda, bazen de test alanında denenerek test edilir.
7. Senaryoyu tekrar gözden geçirme: Yapılan deneme ve testlerin sonucuna göre, senaryo gözden geçirilir ve son şekli verilir. Şayet, senaryoda eksilik ya da yeni bir bilgiye ihtiyaç duyulursa yeniden bilgi-veri toplama ve gözlem-keşif faaliyeti gerekli olabilir.
8. Uygulama ve sonuç: Senaryo daha önce belirlenen plan ve hedef doğrultusunda uygulanır. Sonuç olumlu ya da olumsuz olabilir. Ancak, olumsuz bir sonuç, sosyal mühendisi hedefe ulaşmak için yeni bir senaryo hazırlamaktan alıkoymaz.

Bir kamu kuruluşu ya da özel şirketteki bir bilgisayara ait kullanıcı adı ve parolasını öğrenmek isteyen kötü niyetli birisi, ağ üzerinden kurum ya da şirketin bilgisayarlarına sızmayı, parola dosyasını alıp sözlük saldırıları ile kırmayı hedefleyebileceği gibi, çeşitli sosyal mühendislik tekniklerine de müracaat edebilir. Bu nedenle, standart bir bilgi güvenliği eğitiminde, bir bilgisayarın “parola güvenliği”nin aşağıdaki kriterler çerçevesinde sağlanabileceği anlatılır:

• Kendi isminiz ya da ailenizden birinin ismi olmamalı,
• Doğum tarihiniz olmamalı,
• Sizinle anılan ya da bilinen bir kelime olmamalı,
• Tamamen rakamlardan oluşmamalı,
• Sözlükte geçen bir kelime olmamalı,
• Tahmini kolay bir kelime olmamalı,
• En az 8 karakterden fazla olmalı, karakterler arasında noktalama işareti, rakam, BÜYÜK, küçük harf bulunmalı,
• Parola 15 günde bir değiştirilmeli…. v.s.

Ancak, bir bilgisayarın kullanıcı adını ve parolasını öğrenmek ya da ele geçirmek için ileri seviye yöntem ve teknikler kullanmak (ağ zafiyetleri, sistem açıkları, sözlük saldırısı, tahmin etme v.s.) çok uzun zaman alabilir. Bu nedenle, çeşitli senaryolardan oluşan sosyal mühendislik uygulamaları daha hızlı ve kesin sonuç verebilir. Bu alanda TUBİTAK UEKAE Bilişim Sistemleri Güvenliği Bölümü tarafından yapılan ve yaklaşık bir buçuk yıl süren bir çalışmada; altı farklı sosyal mühendislik senaryosu kullanılarak beş farklı kamu kurumunun personeli üzerinde bilimsel bir çalışma yapılmıştır. Yapılan çalışmada; deneklere telefonla ulaşılmış, hazırlanan altı sosyal mühendislik senaryosundan birisi kullanılarak deneklerin bilgisayara oturum açmada kullandığı parolalarının elde edilmesi hedeflenmiştir. Bu çalışma sonucunda, toplam 48 denekten 30’u (%63’ü) oturum açma parolasını telefonun karşı tarafındaki test merkezinde bulunan personele herhangi bir zorluk çıkartmadan doğru olarak iletmiştir. Bilgi güvenliği alanında yapılan bu çalışma bir kez daha göstermiştir ki, pek çok güvenlik politikası ve tedbirinin uygulandığı kurumlara nüfuz etmenin en kısa ve uygun yolu insanlardır.

Sosyal mühendisler, kurbanları ile ilgili bilgileri toplarken çeşitli kılıklara girebilir ve olaydan olaya değişebilen çok farklı yöntem ve teknikler kullanabilir. Fakat sosyal mühendisler güvenliğin en zayıf halkası olan insandan bu bilgileri toplarken onların pek çok yönünü istismar eder. Sosyal mühendislik uygulamalarında kullanılan en yaygın yöntem ve teknikler şunlardır:

• İnandırıcı senaryolarla kurbanı kandırma: Genellikle telefon ya da bilgisayar gibi uzak iletişim imkânları tercih edilir. Bu tekniğin amacı, kurbanın sahip olduğu bilgileri (kullanıcı adı, parola, kimlik numarası, kişisel ya da kurumsal diğer bilgiler) inandırıcı senaryolar ve tuzak sorular kullanarak elde ederek, bu bilgileri kullanıp kurbandan maddi bir kazanç elde etmektir. Örnekler:

-Tebrikler, bir adet 37 ekran TV (Laptop, iPad, iPhone, Mp4 Çalar v.s.) kazandınız. Hediyenizi almak için lütfen 05** *** ** ** telefonu ile irtibata geçiniz. (Devamında kişisel bilgiler (TC Kimlik Nu., nüfus bilgileri, anne kızlık soyadı v.s.) talep edilebilir ya da verilen banka hesabına bir miktar para yatırılması istenebilir.)

-Cep telefonunuzun terör örgütü tarafından kullanıldığı tespit edilmiştir. Ancak sizin kullanmadığınızı tahmin ediyoruz, kullananları yakalayabilmek amacıyla şu numaraya 05** *** ** ** 100 kontör yüklemeniz gerekmektedir.( ****** Emniyet Müdürlüğü/ ****** Jandarma Komutanlığı.)

• Güvenilir bir kaynak kimliğine bürünme: Telefon ya da bilgisayar üzerinden kurbana ulaşarak kendisini sistem yöneticisi, şirket sahibi, muhasebe müdürü, personel müdürü v.b. olarak tanıtıp, çeşitli sorular sorarak bilgileri elde edebilir. Örnekler:

– Sistem yönetim merkezinden arıyorum, kullanıcı hesaplarını kontrol ederken sizin hesabın kilitlendiğini tespit ettik. İleride sorun çıkmaması için hatayı düzeltmemiz gerekiyor, lütfen son kullandığınız kullanıcı adı ve parolasını söyler misiniz?

– Ben, ***** Polis Karakolundan arıyorum, komiser ******, sizin cep telefonunuz kullanılarak suç işlendiğini tespit ettik. (İnandırıcılığı artırmak ve güveni tesis etmek amacıyla arka planda müzik setinden gelen polis telsiz sesi duyulmaktadır.) Ancak, bu suçu sizin değil de başka birisinin işlediğini düşünüyoruz. Suç işleyeni bulmak için birazdan size göndereceğimiz kısa mesajdaki numaraya 100 kontör yükleyiniz.

• Tehdit ve şantaj yaparak korkutma: Kurbana ait özel ve mahrem bilgileri kullanarak, işten attırma, kamuoyu önünde rezil etme, maddi ve manevi zarar verme v.b. tehditler savurarak kurbanın sahip olduğu ya da erişebileceği bilgileri elde edebilir.
• Değerli mal, eşya ya da para önerme: Şirket ya da kurum çalışanına gerekli olan bilgileri temin etmesi halinde para, eşya ya da değerli bir mal önerilebilir. Bu önerme yöntemi, tamamen ikna yoluyla yapılır; “bu işte çok para var” ya da “bu işi başarırsak köşeyi döneriz” gibi iştah kabartan sözlerle kurban avlanır. Ancak, işin sonunda kurbana karşılık olarak ya hiçbir şey ödenmez ya da çok az bir miktar ödenir. Zira saldırgan kurbana “sana çok para veririm” ya da “köşeyi dönersin” dememiştir, sadece “bu işte çok para olduğunu” belirtmiştir. Kandırıldığını anlayan kurban, şikâyette bulunarak kurum/şirketin bilgilerini para karşılığı verdiğini itiraf edemez, aksi halde böyle bir durumda en fazla zarara uğrayacak kişi de kendisidir.
• Gafil muhbir: Şirket ya da kuruma ait bilgileri olur olmadık yerde konuşangafil muhbirlere hemen her yerde rastlanılabilir. Gafil muhbirler, aslında bunu yaparken kötü bir şey yaptıklarını, şirket ya da kuruma ait bir güvenlik ihlaline neden olduklarını düşünmezler. Bu nedenle, bir şirket ya da kurum hakkında elde edilmek istenilen bilgilerin bir kısmı şirket ya da kurum çalışanı ile irtibata geçilerek, onların güveni ve sempatisi kazanılarak yapılır.
• Truva atı kullanma: Sistemlere gizlice bulaşan ve programlayıcısı tarafından özel bir işlevi (klavye toplayıcısı, ekran görüntüsü çekme, kayıtlı parolaları bulma, dosyalara müdahale etme v.b.) yerine getirmesi amacıyla geliştirilen çok tehlikeli bir yazılımdır. Truva atları güvenilir olmayan kaynaklardan bilgisayara indirilen çeşitli lisanssız yazılımlardan bulaşabileceği gibi, sahte ya da kaynağı belli olmayan e-posta eklerindeki dosyaların kullanılması sonucu da bulaşabilir. Hatta bir ürünün tanıtım CD/DVD-ROM’u şeklinde ya da ücretsiz bir yazılıma enjekte edilmiş halde bir CD/DVD-ROM içerisine kopyalanarak kurbana posta ya da kargo yoluyla da gönderilebilir.
• Balık avlama (Phishing): Bu yöntem, internet üzerinde genellikle e-posta yoluyla kullanılan, saldırgan tarafından kurbana güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan gönderilen özel kodlar ya da program parçalarını kullanarak kurbana ait özel bilgilerin elde edilmesidir. Örnek: Saldırgan öncelikle kurbanın internet bankacılığını kullandığı bankayı tespit eder. Daha sonra o bankanın internet bankacılığı giriş arayüzü ile oturum açtıktan sonraki diğer sayfaların kodlarını tamamen kendisinin kontrolünde olan bir web sunucu üzerinde taklit eder. Daha sonra kurbana, kendi kontrolündeki bankanın internet bankacılığı web arayüzünün kodlarını “internet bankacılığı bilgilerinizi güncelleyiniz” isimli bir e-posta ile gönderir ve e-posta açıldığında kurbanın internet bankacılığını kullandığı bankanın giriş sayfası ekrana gelir. Oysa ekrana gelen sayfa saldırganın kontrolündeki web sunucudaki sayfadır ve kurbanın bundan sonra girdiği tüm bilgiler saldırganın web sunucusu üzerine kaydedilir. Saldırgan bu bilgileri kullanarak kurbana ait banka hesabını boşaltabilir.
• Çöp karıştırma: Kurbana ait çöp sepetindeki not kâğıtları, ajanda, CD/DVD-ROM, hassas bilgi içerebilecek diğer dokümanlar sosyal mühendislik için kullanılabilir.
• Eski donanımları inceleme: Kullanıldıktan sonra içerisindeki kişisel veriler silinmeden satılan bilgisayarlar, veri depolama aygıtları, cep telefonu gibi donanımlar sosyal mühendislik için kullanılabilir. Bu tür donanımlar sahibinden bedelinden yüksek bir fiyata alınmak istenebilir.
• Omuz sörfü: Kurbanın bir sisteme girişte kullandığı kullanıcı adı, parolası ya da önemli bir bilgiyi kurban fark etmeden gizlice elde etme yöntemidir. Bu tekniğin, para çekilen ATM makinelerinden, internet kafelerde kullanılan bilgisayarlara kadar kullanıldığı bilinmektedir.

Günümüzde sosyal mühendislik uygulamaları en çok suç işlemeye meyilli kötü niyetli kişiler, bilgisayar korsanları ve bilgi hırsızları tarafından kullanılmaktadır. Sosyal mühendislik alanında kullanılan bu teknik ve yöntemlerin varlığı korkuya neden olmamalıdır. Çünkü alınacak basit ama önemli tedbirlerle sosyal mühendislik uygulamaları bertaraf edilebilir. Bu tedbirler başlıklar halinde sıralanacak olursa:

– Kişisel ve kurumsal bilgi güvenliği politikaları gözden geçirilmeli, bu hususta hazırlanan doküman ya da talimatlar herkes tarafından anlaşılabilir ve uygulanabilir nitelikte olmalıdır. Unutulmamalıdır ki, personel bilgi güvenliği konusunda ne kadar eğitimli ve bilinçli ise güvenlik politikalarının uygulanabilirliği ve sonuçları o oranda verimli olacaktır.

– Kurum ve şirketlerde bilgiye erişim yetki seviyesi belirlenmeli, her bilgiye herkesin erişimi engellenmeli, kritik ve önemli bilgilere erişim kayıtları düzenli ve emniyetli bir şekilde tutulmalıdır.

– İnternette gezinirken çok dikkatli olunmalı, internete erişimde kullanılan bilgisayarda özel ya da gizlilik dereceli bilgi bulundurulmamalıdır.

– E-posta ekinde gelen ve ne olduğu şüpheli dosyalar asla açılmamalıdır. E-posta içerisinde farklı bir erişim adresine yönlendirme yapan “lütfen burayı tıklayınız” türünden yönlendirmeler açılmamalıdır.

– İnternet üzerinden kişisel bilgileri vermek gerektiğinde, internet tarayıcısının güvenli halde olup olmadığına (adres satırında https:// ibaresi bulunmalıdır.) dikkat edilmelidir.

– İnternet üzerinde bankacılık işlemleri yaparken SSL güvencesinde işlem yapıldığından emin olunmalıdır. İnternet tarayıcısındaki altın sarısı bir asma kilit bu güvenliğin çalıştığını sembolize etmektedir.

– Unutulmamalıdır ki hiçbir banka müşterisine internet bankacılığı bilgilerini güncellemesi için e-posta göndermez, telefon etmez, bu bilgileri doldurması için bir form göndermez.

– Bilgisayarınızın her ne kadar güvenli olduğundan emin olsanız bile, bilgisayarınızın bağlı olduğu internet ağı (internet kafe ya da umuma açık kablosuz ağlar olabilir) ile ilgili şüpheleriniz var ise özel işlerinizi yapmamanız tavsiye edilir.

– Sosyal paylaşım ağlarında (Facebook, Twitter, Youtube, Kişisel bloglar v.b.) kesinlikle kişisel bilgi ve verileriniz umumun görebileceği şekilde paylaşılmamalıdır. Bu alanlarda paylaşılan bilgiler (Doğum tarihi, akrabalık bilgileri-dayı soyadı=anne kızlık soyadı-, cep telefonu numarası, e-posta adresi, v.b.) sosyal mühendislik uygulamalarında kullanılmak üzere kaydedilebilir.

– İnternet bankacılığı kullanılıyorsa , sisteme giriş parolası cep telefonu yerine özel parola üreten anahtar ile yapılmalı, ancak parola anahtarını iyi muhafaza edilmelidir. İnternet bankacılığı erişim kayıtları, hesap ve kredi kartı ekstreleri düzenli olarak kontrol edilmelidir.

– Bilgisayarlara internetten işlevi belirsiz ve lisanssız yazılım indirilip kurulmamalı ve tanınmayan kişilerle dosya paylaşımında bulunulmamalıdır. Bilgisayarın işletim sistemi için gerekli olan tüm yama ve güncellemeler yapılmalı, anti-virüs yazılımı güncel tutulmalı ve internete bir güvenlik duvarı arkasından çıkış yapılmalıdır.

– Farklı giriş kapıları için farklı parolalar kullanılmalı, parolalar periyodik olarak değiştirilmeli ve kullanılan parolalar yazılı halde bir yerde bırakılmamalıdır.

Yukarıda anlatılan bu hususlara ilave olarak, bilgi sistemleri güvenliği alanında yaşanan gelişmeler saldırganların işlerini zorlaştırdığından, saldırganların daha kolay ve ekonomik olan sosyal mühendislik yöntemlerine yönelecekleri değerlendirilmektedir. Şayet, teknolojiyi kullanıyorsanız ya da kullanmak zorunda iseniz hayatın olağan akışı içerisinde her an sosyal mühendislik saldırıları ile karşı karşıya kalabilirsiniz. Ancak, etkin bir bilgi güvenliği politikasının sağlanmasının birinci koşulunun, en zayıf halka olan insanın bilgilenmesi ve bilinçlenmesi olduğunu unutmamak gerekir. Bu alanda tanınmış bir güvenlik uzmanı olan Bruce Schneier’ın belirttiği üzere; “Güvenlik bir ürün değil, bir süreçtir” [2] sözü daima hatırda tutulmalı ve güvenliğin bir teknoloji sorunu olmadığı, bir insan ve yönetim sorunu olduğu asla unutulmamalıdır.

KAYNAKÇA:

1. MITNICK, Kevin D., Aldatma Sanatı , ODTÜ Yayıncılık, Ankara, 2. Basım, Ocak 2006,
2. SARICA, Raif ve BİLEK, Burak Tunç, Jandarma Dergisi, “Yanı Başımızdaki Tehlike: Sosyal Mühendislik”, Ocak 2012, sayı 132,
3. İnternet: Erişim http://www.bilgiguvenligi.gov.tr/
4. İnternet: Erişim http://www.schneier.com/