Facebook, Instagram, LinkedIn ve Twitter gibi sıklıkla kullanılan sosyal medya platformlarının araç olarak kullanıldığı bu saldırı türü, bireyselliğin ve sanal gerçekliklerin artmasına paralel olarak sosyal mühendisler tarafından tercih edilen dolandırıcılık yöntemlerinde ön sıralara geçmiştir.
Sosyal mühendislik ile ilgili bir önceki yazım için;
Aralarında en eski olan Facebook’un 2004 yılında ortaya çıktığını düşünürsek, bundan daha 15–20 yıl önce adı sanı olmayan bu platformlar hayatımızın vazgeçilmezleri arasında sağlam bir şekilde yerini almışlardır. İnternete erişimi konusundaki kolaylıkların artması ve akıllı telefonların giderek daha da akıllanması neticesinde, gündüz elimizde gece ise başucumuzda duran akıllı (!) telefonlarımızla neredeyse günün 24 saatinde sanal dünyanın içerisindeyiz.
Eskiden birebir görüşmeler şeklinde gerçekleşen toplumsal ilişkiler neredeyse tamamen sanal ortamlara taşındı. Bu duruma paylaşım çılgınlığımız da eklenince aklımıza gelen her şeyi, yaşadığımız her olayı, fikirlerimizi, düşüncelerimizi, itirazlarımızı ve hatta isyanlarımızı bu platformlar üzerinden duyurmaya başladık. Temelinde sosyal bir varlık olan insan evladının sosyalleşme yöntemi bilişim çağında bu platformlar oldu.
Sosyalleşerek bir şekilde ben de buradayım, ben de varım, benimde bir fikrim var diyebilmek adına dur durak bilmeden yaşadıklarımızı paylaşır olduk. Sosyalleşebilmek, sesimizi durabilmek, varlığımızı gösterebilmek ve hepsinden önemlisi içimizi kemirip duran egomuzu besleyebilmek adına durmadan paylaşıyoruz. İnternet ve sosyal medya bağımlılığımız öyle bir dereceye geldi ki, Gelişmeleri Kaçırma Korkusu (Fear of Missing Out-FOMO) isimli yepyeni bir hastalığımız oldu. Bu hastalığın sizdeki derecesini görmek adına kendi kendinize telefonunuza bakmadan ne kadar süre durabildiğinizi bir test edin isterseniz.
Gerçekten de bu derece bağımlı mıyız bu sanal ortamlara?
Cevap maalesef evet. Ülkemiz sosyal medya kullanımı bağlamında dünya üzerinde hatırı sayılır bir konuma sahip. Örneğin, Ocak 2020 verilerine göre, 37 milyon kullanıcıyla Facebook’ta dünya onuncusu, 38 milyon kullanıcı ile Twitter’da altıncı, LinkedIn’de on beşinci ve Instagram’da altıncı sıradayız[1]. Sosyal medya platformlarına olan bu derece bağımlılığımızı daha iyi görebilmek adına sahiplerinin ortaya koydukları inanılmaz çabaları ve bu konudaki etik sorunları anlatan “Sosyal İkilem (The Social Dilemma)” (https://www.imdb.com/title/tt11464826/) isimli belgesel tarzındaki filmi izlemenizi tavsiye ediyoruz.
Farklı bir benzetme olacak ancak avın bu kadar bol olduğu ortamda avcıların da kol geziyor olmaları kaçınılmaz bir sonuç olarak karşımıza çıkıyor.
Ülkemizde genellikle magazinsel içerikli dolandırıcılık vakalarının sadece çok küçük bir kısmı basına yansıyor olsa da kötü niyetli sosyal mühendisler her gün binlerce vatandaşımızı dolandırıyorlar. Diğer sosyal mühendislik saldırılarının başarısında da etkili olan hırs, açgözlülük, tutku gibi duygusal zaaflarımızı bir kenara koyarsak, sosyal medya platformlarındaki dolandırıcılık faaliyetleri özelinde yaratılan sahte güven ortamı bu tuzaklara düşmemizin en büyük nedenidir. Şöyle ki;
- Bu platformlar genellikle birbirini tanıyan kişilerin etkileşimde olduğu ortamlar olduklarından bir dereceye kadar güven hissi verirler ve hissedilen bu sahte güven bireylerin daha rahat ve tedbirsiz hareket etmelerine neden olur.
- Bu rahatlık ve tedbirsizliğimize susturamadığımız egomuzun fısıldadığı paylaşım çılgınlığımız da eklendiğinde sosyal ağlar kurbanların akıl oyunlarıyla kandırılmaları için elverişli bir ortam sunarlar.
- Bir akrabamızın veya tanıdığımız bir arkadaşımızın yaptığı paylaşımda yer alan linki tıklamakta herhangi bir mahsur görmeyiz çünkü o şahısları tanıyor ve güveniyoruzdur.
- Akrabamız veya arkadaşımız olduğunu zannettiğimiz kişinin aslında o hesabı ele geçirmiş bir siber saldırgan veya sosyal mühendis olabileceğini düşünmeyiz veya düşünmek istemeyiz.
- Daha da acısı linki tıkladıktan sonra açılan sayfanın URL adresini okumak yerine sayfadaki renkli resim ve şekillere odaklanırız.
- Açılan sayfada tek bir harfin farklı olmasının bile tamamen farklı bir web sayfası anlamına geleceği aklımızın ucuna gelmez.
- O derece hipnotize oluruz ki, açılan sayfada doldurulmak üzere bize sunulan formları sorgusuz sualsiz bize özel bilgilerle doldururuz. Hele de doldurulan bu formlar neticesinde indirim kuponu, çekiliş veya kredi kartı aidatı iadesi gibi zahmetsiz para kazandıracak bir yem varsa, daha bir hevesli oluruz formları bir an önce doldurmak için.
Kredi kartı aidatı iadesini özellikle vurgulamak istedik çünkü geçen yıldan bu yana bu saldırı taktiği sıklıkla kullanılıyor.
- Sosyal mühendisler, öncelikle e-devlet veya resmi görünümlü sahte web sitelerini hazırlıyorlar.
- Ardından, kredi kartı aidatı bilgisini de ekleyerek web sitelerinin reklamını Facebook, Instagram ve Twitter gibi popüler sosyal medya platformlarında yaparak daha çok insana ulaşıyorlar.
- Bazen meraktan bazen de gerçekten kredi kartı aidatını geri alabilmek amacıyla sosyal medya kullanıcıları paylaşımda yer alan linki tıklayıp sahte web sitesine ulaşıyorlar.
- Esas sorun bu noktadan itibaren başlıyor. Siteye ulaştıklarında, öncelikli olarak URL adresini okumak yerine, resimlere şekillere odaklanıp sosyal mühendislerin titiz bir şekilde hazırladıkları tuzaklarına düşüyorlar.
O sahte siteye ulaştıktan sonra başınıza gelebilecek çok sayıda farklı senaryo vardır. Birinci senaryoda;
- Size sunulacak formlarla Ad ve Soyadınız, T.C. Kimlik Numaranız, kredi kartı bilgilerinizi elde etmeye çalışırlar.
- Özellikle hedef olarak seçildiyseniz ve bir şekilde kredi kartı bilgilerinizi daha önce ele geçirdilerse, kartınızdan harcama yaparlar.
- Sizden talep edecekleri tek şey bankanızdan gelecek onay kodunu onlara vermeniz olacaktır.
Diğer senoryada ise;
- Faturalı olan telefon numaranızı ele geçirir, devamında harcama yaparlar.
- Bu durumda da servis sağlayıcınızdan gelecek onay kodunu sosyal mühendise vermeniz gerecektir.
- Ben ne özel bilgilerimi ne de bankadan gelecek SMS’te yer alan onay kodunu vermem diyebilirsiniz. Zaten mantıklı düşündüğümüz anlarda normal olarak yapılması gereken de budur ancak, emin olun öyle bir ruh haline giriyorsunuz ki yapmam dediğiniz her şeyi bir bakmışsınız yapıvermişiniz.
- Hatta, bankadan gelen onay kodunun yanlış olduğunu zannederek gelen ikinci onay kodunu (ikinci harcamaya ait) vermiş olanlar dahi var.
Özellikle kredi kartı dolandırıcılığı konusunda aşağıda paylaşacağımız linklerdeki haberleri okumanızı tavsiye ediyoruz.
Bahsettiğimiz bu kadar düzenbazlığın ardından, sizin yerinizde olsam aşağıdaki linkleri tıklama konusunda bir tereddüt yaşardım. Tıkladıktan sonra da web sitesinin doğruluğunu teyit etmek için kesinlikle URL adresinde yazanları okur, ardından haber içeriğine geçerdim. Kim bilir belki de aşağıda masum haber sitesi görünümlü URL adresi tıkladığınızda sizi bambaşka bir web adresine götürecek (!).
Gelelim sosyal medya platformlarında daha sık gördüğümüz diğer dolandırıcılık faaliyetlerine. Onlardan da kısa kısa bahsedip yazımızı tamamlayacağız. Yazıyı daha fazla uzatarak sizleri sıkmamak adına bütün bunlara karşı ne yapmamız gerektiğini bir sonraki yazımızda sizlerle paylaşacağız.
Aklımıza gelen birkaç dolandırıcılık girişimini maddeler halinde verip, yaşanmış birkaç olaya ait linkleri sizlerle paylaşacağız. Verilen veya sanal olarak yaratılan sahte güven ortamından faydalanarak gerçekleştirilmesi muhtemel dolandırıcılık senaryolarını sıralayalım.
- Aşk tuzakları — En çok karşılaşılan gerek erkek gerekse kadın kullanıcılara yönelik kurulan aşk tuzakları. Bu tuzaklarda belli bir süre güven kazandıktan sonra üzerinizde ustaca akıl oyunları oynayarak sizden para koparmaya çalışırlar. Hastaneye yatarlar ve paraya ihtiyaçları olur, evlilik hayalleriyle aklınızı çeldikten sonra çeyiz düzmek için paranızı alırlar, ev alırlar, araba alırlar, paraları bittiğinden yanınıza gelebilmek için bilet parasına ihtiyaç duyarlar ve daha neler neler.
- Fırsat tuzakları — İkinci olarak en çok karşılaşılan durum piyasa değerinin çok altında ev, araba veya başka bir satmaya çalışırlar. Kapora ödemeniz durumunda ilanı kaldıracaklarını söyleyip, kaporayı aldıktan sonra sırra kadem basarlar. Bu arada siz kaparo ödeyen bilmem kaçıncı kişi olduğunuzu çok sonra ve belki öğrenirsiniz.
- İyilik tuzakları — Tanınan kişiler adına sahte hesap oluşturup, hediye çeki dağıtabilir, bağış kampanyası düzenleyebilirler. Bu arada ya özel bilgilerinizi ya da paranızı çalarlar.
- Dalgınlıktan faydalanma — Telefon hattınız faturalı ise faturaya yansıyacak şekilde harcama yapıp, sizden onay kodunu isterler. Veya size gönderecekleri bir masum MS Office dosyası görüntüsündeki fidye yazılımlarını bilgisayarınıza bulaştırarak tüm dosyalarınızı şifrelerler ve ardından takip edilmesi mümkün olmayan bir kripto para hesabına ödeme yapmanızı isterler.
Ve daha neler neler…. Hayal gücünüzü kullanarak senaryoları artırabilirsiniz.
Yazımızın sonunda yaşanmış ve basına yansıyan sosyal mühendislik olaylarından birkaçını sizlerle paylaşarak, yukarıda sıraladığımız senaryoları ve benzerlerini gerçek hayatta görelim.
- https://www.milliyet.com.tr/gundem/dolandiricilarin-tuzagina-dusmeyin-6339828
- https://beyazgazete.com/haber/2020/4/20/kadin-avukata-onluklu-ask-tuzagi-5512427.html
- https://www.tgrthaber.com.tr/gundem/film-sahnelerini-aratmayan-dolandiricilik-olayi-kamerada-2677265
- https://www.ensonhaber.com/ic-haber/samsundan-film-gibi-dolandiricilik-hikayesi
Sosyal mühendislik konusuyla ilgili son yazımızda, bu teknolojik dolandırıcılara karşı neler yapmamız gerektiği konusunda birkaç tavsiyede bulunmak üzere bu yazımızı burada noktalıyoruz.
Bir sonraki yazımızda görüşmek dileğiyle sağlıcakla kalın.
