Sosyal mühendislik konulu yazı dizisi devam ediyor…
Daha önce başladığımız sosyal mühendislik konumuza kaldığımız yerden devam edeceğiz. Bir önceki yazımda SMS Yemleme konusuna kadar ele almıştım. Bu yazımda da ülkemizde en sık görülen sosyal mühendislik saldırısı olan telefon dolandırıcılığı konusunu anlatmaya çalışacağım. Bu arada Erdal OZKAYA ve Şükrü DURMAZ’la kaleme aldığımız Sosyal Mühendislik kitabımızda, konunun bütün yönleriyle ve gerçek hayattan alınmış birçok örnekle beraber ele alındığını tekrar belirtmek istiyorum.
Telefon Dolandırıcılığı (Phone phishing-Vishing)
Sosyal mühendislik saldırılarının bir versiyonu olan telefon dolandırıcılığı ülkemizde en sık kullanılan yöntemlerin başında gelir. Bu teknikte, teknolojinin sağladığı imkânlarla telefon numaralarını taklit (spoofing) ederek, sosyal mühendisler hedeflerini ne kadar mantıksız olursa olsun talimatlarına uymaları yönünde ikna etmeye çalışırlar. Oluşturdukları senaryolara göre bazen polis, savcı veya herhangi bir devlet görevlisi olurlar, bazen de bir çağrı merkezi çalışanı. Bazen hesaplarınız terör örgütü mensuplarınca ele geçirilmiş olur bazen de bankanın şanslı müşterisi veya yapılan bir çekilişte kazanan şanslı müşteri olursunuz.
Telefon dolandırıcılığı yöntemini kullanan sosyal mühendisler taklit ettikleri kişi veya kurumlara göre itinayla seçilmiş cümleler sarf edip, hedefleri üzerinde stres, şaşkınlık veya aç gözlülük gibi duyguları yoğun bir şekilde yaratarak onları mantıklı düşünme sürecinin dışına çekerler ve insanların mantıklarından ziyade duygularıyla anlık tepkiler vermelerini sağlarlar.
Hepimizin bildiği gibi duygu yoğunluğu arttıkça mantıksal düşünme ve çıkarımlar için kullandığımız bilişsel yetilerimizi kısmi olarak kaybederiz. Duygular ne kadar yoğun olursa, mantıksal çıkarım için kullanacağımız kaynaklar da o derece sınırlı olur.
Kavga esnasında ağzınızdan dökülen cümleleri aklınıza getirin.. Sakinleşip olan biteni ve sarf ettiğiniz sözleri düşündüğünüzde söylediklerinize çoğu zaman pişman olursunuz, ancak kızgınlık ve öfke duyguları üst düzeyde olduğundan pişman olacağınız kelimeleri kullanmamanız gerektiğini kavga anında düşünemezsiniz. O anda kontrol neredeyse tamamen mantıksal düşünceden sorumlu beyin kabuğunda (serebral korteks) değil duygularımızdan sorumlu limbik sistemde, daha da özele inmek gerekirse amigdaladadır. Bu nedenle duygusal yoğunluğun üst düzeyde olduğu anlarda ağzımızdan çıkanlara, tavır ve davranışlarımıza dikkat etmemiz lazım.
Aslına bakılırsa zihnimiz hisseden ve düşünen zihin olmak üzere iki parçadan oluşur. Normal şartlarda bu iki zihin koordineli çalışarak bizi mükemmele ulaştırır. Ne zaman ki biri diğerine baskın olmaya başlar, bizler de hata yapmaya başlarız.
Tamamen mantık devreye girdiğinde bilgisayar veya elektrik devreleri gibi sadece var-yok veya 0 ve 1 olur hayatımızda. O zaman da duygusuz robottan farkımız kalmaz. Tamamen hisseden zihnimiz kontrolü ele aldığında ise gerçeklerden uzaklaşıp daha çok hayatta kalma odaklı dürtülerimizle hareket etmeye başlarız.
Âşık olduğunuz kişiyi düşünün. Ne kadar hatası veya eksiği olursa olsun, o kişi sizin gözünüzde melektir. Gerçek bu mudur? Tabi ki hayır, o da sizin benim gibi oksijen alıp karbondioksit veren karbon bileşenidir sadece ama biz bu gerçeği geri plana atarak hormonlarımızın tamamen kontrolü ele alıp, o kişiyi bizim gözümüzde melekleştirmesine izin veririz. Mutluluk kimyasalları dediğimiz dopamin (ödül), endorfin (vücudun doğal morfini), serotonin (saygı) ve oxitosin (aitlik, bağ kurma, güven) hormonları ona karşı duygu ve düşüncelerimizi şekillendirir.
Neticesi korku, endişe, stres ve acı olan kortizolden kurtulup hayatta kalmamız amacıyla evrilmiş olan bu mutluluk hormonlarına yönelik karşı koyamadığımız bağımlılığımızı beslemeye çalışırız. Burada birkaç satırla özetin özetinin özetini yazdığım sosyal mühendisliğin psikolojik boyutunu yazımın başında verdiğim kitabımızda altmış sayfalık ayrı bir bölüm olarak kapsamlı bir şekilde anlattık. İnsanlık tarihinin başlangıcına gidip gelişmiş frontal korteksi sayesinde dünya hakimiyetini ele geçiren Homo Sapiens’i ve sahip olduğu bilişsel ve duygusal yetenekleri tek tek ele aldık.
Bunların yanı sıra sosyal mühendislerin bizlere evet dedirtebilmek amacıyla kullandıkları ikna ve etkileme teknikleri de onların taleplerini absürt olsa dahi yerine getirmemizi sağlar. Ayrıntılarını bir bölüm halinde kitabımızda ele aldığımız ikna ve etkileme prensiplerini maddeler halinde verelim.
· Açık bir amaca sahip olma
· Samimiyet ve güven
· Etrafla uyumlu olma
· Esnek olma
· Kendisinin farkında olma
· Karşılıkta bulunma
· Tutarlılık
· Toplumsal kanıt
· Sevgi
· Kıtlık
· Hale-Boynuz Etkisi
· Otorite
· Doğal olma
· Bilgili olma
· Açgözlülükten kaçınma
· Yağcılık
· Yanlış beyanatlar kullanma ve yapay cehalet
· Dinleme ve destek çıkma
Son olarak gerek telefon dolandırıcılığı gerekse diğer sosyal mühendislik saldırılarının bu derece etkili olmasına neden olan başka önemli bir faktörü daha burada sizlerle paylaşmak istiyorum. Basın yayın yoluyla vatandaş üzerinde oluşturulan yanlış algılar. Televizyonlarımızda gösterilen film ve dizilerin çoğunluğu ya direk Amerikan yapımı ya da birebir taklit edilen Türk dizileri.
O dizilerde polisin, savcının tavır davranışlarına bakan insanımızın aklında tamamen farklı bir polis imajı oluşuyor. Örneğin, reyting rekorları kıran “Hekimoğlu” dizisini ele alalım. İzleyenler bilirler, son bir aydır Mahir isimli bir komiserin Hekimoğlu’na yapmadığı kalmadı. Amerikan versiyonundan birebir kopyalandığından Mahir komiser ağzında nikotin sakızı hastane koridorlarında dolaşıp soruşturma yürütüyor. Bir bakıyorsunuz Orhan Hoca’nın reçete yazma yetkisini iptal ettiriyor, baka hesaplarını donduruyor, gizlice Hekimoğlu’unun evine gidip arama yapmak adına her tarafı alt üst ediyor ve daha neler neler. Bu sahnelerin çoğunun gerçek dışı olduğunu, ülkemiz kanunlarına göre bu tür şeylerin yapılamayacağını, polis teşkilatımızda sözde komiser Mahir benzeri itici tiplerin veya bu tür yetkilerinin olmadığını hayatında polis veya savcıya işi düşmemiş birine saatlerce anlatsanız da dizideki kadar etkili olmayacaktır.
Polis Vazife ve Salahiyetleri Kanunu veya Ceza Muhakemeleri Kanununu mecbur kalmadığımız sürece okumadığımız gerçeğiyle birleştirildiğinde, halkımızın birçoğunun kafasındaki polis tiplemesi dizilerdeki Amerikan versiyonu oluyor.
Ardından SMS’ler veya kamu spotlarıyla vatandaşı bilgilendirme çabalarının tamamı boşa gidiyor ve vatandaşımız telefonun diğer ucundaki sahtekârların talimatlarını sorgulamadan harfiyle yerine getiriyor.
.
.
.
.
Telefon dolandırıcılığı konumuzu burada tamamlıyoruz. Bir sonraki yazımda sosyal medya dolandırıcılığı ve bu dolandırıcılık tuzağına düşmemek için sosyal medya platformlarıyla oluşturulan bu sanal dünyada nelere dikkat etmemiz gerektiğini anlatmaya çalışacağım.
