Prof. Dr. Deniz Yengin/gazetesanal.com
Bilgi, en önemli sermayedir. Günmüzde bu sermaye artık büyük veri olarak yerini almakta ve çeşitli sektörler tarafından bilinmekte ve kullanılmaktadır. Dijital olan her veri her şifre ele geçirilebilir. Çünkü aslında hepsi ikili sistemlerden oluşan 0 ve 1’lerle temsil edilmektedir. Dijital olan her şey kayıt altındadır. Bunu kimi zaman sizin adınıza devletler yapar, kimi zaman da kurumlar, kimi zaman da sistemin açığını bilen kişiler yapar. Dolayısıyla yüklediğimiz her şeyden sorumluyuz. Çünkü iletişim akışı çok kıymetldir.
İkna için her yol deneniyor.
Büyük söz konuşmamak gerekir. Sakın beni kimse kandıramaz demeyin. Sizi ikna etmek için her yol denenir. Sıcak soğuk oyunu çokça uygulanır. Örneğin, 1 Mart Dünya Gelecek Günü’nde bizler üniversite olarak önemli bir etkinlik gerçekleştirdik. Geleceği İnşa Etmek adı altında gerçekleştirdiğimiz bu etkinlikte enerji, ekonomi ve tüketim adına gelecekte bizi bekleyen yenilikler tartışıldı. Etkinlik hazırlıkları döneminde asistanımı tanımadığı bir numara aradı ve bankadan aradığını ifade etti. Asistanıma “güncellemeler nedeniyle baba adınızı teyid etmemiz gerekir” dedi. Asistanım da baba adını söyledi ve görüşme sonlandı. Ne olduğunu anlamadan bir saniyelik bir boşlukta ve dalgınlıkla bu bilgiyi veren asistanım, kendisini arayan numarayı internetten sorguladığında kurumsal olmayan “isinsiz-no name” bir numara olduğunu öğrendi. Buna bağlı yorumları okuduğunda ise “bu numaraya sakın bilgi vermeyin” uyarılarıyla karşı karşıya kalmış oldu.
Ben bunu “gelenekselden dijitale / dijitalden geleneksele” kullanıcı tipleri olarak iki farklı bakış açısıyla sınıflandırıyorum. X kuşağı dijital yeniliklere hayret edip, ayak uydurmaya çalışırken, Z kuşağı bu kültürün içerisinde doğan biri olarak hız ve zamana önem veriyor. Her şeyin anında değişmesine alışkınlar. “Dijital yerli” Z kuşağı, yaşamının çoğunu online olarak geçirmekte. Bu noktada sosyal medyanın gücü unutulmamalı. Örneğin 2 gün önce Tayvan’daki bir haberi paylaşmak istiyorum. Tayvan’da tuvalet kağıdına zam yapılacağı bilgisinin sosyal medyada paylaşılmasından sonra 3 günde normalden 22 kat tuvalet kağıdı satılmış.
Bir diğer örnek ise, Arap Baharı sürecinde günlük twit sayısı 2 bin 300’lerden 20 binlere yükselmesi. Arap dünyasının güçlü lideri Hüsnü Mübarek’in istifasının da gerçekleştiği olaylarda sosyal medyanın gücü azımsanmamalı. Halk meydanlarda toplanmıştır. Sosyal medya onları orada tutan harcın bir parçasıydı.
Bu noktada en önemli durum dijital ayak izidir. Dijital izler farklı olanlarda farklı güdüleme biçimlerine yeni olanaklar sunar. Devreye sosyal mühendislik girer. Sosyal mühendislik ikna etme yöntemlerini kullanarak insanlardan bilgi toplar ve onların istenilen işleri yapmasını sağlar.
Sosyal mühendislik: “İnsan kandırma sanatı”
Sosyal mühendislik, temel olarak insan doğasında bulunan güven, korku ve yardım etme duygularının kullanılmasıyla gerçekleştirilen bir saldırı türüdür. Bireyi zayıf anında yakalar. Sosyal mühendislik saldırıları iki şekilde uygulanmaktadır.
1. İnsan Tabanlı – iletişimsel saldırı
2. Bilgisayar Tabanlı – siber saldırı
Amaç, İnsani ilişkiler kurarak istenilen bilgiye ulaşmaktır.
Genelde bu saldırılarda insanların psikoloji, duygu, düşünce ve zaafiyetlerinden faydalanmaya ve insanları herhangi bir şey için ikna etmeye çalışılmaktadır. Herhangi bir durum üzerinden yapılan manipülasyon temel araçtır. İnsanları manipüle ederek güven kazanma yoluyla kişisel/kurumsal bilgileri ele geçirilmektedir. Özellikle yardıma ihtiyaç duyan kişiler, herkese güvenme eğilimindeki kişiler ve başının derde girmesinden korkan kişiler kolayca manipüle edilebilmektedir. Bu noktada sosyal mühendislik internet ortamını da kullanmakta, internette insanların zaafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgiler elde edilmeye çalışılmaktadır..
İletişimsel bir yaklaşımla anlatalım. Aristo’nun ikna üzerine ethos, pathos ve logos kavramlarıyla iletişim sürecini açıklar. Bunlar; etik, empati ve mantıktır. Konuşmacının vermiş olduğu bilgiler etkili ve inandırıcı bir biçimde aktarıldığında dinleyicilerin entellektüel düzeylerine göre etkinlenmeleri, ikna olmaları mümkündür. Yani sorgulamadan inanma olayı gerçekleşir. İşte bu bağlamda sizi arayan kişiler kesinlikle retoriği maksimum düzeyde kullanarak sizi hipnotize ederler. Güvenlik önlemleriniz ne kadar ileri düzeyde olursa olsun, güvenliğin en zayıf halkası olan “insan” bileşeni kolaylıkla istismar edilebilir. Becerikli bir sosyal mühendislik saldırısı, kendinizi savunmanın neredeyse imkânsız olduğu bir silahtır.
Hakimler, profesörler, ev kadınları, çalışanlar.
Bu konularda inanılmaz mağduriyetler bulunmaktadır. Herkesin başına gelebilir. Çünkü, ikna ön plandadır. İnsanları arayarak, içlerine şüphe tohumları ekerler ve güvenlerini kazanarak, iletişimsel malüpilasyon yaparlar. Sonra yavaş yavaş isteklerini belirtirler.
Örnek bir arkadaşımın ev kadını olan annesinin başına gelenlerden yola çıkalım.
Ev kadını telefonla aranıyor ve önce güven sonra panik havası yaratılıyor. Karşıdan arayanlar üst seviye profesyonel bir iletişim tekniği kullanarak yaklaşmışlar.Kadını, oğlunun nereden buldukları bilinmeyen ses kayıtlarıyla ikna etmişler. Hesabındaki paraları çekip bir parka bırakmasını sağlamışlar. Buna bazen basiret bağlanması da diyebiliriz. Ancak karşıdakiler çok planlı ve profesyonel. Çok ciddi çalışmalar yaparak ve etkili iletişim dili kullanarak size hiç bir şekilde nefes alma izni vermeden hedefe ulaşmaya çalışırlar.
Manipülasyon sürecinde önce küçük sonra büyük rica tekniği, sadece o değil tekniği, evet- evet tekniği ve en önemlisi soruya soruyla yanıt verme tekniğini kullanırlar. Herhangi bir kullanıcının ismini bilen saldırgan teknik birimden arıyormuş gibi davranarak kullanıcının bilgilerini talep eder. Örneğin:
“Merhabalar, ben teknik departmandan arıyorum. Dün akşam sistemlerimizde oluşan bir arıza yüzünden veri kaybı yaşayıp yaşamadığınızı test ediyoruz, Kullanıcı adı ve şifrenizi almalıyım?”
Ne kadar tanıdık değil mi? Her gün binlerce, milyonlarca kişi bu şekilde aranıyor. Aranan kişilerin büyük bir kısmı kandırılıyor. Bu kişiler eğitimli – eğitimsiz, savcı, doktor, ev hanımı olabiliyor. Dijitalde bıraktığınız izler kötü amaçları olan dolandırıcılar tarafından sizlerin bulunmasını kolaylaştırmaktadır. Önce hakkınızdaki bilgileri toplarlar, sonra da bilgileri ifşa etmekle tehdit ederler. Kendilerini hakim, emniyet müdürü gibi farklı kimliklerle tanıtırlar. Bunu bazen de banka bilgilerinizi az çok bilen kişiler, hesabınızdaki parayı tam olarak verip banka olarak ararlar. Çok tehlikeli..
Akıl oyunlarıyla manipüle eder ve ikna olmanızı sağlarlar.
Sosyal mühendislikten nasıl korunabiliriz?
Açıkça belirtmek gerekirse eğer önemli bir şirket sahibi değilseniz veya toplumca tanımış biri değilseniz risk çok büyük değil. Kendinizi bu konuda tehlikede hissediyorsanız bu işi daha profesyonel yapan kişilerden yardım almanız gerekir. Bu konuya ilişkin seminerler ve eğitimler düzenleniyor. Ama öncelikle sosyal medya üzerinden bilgi paylaşımı yaparken çok daha dikkatli olmalısınız.
Soyağacı bilgilerini paylaşan insanlar var…. Sizden istenen bilgilerin değerinin farkında olun. Güvenliğe önem verin. Örneğin şifrelerinizde değişik karakterler kullanın. Araştırmalara göre sadece harflerden oluşan bir şifreye sayı da eklenince bu şifreyi kırmak kat be kat daha fazla zorlaşıyor.
Sosyal hesaplarınızın doğrulama aşamalarını dikkatlice tamamlamalısınız. Bir hesabı oluştururken ‘doğrulama sorusu’ vb. gibi soruları dikkatlice seçmeli ve diğer kişilerin tahmin edemeyeceği türden cevaplar vermelisiniz.
Aslında bu tavsiyelerin de ötesinde sizlere sosyal mühendislikle alakalı kitaplar okumayı öneriyorum. Özellikle Christopher Hadnagy’nin “Sosyal Mühendislik” kitabı kullanılan yöntemleri ve nasıl yapıldığını detaylıca açıklıyor. Yani bu kitaptan sonra kendinizi koruyabilecek seviyede olabilirsiniz.
Özetle;
1. Bilmediğiniz numaralara yanıt vermeyin ve kesinlikle onları acmayın. 1-2-3-4 olarak kaydedin. (çok merak ettiyseniz arama motorlarıyla numarayı aratın)
2. Bir şekilde sakinleşmeli ve o hipnotize edilmiş dünyadan kurtulmalısınız.
3. Dijital ayak izi bırakmayın.
4. Çöpe attığınız kredi kartı ödemesi, fatura bilgileri…vb. bunları bol bol yırtarak imha etmeye çalışın. Çünkü bunlar bile önemli bilgilerini taşıyor.
5.Ayda bir bilgisayarda kullandığınız şifreleri yenileyin.
6.Her dosyayı bilgisayarınıza yüklemeyin.
Sosyal mühendislik, temeli filmlere dayanan bir bilim kurgu değil, her yaştan insan için tehlike yaratabilecek bir sistemdir.