Etkili ikna etme yöntemleriyle insanların zaaflarından istifade ederek gizlenmesi gereken bilgilerin ele geçirilmesi, istenilen noktaya yada düşünceye sevketme sürecindeki becerinin adıdır sosyal mühendislik.
Bu gizlenmesi gereken bilgiler bireysel olarak da ciddi problemler yaratabileceği gibi asıl büyük sıkıntıların kurumsal bazda yaşanmasına sebebiyet verebilir. Bu nedenle bu bilgilerin güvenliğini sağlamak öncelikle kendi sorumluluğumuzaltında olsa da söz konusu kurumsallık ise bilgi işlem personeli ve tüm kurum çalışanlarının sorumluğu altındaki bir konudur. Bu nedenle bireysel ve kurumsal anlamda tüm bireylerin bilgi güvenliği konusunda bilinçlenmesi, bilinçlendirilmesi gerekir.
Sosyal mühendisler bizler için gayet masum görünen bilgiler yardımıyla daha ileri noktalarda asıl önem arz eden bilgilere erişebilirler.
Basit bir senaryo yazalım. “ Sosyal medya ortamında kısa süre önce tanıştığınız biri mesleğiniz, nerede ve hangi pozisyonda çalıştığınız gibi bilgilere sosyal medya paylaşımlarınızdan ve kurduğunuz diyaloglar yardımıyla ulaştıktan sonra çalıştığınız birim yetkililerine ait ad-soyad, iş pozisyonu gibi bilgilere de erişim yapabilir. Asıl film bundan sonra başlayabilir. Kurumunuz telefon numaralarından birini arayarak edindiği kişi, iş ünvanı gibi bilgileri harmanlayarak hazırlayacağı etkili bir konuşma ile belki de gizlilik arz eden başka bilgilere erişim sağlayabilir.” Senaryo çok basit ve sıradan geldi değil mi? Yazılı ve görsel medyada her gün karşılaşılan birçok örnek bu basit ve sıradan senaryolar üzerinden hayata geçiriliyorlar aslında.
Konu bilişim olduğunda herkesin zaman zaman karşılaştığı çeşitli problemler olmuştur.Bu problemlerin nasıl giderileceği konusunda arama motorları üzerinden yaptığımız araştırmalar sırasında çözüm için birçok forum sayfasını, ücretsiz programlar dağıtan web sitelerini ziyaret ederiz. Ziyaret ettiğimiz bu yerlerde pusuya yatmış avını bekleyen Sosyal Mühendisler olabileceğini unutmamakta fayda var. Size yardımcı olabileceğini söyleyerek mail adresinizi isteyip göndereceği dosyayı açmanız durumunda problemlerinizin giderilmesi konusunda yardımcı olabileceğini gayet samimimi bir dille ifade edip planı devreye sokmaya başlayabilir. Yollayacağı dosya, tarafınızdan açıldığı andan itibaren klavye, mouse hareketlerinizden anlık ekran görüntülerine kadar birçok veriyi bilgisayarınızdan çekmeye başlayabilir.
“Dijital dünyada ücretsiz olarak sunulan her hizmette müşterinin siz olduğunuz gerçeğini unutmayınız.”
Altı çizilmesi gereken nokta sanırım insani zaaflarımızdan istifade etmeye çalışarak maddi ve manevi anlamda bizleri sıkıntıya sokacak bu mühendislerin avına kolayca düşmeyecek tedbirlerin tarafımızdan alınması gerekliliğidir.
Bu tedbirleri birkaç madde ile ele almak gerekirse;
• Bilgisayarımızda ki güvenlik duvarının etkin olması
• Virüs veri tabanı güncel bir virüs programınızın olması
• Güçlü bir yapıya sahip parolalar ile korunma. ( İçerisinde büyük-küçük harfler ve rakamlar ile özel karakterlerin bulunduğu parolalar ) Bu parolalar e-mail, sosyal medya hesaplarımız, modem arayüzü erişim ve kablosuz bağlantı (wi-fi) parolalarımız olabilirler.
• Bilgisayarımızın açılışında kullanıcı adı ve parola kullanılması.
• Kişisel bilgilerin herkes ile paylaşılmaması.
Kişisel anlamda bir nebze olsun tedbir olarak sayılabilecek başlıklardır.
Dijital alışverişin büyülü dünyası bizi oturduğumuz yerden her ihtiyacımıza ulaşabilme imkanı sunarken aynı zamanda çeşitli riskleri de beraberinde getirdiğini unutmamakta fayda var. İnternet üzerinde alışveriş yaparken öncelikli olarak dikkat edilecek birkaç hususu belirtelim.
• Alış-veriş yapacağımız site çevremizce ne kadar tanınıyor
• İnternette kısa süreli yapacağınız araştırma ile başka insanların bu siteyle ilgili deneyimlerine ulaşabilirsiniz.
• Site güvenlik sertifikasına sahip mi? Yani alış-veriş yapacağınız sitedeyken adres çubuğunuzda “ http://”ifadesi yerine “ https://“ifadesi olup olmadığına dikkat etmelisiniz.
• Ödeme sayfalarında 3D güvenlik seçeneği mevcut mu? Bunu da basitçe şöyle ifade edelim, ödeme sürecinin tamamlanması için ödeme yaptığınız banka üzerinde kayıtlı cep telefonu numaranıza SMS şifresi ile bankanıza ait siteden son bir teyit işleminin gerçekleştirilmesi sağlanıyor mu?
Güven konusunda birkaç kez düşünmekte fayda var. Bilgisayar başında saatlerce oturup kendini insanlığın hizmetine adamış ve yardım etme konusunda yanıp tutuşan bir kitle yok maalesef. Tabi ki gerçekten yardım edebilme niyetinde olanları bunun dışında tutuyorum. Bu yüzdendir ki size yardım edebileceğini söyleyen yada sizden yardım talep eden her çağrıya hemen yelkenleri suya indirerek insani zaaflarımızın kullanılmasına müsaade etmemek, kuşkucu, sorgulayıcı ve tedbirli davranmak sanırım ah vah etmekten daha iyi olacaktır.
Birde kitleleri kendi arzuları doğrultusunda yönlendirme noktasında sosyal medya mecralarını kullanan Sosyal Mühendisleri de unutmamak gerekir. Bu kişiler yalan ve yanlış haberleri sosyal medya platformlarında paylaşarak insanları arzu ettikleri doğrultuda yönlendirmeyi hedeflemektedirler. Bu yüzdendir ki bu mecralarda yayınlanan her haberi doğruluğunu teyit etmeden araştırmadan sizlerin de paylaşması onların ekmeğine yağ sürmekten başka bir şey olmayacaktır ve oyunun parçası haline gelmeniz kaçınılmazdır. Bu tür oyunların parçası olmak bunun dağıtılmasını sağlamak sizi de hukuki açıdan sorumlu hale getireceğini unutmayınız. Mademki internet birçok bilgiye ulaşabilmenin mümkün olduğu bir platform o zaman çeşitli haberlerin doğruluğunun teyidini de mümkün kılan bir ortamdır.
Bir sonraki yazımızda görüşmek dileğiyle.
mahir.dogan@dogandesign.net
www.mahirdogan.kim