Yazar Soner Canko

Bugün; yenilikçi, yıkıcı veya devrimsel bir konu yerine, geçmişi binlerce yıl geriye uzanan bir konuyu ele almak istiyorum: Sosyal mühendislik. Zaman zaman çeşitli mecralarda kulağımıza çalınan veya gözümüze ilişen sosyal mühendislik, artık her dakika farklı isimler ve maskeler ardında karşımıza çıkar bir hal almış durumda.

Sosyal mühendisliğin en basit şekilde tanımını şöyle verebiliriz: Kurbanların üzerinde sınırlı verilerle psikolojik stres yaratarak haksız kazanç elde etme yöntemi. Bu dolandırıcılık türü, günümüze özel yeni bir yöntem değil; ancak günümüzdeki gelişmelere ayak uydurarak artık dijitalleşmiş durumda.

Sosyal mühendislik ile dolandırıcılığın gerçekleşebilmesi için saldırganlara gerekli en önemli ham madde kişisel verilerimiz oluyor. Kişisel verilerimizi, sosyal mecralarda kendimiz yayarken bir yandan da farklı bir dolandırıcılık yöntemi olan oltalama ile karşı karşıya kalıyoruz. Oltalama yöntemini ikiye ayırarak ele alıyoruz:

Hedef odaklı saldırılar: Bu yöntem ile dolandırıcı kart numaranızı, şifrenizi, kartın arka yüzünde bulunan CVC numarasını ve internet bankacılığı giriş bilgileri gibi doğrudan kazanç elde edeceği bilgileri ele geçirmeyi amaçlar.

Sosyal mühendislik odaklı saldırılar: Bu yöntem ile genelde kurbanın “Bu bilgiyi versem bana zarar gelmez,” düşüncesi ile paylaşmakta sakınca duymadığı kişisel veriler ele geçirilir. Bu sebeple dolandırıcılar, hedef odaklı saldırılar için ileride kullanılmak üzere bilgi toplamaya dayalı bu yöntemi tercih eder.
Son yıllarda yapılan oltalama saldırılarına baktığımızda, dolandırıcıların sahte internet siteleri ile bilgilerimizi ele geçirmeyi hedeflediğiniz görüyoruz. Aşağıdaki grafik bu amaçla kullanılan farklı web sitesi tiplerini derliyor.

Sosyal mühendislik dolandırıcılığının gerçekleşebilmesi için kişisel bilgilerimize ihtiyaç duyulduğunu belirtmiştim. Pandemi dönemi ile hayatımızın büyük bir bölümü dijital ortamda geçmeye başladı. Yüz yüze görüşmeler yerini çevrim içi bağlantılara bıraktı. Alışverişlerimizin çoğunu artık mağazaları dolaşarak değil bir ekranın karşısında yapıyoruz. Dolayısıyla dijital ortamda her girdiğimiz sayfaya kendimizi anlatan ufak bilgi kırıntıları bırakmaya başladık. Dolandırıcılar için geriye kalan tek şey; bu bilgileri toplayarak onları korku veya heyecan (ödül kazanma duygusu) duyguları ile birleştirmek oluyor.

Sosyal mühendislik, pandemi öncesinde de gündemdeydi; ancak pandemi nedeniyle dijitalleşmenin hızlanması sosyal mühendislik saldırılarının artmasına neden oldu. Türkiye, diğer ülkelere nazaran, maalesef oltalama saldırılarında da sosyal mühendislik saldırılarında da liste başında geliyor.

Peki, ne yapmalıyız? Aslında sosyal mühendisliğin en önemli panzehiri, toplumun bilgi güvenliği konusundaki temel bilgi ve farkındalık seviyesinin artırılması. Hâlihazırda kamu kurumları, bankalar ve finansal kuruluşlar, bilinçlendirme çalışmaları yapıyor. Bu çalışmaların topluma yansıması, tüm farkındalık çalışmalarında olduğu gibi belirli bir zaman alacak ve maalesef bu süreçte ekonomik kayıplar kaçınılmaz şekilde devam edecek. Alınacak önlemlerden bazıları şu şekilde sıralanabilir:

İki faktörlü ve biyometrik doğrulamalar gibi yenilikçi çözümler ile dijital güvenliği arttırmaya yönelik çabaların yanı sıra toplumsal bilinçlendirme çalışmaları da eksiksiz devam etmeli.
Tüketiciler, dijital dünyada sosyal mühendisliğe karşı korunmak için dijital hıza kapılmak yerine tam tersine hareket etmeli, daha fazla düşünmeli ve sorgulayıcı olmalı.
Bazı bilgilerin SMS, e-posta veya telefon aramasıyla bildirilmeyecek olduğunun bilincinde olunmalı. Dayatılmak istenen heyecan, merak ve korkunun etkisi altında kalmadan ve durumun orijinal kaynağını sorgulamadan kişisel veriler paylaşılmamalı.