Raif SARICA | DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri

Cookie-less Web -2

Raif SARICA — Mon, 17 May 2021 08:39:06 +0000

Chrome’da Saklanan Kullanıcı Bilgileri ve Üçüncü Taraf Çerezlerin Yerine Kullanılacak FLoC Teknolojisi

Yazımızın birinci bölümünde genel anlamda çerezler hakkında bilgi verdikten sonra dijital reklam ekosistemini oluşturan unsurlar, üçüncü parti çerezlerin reklam amacıyla kullanılması, kullanıcıların mahremiyeti, bu konuda çıkarılmış yasal düzenlemeler ve gelecekte oluşacak durumlar hakkında bilgi vermeye çalıştım. Bu bölümde kaldığımız yerden devam edeceğim.

Öncelikle Google Chrome’da hakkımızda depolanan veriler ve bunları nasıl kontrol edebileceğimizden bahsedip, ardından Google tarafından geliştirilen ve hala deneme aşamasında olan FLoC isimli teknolojiyi anlatmaya çalışacağım.

Öncelikli olarak Google, Chrome vasıtasıyla hakkımızda hangi bilgileri saklıyor ve bu konuda herhangi bir kontrolümüz olabilir mi sorularına cevap vermeye çalışacağım. Burada bahsedeceğim verilerin hemen hemen tamamı sadece sizin tarafınızdan görülebilenlerdir ve bir kısmı da size en uygun reklamların sunulması için kullanılır. Chrome’da depolanan bu verilerle ilgili olarak ya Google’un bu verileri sorumluluk bilinciyle saklayacağına güveneceksiniz ya da Google hizmetlerini hiç kullanmayıp verilerinizi kendinize saklayacaksınız. Google’ın sunduğu hizmetleri kullanmamak seçeneği pek mümkün olmadığından üçüncü alternatif olarak depolanan veriler üzerinde kısıtlamalarda bulunarak kısmi de olsa kontrolü ele alabiliriz.

Kontrolü ele alma kapsamında başlangıç noktamız Google hesabınızdayken açacağınız “Google Etkinliğim” (https://myactivity.google.com/activitycontrols) sayfasıdır. Chrome üzerinde hesabınızla oturum açtıysanız otomatik olarak aşağıda gösterilen Google Etkinliğim sayfasına yönlendirilirsiniz. Açılan sayfada karşınıza ilk olarak gelen “Web ve Uygulama Etkinliği” bölümüdür. Bu bölümde Chrome’da hesabınızla oturum açtıktan sonra yaptığınız tüm aktiviteler kaydedilir. Ziyaret ettiğiniz web siteleri, yaptığınız aramalar, Android telefonunuzda açtığınız uygulamalara kadar birçok bilgi burada depolanır. Bu bilgilerin depolanıp depolanmayacağı, depolandıysa detaylı şekilde filtrelenip incelenmesi veya tamamen silinmesi ya da ne kadar süreyle depolanacağı gibi seçenekleri sayfa üzerinde tercihlerinize göre ayarlayabilirsiniz.

İkici bölüm “Konum Geçmişi” hakkındadır ve genellikle akıllı telefonunuzda toplanan gittiğiniz yerler hakkındaki verileri barındırır. Üçüncü bölüm “YouTube Geçmişi”, dördüncü bölüm ise “Reklam Kişiselleştirme” hakkındadır. Daha önce de belirttiğim gibi buralarda depolanan veriler üzerinde kontrol imkânınız bulunmaktadır. Bunlara ilave olarak Google hesabınız hakkındaki yukarıda anlattığım ve diğer tüm bilgilerinizi kontrol edip yönetebileceğiniz “Google Hesap” (https://myaccount.google.com) aracılığıyla da gerekli düzenlemeleri yerine getirebilirsiniz.

Google hesabınız aracılığıyla Chrome üzerinde hakkınızda depolanan veriler ve bunlar üzerindeki kontrol imkanlarınıza kısaca değindikten sonra dijital reklamcılıkta özellikle üçüncü taraf çerezlerin yerini alacak olan ve Google tarafından geliştirilen Federated Learning of Cohorts- FLoC (Kalabalıkların Birleştirilmiş Öğretimi) konusundan da bahsederek yazıyı tamamlayacağım.

FLoC, kişisel verilerin kaydedilmesi yerine makine öğrenimi kullanmak suretiyle kullanıcıları internet davranışları üzerinden gruplara ayıran bir sisteme dayanıyor. Internet kullanıcıları tarafından ziyaret edilen sitelerin türlerine göre kullanıcılar etiketlenip kümelendiriliyor.

FLoC tarayıcınızda çalışıyor ve son bir haftadaki internet tarama geçmişinize göre dünyada sizinle benzer tarama geçmişine sahip kullanıcıların olduğu bir gruba sizi atıyor. “Cohort” denilen her bir grubun kendine ait FLoC ID’si bulunuyor. Örneğin sizin bir FLoC ID’niz varsa, bunun anlamı tarayıcınız internet tarama geçmişinizi analiz ederek sizi benzer tarama geçmişine sahip birkaç bin kişilik bir gruba dahil etti demektir.

Bir bakıma FLoC ID’niz sizin davranışsal grubunuzun belirtecidir ve tarayıcınız bu ID’yi SimHash (Benzerlik Özeti) (https://ferd.ca/simhashing-hopefully-made-simple.html) denilen bir algoritmayı kullanarak hesaplar.

SimHash iki kümenin birbirine ne kadar benzer olduğunu tespit etmek için kullanılan bir algoritmadır ve hala Google Crawler tarafından kopya sayfaları bulmak için kullanılmaktadır. Google aynı algoritmayı FLoC ID’leri belirlemek amacıyla da kullanacağını duyurmuştu. Algoritma son 7 günde ziyaret ettiğiniz alan adlarını listeleyerek FLoC ID’nizi hesaplar. Ardından tarayıcınızda çalışan FLoC internet üzerinde ziyaret ettiğiniz web sitelerinden talep edenlere veya reklam şirketlerine bu ID’yi sunar. Bu ID ile bir bakıma sizin ne tür bir insan olduğunuz hakkındaki Google’ın fikri web sitelerine veya reklamcılara sunulur.

Fişleniyorsunuz veya etiketleniyorsunuz gibi bir tabir kullanmak biraz abartı olabilir ama bir bakıma kimliğiniz ibraz edilmeden bir davranış grubuna dahil edilmek suretiyle sınıflandırılmış oluyorsunuz. Mart 2021 tarihinden itibaren başlanan deneme ve test sürecinde dünya üzerindeki Chrome kullanıcıları rastgele olarak seçilip teste dahil edilmiş durumdalar. Sizin de bu test grubunda yer alıp almadığınızı 2 farklı yöntemle tespit edebilmeniz mümkün. Birincisi (https://amifloced.org) web adresine giderek aşağıdaki resimde görülen FLoC ID’nizin olup olmadığını kontrol etmek. Şayet FLoC ID’niz var ise deneme grubundasınız demektir.

İkincisi ise aşağıdaki şekilde gösterildiği biçimde Chrome/Ayarlar/Güvenlik ve Gizlilik/Özel Korumalı Alan (Chrome/Settings/Privacy and Security/Privacy Sandbox) seçeneğinin aktif olup olmadığını kontrol etmektir. Hazır bu menüye girmişken, “Çerezler ve diğer site verileri” seçeneğine de girip “üçüncü taraf çerezlerini” engelleyerek reklamların bir kısmından kurtulmanızı tavsiye ederim.

Üçüncü taraf çerezlerin ortadan kalkmasının ardından en büyük gelir kaynaklarından biri olan reklam gelirlerini devam ettirebilmek amacıyla Google tarafından geliştirilen FLoC sistemine, Electronic Frontier Foundation (EFF) (1990 yılında kurulmuş dijital dünyada özgürlükleri savunan kâr amacı gütmeyen bir organizasyon) tarafından üçüncü taraf çerezlerden daha fazla kişisel mahremiyete zarar vereceğinden bahisle karşı çıkılıyor. Ayrıca, Firefox, Brave, Vivaldi ve Opera tarayıcıları, kullanıcıların gizliliği konusunda problemlere sebep olacağı gerekçesiyle FLoC sistemini kullanmayacaklarını açıkladılar.

Google tarafındaki yetkililer ise FLoC’un anonim kalmanızı sağlayarak mahremiyetinizi koruyacağını, internet tarama geçmişinizin kimseyle paylaşılmayacağını iddia ediyor. Devam eden test ve değerlendirmelere göre geliştirilerek 2022 yılı itibariyle kullanıma geçirilmesi planlanan FLoC hakkında kimin haklı olduğu veya kimin doğruyu söylediği konusundaki kararı sizlere bırakıyorum.

Photo by Michael Dziedzic on Unsplash

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

The post Cookie-less Web -2 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Cookie-less Web-1

Raif SARICA — Mon, 17 May 2021 08:33:07 +0000

Üçüncü Taraf Çerezleri hayatımızdan çıkıyor…

Haber sitelerinden birinde ciddi ciddi ülkede meydana gelen önemli olayları okumaya çalışırken, arada gözüm sayfanın sağında yanıp sönen spor ayakkabılarındaki indirim reklamına gidip geliyor. Gerçekten de spor ayakkabısına ihtiyacım var. Geçenlerde bakmıştım ama fiyatlar çok pahalıydı. Gözüm ikide bir yanıp sönen reklama takılıyor. Reklamlarda gösterilen indirimin neden olduğu meraka daha fazla dayanamayıp tıklıyorum reklamın üstüne ve hooop alışveriş sitesindeyim.

Şimdi UFO gören masum köylü edasıyla “benim spor ayakkabısına ihtiyacım olduğunu o web sitesi nereden bildi de bana en son indirim reklamını gösterdi” diye soruyorum kendi kendime.

Ben soruyorum ama bu yazıyı okuyanların hemen hemen tamamının bu sorunun cevabını bildiğinden böyle bir soru sormayacaklarını da biliyorum. Evet sizlerin de çok iyi bildiği gibi o spor ayakkabısı reklamlarının özellikle bana gösterilmesinin nedeni “çerezler”, daha spesifik olarak belirtmek gerekirse “üçüncü parti çerezler”.

Bir web sitesini ziyaret ettiğinizde tarayıcınız tarafından otomatik olarak indirilen ve kaydedilen metin dosyaları olan çerezleri uzun uzadıya anlatmak gibi bir düşüncem yok. Çerezleri genel olarak;

Fonksiyonel çerezler (web sitesinin çalışmasında temel işlevler için gerekli olanlar),
Birinci taraf ve performans çerezleri (kullanıcı adı-şifre hatırlama, dil seçimi, web sitesinin sizin tercihlerinize göre kişiselleştirilmesi gibi işlemleri yerine getirenler)
Ve son olarak üçüncü taraf çerezleri (yazımızın konusu olan ve ziyaret ettiğimiz web sitelerinde tam da bizlere yönelik reklamların karşımıza çıkmasını sağlayanlar) olarak basit şekilde sınıflandırmak mümkün.

Firefox ve Safari gibi tarayıcılar tarafından varsayılan olarak engellenen ve Google tarafından yapılan açıklamaya göre kademeli bir geçişle 2022 yılından itibaren Chrome’da da engellenecek olan üçüncü taraf çerezleri üzerinde biraz duracağız.

Nedir bu üçüncü taraf çerezleri? En basit tabirle anlatmaya çalışırsak “ziyaret ettiğiniz web siteleri haricindeki sitelerin bilgilerinizi toplayıp buna göre içerik ve reklam düzenlemesi yapmasını sağlayan ve bilgisayarınızda tutulan çerezlerdir” diyebiliriz. Başka bir ifadeyle üçüncü taraf çerezler kullanıcıların ziyaret ettiklerinin dışındaki sitelerin bilgi toplamasını ve işlemesini sağlarlar.

Herhangi bir web sitesini ziyaret ettiğinizde sayfada yer alan üçüncü parti çerezleri web aktivitelerinizi takip eder ve reklam verenlerin sizin nelere ilgi duyduğunuzu anlamalarına yardımcı olurlar. Bu şekilde de ilginizi çekecek en uygun reklamların size gösterilmesi sağlanır. İlginizi çekecek en uygun reklamları size gösterilerek bu ekosistemde yer alan markalar, reklam verenler, medya ajansları, reklam şirketleri ve içerik sağlayıcılardan web siteleri, medya sağlayıcılar ve sosyal medya platformlarına kadar tüm taraflar daha fazla gelir elde ederler.

Aşırı basit ifadelerle anlatmaya çalıştığım bu dijital reklamcılık ekosisteminin aslında milyar dolarları bulan büyük bir sektör olduğunu özellikle ifade etmekte yarar var. Şöyle ki, bağımsız denetim firması Deloitte tarafından hazırlanarak Nisan 2021 ayında yayımlanan, Tahmini Medya ve Reklam Yatırımları Raporu’na göre Türkiye’de 2020 yılı toplam reklam ve medya yatırımları tutarı 17 milyar 469 milyon TL ve bunun büyük bir kısmı dijital reklam yatırımları. Anlayacağınız haber sitesinde bana gösterilen spor ayakkabılarındaki indirim reklamlarının arkasında çok ama çok büyük bir sektör var.

Photo by Austin Distel on Unsplash

Reklamcılık ekosistemi tarafından bakıldığında gerçekten de büyük paraların döndüğü karmaşık bir sistem var, ancak olayın bir de kullanıcı tarafı, daha net bir ifadeyle kullanıcının mahremiyeti tarafı var. Çerezlerin bir bakıma kullanıcıları sessiz sessiz takip etmek amacıyla kullanılabildikleri gerçeği dikkate alındığında, temelinde faydalı olması amacıyla tasarlanan çerezlerin mahremiyet açısından sorunlar yaratabileceğini kabul etmemiz gerekiyor. Bu kapsamda özellikle üçüncü taraf çerezleriyle kullanıcılar hakkında toplanan bilgilerin içerik ve kapsamı risk olarak karşımıza çıkıyor.

Diğer yandan, web sitelerinde tutulan kullanıcı verilerinin çalındığı ve birçok kişinin kredi kartlarından kimlik ve adres bilgilerine kadar birçok bilgisinin ifşa olduğu şeklindeki haberleri artık sık sık duyar hale geldik ve bu durum normal olarak kullanıcıları endişelendiriyor. Kullanıcılar açısından bakıldığında günlük olarak kullandıkları ve hayatlarının vazgeçilmezi olan web ortamının arka planında çalışan ve birbiriyle entegre olmuş karmaşık sistemler mahremiyetleri açısından riskler barındırıyor. Durumun farkında olan yasa koyucular, ekosistem içerisinde yer alan tarafların özellikle kişisel verilerin kullanımı konusunda uymaları gereken kuralları yasalarla ortaya koymuşlardır.

Bu kapsamda, ülkemizde çıkarılan KVKK ve Avrupa’da geçerli olan GDPR ile bu kurallar belirlenmiştir. Kullanıcılara ait verilerin gizliliği hakkında yapılan bu düzenlemeler özellikle kişisel gizliliğin ve mahremiyetin öne çıktığı bir dönemi yaşadığımızı göstermeleri açısından önemlidir. Bu yasaların getirdiği en önemli konular kullanıcıların izni olmadan veri toplanmasının önüne geçilmesi ve toplanan verilerle ne yapılacağı konusunda kullanıcıların bilgilendirilmeleridir. Aşağıdaki web sayfasında da görüldüğü gibi sayfayı ziyaret eden kullanıcılar çerez kullanımı konusunda bilgilendirilirler, çerezleri kabul veya reddedebilirler ya da ayrıntılı bilgi için “Gizlilik Politikası ve Aydınlatma Metnini” okuyabilirler.

Yukarıda basit bir örneğini verdiğimiz yasal bilgilendirme konusunda geniş çaplı olarak Rıza Yönetim Sistemleri (CMP-Consent Management Platform) kullanılmak suretiyle kullanıcının kendi verilerinin kullanımıyla ilgili verdiği açık rıza kayıt altına alınır. Bu ekosistemin önemli bir aktörü olan reklam şirketleri KVKK veya GDPR gibi yasal gerekliliklere uyumlu bir şekilde CMP ile bilgilerin kullanılıp kullanılmaması konusunda kontrolü tamamen kullanıcılara verdiklerini, rıza göstermedikleri verilerin kayıt altına alınmadığını ve bunlarla nasıl işlem yapılacağı konusunda tek karar vericilerin kullanıcılar olduklarını iddia ediyorlar, ancak web sitelerini ziyaret eden kullanıcıların ne kadarlık kısmının açık rıza metnini okuduğu konusunda sizler gibi benimde bazı şüphelerim var.

Gerçekten kaçınız yukarıdaki örnekte gösterilen aydınlatma metnini veya gizlilik politikasını okuyorsunuz?

Mahremiyetin giderek daha fazla önem kazandığı günümüzde artık yasalar gereği kullanıcı onayı gerektiren çerezler-ki hemen hemen hepimiz onay veriyoruz- veya özellikle üçüncü parti çerezler olmadan ekosistemdeki tarafların gelir elde etmeleri nasıl sağlanacak? Bu noktada iki husus karşımıza çıkıyor.

Birincisi üçüncü taraf çerezlere gerek duymayan, birinci taraf çerezler, sosyal ağlar, e-postalar gibi ortamlardan toplanan verilerle reklam sunabilen ve çerezsiz dijital reklamcılığın geleceği olarak görülen Veri Yönetim Platformları (Data Management Platforms-DMP).
İkincisi de Google tarafından geliştirilen çerezlerin yerini alması planlanan Federated Learning of Cohorts- FLoC (Kalabalıkların Birleştirilmiş Öğretimi) isimli teknoloji. Fazla uzatmamak adına iki bölüm halinde yayımlamayı düşündüğüm yazının birinci bölümünü burada tamamlayacağım.

İkinci bölümde özellikle Google tarafından Chrome aracılığıyla kullanıcıları hakkında toplanan verilerle az önce ifade ettiğim FLoC konusunu anlatmaya çalışacağım.

Photo by Alina Grubnyak on Unsplash

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

The post Cookie-less Web-1 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Sosyal Mühendislik Saldırılarına Karşı Alınacak Tedbirler

Raif SARICA — Wed, 14 Apr 2021 12:28:54 +0000

Sosyal mühendislik saldırı yöntem ve tekniklerini kısa kısa anlattığım ilk üç yazının ardından, bu düzenbazlara karşı dikkat etmemiz gereken hususları maddeler halinde vererek konuyu tamamlayacağım. Şükrü Durmaz ve Erdal Özkaya ile beraber yazdığımız Sosyal Mühendislik kitabımızda kapsamlı açıklamalar ve yaşanmış örneklerle verdiğimiz hususlardan bazılarına bu yazıda değinmeye çalışacağım. Yaratıcı zekâ konusundaki sınırsız ihtimaller ve yaşanmış tecrübeleri dikkate alarak, tedbir kapsamında dikkat edilmesi gereken hususlara okuyucuların da ekleyecek birçok maddesi olacağına eminim. Aslına bakılırsa maddeler halinde yazacağım hususların birkaçını dahi yerine getirmek sosyal mühendislik saldırılarının büyük çoğunluğunu bertaraf edecektir. Hadi gelin madde madde ilerleyelim dikkat edeceğimiz konularda.

İlk olarak üzerinde durulması ve kabullenilmesi gereken husus “düşünen” ve “hisseden” olmak üzere iki zihnimiz olduğu gerçeğidir. İnsanoğlu sahip olduğu bu iki zihni dengede tutarak mükemmele ulaşır. Ne zaman ki bu denge bozulur hatalar yapmaya başlarız. Sosyal mühendisler oynadıkları akıl oyunları ve hayali senaryolarla hırs, tutku, açgözlülük, korku, heyecan gibi duyguları tetikleyerek bunların yoğunluğunu artırır ve mantığımız yerine hissedilen duyguyla anlık tepkiler vermemizi sağlayarak bizi tuzaklarına düşürürler. Yoğunluğu artan duygular mantıksal çıkarımlar yapmamız için gerekli bilişsel yeteneklerimizi kullanmamızı engeller ve dünyayı tutkularımızın, hırslarımızın ve arzularımızın penceresinden görmeye başlarız. Pusulaya yaklaştırılan mıknatısın kuzeyi gösteren ibreyi saptırması gibi duygusal zaaflarımız, yoksunluklarımız ve doymak bilmeyen arzularımız bizim ibremizi saptırır. İşte hissettiğimiz tam da bu ruh hali sosyal mühendislerin tuzaklarına düşmemizi sağlar. Aklı, diğer bir ifadeyle düşünen zihni bir kenara koyup, hayatta kalmak üzere evrilmiş hisseden zihnin kontrolü altındayken genelde tüm sahtekârlar, yazımız özelinde ise sosyal mühendisler tarafından kandırılmaya çok müsait durumda oluruz. Bu nedenle dikkat etmemiz gereken ilk ve en önemli husus “düşünen” ve “hisseden” zihinlerimize güç birliği içerisinde çalışabilmeyi öğretmektir.

İkinci önemli husus duygusal farkındalık Bu farkındalık duygularımızı tanıma, anlamlandırma ve kontrol etme yeteneğini bize sunar. Farkına varılabilen, yorumlanabilen, anlamlandırılabilen ve kontrol altındaki duygular doğru kararlar vermemizi sağlar. Aksi takdirde, yoğun ve isimlendiremediğimiz duygularımızın baskısı altında kalır, stresle boğuşur ve yanlış kararlar veririz. Duygusal farkındalık düzeylerini artırabilen insanlar, daha rahat sosyalleşebilir, empati yeteneklerini, problem çözme ve değişen durumlara ayak uydurabilme esnekliklerini üst düzeye çıkarabilirler. Bu tür insanların sosyal mühendislere av olmaları çok ama çok küçük bir ihtimaldir. Bu nedenle ikinci önemli husus duygusal farkındalık düzeyimizi yüksek tutmaktır.
Üçüncü konu emeğimiz haricinde hiçbir şeye sahip olmadığımız bilincine sahip olmaktır. Talep edeceğiniz, sahip olmayı istediğiniz veya size vaat edilen şey harcadığınız emeğinizin ötesinde ise emin olun ortada bir sıkıntı vardır. Özellikle sahte ve yapmacık samimiyetlerin kol gezdiği sosyal medya platformlarında kimse size karşılıksız bir şey vermez. Unutmayın bedava peynir sadece fare kapanında olur…
“Son dakika, son beş ürün, acele edin, …..tarihine kadar” gibi mesaj veya paylaşımların tuzak olduğunu aklınızın bir köşesine yazın ve bunlara her zaman şüpheyle yaklaşın.
Sosyal medya platformlarındaki arkadaşlarınızın çoğuyla tek irtibat noktanız bu platformlardır. Alternatif iletişim imkanınızın olmadığı kişilere karşı daha tedbirli ve şüpheci yaklaşın. Belki de o kişinin hesabı bir sosyal mühendis tarafından ele geçirildi ve siz dahil arkadaş listesindeki herkese yemleme yapılıyor.
Online ortamlarda değerinin çok altında yapılan satışlara şüpheci yaklaşın. Kaparo veya belli bir orandaki ödemenizden sonra satıcı sırra kadem basabilir.
Başkalarının isimlerini kullanarak yapılan sözde yardım toplama kampanyalarına, indirim kodlarına hediye çeklerine, kredi kartı aidatı iadesi tuzaklarına karşı uyanık olun.
Telefonunuza gelecek onay kodlarını kimseyle paylaşmayın. Hattınız faturalı ise faturanıza yansıyacak bir alışveriş yapılmış olabilir veya kredi kartı bilgilerinizi daha önceden ele geçirmiş biri sizin adınıza bir alışveriş yapmış olabilir.
Diyelim ki, merakınıza karşı koyamayıp e-posta içerisindeki veya sosyal medya paylaşımlarındaki linklerden birini tıkladınız. Tıklanan linkin bilgisayarınıza otomatik olarak zararlı yazılım yüklemesi ihtimalini sadece ifade ederek diğer ihtimallere geçelim. Tıkladınız ve bir web sayfası açıldı. Lütfen sayfadaki resimlerden, şekillerden veya formlardan ziyade ilk önce URL adresini dikkatli bir şekilde, harf harf okuyun. Unutmayın URL adresindeki bir karakterlik farklılık, tamamen bambaşka bir web adresi demektir.
Diyelim ki, linkin götürdüğü web sitesi sizin kontrollerinizden başarıyla geçti. Yerinizde olsam, önceden bir sanal kart oluşturup online alışverişlerimde sadece o sanal kartı kullanırım ve mümkün olması durumunda üşenmeyip 3D ödeme yöntemlerini kullanırım. Alışverişim bittikten sonra da sanal kartımın limitini sıfırlarım.
Unutmayın! … Siz daha yeni yeni yüzmeyi öğrenen birisiniz ve sanal dünya dev köpekbalıklarından denizanalarına kadar her türlü yırtıcının kol gezdiği tehlikeli bir dünya. Kıyıdan fazla açılmamakta sizin için her zaman bir fayda var.
Bu satırdan itibaren eklenecek diğer maddeleri sizlere bırakıyorum.

Sonraki yazılarda görüşmek dileğiyle sağlıcakla kalın.

The post Sosyal Mühendislik Saldırılarına Karşı Alınacak Tedbirler first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Sosyal Medya Dolandırıcılığı/3

Raif SARICA — Mon, 29 Mar 2021 11:03:42 +0000

Sosyal mühendislik saldırısı yöntemleri arasında son olarak sosyal medya dolandırıcılığı konusunu ele alıyoruz…

Facebook, Instagram, LinkedIn ve Twitter gibi sıklıkla kullanılan sosyal medya platformlarının araç olarak kullanıldığı bu saldırı türü, bireyselliğin ve sanal gerçekliklerin artmasına paralel olarak sosyal mühendisler tarafından tercih edilen dolandırıcılık yöntemlerinde ön sıralara geçmiştir.

Aralarında en eski olan Facebook’un 2004 yılında ortaya çıktığını düşünürsek, bundan daha 15–20 yıl önce adı sanı olmayan bu platformlar hayatımızın vazgeçilmezleri arasında sağlam bir şekilde yerini almışlardır. İnternete erişimi konusundaki kolaylıkların artması ve akıllı telefonların giderek daha da akıllanması neticesinde, gündüz elimizde gece ise başucumuzda duran akıllı (!) telefonlarımızla neredeyse günün 24 saatinde sanal dünyanın içerisindeyiz.

Eskiden birebir görüşmeler şeklinde gerçekleşen toplumsal ilişkiler neredeyse tamamen sanal ortamlara taşındı. Bu duruma paylaşım çılgınlığımız da eklenince aklımıza gelen her şeyi, yaşadığımız her olayı, fikirlerimizi, düşüncelerimizi, itirazlarımızı ve hatta isyanlarımızı bu platformlar üzerinden duyurmaya başladık. Temelinde sosyal bir varlık olan insan evladının sosyalleşme yöntemi bilişim çağında bu platformlar oldu.

Sosyalleşerek bir şekilde ben de buradayım, ben de varım, benimde bir fikrim var diyebilmek adına dur durak bilmeden yaşadıklarımızı paylaşır olduk. Sosyalleşebilmek, sesimizi durabilmek, varlığımızı gösterebilmek ve hepsinden önemlisi içimizi kemirip duran egomuzu besleyebilmek adına durmadan paylaşıyoruz. İnternet ve sosyal medya bağımlılığımız öyle bir dereceye geldi ki, Gelişmeleri Kaçırma Korkusu (Fear of Missing Out-FOMO) isimli yepyeni bir hastalığımız oldu. Bu hastalığın sizdeki derecesini görmek adına kendi kendinize telefonunuza bakmadan ne kadar süre durabildiğinizi bir test edin isterseniz.

Gerçekten de bu derece bağımlı mıyız bu sanal ortamlara?

Cevap maalesef evet. Ülkemiz sosyal medya kullanımı bağlamında dünya üzerinde hatırı sayılır bir konuma sahip. Örneğin, Ocak 2020 verilerine göre, 37 milyon kullanıcıyla Facebook’ta dünya onuncusu, 38 milyon kullanıcı ile Twitter’da altıncı, LinkedIn’de on beşinci ve Instagram’da altıncı sıradayız[1]. Sosyal medya platformlarına olan bu derece bağımlılığımızı daha iyi görebilmek adına sahiplerinin ortaya koydukları inanılmaz çabaları ve bu konudaki etik sorunları anlatan “Sosyal İkilem (The Social Dilemma)” (https://www.imdb.com/title/tt11464826/) isimli belgesel tarzındaki filmi izlemenizi tavsiye ediyoruz.

Farklı bir benzetme olacak ancak avın bu kadar bol olduğu ortamda avcıların da kol geziyor olmaları kaçınılmaz bir sonuç olarak karşımıza çıkıyor.

Ülkemizde genellikle magazinsel içerikli dolandırıcılık vakalarının sadece çok küçük bir kısmı basına yansıyor olsa da kötü niyetli sosyal mühendisler her gün binlerce vatandaşımızı dolandırıyorlar. Diğer sosyal mühendislik saldırılarının başarısında da etkili olan hırs, açgözlülük, tutku gibi duygusal zaaflarımızı bir kenara koyarsak, sosyal medya platformlarındaki dolandırıcılık faaliyetleri özelinde yaratılan sahte güven ortamı bu tuzaklara düşmemizin en büyük nedenidir. Şöyle ki;

Bu platformlar genellikle birbirini tanıyan kişilerin etkileşimde olduğu ortamlar olduklarından bir dereceye kadar güven hissi verirler ve hissedilen bu sahte güven bireylerin daha rahat ve tedbirsiz hareket etmelerine neden olur.
Bu rahatlık ve tedbirsizliğimize susturamadığımız egomuzun fısıldadığı paylaşım çılgınlığımız da eklendiğinde sosyal ağlar kurbanların akıl oyunlarıyla kandırılmaları için elverişli bir ortam sunarlar.
Bir akrabamızın veya tanıdığımız bir arkadaşımızın yaptığı paylaşımda yer alan linki tıklamakta herhangi bir mahsur görmeyiz çünkü o şahısları tanıyor ve güveniyoruzdur.
Akrabamız veya arkadaşımız olduğunu zannettiğimiz kişinin aslında o hesabı ele geçirmiş bir siber saldırgan veya sosyal mühendis olabileceğini düşünmeyiz veya düşünmek istemeyiz.
Daha da acısı linki tıkladıktan sonra açılan sayfanın URL adresini okumak yerine sayfadaki renkli resim ve şekillere odaklanırız.
Açılan sayfada tek bir harfin farklı olmasının bile tamamen farklı bir web sayfası anlamına geleceği aklımızın ucuna gelmez.
O derece hipnotize oluruz ki, açılan sayfada doldurulmak üzere bize sunulan formları sorgusuz sualsiz bize özel bilgilerle doldururuz. Hele de doldurulan bu formlar neticesinde indirim kuponu, çekiliş veya kredi kartı aidatı iadesi gibi zahmetsiz para kazandıracak bir yem varsa, daha bir hevesli oluruz formları bir an önce doldurmak için.

Kredi Kartı Aidat İadesi Sahtekarlığı

Kredi kartı aidatı iadesini özellikle vurgulamak istedik çünkü geçen yıldan bu yana bu saldırı taktiği sıklıkla kullanılıyor.

Sosyal mühendisler, öncelikle e-devlet veya resmi görünümlü sahte web sitelerini hazırlıyorlar.
Ardından, kredi kartı aidatı bilgisini de ekleyerek web sitelerinin reklamını Facebook, Instagram ve Twitter gibi popüler sosyal medya platformlarında yaparak daha çok insana ulaşıyorlar.
Bazen meraktan bazen de gerçekten kredi kartı aidatını geri alabilmek amacıyla sosyal medya kullanıcıları paylaşımda yer alan linki tıklayıp sahte web sitesine ulaşıyorlar.
Esas sorun bu noktadan itibaren başlıyor. Siteye ulaştıklarında, öncelikli olarak URL adresini okumak yerine, resimlere şekillere odaklanıp sosyal mühendislerin titiz bir şekilde hazırladıkları tuzaklarına düşüyorlar.

Kredi Kartı Aidat İadesi Sahtekarlığı

O sahte siteye ulaştıktan sonra başınıza gelebilecek çok sayıda farklı senaryo vardır. Birinci senaryoda;

Size sunulacak formlarla Ad ve Soyadınız, T.C. Kimlik Numaranız, kredi kartı bilgilerinizi elde etmeye çalışırlar.
Özellikle hedef olarak seçildiyseniz ve bir şekilde kredi kartı bilgilerinizi daha önce ele geçirdilerse, kartınızdan harcama yaparlar.
Sizden talep edecekleri tek şey bankanızdan gelecek onay kodunu onlara vermeniz olacaktır.

Diğer senoryada ise;

Faturalı olan telefon numaranızı ele geçirir, devamında harcama yaparlar.
Bu durumda da servis sağlayıcınızdan gelecek onay kodunu sosyal mühendise vermeniz gerecektir.
Ben ne özel bilgilerimi ne de bankadan gelecek SMS’te yer alan onay kodunu vermem diyebilirsiniz. Zaten mantıklı düşündüğümüz anlarda normal olarak yapılması gereken de budur ancak, emin olun öyle bir ruh haline giriyorsunuz ki yapmam dediğiniz her şeyi bir bakmışsınız yapıvermişiniz.
Hatta, bankadan gelen onay kodunun yanlış olduğunu zannederek gelen ikinci onay kodunu (ikinci harcamaya ait) vermiş olanlar dahi var.

Photo by CardMapr.nl on Unsplash

Özellikle kredi kartı dolandırıcılığı konusunda aşağıda paylaşacağımız linklerdeki haberleri okumanızı tavsiye ediyoruz.

Bahsettiğimiz bu kadar düzenbazlığın ardından, sizin yerinizde olsam aşağıdaki linkleri tıklama konusunda bir tereddüt yaşardım. Tıkladıktan sonra da web sitesinin doğruluğunu teyit etmek için kesinlikle URL adresinde yazanları okur, ardından haber içeriğine geçerdim. Kim bilir belki de aşağıda masum haber sitesi görünümlü URL adresi tıkladığınızda sizi bambaşka bir web adresine götürecek (!).

https://www.efepost.com/haberler/kredi-karti-aidat-iadesi-dolandiriciligi

Gelelim sosyal medya platformlarında daha sık gördüğümüz diğer dolandırıcılık faaliyetlerine. Onlardan da kısa kısa bahsedip yazımızı tamamlayacağız. Yazıyı daha fazla uzatarak sizleri sıkmamak adına bütün bunlara karşı ne yapmamız gerektiğini bir sonraki yazımızda sizlerle paylaşacağız.

Aklımıza gelen birkaç dolandırıcılık girişimini maddeler halinde verip, yaşanmış birkaç olaya ait linkleri sizlerle paylaşacağız. Verilen veya sanal olarak yaratılan sahte güven ortamından faydalanarak gerçekleştirilmesi muhtemel dolandırıcılık senaryolarını sıralayalım.

Aşk tuzakları — En çok karşılaşılan gerek erkek gerekse kadın kullanıcılara yönelik kurulan aşk tuzakları. Bu tuzaklarda belli bir süre güven kazandıktan sonra üzerinizde ustaca akıl oyunları oynayarak sizden para koparmaya çalışırlar. Hastaneye yatarlar ve paraya ihtiyaçları olur, evlilik hayalleriyle aklınızı çeldikten sonra çeyiz düzmek için paranızı alırlar, ev alırlar, araba alırlar, paraları bittiğinden yanınıza gelebilmek için bilet parasına ihtiyaç duyarlar ve daha neler neler.
Fırsat tuzakları — İkinci olarak en çok karşılaşılan durum piyasa değerinin çok altında ev, araba veya başka bir satmaya çalışırlar. Kapora ödemeniz durumunda ilanı kaldıracaklarını söyleyip, kaporayı aldıktan sonra sırra kadem basarlar. Bu arada siz kaparo ödeyen bilmem kaçıncı kişi olduğunuzu çok sonra ve belki öğrenirsiniz.
İyilik tuzakları — Tanınan kişiler adına sahte hesap oluşturup, hediye çeki dağıtabilir, bağış kampanyası düzenleyebilirler. Bu arada ya özel bilgilerinizi ya da paranızı çalarlar.
Dalgınlıktan faydalanma — Telefon hattınız faturalı ise faturaya yansıyacak şekilde harcama yapıp, sizden onay kodunu isterler. Veya size gönderecekleri bir masum MS Office dosyası görüntüsündeki fidye yazılımlarını bilgisayarınıza bulaştırarak tüm dosyalarınızı şifrelerler ve ardından takip edilmesi mümkün olmayan bir kripto para hesabına ödeme yapmanızı isterler.

Ve daha neler neler…. Hayal gücünüzü kullanarak senaryoları artırabilirsiniz.

Photo by Karsten Winegeart on Unsplash

Yazımızın sonunda yaşanmış ve basına yansıyan sosyal mühendislik olaylarından birkaçını sizlerle paylaşarak, yukarıda sıraladığımız senaryoları ve benzerlerini gerçek hayatta görelim.

Sosyal mühendislik konusuyla ilgili son yazımızda, bu teknolojik dolandırıcılara karşı neler yapmamız gerektiği konusunda birkaç tavsiyede bulunmak üzere bu yazımızı burada noktalıyoruz.

Bir sonraki yazımızda görüşmek dileğiyle sağlıcakla kalın.

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sadakra/

Photo by Rami Al-zayat on Unsplash

The post Sosyal Medya Dolandırıcılığı/3 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Sosyal Mühendislik/2

Raif SARICA — Mon, 29 Mar 2021 10:38:36 +0000

Sosyal mühendislik konulu yazı dizisi devam ediyor…

Daha önce başladığımız sosyal mühendislik konumuza kaldığımız yerden devam edeceğiz. Bir önceki yazımda SMS Yemleme konusuna kadar ele almıştım. Bu yazımda da ülkemizde en sık görülen sosyal mühendislik saldırısı olan telefon dolandırıcılığı konusunu anlatmaya çalışacağım. Bu arada Erdal OZKAYA ve Şükrü DURMAZ’la kaleme aldığımız Sosyal Mühendislik kitabımızda, konunun bütün yönleriyle ve gerçek hayattan alınmış birçok örnekle beraber ele alındığını tekrar belirtmek istiyorum.

Telefon Dolandırıcılığı (Phone phishing-Vishing)

Photo by Devin Kaselnak on Unsplash

Sosyal mühendislik saldırılarının bir versiyonu olan telefon dolandırıcılığı ülkemizde en sık kullanılan yöntemlerin başında gelir. Bu teknikte, teknolojinin sağladığı imkânlarla telefon numaralarını taklit (spoofing) ederek, sosyal mühendisler hedeflerini ne kadar mantıksız olursa olsun talimatlarına uymaları yönünde ikna etmeye çalışırlar. Oluşturdukları senaryolara göre bazen polis, savcı veya herhangi bir devlet görevlisi olurlar, bazen de bir çağrı merkezi çalışanı. Bazen hesaplarınız terör örgütü mensuplarınca ele geçirilmiş olur bazen de bankanın şanslı müşterisi veya yapılan bir çekilişte kazanan şanslı müşteri olursunuz.

Telefon dolandırıcılığı yöntemini kullanan sosyal mühendisler taklit ettikleri kişi veya kurumlara göre itinayla seçilmiş cümleler sarf edip, hedefleri üzerinde stres, şaşkınlık veya aç gözlülük gibi duyguları yoğun bir şekilde yaratarak onları mantıklı düşünme sürecinin dışına çekerler ve insanların mantıklarından ziyade duygularıyla anlık tepkiler vermelerini sağlarlar.

Hepimizin bildiği gibi duygu yoğunluğu arttıkça mantıksal düşünme ve çıkarımlar için kullandığımız bilişsel yetilerimizi kısmi olarak kaybederiz. Duygular ne kadar yoğun olursa, mantıksal çıkarım için kullanacağımız kaynaklar da o derece sınırlı olur.

Kavga esnasında ağzınızdan dökülen cümleleri aklınıza getirin.. Sakinleşip olan biteni ve sarf ettiğiniz sözleri düşündüğünüzde söylediklerinize çoğu zaman pişman olursunuz, ancak kızgınlık ve öfke duyguları üst düzeyde olduğundan pişman olacağınız kelimeleri kullanmamanız gerektiğini kavga anında düşünemezsiniz. O anda kontrol neredeyse tamamen mantıksal düşünceden sorumlu beyin kabuğunda (serebral korteks) değil duygularımızdan sorumlu limbik sistemde, daha da özele inmek gerekirse amigdaladadır. Bu nedenle duygusal yoğunluğun üst düzeyde olduğu anlarda ağzımızdan çıkanlara, tavır ve davranışlarımıza dikkat etmemiz lazım.

Aslına bakılırsa zihnimiz hisseden ve düşünen zihin olmak üzere iki parçadan oluşur. Normal şartlarda bu iki zihin koordineli çalışarak bizi mükemmele ulaştırır. Ne zaman ki biri diğerine baskın olmaya başlar, bizler de hata yapmaya başlarız.

Tamamen mantık devreye girdiğinde bilgisayar veya elektrik devreleri gibi sadece var-yok veya 0 ve 1 olur hayatımızda. O zaman da duygusuz robottan farkımız kalmaz. Tamamen hisseden zihnimiz kontrolü ele aldığında ise gerçeklerden uzaklaşıp daha çok hayatta kalma odaklı dürtülerimizle hareket etmeye başlarız.

Âşık olduğunuz kişiyi düşünün. Ne kadar hatası veya eksiği olursa olsun, o kişi sizin gözünüzde melektir. Gerçek bu mudur? Tabi ki hayır, o da sizin benim gibi oksijen alıp karbondioksit veren karbon bileşenidir sadece ama biz bu gerçeği geri plana atarak hormonlarımızın tamamen kontrolü ele alıp, o kişiyi bizim gözümüzde melekleştirmesine izin veririz. Mutluluk kimyasalları dediğimiz dopamin (ödül), endorfin (vücudun doğal morfini), serotonin (saygı) ve oxitosin (aitlik, bağ kurma, güven) hormonları ona karşı duygu ve düşüncelerimizi şekillendirir.

Neticesi korku, endişe, stres ve acı olan kortizolden kurtulup hayatta kalmamız amacıyla evrilmiş olan bu mutluluk hormonlarına yönelik karşı koyamadığımız bağımlılığımızı beslemeye çalışırız. Burada birkaç satırla özetin özetinin özetini yazdığım sosyal mühendisliğin psikolojik boyutunu yazımın başında verdiğim kitabımızda altmış sayfalık ayrı bir bölüm olarak kapsamlı bir şekilde anlattık. İnsanlık tarihinin başlangıcına gidip gelişmiş frontal korteksi sayesinde dünya hakimiyetini ele geçiren Homo Sapiens’i ve sahip olduğu bilişsel ve duygusal yetenekleri tek tek ele aldık.

Bunların yanı sıra sosyal mühendislerin bizlere evet dedirtebilmek amacıyla kullandıkları ikna ve etkileme teknikleri de onların taleplerini absürt olsa dahi yerine getirmemizi sağlar. Ayrıntılarını bir bölüm halinde kitabımızda ele aldığımız ikna ve etkileme prensiplerini maddeler halinde verelim.

Açık bir amaca sahip olma
Samimiyet ve güven
Etrafla uyumlu olma
Esnek olma
Kendisinin farkında olma
Karşılıkta bulunma
Tutarlılık
Toplumsal kanıt
Sevgi
Kıtlık
Hale-Boynuz Etkisi
Otorite
Doğal olma
Bilgili olma
Açgözlülükten kaçınma
Yağcılık
Yanlış beyanatlar kullanma ve yapay cehalet
Dinleme ve destek çıkma

Son olarak gerek telefon dolandırıcılığı gerekse diğer sosyal mühendislik saldırılarının bu derece etkili olmasına neden olan başka önemli bir faktörü daha burada sizlerle paylaşmak istiyorum. Basın yayın yoluyla vatandaş üzerinde oluşturulan yanlış algılar. Televizyonlarımızda gösterilen film ve dizilerin çoğunluğu ya direk Amerikan yapımı ya da birebir taklit edilen Türk dizileri.

Photo by HIZIR KAYA on Unsplash

O dizilerde polisin, savcının tavır davranışlarına bakan insanımızın aklında tamamen farklı bir polis imajı oluşuyor. Örneğin, reyting rekorları kıran “Hekimoğlu” dizisini ele alalım. İzleyenler bilirler, son bir aydır Mahir isimli bir komiserin Hekimoğlu’na yapmadığı kalmadı. Amerikan versiyonundan birebir kopyalandığından Mahir komiser ağzında nikotin sakızı hastane koridorlarında dolaşıp soruşturma yürütüyor. Bir bakıyorsunuz Orhan Hoca’nın reçete yazma yetkisini iptal ettiriyor, baka hesaplarını donduruyor, gizlice Hekimoğlu’unun evine gidip arama yapmak adına her tarafı alt üst ediyor ve daha neler neler. Bu sahnelerin çoğunun gerçek dışı olduğunu, ülkemiz kanunlarına göre bu tür şeylerin yapılamayacağını, polis teşkilatımızda sözde komiser Mahir benzeri itici tiplerin veya bu tür yetkilerinin olmadığını hayatında polis veya savcıya işi düşmemiş birine saatlerce anlatsanız da dizideki kadar etkili olmayacaktır.

Polis Vazife ve Salahiyetleri Kanunu veya Ceza Muhakemeleri Kanununu mecbur kalmadığımız sürece okumadığımız gerçeğiyle birleştirildiğinde, halkımızın birçoğunun kafasındaki polis tiplemesi dizilerdeki Amerikan versiyonu oluyor.

Ardından SMS’ler veya kamu spotlarıyla vatandaşı bilgilendirme çabalarının tamamı boşa gidiyor ve vatandaşımız telefonun diğer ucundaki sahtekârların talimatlarını sorgulamadan harfiyle yerine getiriyor.

Telefon dolandırıcılığı konumuzu burada tamamlıyoruz. Bir sonraki yazımda sosyal medya dolandırıcılığı ve bu dolandırıcılık tuzağına düşmemek için sosyal medya platformlarıyla oluşturulan bu sanal dünyada nelere dikkat etmemiz gerektiğini anlatmaya çalışacağım.

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sadakra/

The post Sosyal Mühendislik/2 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Sosyal Mühendislik

Raif SARICA — Mon, 29 Mar 2021 09:11:56 +0000

Photo by Adam Jang on Unsplash

Siber saldırıların en zarif hali…

Kendilerine ait olmayan özel veya gizli bir bilgi, para veya başka değerli metaları teknolojinin sağladığı imkanları kullanarak insanları psikolojik olarak etki altına alıp kandırmak suretiyle haksız yere elde edenleri sosyal mühendisler olarak ele alacağız.

Hak etmediklerini akıl oyunlarıyla ele geçirdikleri felsefesinden hareketle, sosyal mühendis olarak isimlendirdiğimiz şahısların özünde klasik bir hırsızdan pek bir farkları yoktur.

Ha gecenin bir yarısında evinize girip altınlarınızı çalan hırsız ha bilgisayarınıza zararlı bir yazılımı uzaktan yükleyerek size özel bilgileri çalan bir sosyal mühendis. Her ikisi de özünde hile ile hak etmedikleri, başkalarına ait bir varlığı çalıyor.Eve giren hırsız kapıyı açmak için maymuncuk, altınlarınızı bulmak için el feneri, parmak izi bırakmamak için eldiven veya tanınmamak için maske kullanıyor. Sosyal mühendisler ise gizlice bilişim cihazlarına sızmak ve en azından faaliyetleri esnasında fark edilmemek için teknolojinin sağladığı imkân ve kabiliyetleri kullanıyorlar. Kapımıza penceremize sağlam bir kilit takmayarak hırsızlara davetiye çıkarırken, bilişim sistemlerimizdeki yetersiz güvenlik önlemleri ve duygusal zafiyetlerimizle sosyal mühendislere davetiye çıkarıyoruz.Bize göre sosyal mühendislik hırsızlığın veya dolandırıcılığın çağın gereklerine göre güncellenmiş versiyonundan başka bir şey değil. Çağın gereklerine göre yapılan güncelleme neticesinde, maymuncuk, el feneri ve maske yerine sahte e-postalar, cep telefonları, SMS’ler, sosyal medya, zararlı yazılımlar, sızılmış veya orijinaline uygun tasarlanmış sahte web siteleri kullanılıyor.

Sosyal mühendislik kapsamında kullanılan araç, taktik ve teknikleri biraz daha detaylarına inerek incelemeye başladığımızda aşağıdaki tanımlamalar karşımıza çıkıyor.

Yemleme (phishing),
Hedefli yemleme (spear phishing),
Balina avı (whaling),
SMS yemleme (Smishing),
Telefon dolandırıcılığı (phone phishing-Vishing),
Sosyal medya dolandırıcılığı (social media phishing)
Başkasının yerine geçme (impersonating)
Sahte senaryolar uydurma (pretexting)
Aldatmaca (spoofing)

Yukarıda maddeler halinde saydığımız araç, taktik ve tekniklerin biri veya birkaçı aynı anda kullanılarak teknolojik dolandırıcılık veya modern hırsızlık dediğimiz sosyal mühendislik saldırıları gerçekleştiriliyor.Örneğin, sahte bir adresten (spoofing) e-postanın gönderildiği yemleme (phishing) tekniğinde, e-posta içerisine MS Office dosyası görünümünde zararlı bir yazılım (malware) ekleniyor ve kullanıcının açması bekleniyor ya da bir telefon numarası taklit edilerek (spoofing) yapılan aramada otorite sahibi başka birinin yerine geçerek (impersonating) sahte senaryolar uydurulup (pretexting) telefon dolandırıcılığı (Vishing) yapılıyor.

Bu yazı dizisinde, gelin teknolojik dolandırıcılık veya hırsızlık için sosyal mühendislerin kullandığı araç, taktik ve teknikleri sahte e-postaların kullanıldığı yemleme (phishing) tekniğinden başlayarak teker teker incelemeye çalışalım.

Yemleme (Phishing)

Gönderilen sahte bir e-posta başlayan ve siber saldırganlar veya sosyal mühendisler tarafından kullanılan yemleme tekniği, en eski yöntemlerden biri olmasına karşın hala çok etkilidir. Bir işletme veya kişi hakkında hileli bir şekilde hassas bilgi toplama veya saldırı düzenleme tekniği olarak tanımlayabileceğimiz yemleme, sosyal mühendislik saldırısının bilgi toplama aşamasının yanı sıra diğer safhalarında da kullanılabilir.Bu teknik sosyal mühendisin veya saldırganın güvenilen bir yeri taklit ederek gönderdiği sahte e-posta ile başlar. Teknolojik dolandırıcılar olan sosyal mühendisler bu e-postalarda, cezaya kalacak bir fatura ödemesi, bir sipariş veya ücretsiz bir çekiliş gibi konularla hedefte tehdit, korku, heyecan, açgözlülük gibi duyguları tetiklemeye çalışırlar.Ardından MS Office dosyaları veya resim gibi gerçek görünümlü dosyalar şeklindeki e-posta eklentisi içine gizledikleri zararlı yazılımları hedefin bilgisayarına bulaştırırlar ya da hedefin kendileri tarafından taklit edilmiş sahte bir siteye yönlendirecek bir linke tıklamasını sağlarlar.Kurbanın bilgisayarına yükleyecekleri zararlı yazılımlarla veya taklit edilmiş web sayfalarına kurbanlar tarafından girilecek bilgilerle, sosyal mühendisler hedef şahıs ya da işletmeler hakkında banka hesap detaylarından, kimlik veya oturum açma bilgilerine (login credentials) kadar birçok hassas bilgiyi toplarlar.COVID-19 salgınıyla uğraştığımız bugünlerde eve hapsolmuş saldırganlardan gelen bu tür yemleme e-postalarında aşırı artışlar olduğunu hatırlatıp, güvenmediğiniz veya bilmediğiniz kişilerden gelen e-postalara karşı dikkatli olmanızı, e-posta eklentilerini açmadan veya e-postalar içinde yer alan linkleri tıklamadan önce bir kez daha düşünmenizi tavsiye ederek üzerimize düşen görevi yerine getirelim.

Phishing

Hedefli Yemleme (Spear phishing)

Hedefli Yemleme tekniğinde normal yemlemede olduğu gibi e-posta kullanılır, ancak rastgele şekilde çok fazla hedefe e-posta göndermekten ziyade önceden hedef olarak belirlenmiş bir kullanıcıya veya kullanıcı grubuna e-posta gönderilir. Takip edeceği hedefi belirlemek ve kısmen tanımak için kapsamlı bir ön çalışma gerektirdiğinden hedefli yemleme daha yorucu bir faaliyettir.Hedef hakkında toplanan ön bilgilerin ardından saldırgan hedefin ilgisini çekebilecek özenle hazırlanmış bir e-posta gönderir ve yemleme (phishing) tekniğinde anlatıldığı şekilde e-posta eklentisi şeklindeki zararlı yazılımı bilgisayarınıza yükler veya hedefini kendi oluşturduğu sahte siteye yönlendirir. İstatistiksel olarak, yemleme saldırısının başarı oranı %3 iken, hedefli yemleme saldırısının başarı oranı %70 civarındadır.

Balina Avı (Whaling)

Balina avı hedefli yemlemenin (spear phishing) bir üst kategorisidir. Bu teknikte de bilinçli olarak seçilmiş hedeflere yönelik özel çalışma ve hazırlıklar yapılır, ancak burada hedefler şirketin en üstündeki yönetici grubudur. Sizin anlayacağınız küçük balıklardan ziyade balina avlanmaya çalışılır.Balina avına çıkan sosyal mühendisler hedefteki kurum veya şirkete ait parayı ve hassas bilgileri çalmak amacıyla iki taktik kullanabilir. Birincisi konumları gereği genellikle sorgulanamayan üst düzey bir yöneticinin hesabını taklit ederek onun yerine geçip talimatlar göndermek, ikincisi ise direk olarak üst düzey yöneticiyi hedef tahtasına koyup saldırıyı onun üzerinde gerçekleştirmektir.SMS Yemleme (Smishing)İsminden de anlaşılacağı üzere SMS yemleme cep telefonlarımızda kullandığımız kısa mesaj hizmetinin araç olarak kullanıldığı bir sosyal mühendislik saldırısıdır. Genellikle insanlar teknolojik dolandırıcılarda telefon numaralarının olabileceği gerçeğini göz ardı ettiklerinden cep telefonlarına gelen SMS’leri özellikle kendilerine gelmiş bir mesaj olarak kabul edip, e-postalardan daha fazla güveniyorlar.Aslına bakılırsa birine ait telefon numarasını bulmak e-posta adresini bulmaktan daha kolaydır. Gartner tarafından yayımlanan bir rapora göre insanların %98’i cep telefonlarına gelen SMS’leri okuyor ve %45’i ise yanıtlıyor. Aynı raporda e-maillere verilen cevap ise sadece %6. COVID-19 ile gözümüzün korkutulduğu günümüzde insanları rahatlıkla ikna edebilecek gibi görünen güncel bir SMS yemleme mesajı aşağıdaki resimde sunulmuştur.SmishingSosyal mühendis veya siber saldırgan SMS ile göndereceği linke tıklamanız neticesinde, sizi zararlı bir yazılımın olduğu sahte web sitesine yönlendirebilir, o, sitede size sunulacak formu doldurmanızı sağlayabilir, direk olarak zararlı bir yazılımı yükleyebilir ya da SMS içerisinde göndereceği sözde müşteri hizmetlerine ait numarayı aramanızı sağlayarak şahsi bilgilerinizi veya kredi kartı detaylarınızı sizi ikna ederek almak suretiyle bilgi hırsızlığı yapabilir.Sözü fazla uzatmamak adına diğer sosyal mühendislik tekniklerini yazı dizimizin devamında ele almak üzere burada bir es verelim. Alanlarında sayılı uzmanlardan olan Erdal OZKAYA ve Şükrü DURMAZ’la beraber yakında yayınlamayı düşündüğümüz Sosyal Mühendislik kitabımızda, konunun bütün yönleriyle ve gerçek hayattan alınmış birçok örnekle beraber ele alındığını belirtmek istiyorum.Yazı dizimizin devamında görüşmek dileğiyle sağlıcakla kalın.

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sadakra/

The post Sosyal Mühendislik first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.