Giriş
Serinin başlığı yaptığım “Aldatma Sanatı” aslında ünlü bir hacker olan Kevin Mitnick tarafından yazılmış bir kitap. Kitapta, Mitnick sosyal mühendislik sanatını bir kısmı gerçek hikayelerden dayandırarak anlatırken, sosyal mühendisliğin bilgisayar korsanlığı ile nasıl birleştirilebileceğine dair örneklerden de bahsetmektedir. Bu arada Kevin Mitnick internet dünyasının ilk hackerlarından olan Mitnick şu an kendi güvenlik alanında Mitnick Security Consulting şirketinde hizmet vermekte.
Bilgisayar korsanı(hacker*) dediğimizde, aklımızda canlananlar; ekrandan akan kodlar, matrix sahneleri, kapüşonlu elemanlar, tek tuşla sisteme sızmalar gibi düşünceler geliyor olabilir. Ancak 2023 dünyasında artık dolandırıcılar bu tarz işleriyle uğraşmıyor(en azından garibanın parasında gözü olanlar diyelim). Artık onlar bilgisayar ve telefonlarınıza saldırmak yerine direkt size ve düşüncelerinize saldırıyorlar.
Dolandırıcıların sizin cihazınıza sızmak yerine sosyal mühendisliğe tercih etmesinin birçok sebebi olabilir. Artık güvenliksiz uygulamalarda bile iki aşamalı doğrulama(2FA*) mevcut. Bunun yanında token, 3d secure ve ip’nin takip edilmesi işleri onlar için daha zor hale getirdi. Yani sizi kandırmak sistemi kandırmaktan daha kolay 🥺
Peki size en kolay nasıl saldırabilirler? Cevap belli sosyal medyadan. Sosyal medya yarattığı kolaylıkla aslında verileri saklamanın zorluğunu da beraberinde getirdi. Herkesin birbirini rahatlıkla bulması, bilgi edinmesinin kolaylığı, size saldırmak isteyen kişiler tarafından da rahatlıkla ulaşılabiliyor. Buna Açık kaynak istihbaratı(Open Source Intelligence) deniyor.
Bölüm 1: Yatırım yap, Para Kazan!
Bu yol (tüm insanların zaafı mıdır nedir) herkesin en kolay kendini kaptırdığı teknik diyebiliriz. Hatta videosunu çekmiştim bunun 4 dolandırıcının hikayesinde. Şimdi bunu instagramdaki taktik üzerinden inceleyelim.
Hesabın Çalınması
Kaynağı bilinmeyen üçüncü parti uygulamalar kullanırsanız, bunun sonucunda tarayıcınızdan yandaki gibi arama yaparsınız.
Instagram için geliştirilen postegro ve lili gibi üçüncü parti uygulamalar* göremediğiniz gizli hesaplara erişmek için üretilen uygulamalardır. Ancak bu uygulama erişimi gene sisteme dahil olan insanların bilgileriyle gösterir. Ayrıca giriş yaptığınızda aslında arka planda instagrama giriş yapar ve sizin adınıza bir anahtar(token*) oluşturur. Bu anahtara sahipken şifrenize bile ihtiyaçları yoktur. (bu konuyu ayrı bir yazıda açmam lazım uzuyor yoksa). Artık bu saaten sonra sizin hesabınız onların kontrolünde geçmiş olsun.
Aldatma Sanatı Başlıyor
Hesap çalındı ama çalan şahıs gidip milletten para istemiyor (tabi buna bile inanlar var orası ayrı konu). Çaldığı hesaptan bir dekont paylaşıyor. Dekontun üstüne yapılan açıklamada, bir forex borsasına tavsiye üzerine yatırım yaptığını ve bundan büyük karlar kazandığını iddia ediyor (Günlük %30-%40 civarlarında).
Bunu kanıtlamak içinde hesap adına bir ödeme dekontu oluşturulmuş. Dekontta basit ancak etkili düşünülmüş kısımları var. Öncelikle ödeme yapılan hesabın isimleri çalınan hesapla değiştirilmiş. Tarih bilgisi, adres bilgisi olabildiğince gerçekçi verilmiş. (adresimi nerden biriyor diyorsanız; Fotoğraflarınızdaki konum etiketi, son giriş yaptığınız konumlar instagram datasında mevcut 🙂).
Avı Tanımak ve Kötü Son
Dolandırıcı bu saatten sonra bizim yazmamızı veya bizle etkileşime geçmeye çalışıyor. Bizimle etkileşime geçecekse bizi tanıyor. Akrabalık bağları, arkadaşlık ilişkilerimizi inceliyor. Ve para alacak birilerini bulmaya çalışıyorlar. Bunları da DM kutunuzu ve hikaye ve post arşiviniz hikayenizi kullanıyorlar. Sonuçta silmediğiniz sürece hepsi orada hazır bulunuyor.
Story beğenme, yorum atma vs ile konuşma başlıyor. Hakkınızdaki bilgisiyle güveni sağladıktan sonra konuyu açıyor ve oltayı atıyor. Büyük kazanç için önce yemleme yapılıyor. Düşük bir tutar alıp (örn: 200₺) gönderip %25 karla size ertesi gün geri eft yapılıyor. Aynı isim aynı dekontla. 2. gün 5000 yollarsınız ve ertesi gün yatmayan parayla tek başınızda kalırsınız.
Sonuç ve Yapılması Gerekenler
Bu kötü son başımıza gelmesin diye yapmanız gerekenler ise;
- Sizden biri sosyal medyadan para talep ederse hatta bu kişi kıramayacağınız kadar yakın biriyse bile, mutlaka o kişi ile farklı bir ağdan bu konuşmayı teyitleyin. Mesela instagramdan para istedi, whatsapp üzerinden veya direkt arayarak tekrar sorun ve istediğini teyitleyin. Bu sayede gerçekten o kişiyle konuştuğunuzdan emin olursunuz. Eğer değilse hesabı şikayet ediniz ve hesabın sahibi olmak üzere diğer ortak tanıdıklarınıza bilgi veriniz.
- Üçüncü Parti uygulamalara hesaplarınızı kesinlikle sosyal medya hesaplarınıza bağlamayın.
Postegro,liligibi uygulamalardan giriş yaptığınızda arka planda hesabınıza açık kapı bırakıyor. Bu tıpkı atmye kredi kartınızı ve şifresini üstüne yazıp bırakmak gibi bir şey.
- Tüm yazdıklarımdan sonra halen ben para göndereceğim derseniz o zaman son çare olarak sikayetvar.com gibi sitelere ve SPK, BDDK gibi kurumlardan yatırım yapacağınız yer hakkında bilgiler edinmeye çalışınız.
- Son olarak eğer telefon üzerinden iletişime geçerse telefon numarasını tarayıcıya yazın. O numara hakkındaki yorumları ve nereden aramış olabilecekleri konusunda bilgi sahibi olabilirsiniz.
Dipnotlar
Hacker: Bilgisini problemlerin üstesinden gelmek için kullanan yetenekli bilgisayar uzmanı. Hacker yetenekli bilgisayar uzmanı anlamına gelse de, bu terim popüler kültürde teknik bilgisi ile bilgisayar sistemlerine girmek için hata veya istismar yöntemlerini kullanan zararlı kişi anlamındaki bilgisayar korsanı ile ilişkilendirilmiştir.
İki Aşamalı Doğrulama (2FA): İki Aşamalı kimlik doğrulama temel olarak, hesaplarımıza gireceğimizde ikinci bir adım kullanılmasından ibarettir. Genelde telefona gönderilen bir SMS ile parolanın yanında bir kod girilmesi biçiminde uygulanan 2FA, ekstra bir güvenlik katmanı oluşturur.
Üçüncü parti uygulamalar: Ürünün veya cihazın geliştiricisi olmayan kimseler tarafından geliştirilen uygulamalardır.
Token: Bir kimlik iddiasını kanıtlamaya yardımcı olan sahip olunan nesnedir. Token içeriğini, sahibi olan öznenin Token'ı kontrol ettiğini kanıtlamak için kullanılan bilgi oluşturur. Bu yapı, asimetrik veya simetrik (tek) anahtarlara dayanır.
SPK: Sermaye Piyasası Kurulu
BDDK: Bankacılık Düzenleme ve Denetleme Kurumu