Teknolojinin gelişimi ve internetin artık hemen hemen bütün evlerde olmasıyla, bir çok gündelik yaşam rutinimizi sanal ağlar vasıtasıyla yerine getirir olduk. Buluşma yer ve zamanımızı çeşitli aplikasyonlar vasıtasıyla belirleyip, buluşma anılarımızı yine bu aplikasyonlarla görünür hale getiriyoruz.
Derlediğimiz bu gerçek olaylarla farkındalık seviyesini arttırmak ve maruz kalınabilecek siber suçları engellemek asıl hedefimizdir. Okumanız için derlediğimiz ”Bilişim Suçları Gerçek Olaylar” yazımız sizlerle.
İstediğimiz bilgilere erişmek için girdiğimiz sanal platformlar aracılığıyla bir çok bilgiye ücretsiz ulaşıyoruz. Ancak aynı platformlarda yüzlerce reklama, bir çok yerleştirmeye de göz yummak zorundayız.
Alışverişlerimizi mağazalarda birebir yapmak yerine, internet üzerinden sanal alışveriş siteleri ile kredi kartları vasıtasıyla yapıyoruz. İş yazışmalarımız veya kişisel yazışmalarımız farklı bir çok sanal kanal üzerinden yapılıyor ve depolanıyor.
Tüm bu risklerin farkında olup, davranış stillerimizi belirlemek zorundayız.
Siber Suç Hikayeleri: Sandra
Sandra Miami, Florida’da yasayan bir insan kaynakları uzmanı. İşinde 10 yılı aşkın süredir bilgisayar kullanıyor. İş yerindeki bilgisayarının bakımı, şirketinin BT departmanı tarafından yapılıyor ve iş yerindeki bilgisayarıyla hiçbir zaman güvenlik sorunları yaşamadı.
Sandra, bilgisayarlarla arasının iyi olduğunu düşünüyor ve aşağıdaki nedenlerden dolayı çevrimiçi dolandırıcılık konusunda fazla riskte olmadığına inanıyor:
- Kredi kartı bilgilerini ifşa etme riskine girmek istemediğinden asla çevrimiçi alışveriş yapmıyor ve alışveriş işlemleri ile ilgili verilerin kaydedilip, ilgilendiği ve ilgilenmediği alanlar ile ilgili bir profil oluşturmak için kullanılması fikri hoşuna gitmiyor.
- Ev bilgisayarını sadece arkadaşları ve ailesiyle kişisel e-posta alışverişi, alanındaki yeni gelişmeler hakkında bilgi edinmek üzere Web’de gezinmek ve ayda bir kez bankasının web sitesi üzerinden banka işlemlerini gerçekleştirmek için kullanıyor.
Arada sırada Web’de başka şeyleri de araştırıyor, ancak bunu sık yapmıyor.
Sandra’nın durumu yeterince güvenli gibi görünüyor, öyle değil mi?
Ancak, görünüşe aldanmamak gerekir. Geçen yaz iş yerinde, kullandığı İnternet tarayıcısına özel yeni bir güvenlik açığı hakkında bir şeyler duydu. Durum o kadar ciddiydi ki, BT departmanı ayni gün şirketteki tüm bilgisayarlara acil durum yamaları dağıttı. Sandra ev bilgisayarının da korunduğundan emin olmak için eve gittiğinde güvenlik açığı hakkında daha fazla bilgi edinmek ve korunup korunmadığını öğrenmek için internet’e girdi.
Popüler bir arama motoru kullanarak, güvenlik açığı hakkında bilgi sunmanı yanı sıra güvenlik açığına karşı bilgisayara otomatik olarak indirilen bir yama seçeneğinin de olduğu bir web sitesi buldu. Sandra bilgileri okudu, ancak sadece yetkili kaynaklardan bilgi indirmesi gerektiğini bildiğinden indirmeyi kabul etmedi. Ardından yamayı almak için resmi internet tarayıcısına gitti.
Peki, ters giden neydi?
Ne yazık ki Sandra, ilk sitede güvenlik açığı hakkındaki bilgileri okurken, web sitesinin kurucusu olan suçlu, Sandra’nın bilgisayarında bu güvenlik açığının bulunmasından yararlandı. Sandra (ona sunulan indirmeyi reddetmek için) “hayır” seçeneğine tıkladığında, o farkında olmadan bilgisayarına otomatik olarak küçük, ancak güçlü bir yasa dışı program yüklenmeye basladı.
Program bir klavye vuruşu kaydedicisiydi. Ayni anda web sitesi sahibi, klavye vurusu kaydedicisinin Sandra’nın bilgisayarına gizlice ve başarılı bir şekilde yüklendiğine dair bir bildirim aldı. Program, o andan itibaren Sandra’nın yazdığı her şeyi yetkisiz bir şekilde kaydedecek ve tüm bilgileri web sitesi sahibine gönderecek şekilde tasarlanmıştı. Sorunsuz bir şekilde çalışıp Sandra’nın girdiği tüm bilgileri kaydetti. Ziyaret ettiği her web sitesi ve gönderdiği her e-posta siber suçluya gönderildi.
Sandra ayni günün akşamı aylık çevrimiçi bankacılık işlemlerini yaptı. Kişisel banka hesabında oturum açtığında klavye vuruşu kaydedicisi, gizli bilgiler de dahil olmak üzere bu klavye vuruşlarını da kaydetti: Bankasının adı, kullanıcı kimliği, parolası, Sosyal Güvenlik numarasının son dört hanesi ve annesinin kızlık soyadı. Bankanın sistemi güvenli olduğundan ve girdiği tüm veriler şifrelendiğinden, bu bilgiler kimseyi şüphelendirmedi. Ancak bilgiler, Sandra onları girerken, bilgiler şifrelenmeden önce klavye vuruşu kaydedicisi tarafindan kaydedildi. Bu nedenle klavye vuruşu kaydedicisi, sorunsuz bir şekilde çalışan güvenliği aşabildi.
Banka adının, kullanıcı kimliğinin, parolasının ve annesinin kızlık soyadının siber suçlunun eline geçmesi an meselesiydi. Siber suçlu Sandra’nın adını ve bilgilerini, hiçbir şeyin farkında olmayan kullanıcılardan oluşan uzun bir listeye ekledi. Ardından listeyi internet’te tanıştığı birisine sattı; paraları yasa dışı bir şekilde çekmek için çalınmış banka bilgilerini kullanma konusunda uzman olan birisine. Sandra birkaç hafta sonra bir mevduat yatırmaya gidip ekstresini istedi ve banka hesabının neredeyse boş olduğunu görünce şok oldu. Sandra, siber suç kurbanı olmuştu.
Siber Suç Hikayeleri: Michelle
Kansas’ta estetisyenlik yapan Michelle, ilk bilgisayarını üç yıl önce satın aldı. Eski üniversite arkadaşlarından e-posta almak hoşuna gidiyordu. Hiçbir zaman satın almasa da çevrimiçi olarak en son çıkan güzellik ürünlerine bakmayı da seviyordu. Michelle iki oğluna bakan bekar bir anne ve bu nedenle de bilgisayarın temel kullanım amacı, oğullarının okul projeleri için bilgi toplamak.
Ancak Michelle son bir yılda bilgisayarının çok daha yavaş çalıştığını fark etti. Hatta, onunla röportaj yaptığımız sırada kendisi ve iki oğlu, artık kullanılamayacak kadar yavaş olduğundan bilgisayarı hiç kullanmıyorlardı.
Michelle Noel’de, birlikte çalıştığı birkaç kişi için bir şeyler satın almak istedi. Özellikle de iş arkadaşlarından birisi için birkaç canlı uğur böceği bulmak istiyordu. Evde kullanılacak bilgisayarı olmadığından, uğur böceklerini bulmak ve satın almak için büyükannesinin bilgisayarını ödünç aldı. Kısa bir süre sonra büyükannesinin bilgisayarının da çok yavaş çalıştığını fark etti ve bilgisayarların ona göre olmadığına karar verdi.
Ancak Michelle’in yeni erkek arkadaşı bir bilgisayar bilimi öğrencisiydi. Michelle ona yavaşlayan bilgisayarlardan bahsettiğinde sorunun ne olduğunu hemen tahmin etti: casus yazılım. Michelle’in erkek arkadaşı bir casus yazılım tespit etme programı indirdi ve tahminleri doğrulandı. Karmaşayı çözmek birkaç gününü aldı, ancak sonunda casus yazılımı sildi ve bilgisayarlar normale döndü. Michelle ve büyükannesi için antivirüs ve güvenlik yazılımı yükledi ve kısa bir süre sonra ikisi de yeniden İnternet’te gezinmeye başladı. Ancak hikaye burada bitmiyor.
Michelle, büyükannesinin bilgisayarını kullanırken 500 ABD doları değerinde ödül kazandığını belirten bir reklam gördü. Yerel bir alışveriş merkezinden 500 ABD doları değerindeki hediye çekini alabilmesi için tek yapması gereken birkaç soruyu cevaplamaktı. Michelle’ye sorular ardından hediye çekini alabilmesi için iki küçük ürün alması gerektiği belirtildi. Hediye menüsünden en ucuz iki ürünü sipariş etti, talep edildiği gibi kredi kartı bilgilerini girdi ve 500 ABD doları değerindeki hediye çekini alabilmek için diğer kişisel bilgilerini girmeye çalıştı.
Ancak web sitesi bilgilerini kabul etmedi. Michelle birkaç denemeden sonra vazgeçti ve ona bu sorunu çözmede yardımcı olacaklarını umarak site sahiplerine bir e-posta göndermeye karar verdi. Onlara iki kere yazdı, ancak hiç bir cevap alamadı. Satın almayı kabul ettiği iki küçük ürünün ücreti kredi kartından tahsil edildi, ancak 500 ABD doları değerindeki hediye çekini hiçbir zaman alamadı.
Gerçekleşen olayda hepimizin gündelik yaşantısında başına gelebilecek bir süreç mevcut. Pazarlama psikolojisi her ne kadar e-ticarette aktif olarak kullanıyor ve bizim için artık normalleştiği için bir sorun teşkil ettiğini düşünmüyorsak da, sanal alemde tüm bu dolandırıcılık hilelerine karşı tetikte kalmak zorundayız. Haberimiz olmadan bizim şahsi bilgilerimize erişecek ve bize altından kalkılması güç olacak maddi ve manevi zararlar verebilecek bir çok kötü amaçlı yazılım var.
Siber Suç Hikayeleri: Steve
Steve Kansas City, Missouri’nin banliyölerinde yaşamakta olan emekli bir memur. Steve bir antivirüs yazılımına ve güvenlik duvarına sahipti ve bunları güncel tutuyordu. Beklemediği bir e-postanın ekini tıklamaması gerektiğini ve bu önlemin hem arkadaşlarından hem de tanımadığı kişilerden gelen e-postalar için geçerli olduğunu biliyordu.
Geçen Eylül ayında Steve, bankasından gelmiş gibi görünen ve kişisel bilgilerini güncellemek üzere banka hesabında ve yatırım hesabında oturum açmasını isteyen bir e-posta aldı. E-postadaki URL’yi tıklattı ve doğrudan bankasının web sitesine gitti ya da en azından öyle görünüyordu. Gerçekte ise e-postadaki bu URL, Steve’i benzer bir web sitesine götürdü. Site, kendi bankasının web sitesi ile aynı görünüyordu ve bu nedenle ondan hesap numarası, kullanıcı adı ve parola istendiğinde bu bilgileri otomatik olarak girmeye başladı. Sonra iki ay önce yerel Rotary Kulübü’nde bir konuşmada duyduğu bir şey aklına geldi.
Konuşmacı kimlik avı saldırılarını ve özellikle de orijinaline benzeyen web sitelerini ele almıştı. Steve’nin hatırladığına göre de bu kimlik avı saldırılarını fark etmenin yolu, bankanın, müşterilerine hiçbir zaman onlardan hesaplarında oturum açmak üzere tıklatılacak bir bağlantı göndermeyeceğiydi. Konuşmacı “Böyle bir e-posta alırsanız, onu çöpe atın” demişti. Steve de öyle yaptı.
Steve çok kısa süre önce duyduğu kimlik avı saldırısının hedefi olmuştu. Ama bankaların kişisel bilgiler isteyen bir Web bağlantısını hiçbir zaman e-postayla göndermeyeceğini tam zamanında hatırlamıştı. Eğer ondan talep edilen bilgileri girseydi siber suçlular bankadaki yatırım hesabında işlem yapmak için gereken her şeye sahip olacaktı.
Siber Suç Hikayeleri: Koby
Bazı kimlik avı yöntemleri oldukça gelişmiş olabilir. Orta okul öğretmeni olan Koby kısa süre önce böyle bir entrikanın kurbanı oldu. Koby, araçlarından birisini satmak için çevrimiçi bir açık arttırma sitesi kullanıyordu ve birkaç gün içerisinde uygun bir alıcı buldu. Alıcı araç için ödeme yaptı, Koby de ilanı siteden kaldırdı.
Hesabında oturum açıp da satılık bir ürününün olduğu bilgisini gördüğünde biraz şaşırdı. Sayfaya baktı ve kısa süre önce sattığı aracın satılık olarak durduğunu gördü. Ardından büyük bir yanlışlık olduğunu fark etti. İletişim bilgilerindeki e-posta adresi kendisine ait değildi. Kendi e-posta adresine o kadar çok benziyordu ki başka kişiler bunu ne fark ederdi ne de şüphelenirdi, ancak Koby fark etti ve bir sorun olduğunu anladı.
“Satıcıya” bir e-posta gönderdi ve aracı satın almayı teklif etti. Chicago’da bulunan satıcıya parayı göndermek üzere hazırlıklar da yaptı. Koby, bilgileri FBI’ya verdi; onlar da dolandırıcıların izini sürdü. Dolandırıcılar Koby’nin hesabına nasıl erişti ? Hesabının güvenliğinin tehlikede olduğunu belirten bir kimlik avı e-postasında, çevrimiçi açık arttırma sitesindeki hesabına gitmek üzere bir URL’yi tıklaması istenmişti. Koby bağlantıya tıkladığında, gerçek oturum açma sayfası ile aynı görünen bir sayfaya yönlendirildi ve hesap bilgilerini girdi. Suçlular bu bilgileri kullanarak gerçek hesabında oturum açtı ve irtibat telefonu numarasını değiştirdi.
Bu olayda da görüldüğü üzere en çok kullanılan yöntemlerden birisi, aktif olarak kullanılan ve bilinen çevrimiçi satış siteleri üzerinden dolandırıcılık yapılması. Bilinmesi gereken tek şey şu; hepimiz risk altındayız ve bu olayları yaşamamak için uygun güvenlik önlemlerini almalı ve güvenilirliği olmayan e-posta ve web sitelerine karşı dikkatli olmalıyız.