Kişisel Verilerin Sosyal Mühendislik Saldırıları ile Ele Geçirilmesi

Kişisel Verilerin Korunması ve Sosyal Mühendislik Saldırıları

Giriş

Teknolojinin gelişmesi ile birlikte internet hayatın her alanında yaygın olarak kullanılmaktadır. Pandemi ile birlikte birçok hizmet internet üzerinden verilmeye başlanmıştır. Özellikle bankacılık hizmetinin internet üzerinden verildiği internet bankacılığının kullanımı bu dönemde iyice yaygınlaşmıştır. Pandemi nedeniyle daha önceden internet bankacılığını kullanmayan banka müşterileri de internet bankacılığını kullanmaya başlamıştır. Böylesine yoğun bir kullanım ile birlikte kişisel veri güvenliği konusundaki tecrübe ve bilgi eksikliği, internet bankacılığı müşterilerinin kişisel verilerini siber korsanların hedefi haline getirmiş ve sosyal mühendislik saldırıları da bununla birlikte gelmiştir. Benzer tehlike web üzerinden ticaret yapan e-ticaret web siteleri için de geçerlidir.

E-ticaret Sitelerindeki Hesapların Güvenliği

İnternet üzerinden verilen hizmetlerde kullanılan üyelik sistemlerinde kişisel verilerin yaygın kullanımı mevcuttur. Ticaretin çoğunlukla e-ticaret yöntemiyle internet ortamı kullanılarak yapılmasının yaygınlaşması nedeniyle birçok şirket e-ticaret web sitesi üzerinden hizmet vermeye başlamıştır. Alışveriş yapmak için bu e-ticaret siteleri kullanılırken bir üyelik sistemi kullanılmaktadır. Üyelik yapılırken müşterilerden kullanıcı adı ve şifre oluşturmaları istenmektedir. Birçok e-ticaret sisteminde kullanıcı adı olarak e-posta adresleri kullanılmaktadır. Kullanıcı adı ile birlikte bir şifre oluşturulup e-ticaret sistemlerine üye girişi sağlanmaktadır. Üyelik oluşturulduktan sonra mutlaka adres ve bazı sistemlerde gelecekteki alışverişlerde kullanılmak üzere kredi kartı bilgileri de sisteme kayıt edilmektedir. Tüm bu veriler kişisel veri kapsamındadır.

Siber hırsızlar yeterli veri güvenliği sağlanmayan e-ticaret web sitelerinden elde ettikleri e-posta adreslerine çeşitli e-postalar göndererek kullanıcıların şifrelerini elde etmeye çalışmaktadırlar. Özellikle e-ticaret sitelerini taklit ederek oluşturdukları ve elde ettikleri e-posta adreslerine gönderdikleri yemleme e-postaları ile kullanıcıları kendi kontrollerinde olan sahte e-ticaret sitelerine yönlendirmektedirler. Siber güvenlik konusunda yeterli eğitim ve bilgiye sahip olmayan kullanıcılar rahatlıkla bu sahte e-ticaret sitelerine güvenerek şifrelerini ve kullanıcı adlarını karşılarına çıkan sahte e-ticaret sitesinin üyelik giriş sayfasına yazmaktadırlar. Böylece üyelik bilgileri siber saldırganlar tarafından ele geçirilmektedirler.

Sosyal Medya Hesaplarının Ele Geçirilmesi

Özellikle takipçi sayısı yüksek olan ve bu nedenle maddi değeri de yüksek olan sosyal medya hesaplarının siber saldırganlar tarafından ele geçirilmesinde sosyal mühendislik saldırıları yaygın olarak kullanılmaktadır. Sosyal medya hesaplarında yaptıkları paylaşımlar nedeniyle ilgi alanlarını aleni olarak tüm sosyal medya kullanıcılarının erişimine sunan sosyal medya hesap sahipleri aslında kişisel verilerini tehlikeye atmış bulunmaktadırlar. Sosyal medyada paylaşılan her bilgi siber saldırganlar tarafından kullanılmaktadırlar.

Genel olarak beğendiği resimleri kullanan kişilere telif hakları içeren bir yemleme e-postası gönderen siber saldırganlar, evcil hayvanlar ile ilgili paylaşımları olan sosyal medya hesap sahibine ise sokak hayvanlarına yardım yapan bir kuruluş tarafından gönderilmiş görüntüsü içerisinde yemleme e-postası göndermektedir. Tüm bu özel bilgilere sosyal medya ortamında yapılan paylaşımlardan ulaşılmaktadır. Kurban tarafından yemleme e-postasında bulunan sahte web sitesinin bulunduğu bağlantıya (link) tıklandığında kişisel verilerinin yetkisiz kişiler tarafından ele geçirilmesine neden olacak işlemler başlamaktadır.

Tüm bu saldırılarda amaç kurbanın yemleme e-postası veya yemleme mesajı içerisindeki bağlantıya tıklanmasını sağlamaktır. Bu hedefe ulaşmak için seçilen kurbanın ilgi alanları kullanılmaktadır. Kullanıcılar ilgi alanları ile ilgili konularda dikkatlerini güvenlikten daha fazla içeriğe yöneltmektedirler. Sosyal Mühendislik saldırılarının temeli ikna ve güvene dayanmaktadır. Kurbanın güvenini kazanarak kişisel verilerini kendi isteğiyle siber saldırgana vermesi hedeflenmektedir. Bu aşamada siber saldırganlar kurban üzerinde güven sağlayıcı telkinler ve ikna çalışmaları yapmaktadırlar.

İnternet Bankacılığı Dolandırıcılığı

Sosyal mühendislik ve yemleme saldırılarının birlikte kullanıldığı bir alandır. İnternet bankacılık hizmetinin tüm bankalar tarafından verilmesi ve genelde müşterilerin birçok banka ile çalışması nedeniyle birçok şifrenin oluşturulması ve bu şifrelerin güvenliğinin sağlanması ayrı bir problem sahası oluşturmaktadır. Her ne kadar bankalar müşterilerin kayıtlı cep telefonlarına doğrulama kısa mesajı (sms) göndermek suretiyle internet bankacılığına girişte ayrıca bir güvenlik kademesi getirseler de siber saldırganlar sim kartı klonlama, sim kartı bloke etme vb. yöntemlerle bu güvenlik sistemini aşarak internet bankacılık hesaplarını ele geçirebilmektedirler.

Bu aşamada yine sosyal mühendislik saldırıları ile birlikte yemleme saldırıları kullanılmakta ve kişisel veriler banka hesaplarını ele geçirmek maksadıyla ele geçirilip kullanılmaktadır. Yemleme e-posta ya da yemleme mesajlarında siber saldırganlar tarafından oluşturulmuş sahte banka web sitelerinin linkleri bulunmakta ve kurbanın bu bağlantılara tıklayarak karşısına çıkan sahte banka sitesindeki alanlara internet bankacılığı ile ilgili giriş bilgilerini yazması beklenmektedir. Sosyal Mühendislik konusunda uzmanlaşmış siber saldırganlar tarafından ikna ve güven oluşturma yöntemleri ile istenen hedefe ulaşılmaktadır.

Sonuç

İnternetin kullanıldığı tüm alanlar benzer sosyal mühendislik saldırılarının tehdidi altındadır. Her geçen gün ekonomik hedefli siber saldırıların arttığı görülmektedir. Siber güvenlik uzmanları tarafından bu alanlarda bilgilendirme eğitimleri verilmektedir. Bu tür saldırılar karşısında zarar görmemek için hiç kimseye kişisel verileri vermemek gerektiğinin bilinmesi, siber güvenlik konusunda farkındalık eğitimlerine katılım sağlanarak bilgi edinilmesi büyük önem taşımaktadır. Genelde siber saldırganlar tarafından siber güvenlik alanında yetersiz bilgiye sahip kullanıcılar hedef olarak belirlenmektedir. Her zaman olduğu gibi bilgi güçtür ve bilgi ile bu tehditler bertaraf edilebilecektir.

Av. Murat Osman KANDIR’ın Hukuk ve Bilişim Dergisi 9. Sayısı’nda yayınlanan “Hukukta Fütürizm: Geleceğin Mahkemeleri” isimli yazısı için bağlantıya tıklayınız.

Yazarın Hukuk ve Bilişim Blog’ta yayınlanan tüm yazılarını da bağlantıdan bulabilirsiniz.