SİBER SUÇLAR: BİZE OLMAZ, BOŞVER

Başlığı gördükten sonra, “bu konu yine bilişimcilerin bir sürü bilinmeyen terim kullandığı o teknik yazılardandır” demeyiniz.

Her anlamda zor zamanlar geçirdiğimiz bu dönemde dijital dünya ile olan bağların güçlenmesi ve buna bağlı olarak, siber güvenlik algısının oluştuğu bir dönemdeyiz. Bu duruma maruz kalmadan farkındalık oluşturmak için dünü, bügünü ve geleceğini ele alalım.

Bir çoğumuz, Sanal Korsan, (İngilizce: Takedown) filminin ana karakteri olan Kevin Mitnick ismini duymuşsunuzdur. Kevin 1970 li yıllarda telefon şebekelerinde bedava görüşme yapmak ya da görüşmeleri dinlemek amaçlı bazı açıklar buluyordu. O zamanlar bilgisayar sistemleri henüz emekleme aşamasındaydı. Hatta o dönemde John Draper isimli bir Vietnam gazisi, mısır gevreği kutusundan çıkan promosyon düdüklerin 2600 MHz tonda ses çıkarttığını fark etti. Bedava telefon görüşmesi yapmak için düdüğü telefonun alıcısına üflemek yeterliydi. Kevin, Fujitsu, Motorola, Nokia, Sun Microsystems gibi şirketlere sızmak için onların çöplüklerindeki evrakları bile araştırdığını söylüyor.

Ülkemizde ise yargılanarak resmi kayıtlara geçen ilk hacker Tamer Şahin’dir. Çöpleri hiç karıştırdı mı bilmiyorum ama yaptığı işlem Kevin ile benzer bir yöntemdi aslında. Bugünlerde adını çokça duyduğumuz sosyal mühendislik.

Sosyal Mühendislik Nedir?

Sosyal mühendislik, internette insanların zaafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır. Hedef kişinin karar verme algısına yönelik teknikler içerir.

Sosyal Mühendislik Süreçleri;

Bilgi Toplama : Öncelikle aldatılacak olan kurbanın hakkında maksimum seviyede bilgi toplanır ve birçok özellik araştırılır. Elde edilen bilgiler şirket web sitelerinden, diğer yayınlardan ve sık olmamakla birlikte hedef sistemde çalışan işcilerle konuşarak birçok bilgi toplanır.

Saldırıyı Planla : Saldırganlar saldırıyı nasıl yürütmek istediğini açıklar.

Saldırma Araçları : Saldırganın saldırıyı başlatırken kullanacağı bilgisayar programlarını içermektedir.

Bilgileri Kullanma : Ev hayvanı isimleri, organizasyon kurucularının doğum tarihleri gibi birçok sosyal mühendislik taktikleri sırasında toplanan bilgiler, parola tahminlerinde kullanılabilir.

Sosyal Mühendislerde bulunması gereken özellikler aşağıdaki gibidir:

1- İkna etme yetenekleri gelişmiştir.

2- Etkileme özelliği yüksektir.

3- Aldatmaktan çekinmezler her yolu mubah görürler

4- Bilgili ve donanımlı olduğunu karşı tarafa gösterme

5- Senaryo üretme yetileri oldukça fazladır.

Bugün çokça gördüğümüz telefon dolandırıcılığı da bir sosyal mühendislik sayılır aslında. Gündeme dair hassas bir konu ele alınır. Darkweb ya da deneme yöntemleri ile arama listelerini oluşturup küçük bir çağrı merkezi yada tek bir telefon ile kurbanı ağlarına atarlar. Eğer siz kendinizden eminseniz ne terörle mücadeleden korkun ne de organize suçlardan. Tabi ülkemizde pardon diyebilecek birçok vaka olduğundan kişi kendisinden bile bir an şüphe edebilir. Her ne kadar haberlerde ve mesaj yoluyla bildirimler yapılsa da maalesef insanları bir şekilde inandırıyorlar. Bu kişi bir profesörde olabilir, normal bireyde. Günümüzde sosyal medya kullanımıyla birlikte yapılan paylaşımlar, konum bildirimleri ve fotoğraftaki detaylar sosyal mühendislerin işlerini biraz daha kolaylaştırıyor. Örneğin; Çocuğunuzun okula başladığı gün hatıra olsun diye okulun önünde fotoğraf çektiniz. Bir süre sonra sizi okulun müdürü olduğunu söyleyen birisi telefonla arayıp herhangi bir talepte bulunsa siz bu işlemden şüphelenmezsiniz. Daha da kötüsü eğer varlıklı biriyseniz ya da düşmanlarınız var ise, çocuğunuzu okuldan bile kaçırabilirler.

Bunun en yakın örneğini ise son günlerde Sedat Peker’in ailesinin paylaştığı bir sosyal medya paylaşımı sonrası Dubai’de kaldığı otelin ifşa olması ve yer değiştirmek zorunda kalmasıdır.

Sosyal mühendislik kavramı siber saldırı çeşitlerinin en teknik olmayan konusudur. Şimdi daha teknik olan siber saldırı çeşitlerini inceleyeceğiz.

Türkiye’de En Çok Karşılaşılan Beş Siber Saldırı Çeşidi

Siber saldırganların durmaksızın sürdürdüğü saldırılar, kimi zaman kullanıcıları kimi zaman da şirketler ve devlet kurumlarını hedef alıyor. Türkiye ise her zaman en çok saldırı alan ülkelerin arasında yer alıyor. Trend Micro’ nun yayınladığı güvenlik raporlarına göre ise Türkiye en çok siber saldırıya uğrayan ülkeler arasında son yıllarda hep ilk beş arasında yer alıyor. Peki, Türkiye en çok hangi siber saldırı çeşitlerine maruz kalıyor?

FİDYE YAZILIMLARI

Fidye yazılımlarını; kullanıcıların dosyalarını ve cihazlarını şifreleyip, tekrar ulaşılabilmesi için kişileri ücret ödemeye zorlayan bir zararlı yazılım şeklinde tanımlayabiliriz. Cryptolocker ise Türkiye’de en çok görülen fidye yazılımı çeşitlerinden birisi olarak karşımıza çıkıyor. Genellikle sahte e-postalarla kullanıcılara yollanan sahte faturalara saklanıyorlar. Cryptolocker kişilerin ya da kurumların verilerini ve cihazlarını şifreleyerek erişilemez hale getiriyor. Kullanıcılar ise karşılaştıkları kilit ekranında yönlendirildikleri noktalara ödeme yapmak zorunda bırakılıyor.

OLTA SALDIRILARI

Phishing, yani olta saldırısı olarak da adlandıran bu siber saldırılar tamamen karşıdaki kişiyi aldatma esasına dayanan bir yöntem. Bu saldırının amacı ise hedefteki kişinin şifrelerini ve kullanıcı hesaplarını ele geçirmek. Siber saldırganlar bir kurumdan yollanmış gibi hazırladıkları e-postalarla, kullanıcıları bu kurumların adını kullanarak hazırladıkları sahte sitelere yönlendiriyorlar. Bu siteler genellikle orijinal site ile çok benzer bir kullanıcı ara yüzü kullanıyorlar. Bundan dolayı kullanıcılar aradaki farkı anlayamıyorlar ve kendi hesaplarına eriştiklerini zannediyorlar. Kullanıcı adı ve şifresi kısmına bilgilerini girdiklerinde ise bu bilgiler bilgisayar korsanları tarafından çalınıyor. Bu yöntem Türkiye’de özellikle kullanıcıların banka hesapları ya da sosyal medya profillerini ele geçirmek için kullanılıyor.

KREDİ KARTI DOLANDIRICILIKLARI

Siber suçlular kullanıcılara özellikle herkesin ilgi gösterdiği ürünler için çeşitli kampanya, fırsat ve indirimler içeren sahte sipariş sayfalarını içeren e-postalar yolluyorlar. Bu e-postalar özellikle Sevgililer Günü, Anneler Günü, Babalar Günü ve Yıl Başı gibi birçok kişinin birbirine özellikle online alışveriş yaparak hediye aldığı dönemlerde oldukça yoğunlaşıyor. Bu e-postalardaki bağlantılara tıklayıp sahte sipariş sayfalarından alışverişini yapan kişilerin kredi kartı bilgileri bilgisayar korsanları tarafından çalınıyor.

DDOS SALDIRILARI

Özellikle son dönemde Türkiye’nin gündemini meşgul eden yoğun bir saldırı dalgasında kullanılan DDoS yöntemi aslında basit bir siber saldırı biçimi. DDoS (Distributed Denial of Service Attack) saldırıları genellikle bant genişliğini istilaya uğratarak sistemleri ve sunucuları hizmet veremez hale getiren bir saldırı çeşididir. Örneğin; Her 5 dakikada bir, başka bir kişiymişim gibi sizin sekreterinizi arayıp ‘Rengin Arslan orada mı?’ diye soruyorum. Sekreteriniz de her seferinde sizin ofiste olup olmadığınızı öğrenip bana bilgi veriyor. Fakat benim aynı kişi olup olmadığımı hiç sorgulamıyor. Böylece sekreterinizi bütün gün meşgul ediyorum, başka iş yaptırmıyorum.

MOBİL TEHDİTLER 

Mobil cihazların artışıyla iletişim, dolayısıyla veri miktarı sürekli artıyor. Bundan dolayı mobil tehditler giderek daha tehlikeli hale geliyor. Özellikle Android platformundaki güvenlik problemlerinden dolayı birçok zararlı yazılım mobil cihazlara indiriliyor. statistica.com web sitesinin verilerine göre en son yapılan ölçümlerde, kullanıcılar zararlı ve yüksek tehlike içeren mobil uygulamaları (2020 yılı ilk çeyrek verileri) 1,15 milyondan fazla mobil zararlı yazılım kurulum paketi tespit edilmiştir.

Yukarıdaki saydığımız saldırı türlerini engellemek ya da zararı en aza indirmek için firmaların ve kullanıcıların daha da bilinçlendirmesi ve birtakım önlemler alması gerekmektedir.

Güvende miyiz?

Türkiye’de yapılan bir araştırmaya göre firmalardan sadece %27,4’ü firewall kullanırken, bu firmaların %30,2’si açık kaynak kodlu, %43,8’i kutu çözüm güvenlik duvarı kullandığı görülmektedir. Firmaların gelen ve giden trafiğini organize ve kontrol eden bu cihazların ayrıca kullanıcı hareketlerini loglama özellikleri de bulunmaktadır. Ülkemizde 5651 sayılı yasaya göre log tutulması ve elektronik olarak imzalanması zorunludur. Hatta KVKK kapsamına giren firmaların loglama sistemlerinin bir sonraki seviyesi olan SIEM dediğimiz loglama ve uyarı sistemlerini de entegre etmeleri ve bu uyarıları devamlı gözlemlemeleri gerekmektedir.

Sonuç olarak bu tür siber saldırılara maruz kalmamak için Firewall (Güvenlik Duvarı) çözümleri almanız bile tek başına yeterli olmazken Türkiye’de firewall kullanmayan firmaların başka çözümleri yok ise bu yönde farkındalığının artırılması gerekmektedir. Ayrıca, firmaların çalışanlarını bilinçlendirmek için bilgi güvenliği farkındalık eğitimlerini de önemsemeleri gerekmektedir. Çünkü zincirin en zayıf halkası genelde personelin kullandığı bilgisayar olabiliyor. Bu tür çalışmalardan maliyetten dolayı kaçmak isteyen firmaların, herhangi bir fidye yazılımına maruz kaldıktan sonra daha astronomik rakamlar ödediği aşikardır.

Uzaktan Çalışmaya Hızlı ve Savunmasız Geçiş
Türkiye’de bir yılda 1,692,320 adet kötü amaçlı yazılım saldırısı düzenlendi. Geçen yıla göre %81 oranda artışın gerçekleştiği Türkiye’de, dakikada 3 adet kötü amaçlı yazılım saldırısı yaşandı. Verizon’un 2021 veri ihlalleri araştırması raporuna göre uzaktan çalışan sayısındaki artış nedeniyle oltalama (kimlik avı) saldırılarının %11 civarında arttığı, fidye yazılımı saldırılarının 2020 yılına göre 2021’in ilk 5 ayında %6 arttığı raporlandı.

WatchGuard firmasının yaptığı araştırmaya göre geçtiğimiz yıl boyunca gerçekleşen 1.6 milyon adet kötü amaçlı yazılım saldırısının 460 binden fazlasının Mayıs ayında gerçekleştiğini ve bunun en büyük nedeninin şirketlerin uzaktan çalışmaya tedbirsiz bir şekilde geçtiklerini hackerlerin fark etmesi olduğunu aktardı. Kullanıcıya yapılan bu saldırılar çoğu zaman firmaları/kurumları etkilemektedir. Ülkemizde geçtiğimiz yıl çok önemli markalar siber saldırıya maruz kaldı. Dünya genelinde bu yıl Facebook ve Linkedin gibi sosyal medya mecraları üzerindeki kullanıcı bilgileri ifşa edilse de ülkemizde daha çok e-ticaret sitelerinin maruz kaldığını görmekteyiz. KVK kanunu ile birlikte bu tür saldırıların duyurusunu şirketler kullanıcılarına resmi olarak yapmaktadır. Ne tür bir verinin ihlale uğradığını ve kullanıcıların neler yapması gerektiğini bildirmekle mükelleftirler.

Ülkemizde bu tür durumlar için Kişisel Verileri Koruma Kurumu’nun 2020 yılında verdiği 19 adet cezanın toplamı 6.870.500,00 ₺ dir.

2020 yılında yayınlanan cezalar aşağıdaki şekildedir;

Bir Avukat50.000 TL
Bir Eğitimi Kurumu50.000 TL
Bir Banka50.000 TL
Bir Sigorta Acentesi22.500 TL
Bir Mobil Uygulama10.000 TL
Bir Gayrimenkul Şirketi50.000 TL
Bir Çağrı Merkezi18.000 TL
Bir Uçak Bileti Satış Firması50.000 TL
Bir Banka210.000 TL
Bir Veri Sorumlusuna Ait İnternet Sitesi50.000 TL
Bir Spor Salonu225.000 TL
Online Satış Yapan Bir Veri Sorumlusu1.200.000 TL
Bir İnternet Servis Sağlayıcısı300.000 TL
Muhtelif Faktoring Şirketleri1.400.000 TL
Bir Oyun Şirketi1.100.000 TL
Bir Banka1.000.000 TL
Bir Eczane60.000 TL
Bir Avukat125.000 TL
Otomotiv Sektöründe Faaliyet Gösteren
Bir Veri Sorumlusu
900.000 TL

Suç ve Ceza

Siber suçlar geleneksel suçlara göre daha zor tespit edilebilmektedir. Adli analiz yöntemleri ve tutulan log kayıtları verileri ile siber suçlar tespit edilebilse dahi çoğu zaman adli işlem yapılamamaktadır. Bu durumun sebepleri şu şekilde sıralanabilir;

1. Siber saldırılar neticesinde firma ya da bireylerin bilgileri çalınsa dahi, firma ya da bireyler verilerinin çalındığını duyurmak istememektedir.

2. Siber saldırıların duyurulması şirketleri özellikle borsa gibi farklı ortamlarda zor duruma düşürdüğünden firmalar saldırıları gizlemeye çalışmaktadır.

3. Lokasyon farklılıkları, yapılan siber saldırıların çözümünü zorlaştırmaktadır. Saldırganın çok uzakta olması, farklı yasalara tabi olması ve suçun karşılığında doğrudan şahıs tespit edilememesi, saldırıyı ve yapılan saldırının takibini güçleştirmektedir. Bu nedenle siber saldırıya uğrayanlar saldırıya uğradıklarını zorunlu olmadıkça kolluk kuvvetlerine bildirmek istememektedir.

4. Siber saldırılar konusunda yetişmiş kolluk kuvvetleri personeli sayısının azlığı, saldırıya uğrayanların nasıl olsa bulunamaz düşüncesi ile davranmalarına sebep olmaktadır.

5. Saldırıya uğrayanların büyük bir kısmı, saldırıya uğradığının farkına varamamaktadır.

6. Doğrudan maddi zarar görmeyen kişiler saldırıyı önemsememekte dolayısı ile genel çözüm üretilememektedir.

Yukarıda saydığımız sebeplerden dolayı bu tür siber suçlar genellikle cezasız kalıyor.

Diyelim ki saldırıya maruz kalıp maddi zarara uğradınız, Bilgilerinizi kurtarmak için fidye ödediniz, bir de buna bağlı olarak ceza yediniz. Kurum itibarı, müşteri kaybı, veri kaybı ve iş gücü kaybı gibi birçok kayıp yaşadınız. Bir daha tekrarlanmaması için bir dizi yatırım yaptınız. Aradan bir yıl geçti ve siz hala güvende olduğunuzu düşünüyorsunuz. İşte bu daha büyük bir sorun. Bu tür yatırımları yapan firmalar bunun tek seferlik bir yatırım olduğunu düşünüyorlar. Yıllık lisans, destek v.b ödemeleri yapmadıklarında ise tekrar savunmasız kalabiliyorlar. Aslında bu tür giderlerin elektrik faturası ya da kira giderlerinden bir farkı olmamalıdır.

Saldırılar hiç bitmeyecek. Burada yazdığımız saldırı türleri de gelecekte devam edecektir. Ama gelecekte IoT(Internet of Things), deep learning, machine learning, deepfake gibi kavramların üzerinden de saldırılar gelecektir. İran’daki nükleer santrale yapılan saldırı ya da bir uçağa yapılabilecek bir saldırı türü en klasik örnekleridir. IoT dediğimiz nesnelerin interneti ve bununla ilgili açıkların doğuracağı çok büyük sorunlar bizi bekliyor. Bugün ve gelecekte değişmeyen tek kural ise kullanıcıların mutlaka güvenli ve kompleks şifreler kullanması ve bu şifreleri kimseyle paylaşmaması gerekliliğidir. Atalarımızın bir deyişini günümüze uyarlıyorum. Araç, Silah ve Şifre emanet edilmez.

Sağlıklı ve Güvenli günler diliyorum.

Kaynak