Oltaya takılan e-posta görseli, sosyal mühendislik

Bir tanıdığım, geçen yıl yöneticisinden gelen bir e-postaya cevaben şirketinin parasını kaybetti. E-posta gerçekten yöneticisinden gelmiyordu elbette; ancak adresin son harfi neredeyse aynıydı, yazım üslubu birebirdi, hatta yöneticisinin o sabah toplantıda olduğunu bilen biri tarafından tam doğru saatte gönderilmişti. Mesajda "acil bir tedarikçi ödemesi" isteniyordu. Tanıdığımın görevi yapmaktı; yaptı. İki saat sonra fark ettiğinde para çoktan üç farklı hesap üzerinden uçup gitmişti.

Olay polise ve siber güvenlik ekiplerine taşındı. Ortaya çıkan tablo öğretici: saldırganlar şirketin web sitesinden, LinkedIn profillerinden, hatta açık iş ilanlarından topladıkları bilgilerle haftalarca hazırlanmıştı. Saldırı bir kod parçası değil, bir senaryoydu. Ve bu senaryoyu yazan, oyuncu seçen, replikleri kaleme alan bir ekip vardı.

Bilgisayar ekranında şüpheli e-posta uyarısı
iyi hazırlanmış bir oltaya, eğitimli bir göz bile takılabilir

Yapay zekâ oltayı parlattı

Eskiden oltalama e-postalarını tanımak görece kolaydı: bozuk Türkçe, garip imla, abartılı vaatler. Bugün öyle değil. Üretken yapay zekâ modelleri, herhangi bir dilde kusursuz cümleler kurabiliyor; üstelik kurbanın sektörüne, pozisyonuna, hatta yazım üslubuna uygun şekilde. Saldırganın artık dil bilmesine bile gerek yok.

Sesli sahtekârlık daha da ürkütücü. Bir yöneticinin sosyal medyada paylaştığı üç dakikalık videodan elde edilen ses örneği, ona ait olmayan cümleleri onun ağzından söyletmeye yetiyor. "Oğlum, başım dertte, hemen şu hesaba para gönder" diyen bir telefon sesinin kimden geldiğini, bugünün teknolojisiyle anlamak neredeyse imkânsız. Bu yüzden bazı aileler aralarında bir parola belirlemeye başladı; bir tür dijital dünyada ailenin gizli el sıkışması.

Bir e-posta size acele ettiriyorsa, bir an durun. Aciliyet duygusu, sosyal mühendisliğin en güçlü silahı.
Şirket toplantısı, dijital güvenlik kültürü
en güçlü güvenlik duvarı sorgulayan bir insandır

Şüphe etmek bir erdem

Eğitimlerimde sıkça söylediğim bir cümle var: bir e-posta size acele ettiriyorsa, bir an durun. Aciliyet duygusu, sosyal mühendisliğin en güçlü silahı. Beynimiz koşturulurken doğru karar veremiyor, kontrol mekanizmalarını atlıyoruz. Saldırgan bunu biliyor; bu yüzden mesajları hep "bugün, şimdi, hemen" diliyle yazılıyor.

Çözüm teknolojiden çok kültürde. Şirketler en pahalı güvenlik duvarını kursa bile, çalışanın bir tıklamasıyla her şey çökebilir. Bu nedenle artık güvenlik eğitimleri yılda bir saatlik can sıkıcı videolar olmaktan çıkıp, hayatın bir parçası hâline gelmeli. Tıpkı yangın tatbikatı gibi düzenli, beklenmedik, gerçeğe yakın.

İnsan, sistemin en zayıf halkası diye anılır hep. Oysa ben tersini düşünüyorum. İyi eğitilmiş, sorgulayan, "bir dakika, bunu bir doğrulayayım" diyebilen bir insan; en güçlü güvenlik duvarıdır. Geriye sadece o duvarı inşa etmek kalıyor.

🛡 Bugün ne yapabilirsiniz
  • Şüpheli bir mesaj geldiğinde önce nefes alın; aciliyet duygusu çoğu zaman bir kapan göstergesidir.
  • Bilinmeyen bir gönderenden gelen bağlantılara asla doğrudan tıklamayın; ilgili siteyi tarayıcıdan kendiniz açın.
  • Aile içinde bir "sözlü parola" belirleyin; sesli aramada şüphe duyarsanız sorun.
  • Şirketinizde para transferi gibi kritik işlemler için çift onay mekanizması kurun.
  • Kuşkulu e-postaları silmeden önce BT ekibinize iletin; başkalarını da koruyabilirsiniz.

> Mahmut Vural — siber güvenlik & teknoloji üzerine yazıyor.
> görüşler yazara aittir.