Siber Suç Hikayeleri

Siber suçlar insanları nasıl etkiler?

Gerçek hayattan alınmış olan bu örneğe göz atalım. Siber suç kurbanı olmaktan sakınmak için çevrim içi korunma hakkında temel bilgileri edinelim.

Sandra’nın Hikayesi

Sandra Miami, Florida’da yasayan bir insan kaynakları uzmanı. İşinde 10 yılı aşkın süredir bilgisayar kullanıyor. Is yerindeki bilgisayarının bakimi, şirketinin BT departmanı tarafından yapılıyor ve is yerindeki bilgisayarıyla hiçbir zaman güvenlik sorunları yaşamadı.

Sandra, bilgisayarlarla arasının iyi olduğunu düşünüyor ve aşağıdaki nedenlerden dolayı çevrimiçi dolandırıcılık konusunda fazla riskte olmadığına inanıyor:

Kredi kartı bilgilerini ifşa etme riskine girmek istemediğinden asla çevrimiçi alışveriş yapmıyor ve alışveriş işlemleri ile ilgili verilerin kaydedilip, ilgilendiği ve ilgilenmediği alanlar ile ilgili bir profil oluşturmak için kullanılması fikri hoşuna gitmiyor.
Ev bilgisayarını sadece arkadaşları ve ailesiyle kişisel e-posta alışverişi, alanındaki yeni gelişmeler hakkında bilgi edinmek üzere Web’de gezinmek ve ayda bir kez bankasının web sitesi üzerinden banka işlemlerini gerçekleştirmek için kullanıyor.
Arada sırada Web’de başka şeyleri de araştırıyor, ancak bunu sık yapmıyor.
Sandra’nın durumu yeterince güvenli gibi görünüyor, öyle değil mi?

Ancak, görünüşe aldanmamak gerekir. Geçen yaz is yerinde, kullandığı Internet tarayıcısına özel yeni bir güvenlik açığı hakkında bir şeyler duydu. Durum o kadar ciddiydi ki, BT departmanı ayni gün şirketteki tüm bilgisayarlara acil durum yamaları dağıttı. Sandra ev bilgisayarının da korunduğundan emin olmak için eve gittiğinde güvenlik açığı hakkında daha fazla bilgi edinmek ve korunup korunmadığını öğrenmek için İnternet’e girdi.

Popüler bir arama motoru kullanarak, güvenlik açığı hakkında bilgi sunmanın yanı sıra güvenlik açığına karşı bilgisayara otomatik olarak indirilen bir yama seçeneğin de olduğu bir web sitesi buldu. Sandra bilgileri okudu, ancak sadece yetkili kaynaklardan bilgi indirmesi gerektiğini bildiğinden indirmeyi kabul etmedi. Ardından yamayı almak için resmi Internet tarayıcısına gitti.

Peki, ters giden neydi?

Ne yazık ki Sandra, ilk sitede güvenlik açığı hakkındaki bilgileri okurken, web sitesinin kurucusu olan suçlu, Sandra’nin bilgisayarında bu güvenlik açığının bulunmasından yararlandı. Sandra (ona sunulan indirmeyi reddetmek için) "hayır" seçeneğini tıklattığında, o farkında olmadan bilgisayarına otomatik olarak küçük, ancak güçlü bir yasa dışı program yüklenmeye başladı.

Program bir klavye vurusu kaydedici siydi. Ayni anda web sitesi sahibi, klavye vurusu kaydedicisinin Sandra’nin bilgisayarına gizlice ve basarîli bir şekilde yüklendiğine dair bir bildirim aldı. Program, o andan itibaren Sandra’nin yazdığı her şeyi yetkisiz bir şekilde kaydedecek ve tüm bilgileri web sitesi sahibine gönderecek şekilde tasarlanmıştı. Sorunsuz bir şekilde çalışıp Sandra’nin girdiği tüm bilgileri kaydetti. Ziyaret ettiği her web sitesi ve gönderdiği her e-posta siber suçluya gönderildi.

Sandra ayni günün aksamı aylık çevrimiçi bankacılık işlemlerini yaptı. Kişisel banka hesabında oturum açtığında klavye vurusu kaydedicisi, gizli bilgiler de dâhil olmak üzere bu klavye vuruşlarını da kaydetti: bankasının adi, kullanıcı kimliği, parolası, Sosyal Güvenlik numarasının son dört hanesi ve annesinin kızlık soyadı. Bankanın sistemi güvenli olduğundan ve girdiği tüm veriler şifrelendiğinden, bu bilgiler kimseyi şüphelendirmemişti. Ancak bilgiler, Sandra onları girerken, bilgiler şifrelenme den önce klavye vurusu kaydedicisi tarafından kaydedildi. Bu nedenle klavye vurusu kaydedicisi, sorunsuz bir şekilde çalışan güvenliği aşabildi.

Banka adinin, kullanıcı kimliğinin, parolasının ve annesinin kızlık soyadının siber suçlunun eline geçmesi an meselesiydi. Siber suçlu Sandra’nin adini ve bilgilerini, hiçbir şeyin farkında olmayan kullanıcılardan oluşan uzun bir listeye ekledi. Ardından listeyi İnternet’te tanıştığı birisine sattı; paraları yasa dışı bir şekilde çekmek için çalınmış banka bilgilerini kullanma konusunda uzman olan birisine. Sandra birkaç hafta sonra bir mevduat yatırmaya gidip ekstresini istedi ve banka hesabının neredeyse boş olduğunu görünce sok oldu. Sandra, siber suç kurbanı olmuştu.

kaynak: Siber Suç ve Online Güvenlik Kaynakları | Norton Türkiye

Koby’nin Hikâyesi

Bazı kimlik avı yöntemleri oldukça gelişmiş olabilir. Ortaokul öğretmeni olan Koby kısa süre önce böyle bir entrikanın kurbanı oldu. Koby, araçlarından birisini satmak için çevrimiçi bir açık artırma sitesi kullanıyordu ve birkaç gün içerisinde uygun bir alıcı buldu. Alıcı araç için ödeme yaptı, Koby de ilanı siteden kaldırdı.

Hesabında oturum açıp da satılık bir ürününün olduğu bilgisini gördüğünde biraz şaşırdı. Sayfaya baktı ve kısa süre önce sattığı aracın satılık olarak durduğunu gördü. Ardından büyük bir yanlışlık olduğunu fark etti. İletişim bilgilerindeki e-posta adresi kendisine ait değildi. Kendi e-posta adresine o kadar çok benziyordu ki başka kişiler bunu ne fark ederdi ne de şüphelenirdi, ancak Koby fark etti ve bir sorun olduğunu anladı.

"Satıcıya" bir e-posta gönderdi ve aracı satın almayı teklif etti. Chicago’da bulunan satıcıya parayı göndermek üzere hazırlıkları da yaptı. Koby, bilgileri FBI’ ya verdi; onlar da dolandırıcıların izini sürdü. Dolandırıcılar Koby’nin hesabına nasıl erişti? Hesabinin güvenliğinin tehlikede olduğunu belirten bir kimlik avı e-postasında, çevrimiçi açık artırma sitesindeki hesabına gitmek üzere bir URL’i tıklatması istenmişti. Koby bağlantıyı tıklattığında, gerçek oturum açma sayfası ile aynı görünen bir sayfaya yönlendirildi ve hesap bilgilerini girdi. Suçlular bu bilgileri kullanarak gerçek hesabında oturum açtı ve irtibat telefonu numarasını değiştirdi...

Steve'in Hikayesi

Steve Kansas City, Missouri'nin banliyölerinde yaşamakta olan emekli bir memur. Steve bir antivirus yazılımına ve güvenlik duvarına sahipti ve bunları güncel tutuyordu. Beklemediği bir e-postanın ekini tıklatmaması gerektiğini ve bu önlemin hem arkadaşlarından hem de tanımadığı kişilerden gelen e-postalar için geçerli olduğunu biliyordu.

Geçen Eylül ayında Steve, bankasından gelmiş gibi görünen ve kişisel bilgilerini güncellemek üzere banka hesabında ve yatırım hesabında oturum açmasını isteyen bir e-posta aldı. E-postadaki URL'yi tıklattı ve doğrudan bankasının web sitesine gitti ya da en azından öyle görünüyordu. Gerçekte ise e-postadaki bu URL, Steve'i benzer bir web sitesine götürdü. Site, kendi bankasının web sitesi ile aynı görünüyordu ve bu nedenle ondan hesap numarası, kullanıcı adı ve parola istendiğinde bu bilgileri otomatik olarak girmeye başladı. Sonra iki ay önce yerel Rotary Kulübü'nde bir konuşmada duyduğu bir şey aklına geldi.

Konuşmacı kimlik avı saldırılarını ve özellikle de orijinaline benzeyen web sitelerini ele almıştı. Steve'in hatırladığına göre de bu kimlik avı saldırılarını fark etmenin yolu, bankanın, müşterilerine hiçbir zaman onlardan hesaplarında oturum açmak üzere tıklatılacak bir bağlantı göndermeyeceğiydi. Konuşmacı "Böyle bir e-posta alırsanız, onu çöpe atın" demişti. Steve de öyle yaptı.

Steve çok kısa süre önce duyduğu kimlik avı saldırısının hedefi olmuştu. Ama bankaların kişisel bilgiler isteyen bir Web bağlantısını hiçbir zaman e-postayla göndermeyeceğini tam zamanında hatırlamıştı. Eğer ondan talep edilen bilgileri girseydi siber suçlular bankadaki yatırım hesabında işlem yapmak için gereken her şeye sahip olacaktı.

Michelle'in Hikayesi

Kansas'ta estetisyenlik yapan Michelle, ilk bilgisayarını üç yıl önce satın aldı, eski üniversite arkadaşlarından e-posta almak hosuna gidiyordu. Hiçbir zaman satın almasa da çevrimiçi olarak en son çikan güzellik ürünlerine bakmayı da seviyordu. Michelle iki oğluna bakan bekar bir anne ve bu nedenle de bilgisayarın temel kullanım amacı, ogullarinin okul projeleri için bilgi toplamalariydi.

Ancak Michelle son bir yılda bilgisayarının çok daha yavaş çalistigini fark etti. Hatta, onunla röportaj yaptığımız sırada kendisi ve iki oğlu, artık kullanılamayacak kadar yavas olduğundan bilgisayarı hiç kullanmiyorlardi.

Michelle Noel'de, birlikte çalistigi birkaç kişi için bir şeyler satın almak istedi. Özellikle de isteki kizlardan birisi için birkaç canlı uğur böceği bulmak istiyordu. Evde kullanılacak bilgisayarı olmadığından, uğur böceklerini bulmak ve satın almak için büyükannesinin bilgisayarını ödünç aldı. Kısa bir süre sonra büyükannesinin bilgisayarının da çok yavaş çalıştığını fark etti ve bilgisayarların ona göre olmadığına karar verdi.

Ancak Michelle'in yeni erkek arkadaşı bir bilgisayar bilimi öğrencisiydi. Michelle ona yavaşlayan bilgisayarlardan bahsettiginde sorunun ne olduğunu hemen tahmin etti: casus yazılım. Michelle'in erkek arkadaşı bir casus yazılım tespit etme programı indirdi ve tahminleri doğrulandi. Karmaşayi çözmek birkaç gününü aldı, ancak sonunda casus yazılımı sildi ve bilgisayarlar normale döndü. Michelle ve büyükannesi için antivirüs ve güvenlik yazılımı yükledi ve kısa bir süre sonra ikisi de yeniden İnternet'te gezinmeye başladı. Ancak hikaye burada bitmiyor.

Michelle, büyükannesinin bilgisayarını kullanırken 500 ABD doları değerinde ödül kazandığını belirten bir açilan reklam göründü. Yerel bir alışveriş merkezinden 500 ABD dolari değerindeki hediye çekini alabilmesi için tek yapması gereken birkaç soruyu cevaplamakti. Michelle soruları ve cevapları ve ardından hediye çekini alabilmesi için iki küçük ürün alması gerektiği belirtildi. Hediye menüsünden en ucuz iki ürünü sipariş etti, talep edildiği gibi kredi kartı bilgilerini girdi ve 500 ABD dolari degerindeki hediye çekini alabilmek için diğer bilgileri girmeye çalıştı.

Ancak web sitesi bilgilerini kabul etmedi. Michelle birkaç denemeden sonra vazgeçti ve ona bu sorunu çözmede yardımcı olacaklarını umarak site sahiplerine bir e-posta göndermeye karar verdi. Onlara iki kere yazdı, ancak hiç cevap alamadı. Satın almayı kabul ettiği iki küçük ürünün ücreti kredi kartıindan tahsil edildi, ancak 500 ABD solari değerindeki hediye çekini hiçbir zaman alamadı. Siber suçlular bir zafer daha kazandı.

neymiş indirme yeri geldiğinde hayır'i degil en sagdaki kucuk kutucuga basıyoruz