Etiket: Kevin Mitnick

  • ALDATMA SANATI

    ALDATMA SANATI

    Şimdi sizlerle biraz uzun ancak kesinlikle çok büyük dersler içeren bir hikaye paylaşmak isterim.

    “Ticari Kimlik”

    Özel dedektif Oscar Grace’e karısının kendisini aldatıp aldatmadığını öğrenmek isteyen her zamanki müşteri profilinden farklı birisi ziyaret etmişti bu sefer. Müşteri bir kadındı. Kocası ile arası bozuktu, henüz karar resmiyet kazanmasa da muhtemelen yakın zamanda boşanacaklardı. Bey de bunu bildiğinden var olan yüklü parasını muhtemelen başka bir bankaya kaçırmıştı. Özel dedektif Grace’den istenen şey, paranın hangi bankaya ya da bankalara kaçırıldığı idi. Tarih bilgisayar ağlarının bu kadar yaygın olduğu bir tarih olmadığından, avukatınızın becerisine kalmıştı bu iş ama avukatınızın her bir bankayı tek tek arayarak bunu öğrenmeye çalışması da hem pek yasal hem de olanaklı değildi açıkçası.

    O günlerde Amerikan Bankaları kendilerine yeni bir müşteri geldiği zaman onun sicilini öğrenmek için CreditChex şirketinin sunduğu hizmetleri kullanıyorlardı. CreditChex bir veritabanı idi. Hesap açtırmak ya da kredi çekmek isteyen bir müşteri bankaya uğradığında, memur CreditChex’i arayarak kişiyi sorgulatıyor ve sicilinin temizliği hakkında bilgiler alıyordu.

    Grace’in ilk işi müşterisinin boşaltıldığını iddia ettiği hesabın bulunduğu banka şubesini aramak oldu.

    1. adım: Terminolojiyi öğren (Not: Aşağıdaki diyalog İngilizce aslından kurgulanmış ve özetlenmiştir).

     

    Grace    : Merhaba.
    Kim        : Merhaba ben Kim, nasıl yardımcı olabilirim?
    G            : Şey… CreditChex’i aradığınızda kendinizi neyle tanıttığınızı merak etmiştim.
    K             : Nasıl yani?
    G            : Hani sizin aradığınızı nasıl ve nereden biliyorlar?
    K             : Bu bilgiyi sizinle paylaşamam.
    G            : Yanlış anladınız hanım efendi. Ben bir kitap yazıyorum ve terminolojinin doğru olmasını istiyorum. Öğrenmek istediğim şey oraya vermiş olduğunuz isim ya da numara değil. Yani bu tam olarak ne diye anılıyor? “Kimlik Numarası”, “Müşteri Bilmemnesi” gibi. Sorduğum şey sadece bu şeyin tam olarak nasıl anıldığı.
    K             : Haaa… Anladım. Desenize… Kusura bakmayın. Bir an için bizim ticari kimliğimizi soruyorsunuz sandım. Öğrenmek istediğiniz şeyin adı “Ticari Kimlik”. Her bankanın CreditChex tarafından tahsis edilen bir ticari kimliği vardır.
    G            : Çok teşekkürler Kim! Kitabım sayende daha güzel ve doğru olacak.
    K             : Ne demek , rica ederim. İyi çalışmalar.

    2. adım: Şubenin numarasını ve prosedürlerini öğren.

     

    Grace    : Merhaba. Ben CreditChex’ten Alex. Hizmet kalitemizi arttırmak için küçük bir anket uygulamaktayız. Beş dakikanız var mı?
    Chris      : Tabi, buyrun.
    Grace    : Mesai saatleriniz nedir? (Chris yanıt verir.)
    Şubenizde kaç kişi çalışıyor?
    (Burada gerçek amacı gizleyen bir dizi soru soruyor…)
    Hizmetlerimizden faydalanmak için hangi telefon numaralarımızı kullanıyorsunuz?
    Ticari Kimliğiniz nedir?
                    (Burada yine bir takım sorular soruluyor. Sırf şüphe dağıtmak için…)

                     Zaman zaman sizi tekrar arayarak çeşitli anketler uygulamamızı ister miydiniz?

     

    3. adım: CreditChex’i ara ve bilgiyi al!

    Grace, bir öncek kurbanından öğrendiği numarayı çevirir.

    Grace    : Merhaba.

    Henry    : Merhaba ben CreditChex’ten Henry McKinsey, nasıl yardımcı olabilirim?

    G            : Selam Henry. Yeni bir müşterim var da, sorgulamak istiyorum.

    H             : Tabi. Ticari kimliğiniz?

    G            : [Burada Ticari Kimlik No’sunu söylüyor. Müşterisinin kocasına ait olan gerekli bilgileri veriyor.]

    H             : Sadece bir adet gecikmiş kredi borcu var ama hemen kapatmış. $2600 tutarında bir şey zaten.

    G            : Hımm… Peki şu sıralar başka bankalardan da sorgulayan oldu mu?

    H             : Bakalım… Hım… Üç defa. İkisi geçen ay. [Burada sorgulayan bankaların ve şubelerin adını veriyor.]

    G            : Sağol Henry.

    Böylece geçen ay açılan iki yeni hesabın nerede olduğu belli oldu!

    Yine insan faktörü

    Yukarıdaki hikayeyi Kevin Mitnick’in yazmış olduğu “Aldatma Sanatı” kitabından aldım.

    1963 doğumlu Kevin David Mitnick, ilk bilgisayar korsanlarından. Bir ara FBI’ın en çok arananlar listesine girebilecek kadar da tehlikeli(!). Fujitsu, Motorola, Nokia, Sun Microsystems gibi dev firmaların sistemlerine girerek bilgi aşırmak gibi kayıtları da var. 1995’te yakalanarak beş yıl hapse mahkum olmuş, 2003’e kadar da bilgisayara yaklaşma yasağı getirilmiştir. İşletmelere yönelik “Aldatma Sanatı” (The Art of Deception) adlı kitabı yazarak tecrübelerini aktaran Mitnick, bugünlerde tehlikeli bir korsan değil ve Dünya çapında siber güvenlik hususlarında konferanslar veriyor.

    Mitnick’in en temel argümanı şu: Şirketler güvenlik dendiğinde sadece yazılım ve donanım olarak düşünüyor ve güvenlik için bu sistemlere çok büyük paralar yatırıyorlar. Oysa en önemli taraf gözden kaçıyor: “İnsan Faktörü”.

    Havacılıkta da aşina olduğumuz ve pek çok kazanın sebebi olarak ortaya çıkan insan faktörünün tam olarak Mitnick’in söylediği anlamda da önemi büyük. Yukarıda kendisinin kitabından aktardığım örnekte de gördüğünüz gibi, bir “sosyal mühendis” doğru sıralama ve jargonu kullanarak insan faktörlerinden mümkün olduğunca faydalanabilir ve bu sayede pek çok bilgiye ulaşabilir.

    “Peki havacılık ile ilgisi nedir?” diye sorabilirsiniz.

    Başta iş jeti operasyonları olmak üzere hava operasyonları bir takım kritik malzemenin transferi ya da yüksek öneme haiz kişilerin (devlet görevlileri, şirket yöneticileri, ticari ya da politik değeri olan kimsler) taşınmasını gerektirebilir. Bu yüzden aslında uçakta taşınan yolcu listesi ve kargo listesinin bazı kötü niyetli kişilerce önemi bulunabilir. Hatta aslında hangi bilginin kimin ne işine yarayacağını da kestirmek zor. Yukarıda örnek olarak verdiğim hikayede, “Ticari Kimlik” jargonunu bir başkasının öğrenmesinde herhangi bir sakınca olduğunu düşünmeyen banka çalışanının zincirleme olarak neye imkan verdiğini görüyoruz. Sadece ufacık bir terimi öğrenmek, sıradaki adımda bazı telefon numaraları ve kimlik bilgisini elde etmek ve en sonunda da amaca ulaşmak gibi sonuçları beraberinde getirebilir.

    Havacılık bir operasyonun her kademesinde pek çok insanın görev aldığı büyük bir organizasyon işi. Yüksek öneme haiz bilgilerin operasyon sırasında üçüncü kişilerin eline geçmesine engellemeye yönelik prosedürler pek az şirket tarafından uygulanıyor. Bu hususta yeterli bir kontrol olduğunu da sanmıyorum. Küçük bilgi sızıntılarının emniyet ve güvenlik riskleri doğurabileceği de muhtemel.

    Bu noktada çalışan ve yöneticilere sesleniyorum: Yukarıdaki hikayeden gerekli dersleri çıkarmanızı temenni eder ve Mitnick’in kitabını herkese tavsiye ederim.

    İyi haftalar.

    Not: Kitap ODTÜ Geliştirme Vakfı Yayınları tarafından “Aldatma Sanatı” ismiyle yayınlanmıştır.

  • RUS OLTACILARA DİKKAT

    Bir havayolu işletmesi müthiş bir organizasyondur. Müthiş bir şirket olmak zorunda değildir, ya da müthiş bir kâra sahip olmak zorunda da değildir, ancak müthiş bir organizasyona sahip olmak zorundadır. Bir uçuşun hem emniyetli, hem de zamanında gerçekleşmesi için bu süreçlerin hızlı ve doğru işlemesi gerekmektedir. Zira öyle olmasa sadece 2000’li yıllar boyunca defalarca havayolu iflasları ile karşılaşmazdık. Yakın tarih, havayolu işletmesi kurmak için iki uçak almanın yeterli olmadığını gösterdi.

    Ancak… Bir havayolu işletmesi işin doğası gereği pek çok ülkeden pek çok ticari tarafla muhataptır. Uçuş fiilinin gerçekleştirilmesindeki karmaşıklığın yanı sıra, eminim muhasebe tarafında da büyük bir organizasyon mevcuttur ve dönen evrakın, vesaikin ve ödeme yapılan kalemin haddi hesabı yoktur. Dolayısıyla aynı profesyonel örgütlenmeye muhasebede de rastlamak zorunda olduğumuzu kabul edebiliriz. İster istemez bu kadar farklı ülkeye yapılan bu kadar seferin yarattığı ödemeleri takip etmek güçlük yaratıyordur.

    Peki sizce kötü niyetli insanların bu güçlükten faydalanması mümkün müdür?

    Geçtiğimiz hafta FAA, havayolu işletmeleri için değil ama havaalanı işletmecileri için bir uyarıda bulundu. Uyarı, Rusya’da bulunduğu tahmin edilen bir dolandırıcının bir havaalanı işletmecisini neredeyse dolandırması üzerine gerçekleştirildi.

    İşletmede çalışan personel FAA’den gelmiş gibi görünen ve işletmenin banka hesap bilgilerini isteyen bir yazıya kanarak cevaben bu bilgileri vermiş. Ancak kısa bir süre sonra ABD’nin sisteminin imkân verdiği ölçüde, işletmenin bankasına St. Petersburg, Rusya’da bulunan bir bankaya yapılmak üzere bir para transferi isteğinde bulunulmuş. Boş bulunmayan çalışan kendisine gelen yazı ve transfer isteğini birbiri ile ilişkilendirerek durumu fark etmiş ve ödeme yapılmasını engellemiş.

    Bu tip siber dolandırıcılığa bilgisayar dünyasında “fishing” yani “oltalama” deniyor.

    Muhtemelen ilgili e-posta tıpkı göle ya da denize atılan bir olta gibi yüzlerce, binlerce işletmeye gönderilmiş olabilir. “Elbette bu binlerce işletme arasından oltaya gelen bir iki tanesi olacaktır” mantığı ile kurulan ve bu yüzden adı “oltalama” olan tezgâh gerçekten de düşük bir olasılıkla da olsa başarılı olabiliyor.

    Dünya’nın en ünlü bilgisayar korsanlarından Kevin Mitnick, hiçbir bilgisayar donanımına ya da bilgisine sahip olmadan nasıl korsanlık yapılabileceği üzerine bir kitap yazdı. “Sosyal Mühendislik” olarak tanımlanan bu durum, çalışanların kafa karışıklığı, iş tatminsizliği, iş yoğunluğu gibi olguları kullanarak bir dolandırıcılığın ya da korsanlığın nasıl gerçekleştirilebildiğini anlatıyor.

    Daha önce korsanlıktan tutuklanan, bilgisayardan uzak durma cezası verilen, hapisten çıktıktan sonra şirketlere güvenlik eğitimi ve danışmanlığı vermeye başlayan Mitnick, “Aldatma Sanatı” adını verdiği kitabında kendisinin yaptığı dolandırıcılıklardan da örnekler vererek insanların nasıl kolaylıkla aldanabileceğini ortaya koyuyor.

    Rusya henüz batı ile tam bir entegrasyon sağlamadığından oradaki bir dolandırıcılığı Avrupa merkezli kurumlar yardımıyla takip etmek ve paranın izini sürmek zor. Belki de bu yüzden Ruslar gerek uluslar arası bilgisayar korsanlığı gerekse de uluslar arası dolandırıcılıkta başı çekebiliyor.

    FAA’in uyarısıyla birlikte havacılık sektörünün de oltalamadan zarar görebileceğini düşündüğümden, Mitnick’in anılarını dikkate alarak, ben de havacılık işletmelerinde ödemelere bakan çalışan ve yöneticilere naçizane aşağıdaki uyarılarda bulunmak istiyorum:

    –          Sıklıkla ödeme yaptığınız kurumlardan e-posta olarak gelen “Banka Hesap No Değişikliği” bilgilerini mutlaka telefonla da teyit edin.

    –          PDF olarak gönderilen faturalar üzerindeki hesap numaralarını daha önceki ödemelerle karşılaştırın.

    –          Faturalardaki yazım hatalarını ve ingilizce yanlışlarını dikkate alın. Özellikle havacılığa ait terimlerde, kısaltmalarda ya da IATA/ICAO’ya ait meydan kodlamalarındaki hatalar onların ehil olmayan ellerce hazırlanmış sahte evrak olduğuna delalet edebilir.

    –          Kredi kartı ile yapacağınız ödemelerde sizi bir şirket yetkilisiymiş gibi arayarak ödeme için kredi kartı numaranızı öğrenmek isteyenlerden sakının. Teyit almadan mail-order ödemesi gerçekleştirmeyin.

    –          Geçtiğimiz günlerde bir yakınımın başın geldi: Kredi kartı bilgilerinizi güncellemek istediklerini söyleyen kişiler numaranızı isterken güveninizi kazanmak için kredi kartlarının başındaki 6 haneyi söylüyorlar. Buna kanmayın, çünkü Türkiye’deki VISA ve Master Card’ların ilk altı hanesi kart markası ve banka bilgisini içerir. Hangi bankaya ait kredi kartı kullandığınızı bilen ya da destekli bir şekilde sallayan/tahmin eden birisi size bu 6 haneyi kolaylıkla söyleyebilir.

    İyi haftalar.

    (Airporthaber’de yayınlanmıştır / Resim Kaynağ: Howstuffworks.com)