Doğrularla Sosyal Mühendislik

“İnsan bazen soyut imge dünyasındaki bir şeyi kendisini var edebilmek adına gerçek imge dünyasındaki bir şey yerine yerleştirebilir yani bu ikisini değiştirebilir.”

Bir insanın iyinin ne olduğunu algılayabilmesi ya da kullanabilmesi için yanlışın ne olduğunu bilmesi gerekir. Yalan söylememek için neden yalan söylenir ve nasıl yalan söylenir gibi konuları incelemek ve bu davranışlardan ya da psikolojik etkenlerden uzak durarak doğruyu söyleyebilmeyi kolaylaştırabiliriz. Bu nedenle doğru söyleyerek nasıl sosyal mühendislik yapılabilir konusuna bir açıklama getirmek adına öncelikle yalanı incelememiz gerekiyor.

Yukarıda Freud’a ait savunma mekanizmalarından bir çıkarım bulunuyor. Soyut imge bireyin hayal dünyası gerçek imge ise bireyin yaşadığı hayat olarak nitelendirirsek, kişi kendi hayal dünyası içerisinde gerçek imge dünyasında gerçekleşmemiş ya da gerçekleşmesi mümkün olmayan soyut imgeler barındırabilir ki hiçbir insan sahip olduğu bir nesne için tekrar sahiplik adına bir hayal kurmaz. Örnek olarak hastanede çalışan bir hademe yeni tanıştığı bir insana ya da hademe olduğunu bilmeyen aile bireylerine çalıştığı hastanede doktor olarak görev aldığı yalanını söyleyebilir. Bu kişini sanal imgesinde doktor olmak istediği şeklinde yorumlanabilir ve sanal olan doktorluk mesleği gerçek olan hademelik ile yer değiştirmiş olur.

Burada söylenmiş olan doktorluk yalanı elbette ki kişinin savunma sisteminin bir parçasıdır. Fakat bu savunmayı hangi amaçla, neden yaptığı hususunda bir fikir belirtmek zor çünkü kişinin geçmişi, daha önce çalıştığı yerler, ailesi ile olan iletişimi, çevresi ile olan iletişimi ve kişilik psikolojisi bu yalanı söylemekte etkin rol oynamış olabilir. Bunun yanı sıra kişi kendi egosu nedeni ile yani hademelik mesleğini kendine yakıştıramadığı için tamamen içe dönük bir etkiden dolayı(ben, benlik) yine doktorluk yalanını söylemiş olabilir.

O halde yukarıda insanların iki etkiden ötürü yalan söylenebildiğini gördük. Birinci etki çevresel etkiler, ikinci etki ise içsel etkilerdir. Elbette ki bu etkiler kendi aralarında da dallanıp budaklana bilir.  Ama dikkatinizi çekmesi gereken bir nokta var oda etki ne olursa olsun bireyin yalan söyleme ihtiyacı temelde tamamen kendini korumaya yönelik gelişen bir olgu. -Yalanın ilerleyen evrelerinde savunmayı aşıp insanlara zarar verebileceği gerçeğini de biliyoruz.-

Peki, sosyal mühendislik bir saldırı, hırsızlık teşebbüsü ya da eylemidir. Yaygın uygulamasında yalan söylenerek amaç gerçekleştirilir. O zaman yukarıda bahsettiğimiz gibi yalan sadece savunma amaçlı değil direk olarak zarar verme yani saldırı amaçlı da olabiliyor. O zaman biz hata mı yaptık yoksa sosyal mühendislikte kullanılan yalan kimliği gizlemek adına yani yine bireyi(beni) korumaya yönelik bir yalan mıdır? Bu konuyu yazının ileriki döneminde tekrar inceleyeceğiz, burada yazmamın sebebi aklınızın ucunda bir yere not etmenizi istememdir. Tekrar yalan psikolojisini ele alalım.

Yalanın bir paradoks olduğu gerçeğini hepimiz biliyoruzdur.  Yani bir insana yalan söylüyor diyorsanız o insan yalan söylemeyi denemiş fakat söyleyememiştir. Ama karşındaki insanın yalan söylemek istediğini bilmiyorsak söylediğini –yanlış olsa bile bilmediğimizden- doğru kabul ederiz ve baktığınız zaman o insan doğru söyleyen bir insandır. Yalan söyleyen insan yoktur, yalan söyleyemeyen insan vardır.

Yalan psikolojik olarak bilimsel açıdan ikiye ayrılmış durumda. Cezadan kaçmak için ve ödül kazanmak için olmak üzere. Biz yukarıda yalanı savunma mekanizması olarak tanımlamıştık. Bizim yaptığımız savunma mekanizması için olan yalan cezadan kaçmak için söylenen yalana tekabül eder. Birey cezadan kurtulacağı düşüncesiyle yalana sarılır. Merak ediyorum kaç kişi trafik polisi tarafından çevrildiğinde direk olarak itiraz etmeden cezasına razı gelir? Cezadan kaçmak için söylenen yalan saf, yaratılıştan gelen bir olgudur ve sürekliliğin önemi yoktur. Yalanın sonrası düşünülmez ve o an itibari ile sonuç alınır. Ödül için yalan söyleme ise istek ve arzular doğrultusunda gelişen sistematik yalanlardır. Ciddi düşünceler sonrası oluşturulur ve uzun vadede kar getirmesi amaçlanan türdedir. Bu durumda 6. paragrafta bahsettiğim ve sonradan ele alacağımızı söylediğim yalan ödül amacı taşıyan yalan kategorisine giriyor. Sosyal mühendisliği uygulayan kişi, uyguladığı kişiye direk ya da dolaylı yollardan zarar verebilir. Tabi ki kısmen ödül yalanıdır. Neden böyle söyledim, çünkü sosyal mühendislik uygulanırken her iki yalan da uygulanır. Bir savaşçı kılıcını düşmanına savururken diğer eliyle de kalkanını kontrol ederek kendisini korumak zorundadır. Örnek olarak ödül için olan yalanda kişi gerçekte şoförken, sosyal mühendislik uyguladığı kişiye galerici olduğunu söyleyebilir. Ona ucuz araba satacağını ama önce peşinat alması gerektiğini söyleyerek parasını gasp edebilir. Para sosyal mühendislik uygulayan kişinin ödülüdür. Ödül yalanı ise galerici olduğudur. Arabayı satacağı kişi ile sohbet edecek ister istemez tanışacaktır. Tanışma sırasında elbette kendi bilgilerini vereceğini düşünemeyiz. Adı Ali iken Ahmet olduğunu söylemesi ise kendini güvene almak, korumak amacı ile söylenen bir yalandır. Görüldüğü gibi sosyal mühendislik esnasında her iki yalanda kullanılır.

Sonuç olarak sosyal mühendislik esnasında söylenen yalan bizi koruyan bir kalkan ve karşımızdaki insana saldırabileceğimiz bir kılıçtır. Gelelim makalemizin de konusu olan asıl konumuza, kılıç ve kalkan kullanmayan bir savaşçı, savaş meydanında ne kadar süre ayakta kalabilir?

Her insanın gün içerisinde yalan söylediğini varsayarsak –ki nasılsın sorusuna iyiyim diyen birçok insan yalan söylüyordur ya da bozuk paran var mı sorusuna birçok insan yok cevabını vermektedir-  sosyal mühendislik sırasında insanların sütten çıkmış ak kaşık olmasını bekleyemeyiz. Yalan söylemeden sosyal mühendislik yapma konusunu konuşurken insanları olduğu gibi kabul edip basit yalanları görmezden gelmeli, bu yalanları “yalan” olarak algılamamalı ve üzerine kurulacak sistematik yalanlar, sahte isimler ya da kurgular olmadan ne yapılabilir bunu konuşmamız daha doğru olur. Çünkü yalanın başladığı yer bu sahte isimler ya da kurgulardır. Aksi halde günlük hayatında yalanı alışkanlık haline getirmiş insanların soysal mühendislik sırasında sıfır yalanla sosyal mühendislik uygulaması pek ala beklenemez.

Yalanın bir paradoks olduğundan bahsetmiştik. Bu paradoksu ortadan kaldırırsak yalan söylemeden amacımıza ulaşabilir miyiz? Başka bir ifadeyle herkes yalan olduğunu bilse yalan yine yalan mı olur? Arkadaşınız sizi bir yere davet ettiğinde bugün yorgunum ya da başka zaman söz demişsinizdir mutlaka. Her iki tarafta bu söyledikleriniz doğru olmadığını bilir ama bu durumun daha uygun olacağını düşündüğü için yalana kayıtsız kalır. Hemen sosyal mühendislikle alakalı basit bir senaryo hazırlayalım.

Bir teknik servisin müşteri listesi hedefimiz olsun. Serviste çalışan biri ile iletişime geçip ona olayı anlatalım. “ Bu işte ciddi para var altı üstü bir liste vereceksin, kimse senin yaptığını anlamaz, sen yine keyfine bakarsın, senin yaptığını nereden bilecekler, çok fazla para var işin sonucunda” gibi kelimeler ile servisteki kişiyi ikna edip listeyi aldık ve gittik. Ne oldu biz yalan söylemedik ama tüm doğruları da söylemedik, evet işte oldukça çok para var ama dedik ama sana para vereceğiz demedik, onun yaptığını bilemezler teknik servisteki herkes listeye ulaşabilir dedik evet herhangi biri listeye ulaşabilir. En önemlisi onunla iletişime geçtiğimizde doğru üzerinden iletişime geçtiğimiz için gizlilik normal karşılanır ve isim söylememize daha doğrusu yalan isim söylememize gerek kalmadı. Biz sonuçta doğruları ve ona duymak istediklerini söylemiş olduk ve iş bittiğinde bir miktar para verdik. Kurduğumuz cümlelere dikkatli baktığımızda para vermeye de biliriz. En nihayetinde biz böyle bir taahhütte bulunmadık. Kişi kandırıldı ama kendisi tarafından kandırıldı. Kendisini bu işten para alacağına inandırmış oldu.

Kısmen doğrularla ama tamamen yalansız bir şekilde amaca ulaşıldı. Farklı bir durumda eğlenceli bir durumda gayri ciddi bir şekilde kişiye seni soymak istiyorum ya da seni dolandırmak içi buradayım derseniz kişi bunu ciddiye almaz ama siz doğruyu söylemiş olursunuz. Her iki durumda da siz elinizden geldiğince doğru olduğunuz fakat kişilerin ahlak ya da durum değerlendirme sistemleri zayıf olduğundan algıları farklılaştı ve sizin doğru söylediğiniz şaka, söylemediğiniz ise söylenmiş olarak kabul gördü. Şaka olarak algılanması beklenmediğinden, söylenmiş olarak algılanması ise beklentiden kaynaklandı.

Bu yalan söylemeden sosyal mühendislik icra etmenin ilk yoludur. Bir diğer yolu sorulara konuyla alakalı fakat soruyla alakasız cevaplar vermek ya da susmaktır. Anlamlı suskunluklar konuşmalara derinlik katar. Sosyal mühendislik bir ikna sanatıdır. Bir insan susarak karşısındaki insanı nasıl etkileyebilir? Burada ki suskunluk kısmi suskunluktur. Doğru söyleyemiyorsan hiç konuşma mantığı ile hareket edebiliriz. Örnek olarak bir kişinin dikkatini çekmek için fotoğraf çekmeniz gerekiyor ve siz fotoğraf çekmeyi sevmiyorsunuz. Kişi size fotoğraf çekmeyi seviyor musunuz ya da fotoğrafçı mısınız diye sorduğunda o kişiye hayır cevabını verirseniz kişinin ilgisini kaybedersiniz ve buda işinizin bitmesine neden olur. Bu durumda onun ilgisini iki yolla koruyabilirsiniz. İlk yol soru soran kişiye dönüp ukala bir tebessüm fotoğrafçılık hakkındaki engin tecrübe bilginizi kişiye aktaracaktır. Ya da ona konuyla alakası olmayan fakat sorduğu sorunun cevabı yerine geçebilecek bir şeyler söylemeniz gerekecektir. Fotoğrafçı mısınız sorusuna, fotoğraf çekmek bir sanattır şeklinde verilecek bir cevap karşınızdaki kişiyi etkileyeceği gibi sizin fotoğrafla yakın bir şekilde ilgilendiğinizi sanmasına yol açacaktır. Kişi bu cevabı evet fotoğrafçıyım cevabının yerine koyabilecektir. Siz de hem yalan söylememiş olacaksınız hem de işinizi yapmaya devam edebileceksiniz.

İlk olarak sadece bilinmesi gereken doğruları söylediğimiz “kısmen açık” yöntem ikinci olarak ise sadece duyulması gerekenleri söylediğimiz “kısmen kapalı” yalan söylemeden sosyal mühendislik yapma yöntemleridir. Üçüncü yöntem “tamamen açık ifade” yöntemidir.

Tamamen açık ifadede her şey net şekilde ortaya konabilir. Ama bu yöntemde de bazı sırlarımız olmak zorundadır ve oldukça tehlikeli bir yöntemdir çünkü bilgiler doğru bir şekilde birinci ağızdan verilecektir. Örnek olarak sosyal mühendislik uygulamak istediğiniz kişiye birkaç fiziksel tacizde(takip edildiği hissi, telefonla rahatsız etmek ya da mail yollamak gibi) bulunduğunuz zaman kişi psikolojik olarak tedirgin olacaktır. Tedirginliği sırasında sizin bir başkasıyla olan konuşmalarınızı duyabileceği kadar uzaklıkta konuyla ilgili sohbet ettiğinizde yani adamın birini şu şu şekilde rahatsız ediyorlarmış gibi konuşmalar sırasında hedef kişi sizi duyabileceğinden ve bilinçaltı bu meseleyle fazlaca ilgili olduğundan pasif dinleyici konumuna geçecektir ve bir süre sonra tamamen sizi dinlemeye başlayacaktır. İnsanlar aynı frekansta oldukları diğer insanlar ile çok daha kolay iletişim kurabilir. Bu nedenle hedef kişiyle doğrudan iletişim kurup aslında bunların nasıl yapıldığını bildiğini ve saldırganın saldırılarından bilgisayarını koruyabileceğinizi söylediğinizde sizden yardım isteyecektir. Yani hem saldırgan hem kurtarıcı olmanız gerekmektedir. Bu yöntemde de saldırganın bilgilerini ifşa edilmesi sosyal mühendislik uygulanan kişinin durumu anlamasına neden olabilir. Bu nedenle tehlikelidir.

Diğer bir yöntem ise tamamen kapalı ifade yöntemidir. Bu yöntemde aslında kişiye yalan söylemenize pek fırsat kalmıyor çünkü kişi ile birebir irtibata geçmiyorsunuz. Bir ekip vardır ve kişiler birbirlerini tanımazlar. Siz kişilere rollerini vereceğinizden Ekip işi olacağından ve gizlilik üst düzeyde olacağından kimliğinizi korumanız çok daha kolaydır. Ayrıca siz hedefle doğrudan temas kurmayacağınız için yalan söyleyebilme ihtimalinizde yoktur.

Son olarak yalan söylemeden sosyal mühendislik yapabileceğiniz bir durum daha var oda olmak istediğiniz kişi aslında olduğunuz kişi olabilir. Bir teknoloji firmasının bilgi işleminde çalıştığınızı varsayalım. Bilgi işlem kimliğinizi kullanarak ürün geliştiren mühendisin bilgisayarına erişebilme ya da kontrol etme yetkinizi kullanabilirsiniz. Gerçek kimliğinizi kullanacağınız için tehlikeli olacaktır ama tamamen yalansız.

“Yalan, dünyanın yapılabilecek en kolay mesleği, icra edilebilecek en kolay sanatı, keşfedilebilecek en zor şeyleri kolayca keşfedebilmenin en kolay yoludur.” Doğru ise dünyanın en zor sanatı en erdemli davranışıdır. Çünkü doğru tektir yalan çoktur.

İlker GÜVEN

Posted in Sosyal Mühendislik and tagged , , , , , , , , , , , .

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak.

Güvenlik Sorusu *

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>