Bir gün telefonuna “Faturanızı ödemediğiniz için hattınız kapanacaktır. Hemen buradan ödeme yapın” diye bir SMS geliyor.
Mesaj bildiğin GSM operatöründen geliyor gibi görünüyor, numara tanıdık, içerik kurumsal…
Tıklıyorsun, karşına tanıdık bir ödeme ekranı çıkıyor. Kart bilgilerini giriyorsun ve… geçmiş olsun.
İşte tam olarak bu senaryonun gerçek hayattaki bir versiyonu, geçtiğimiz günlerde Milli İstihbarat Teşkilatı (MİT) tarafından çökertildi. Hem de film gibi bir operasyonla.
İstanbul merkezli bu operasyonun perde arkasında, sahte baz istasyonları kurarak vatandaşların kişisel ve finansal verilerini toplayan, yabancı uyruklu bir siber casusluk şebekesi vardı.
Sayıları yedi. Hepsi yabancı. Cihazlar Çin menşeli. Veriler Çin'e gidiyor. Hedef Türkiye’deki binlerce kullanıcı.
Nasıl mı yapmışlar?
Öncelikle, sahte baz istasyonları kurmuşlar. IMSI catcher deniyor bu cihazlara.
Basitçe anlatayım: Bu cihazlar, cep telefonlarını kandırarak “gerçek” baz istasyonu gibi davranıyor. Yani senin telefonun, “en iyi sinyali bu veriyor” diyerek bu sahte cihaza bağlanıyor. Bu noktada da araya giriyorlar. Seni kurumsal GSM operatörü gibi kandırıp sahte mesajlar gönderiyorlar. Gelen mesaj gerçek gibi. Arayüz gerçek gibi. Ama hepsi fake.
MİT’in devreye girmesi, vatandaşlardan gelen şikâyetlerle olmuş. İnsanlar sahte mesajlardan bıkmışlar. Bir kısmı dolandırılmış bile. MİT, İstanbul Cumhuriyet Başsavcılığı ve Emniyet ile işbirliği yaparak teknik takibe başlamış.
Sonuç: “Patron” kod adlı birinin liderliğinde üç ayrı hücre gibi çalışan toplam yedi kişi İstanbul’da suçüstü yakalanmış. Üstelik kiralık araçlar içindeyken!
Film gibi dedim ya, aynen öyle.
Şebeke sadece İstanbul’da da değilmiş. İzmir, Bursa ve Yalova gibi farklı şehirlerde de operasyonlarını sürdürmüşler.
Çin’den getirdikleri cihazlarla (ki bu cihazların gümrükten nasıl geçtiği hâlâ soruşturuluyor) sahte istasyonları kurmuşlar, sonra da insanların verilerini Çin’e göndermişler. Üstüne bir de bu verileri phishing yani oltalama saldırılarında kullanmışlar.
Kısacası seni kandırmakla kalmamışlar, kredi kartı bilgilerinle alışveriş de yapmışlar.
Burada bir duralım. Bu olayın gerçekleşmesindeki kritik boşluklardan biri, BTK’nın (Bilgi Teknolojileri ve İletişim Kurumu) 2G teknolojisinin kullanım süresini 2029’a kadar uzatmış olması. Evet, o eski teknoloji hâlâ aktif. Düşük kapsama alanlarında işe yarıyor olabilir ama siber güvenlik açısından zayıf bir halka.
İşte IMSI catcher’lar tam da bu zayıf halkayı kullanıyorlar. 3G ile bu güvenlik zaafları büyük ölçüde çözülmüştü ama ne yazık ki biz hâlâ açık kapı bırakıyoruz.
Bu olaydan çıkarılacak çok ders var. Öncelikle, “Bana böyle şeyler olmaz” kafasıyla değil, “Her an olabilir” refleksiyle davranmak gerekiyor.
Gelen her mesajı sorgula. Tıklamadan önce iki kere düşün. Özellikle “ödeme” isteyen SMS’lere dikkat. Gerçek kurumlardan gelen mesajlar bile seni bir web sitesine yönlendiriyorsa, o bağlantının güvenliğinden emin ol.
Ve bir soru: Telefonun çekiyor mu? Peki ya verilerin?
Artık sadece sinyal değil, kimden geldiği de önemli.
Bazen “yeni teknolojiler harika ama aynı zamanda tehlikeli” lafı çok klişe geliyor. Bu olayla beraber ne kadar gerçek olduğunu bir kez daha görmüş olduk.
Hepimiz elimizde mini bir bilgisayar taşıyoruz. O bilgisayar, seni dünyaya bağlıyor. Birileri de o bağı koparıp seni avlamak istiyor. Aman dikkat!..
Verilerine iyi bak.
