Sosyal Mühendislik
Sosyal Mühendislik, çoğu kaynakta sadece bir şirketin “hack”lenmesi ile ilgili bir kavram olarak anlatılsa da en genel tanımıyla Sosyal Mühendislik; bir kişi, şirket veya kurumun değerli kaynaklarına erişmek için gereken hesap bilgileri, şifreleri veya gizli olması gereken her türlü bilgiyi psikolojik yöntemler kullanarak ele geçirme işidir.
Bir şirketin gizli bilgilerini tutan bir sunucuya veya bir veri tabanına erişim için Admin Kullanıcı adı ve Şifresi’ni sosyal mühendislik yaparak ele geçirmek bu tanıma girmesinin yanında, bir kişiyi Adliyeden veya Polis merkezinden aradığını söyleyen bir dolandırıcının kişinin zayıf yönlerini tespit edip korkutarak o kişiden banka havalesi yapmasını istemesi veya hesap bilgilerini alarak parasını çalma işi de bir sosyal mühendislik yöntemidir.
Sosyal mühendisliğin temeli; teknik bir bariyeri psikolojik atak yöntemleri ile aşmaktır.
Yukarıdaki resimde görüldüğü gibi bir şirketteki teknik bariyer, şirketi kötü niyetli kişilere karşı koruyan bir Güvenlik Duvarı’nı Hacker tarafından Kullanıcının zaaflarını, korkularını endişelerini, umutlarını kullanarak sunucuya erişmek olarak göstermektedir. Hacker normal ataklar ile aşamadığı Güvenlik duvarını kullanıcı yardımıyla aşmaktadır.
Sosyal Mühendislikteki hedef bir kişidir. Makinalar hedef değildir. Çünkü bir makine psikolojik karar verme yeteneğine sahip değildir.
Sosyal mühendislikte kişinin aşağıdaki psikolojik durumları kullanılarak hedeflenen değerli bilgilere erişilir.
1. Korku, endişe
2. Umut, beklenti
3. Kendini önemli hissetme, kendisi zayıf görme, zayıflık
4. Stres yönetimi yapamamak
5. Güven duygusu
6. Mutsuzluk, bunalım
7. Sorgulamamak
8. Bilgi eksikliği,
9. Dikkatsizlik, umursamazlık
10. Dedikodu, merak
Hedef alınan bir şirket ise, sosyal mühendislikte temel olan iki yöntem kullanılır.
1. Dağıtık, random saldırı; burada hedeflenen şirketin kaynaklarına erişim için en temel bilgi sızdırma yöntemi şirketin bilgisayarlarına bir virüs veya Trojan yerleştirme yöntemleridir. Ancak bu yöntem çoğu zaman şirketin savunma (FW, Anti virüs, Anti spam) de sonlanır. Bu yöntem ile şirket çalışanlarına bir mail gönderilir. Örneğin çok ünlü bir sanatçı ile ilgili bir bilgi veya resim ve kullanıcıdan resmi tıklatılması istenir. Kullanıcı resmi tıklattığında veya en kolay yöntem ile maili açtığında Trojan bilgisayara yüklenmiş olur. Kullanılan Trojanın işlevine göre kişinin gizli bilgilerini adres defterini ve hatta kayıtlı şifrelerini Hacker’a kişiye gönderir. Bu bir mail aracılığı ile yapıldığı gibi bir Flash Bellek aracılığı ile de yapılabilir.
Örneğin; yıllar önce İran’daki Uranyum zenginleştirme merkezinin bulunduğu bir yere sızamayan istihbarat servislerinin yaklaşık 50 adet flash belleğe bir Trojan yükleyip bu flash bellekleri otoparkta park etmiş araçların tekerleklerinin yanlarına bırakmışlardır. Meraklı olan bir muhasebe çalışanı flash belleği alıp işyerine girmiş ve bilgisayarına takmıştır. Flash bellek içinde yerleştirilmiş olan program bütün merkezin bilgisayar sistemini kilitleyip çalışmaz hale getirmiştir. Bu atak İran’ı uranyum zenginleştirmelerinde geriye götürmüş ve çok büyük bilgi kaybına sebep olmuştur.
2. Hedefli saldırı; bu saldırı tipinde teknik bariyeri aşamayan “Hacker”, bir kişi vasıtasıyla bariyeri aşmayı dener. Öncelikle bu kişi hakkında her türlü bilgileri toplar. Amaç kişiden değerli bilgiler sızdırmak için zayıf yönlerini bulmaktır. Bunun için kişinin çöplerini karıştırmak dâhil her türlü bilgi alma yöntemleri denenir. Hatta kişi takip edilerek, nerede yemek yediği, hangi bara gittiği, erkek ya da kız arkadaşının olup olmadığı, doktora gidip gitmediği, hayvanları sevip sevmediği vs. gibi bütün bilgiler toplanır. Bu bilgiler ile kişi ile sosyal medya, telefon veya yüz yüze iletişim kurularak hedeflenen bilginin alınması için uygun olan Sosyal Mühendislik yöntemleri kullanılır. Hedeflenen bilgi; Bilgisayarın Kullanıcı adı, şifresi olabileceği gibi, şirketin giriş kartının kopyalanması, patronunun özel gizli bilgileri olabilir.
Örneğin; hedeflenen kişinin uzun süredir kız ya da erkek arkadaşı olmadığını öğrenen “Hacker” grubu hedefteki kişiye barda bir kız ya da erkek arkadaş gönderip ilişki kurar. Kişiyi sarhoş edip şirket giriş kartını ele geçirir ve kopyalar. Böylece çok büyük bir şirkete çok kolay bir şekilde içeri girip operasyon yapma olanağı sağlar.
Sosyal Mühendislik aslında yıllardan beri istihbarat servislerinin yaptığı temel bir iştir. Ancak günümüzde artık sadece istihbarat servisleri değil şirketler birbirlerini piyasada alt etmek, kişiler şirketlerden bilgi veya para çalmak veya kişilerin birbirlerinden para veya bilgi çalmak için kullanılmaya başlandı ve hatta devletler birbirlerinden değerli bilgileri almak için çokça kullanmaya başladı. Sosyal mühendislerin bazı yönleri oldukça gelişmiştir.
1. İkna etmek yetenekleri çok gelişmiştir.
2. Etkileme özellikleri yüksektir.
3. Hızlı senaryo üretebilirler.
4. Soğukkanlı yalan söyleyebilirler.
5. Psikolojilerini kontrol edebilirler. Fiziksel belirtisi olmadan her yalanı söyleyebilirler.
6. Bilgili ve donanımlıdırlar karşısındakini bu yönleri ile çabuk etkilerler.
Oltalama (Phishing)
Sosyal mühendislikte en çok kullanılan yöntem oltalama yöntemidir. Oltalama saldırılarında kullanıcı genelde sahte bir e-posta vasıtasıyla tuzağa düşürülür. Saldırıyı yapan kötü niyetli kişi, doğrudan temas yeri bilinen ve güvenilen banka, firmaları kullanarak hedeflenen bilgilere ulaşmayı sağlar.
Örnek 1; kişinin hesabı olan bankanın Web sayfasını kopyalayıp bunu da çok benzeyen bir mail adresi ile hedef kişiye gönderilir ve hedeflenen kişinin bankada veri sistemlerinin güncellenmesi istenir. Kişi bu web sayfasını tıkladığında kendi bankasının sayfasını görecektir. Kullanıcı banka erişimi için kritik bilgileri bu web sayfası aracılığı ile doldurup post eder. Evet, bütün bilgilerinin artık Hacker’ın elinde. Birkaç dakika içinde Banka hesaplarınız boşaltılmış veya birkaç saat içinde adınıza yeni bir kredi kartı basılıp sizin adınız dünyanın öteki ucunda alışveriş yapılmaya başlanmış olabilir. Burada bilinmesi gereken bilgi şudur: Hiçbir banka sizde e-mail veya web aracılığı ile erişim bilgilerinin güncellenmesini istemez. Oltalama mail aracılığı ile yapılabildiği gibi telefon ile yapılabilmektedir. Hacker’lar telefon ile iletişimde çok daha büyük başarı sağlamaktadırlar. Bu oltalama yönteminde hedef kişi güven duygusu, sorgulamama, bilgi eksikliği ve dikkatsizlik unsurlarıyla baskı altına alınmıştır.
Örnek 2; ünlü bir ayakkabı markasının web adresinden bir kişinin sosyal medya hesabına şöyle bir mesaj gelir. Ayakkabı markasının kuruluşunun 100. yılı nedeniyle firma 2000 çift ayakkabıyı ücretsiz dağıtacaktır. Bunun için linkteki bilgi formunun doldurulması istenir. Formda, banka hesap numarasından kişin anne kızlık soyadına kadar her türlü gizli ve kişisel bilgi yer almaktadır. Sosyal medya üzerinden haberleşeme ve insanların bu mesajı birbirlerine iletmeleri sayesinde Hacker’lar 2 saat içinde 100.000 den fazla kişinin kişisel gizli bilgilerine erişmişlerdir. Burada Hacker’lar, güven duygusu, sorgulamamak, bilgi eksikliği, dikkatsizlik, umut, beklenti duygularını kullanarak hedef kişiyi baskı altına almıştır.
Oltalama neredeyse her gün karşımıza çıkan bir atak yöntemi olarak kullanılmaya başlandı. Peki, oltalamadan nasıl kurtuluruz?
1. Hiç tanımadığınız biri size değerli bir şey (para, hediye veya değerli bir bilgi) vermeyi teklif ediyorsa bir dakika durun ve neden diye düşünün. En temel kural her değerli şeyin bir karşılığı vardır. Ve sizin için günlük olarak çok önemli olmasa bile kişisel bilgileriniz; Hesap numaranız, Annenizin kızlık soyadı, doğum tarihiniz ve hatta köpeğinizin ismi çok değerli kişisel bilgilerdir. Bu bilgileri tanımadığınız kişilerle asla paylaşmayınız.
2. Sosyal medya üzerinden doğum tarihi, şifrelerinizi ve sizi için kritik olabilecek hiçbir kişisel bilgiyi paylaşmayınız.
3. Sosyal medya aracılığı ile sizden para, bilgi isteyen kişilerle asla teyit etmeden bilgi paylaşmayın (çalınmış ya da sahte hesap olma durumuna karşı).
4. Güvenilir kaynaklar, bankalar, telekomünikasyon operatörleri ve sizin gizli kişisel bilgilerinizi barındıran hiçbir firma sizden telefon veya mail ile bilgi güncellenmesini istemezler. Biri size telefon ediyorsa veya mail atıyorsa zaten sizi tanıyordur, ona hiçbir kişisel bilgi vermeyiniz.
5. Tanımadığınız kişi veya kuruluşlardan gelen mailleri açmayınız. Bunun için şirketlerin siber güvenlik sistemleri olsa da sistemdeki herhangi bir yama eksikliğini kullanan “Hacker”lar istediği bilgileri rahatça alabilirler.
6. Kişisel mailinizi asla şirketin mailinin bulunduğu Outlook’a kurmayın. Atak tahmin etmediğiniz bir yerden gelebilir.
7. Oltalama saldırılarındaki en önemli unsur sahte adreslerden yapılan oltalama saldırısıdır. Web sayfası ve mail adreslerini mutlaka kontrol ediniz. En küçük bir harf değişikliği bile geri dönülmez hasarlara neden olabilir. Ayrıca maskelenmiş mail adreslerini mutlaka kontrol ediniz.
8. Güvenlik Kontrolü yapınız. Bankalar, alışveriş siteleri gibi kullanıcı bilgileri ve havale işlemlerinde HTTPS güvenli protokolü kullanılır. Bu protokolde yapılan veri iletimi şifrelenerek yapılır ve güvenlik üst düzeydir.
9. Gizli ve kişisel bilgilerinizin yazılı olduğu kağıtları imha etmeden çöpe atmayınız. Özellikle şirket ile ilgili bilgilerin yazılı olduğu kağıtları mutlaka doğrayıcıdan geçiriniz.
Sosyal Mühendislik Siber Güvenliğin en büyük sorunudur. Günümüzde şirketler Siber Güvenlik konusunda yatırımlarını yapıp gerekli olan sistemleri kurarken, kullanıcıların siber güvenlik bilinci ve eğitimi konusunda yeterince yatırım yapmamaktadırlar. Network saldırıları cihazların zaaflarına yapılan saldırılar olmasına rağmen Siber saldırılar kişilerin zaaflarına yapılmaktadır. Yani çalışanlara yeterince farkındalık ve bilinç eğitimi verilmediği sürece siber güvenlik için yapılacak yatırımlar bir süre sonra anlamını yitirecektir. Sosyal mühendislik yolu ile sistemlerin hacklenmesinin önlemek için yapılması gereken en önemli teknik yatırımlar ise NAC ve DLP yatırımlarıdır. Bu sistemler kişilerin zaaflarından kaynaklanan atakları en az seviyeye düşüren araçlardır. Ancak tabi ki ne tür bir NAC ve DLP kurulacağı, ne tür politikaların belirleneceği ve personelin bu konuda eğitimleri ayrı bir Siber Güvenlik mimarisi konusudur. Her şirket için özel bir mimari ve politika çalışması yapılması gerekir.
Ali Tas / BERN / SWITZERLAND
E-Posta: tas.alich@gmail.com
Linkedin: https://www.linkedin.com/in/ali-ta%C5%9F-71069821/
