2

Sosyal Mühendislik Saldırıları

Aslında bu süreci kısaca, kişileri gizli bilgi vermeleri ya da erişim sağlamaları için aldatma süreci olarak adlandırabiliriz ve çoğu zaman güvenli ağ için büyük tehditlerdir. Yani buradan anlaşılacağı üzere küçükken annelerimiz bize tanımadığın kişiler sana şeker verirse yeme, arabasına bindirmek isterse binme diye ikaz etmesi sırf bugünlere alıştırmak içindi. İşte bu sosyal mühendislik saldırıları da biz kullanıcıların biraz dikkatsizliğinden kaynaklıyor, söylediğim gibi tanımadığımız kişilerden gelen talimatları kesinlikle sorgulamadan yapmayınız daha sonra vay efendim benim Facebook şifrem niçin değişti diye üzülebilirsiniz. Bu saldırıları yapan sosyal saldırganlar “bu tanımı sanki yan kesici anlamında söylemiş gibi oldum kusura bakmayın” genellikle izledikleri yol veya yollar; etkileme, zorlama, aldatıcı ilişkiler geliştirme, sorumluluğu, etik değerleri, dürüstlüğü ya da bağlılığı azaltma amaçlı yöntemlere başvururlar ve bu saldırılara karşı ise bir takım önlemler almanız gerekiyor, önlem derken lütfen arabanıza veyahut yanınıza kesici, delici vb. aletler almayınız bu önlemler tamamı ile sizin farkındalığınızı artırmaya yönelik önlemler olmalıdır.

Bilgisayar güvenliği terimleriyle Sosyal Mühendislik, insanlar arasındaki iletişimdeki ve insan davranışındaki açıklıkları tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir. Bu tanım çerçevesinde iletişim kavramından kasıt, kişiler arasında, kişiyle kurum arasında ya da kurumlar arasındaki etkileşimdir. İnsan davranışlarındaki açıklıklar ise, insanların gündelik sergiledikleri, niyetlerinden bağımsız hareketlerin güvenlik açısından istenmeyen durumlara sebep olması ihtimalleridir. Müdahale derken de güvenlik açısından kritik bilgileri elde etmek eylemini anlıyoruz. Bir kuruma yönelik sosyal mühendislik saldırılarının tipik hedefleri, saldırganın suistimal edebileceği durumdaki personeldir.

sosyal müh1

Saldırılan profilleri aşağıdaki şekilde özetlenebilir:
1) Direkt ulaşılabilir personel (Servis elemanları, telefonlara yanıt veren çalışanlar):

Kurumun dış yüzü olarak tanımlanabilecek, işi gereği müşteriler ve sağlayıcılarla iletişim kuran çalışanlar. Nasıl ki kapınızı çalıp ürün tanıtanlara “teşekkür ederim gerçekten ihtiyacım yok” diyor isek lütfen telefon ile gelen bu şekilde aramalara da ön yargıyla yaklaşmanız, daha doğrusu sorgulayıcı yaklaşmanız sizin için gayet sağlıklı olabilir.

2) Önemli personel (Yöneticiler, gizli bilgiye erişim hakkı olan personel):

Kurumdaki görevleri gereği zorunlu olarak ayrıcalıklı yetkiye sahip olan ya da gizli bilgiye çeşitli nedenlerle erişim hakkı olan çalışanlardır. Önemli personel demişken, bilgisayar dünyasında olan neredeyse herkes Eugene Kaspersky ismini bilir ve bu dünya devinin başına da başarılı siber saldırılar gelmiştir. Örnek verecek olursak, Eugene Kaspersky 2010 yılında ve yanlış hatırlamıyorsam Ekim ayının başlarında Türkiye’yi ziyaret ederek Bilişim Zirvesi’nde sunum yapmıştı. Sunumunda “artık karşımızda siber savaşçılar var” diyen Kaspersky’nin ABD’deki web sitesine sızmayı başaran hackerlar ziyaretçileri başka bir siteye yönlendirdiler. Hackerlar ünlü güvenlik ve antivirüs firması Kaspersky’nin web sitesine sızarak ziyaretçileri Kaspersky’nin ücretsiz güvenlik yazılımını yüklemeleri için sahte bir siteye yönlendirmeyi başardılar. Bu gerçekleşen olayda hackerlar Kaspersky’nin sitesinde kullanılan bir yazılımı yanıltıp kendi kodlarını bu yazılıma tanıtarak ziyaretçileri yanılttılar. Kaspersky’nin sitesinde ücretsiz Security Tools yazılımını indirmeyi uman ziyaretçiler, farkında olmadan başka bir siteye yönlendirildiler ve bilgisayarlarına büyük olasılıkla içinde virüs ya da trojan olan bir program kurdular.

Eugene Kaspersky, Türkiye’de yaptığı konuşmada “Bu kadar dijital bir hale gelen dünyada eğlenceden müziğe bilgiden mahremiyete kadar her şey birbirine bağlı. Bu dünya günümüzde saldırı altında ve internetsiz bir hayat düşünülemiyor. Bireyler, devletler, kurumlar, küresel ekonomiler tehlike altında. Siber saldırılar zamanla kendi içerisinde evrim geçirdi. İlk başlarda siber magandalar vardı, sonra siber suçlular ortaya çıktı ve şimdi de karşımızda siber savaşçılar var.” demişti.

Kaspersky, olayın ardından sitesindeki tüm altyapıyı ve yazılımları gözden geçirdiğini ve sorunun giderildiğini açıkladı. Bu durum elbette Kaspersky programlarının güvenilirliğini sorgulatmayacaktır fakat bir dünya devinin bile başına bu denli siber saldırılar geliyorsa bu demek oluyor ki siber saldırganlar istedikleri her an hayatımıza müdahale edebilir belki de bütün mal varlığımıza el koyabilirler.

3) Sempati sahibi personel:

Kurum içinde görevli olan, müşterilerine yardım ve destek için yetkisinden fazlasını ya da kurum içindeki itibarını kullanabilecek çalışanlar.

4)Destek ihtiyacındaki son kullanıcılar:

Kurumun hizmetlerinden yararlandıklarından dolayı sistemlere erişimi bulunan fakat kurum hakkındaki bilgileri eksik olduğundan dolayı sistemlerle ilgili destek almaları gerektiğinde meşru destek personeliyle kötü niyetli saldırganı ayırt edemeyen kullanıcılar.

5)Kandırılmış, aldatılmış ya da ikna edilmiş personel:

Kurum içinde görevli olan ve kuruma ya da kurum çalışanlarına bağlılığı zayıflamış çalışanlar.

Saldıran profili ise, hedefe ve yönteme bağlı olarak değişebilir. Kullanılagelen yöntemlerin bazıları şöyledir:
1) Otoriter yaklaşım:

Yetkili, üst düzey yönetici ya da ayrıcalıklı müşteri olduğuna ikna etmek. Bakın kendisini yüksek mevkide tanıtanlar
yüzde vermem gerekirse, %80 yalan söylüyordur. Bu kadar net söylüyorum. Çünkü eğer böyle bir iş yeri vb. kurumlar sizinle iletişime geçmek için müdürlerini veya daha üst mevkide çalışanlarını olaya dahil etmez, yani realist olmak gerekirse bizleri ancak ve ancak sekreterler arar, çok üzgünüm. Bu olaya kendim okuduğum bir olayı örnek göstermek istiyorum. Kendini sağlık kuruluşlarının birinde yüksek bir mevkide çalıştığını söyleyip karşısındaki kandırmaya çalışan sosyal mühendis saldırganı, vatandaşımızı öyle bir kıvama getirmiş ki böbreğinin birini ihtiyacı olan birine vermek uğruna istemiş ve işin garip tarafı vatandaşımız kabul etmiş. Düşünebiliyor musunuz? Kabul etmiş. İşte örnekte de gördüğünüz gibi sorgulayıcı olun ve farkındalığınızı yükseltin eğer böyle olmazsanız tek böbrekle yaşamaya mahkum kalabilirsiniz.

sosyal müh3

2) Yardım önermek:

Destek ihtiyacındaki müşteri ya da çalışanları yetkili personel olduğuna inandırmak. Bu konuda sadece bize düşen görev, sakin kalıp soğukkanlı olmak. Destek ihtiyacında bizler biraz sabırsız ve aceleci oluyoruz ve saldırgan bundan yararlanıyor.
3) Benzerlik ve ortak noktalar bulmak:

Çalışanla arasında çeşitli sanal sosyal bağlantılar (akrabalık, ortak meslek, ortak arkadaş, aynı çevre vs.) oluşturmak.

4) Mukabele etmek:

İstenen bir iyilik için bir karşılık önermek.

5) Bağlılık ve dürüstlüğü suistimal etmek:

Kuruma bağlı çalışanı, saldıranın isteğini yapmaması durumunda kurumun zarar göreceğine ikna etmek.

6) Düşük bağlılıktan yararlanmak:

Kuruma bağlılığı zayıf çalışanları ikna, aldatma ya da kandırma gibi yöntemlerle ayartmak. Bu konuda bizim önerebileceğimiz pek bir şey yok aslında, eğer çalışan aldığı ücreti beğenmez veya illa ücret olası şart değil, kurumuna bağlılığı yoksa zaten kale içten fethedilmiş olur.

Mehmet Yüksel’in tüm yazıları ->

 

Yorumlar(2)

  1. Reply
    Alperşöyle dedi

    Ellerinize sağlık, önemli bir konuya değinmişsiniz.
    Bu konuda iki yazım var, konu kapsamında ilgi çekebileceğini düşünerek paylaşıyorum:
    http://www.alperbasaran.com/2013/01/sosyal-muhendislik.html
    http://www.alperbasaran.com/2012/04/baba-ben-toplum-muhendisi-olacagm.html

  2. Reply
    msonerşöyle dedi

    Bilgi için teşeürler

Bir yorum gönder.