Hazırlayan: Murat KARAŞAH


İçindekiler:

Sosyal Mühendislik

Güvenlik Seviyesi ve İnsan Faktörü

Elde edilen basit bilgiler ile güven kazanma

Peki bu bilgilere bir sosyal mühendisin ulaşması kolay mı?

Örnek Senaryo

Ülkemizde yaşanan sosyal mühendislik

Sosyal mühendislik saldırısı altında olabilir miyim?

Özet Olarak

KAYNAKÇA


Sosyal Mühendislik

Siber saldırıların zafiyetleri sadece teknolojik veya teknik eksikliklerden dolayı değildir. Çoğu kişi veya kuruluş siber saldırıların yazılımlardan dolayı kaynaklandığını düşünür. Fakat bilgi güvenliği sağlanırken insan faktörünün payı teknik faktörlerden çok daha fazladır. İnsanlardaki oluşan ben asla yanılmam/kandırılman düşüncesiyle zekice tasarlanmış saldırı birleşince kötü olaylar kaçınılmaz oluyor.

Sosyal mühendislik hedef alınan birey veya kuruma ait olan  sanal veya fiziksel ortamdaki halka açık olan bilgileri veya illegal bir yöntem ile erişilen bilgileri bir araya getirerek belirli senaryolar hazırlayan ve bu senaryoları sanal ortam veya gerçek ortamda uygulayan, hedefin güvenini kazanma amacı olan ve  psikolojik manipülasyon yaparak gizli olan bilgileri ele geçirme faaliyetidir.

Güvenlik Seviyesi ve İnsan Faktörü

Bir sistemin zincir olduğunu düşünürsek en zayıf halkası insan faktörüdür. Çünkü sistemlerin, makinelerin duyguları veya etkilenecek bir psikolojileri yoktur. Bir zincirin teknoloji halkasının güçlü olması zinciri güçlü yapmaz. Zincirin gücünü ve dayanıklılığını en zayıf halkası belirler. Gelişmiş siber saldırılarda sıklıkla kullanılan, siber ölüm zinciri (Cyber Kill Chain) olarak adlandırılan 7 adımda uygulanan atak yönetiminde saldırganlar zincirin en zayıf halkasını hedef alırlar. Saldırı planın 1.basamağına Keşif adı veriliyor. Bu basamakta sosyal mühendislik uygulanıyor.

Sosyal mühendislik yeteneği olanlar genellikle iki gruba ayrılır. Bunlar:

  • Siyah şapkalı hackerlar olarak adlandırılan ve kötü amaçlar doğrultusunda saldırı yapan kişilerdir.
  • Beyaz şapkalı hackerlar kurum veya kişinin güvenliği için görev üstlenir. Olabilecek saldırıları senaryolaştırır. Ortaya çıkan zafiyetleri gidermeye çalışır veya rapor eder.

Sosyal Mühendislik faaliyetlerinde kullanılan bazı araçlar:

  • Maltego
  • David Kennedy tarafından hazırlanmış olan Social Engineer Toolkit
  • Gizli kamera
  • Ses kayıt cihazı
  • Gps takip cihazı
  • parabolik mikrofon vb.(Social Engineer,2021)

Basit Bilgilerle Güven Kazanma

Günlük hayatınızda kullandığınız basit bilgiler ile sosyal mühendisler daha güvenilir ve inandırıcı tuzaklar kurar. Örnek vermek gerekirse ev adresiniz, aile yakınlarının isimleri, çalışma arkadaşlarının isimleri veya T.C. kimlik numarası gibi bilgiler sayesinde daha gerçekçi senaryolar üretilir.

Bilgilere Sosyal Mühendisin Erişmesi

Maalesef oldukça kolay hatta çoğu kişi için çok kolay. Yaşantımızın bir parçası haline gelen sosyal medya ile kişisel, ailevi ve özel günlerin resimlerini, düşünce ve fikirlerimizi ve kariyer durumumuzu anlık olarak paylaşıyoruz. Kötü niyetli insanların sizin hakkınızda bilgilere ulaşması oldukça kolay olabilir. İllegal olarak satılan veritabanlarında kaydınız varsa sizin hakkınızda daha fazla bir bilgiye ulaşmış olacaklardır. Ülkemizde 2010 yılının seçmen veritabanın çalınmasıyla yaklaşık 50 milyon seçmenin verileri torrent ağında ücretsiz olarak yayınlanıyor.

Örnek Senaryo

Bir bilgi güvenliği şirketi, bir bankanın bilgi güvenliğinden sorumlu müdürü ile görüşür ve bankaya bilgi güvenliği testi yapmayı teklif eder. Müdür teklife itiraz eder. Güvenlik firması  ile arasında şöyle bir konuşma geçer;                         

– Bizim böyle bir teste ihtiyacımız yok. Yeterince güvenliyiz. En kaliteli yazılım ve cihazları satın aldık ve en donanımlı ekip bizde.

– O zaman sisteme bir test yapalım, eğer zafiyet bulursak hizmet bedelimizi alırız, eğer herhangi bir zafiyet bulamazsak hizmet bedeli talep etmeyiz. 

 Bu arada bilgi güvenlik firmasından bir personel lavaboya gitmek üzere görüşmeden ayrılır ve sekreterin, banka bilgisayarında film sitelerine girdiğini görür. Hemen yanına gider ve filmlerle ilgili konuşmaya başlar:                 

                        

– Bu sanatçının son filmini izlediniz mi? Eğer izlemediyseniz sizin için DVD’ye kopyalar gönderebilirim.

– Çok memnun olurum. Tabii sizin için zahmet olmayacaksa.

O günkü toplantıdan sonra danışman ofise döner. Zararlı bir yazılım ile filmi DVD’ye kopyalar. Kargo aracılığı ile sekretere gönderir. Zararlı yazılımın sekreterin evindeki değil de bankadaki bilgisayarında çalışmasının garanti etmek için sekretere telefon eder.         

 

– Size kargoyla gönderdiğim DVD’yi bir bilgisayarınızda deneyebilir misiniz?

-Bazen kopyalarken hatalar olabiliyor.

Sekreter de denemek amacı ile DVD’yi banka bilgisayarına takar ve filmin çalıştığını söyler, teşekkür eder ve telefonu kapatır.

Zararlı yazılım banka sistemine girmiştir. Zararlı yazılımın görevi ise bankanın bilgi güvenliği müdürünün bilgisayarında, masaüstüne “Sisteminizi ele geçirdik:)” yazan bir not defteri oluşturmaktır. (TÜBİTAK/BİLGEM, 2011)

Ülkemizde Yaşanan Sosyal Mühendislik

İşlediği suçlardan dolayı hapis cezası alan Silivri Cezaevi’nde yatan D.A hakkında 16 Ocak 2015’te İstanbul 10. Ağır Ceza Mahkemesi’ne Yargıtay’dan faksla tahliye ilamı geldi. Kamu görevlisi, Yargıtay’ı aradığını zannederek, faks ile gelen kağıdın üzerinde yazan telefon numarasını aradı. Doğru olduğu teyidini aldıktan sonra ilamı Silivri 4 No’lu Cezaevi’ne iletti. Cezaevi, mahkeme kalemini arayarak tahliyeyi teyit etti. D.A serbest bırakıldı. Yaklaşık 30 gün sonra tahliye kararındaki yanlışlığı fark etti. İlamın sahte olduğu anlaşıldı ve D.A hakkında yakalama kararı çıkarıldı. (Haber Türk,2015)

-D.A’nın arkadaşı sahte bir tahliye ilamı hazırlıyor. İlamda yargıtayın telefon numarası yerine kendi numarasını yazıyor. Daha sonra faks ile ilgili kuruma yolluyor. İlamı onaylamak için arayan memur aslında D.A’nın arkadaşını arıyor.

Sosyal mühendislik saldırısı altında olabilir miyim?

Tanımadığınız bir kişiyle yaptığınız görüşme esnasında sosyal mühendislik içerebilecek davranışlar:

  • İsteklerin yerine getirilmemesi durumunda kötü sonuçlar doğacağının belirtilmesi.
  • Farklı taleplerde bulunulması.
  • Soru sorduğunuzda karşı tarafın rahatsız olması.
  • Yetkili olduğunun öne sürülmesi.
  • Bildiğiniz konu ile ilgili isimlerin ardarda sıralanması.
  • İltifat edilmesi veya kur yapılması.
  • Aciliyetin üzerine vurgu yapılması.

(TÜBİTAK/BİLGEM, 2011)

Kurumlar için yapılması gerekenler;

  • Tüm kurum personeline belli periyotlarda eğitim verilmesi.
  • Kurumda risk analizi çalışmalarının yapılması.
  • Kurumda çalışan kimliğinin tespiti sürecinin oluşturulması.

(TÜBİTAK/BİLGEM, 2011)

Özet Olarak

  • Tehlike hiç beklemediğiniz anda, beklemediğiniz yerden gelebilir.
  • Yabancı kişilerden gelen isteklere karşı temkinli davranın ve özel bilginizi (örneğin şifreniz) sistem yöneticisi, çalışma arkadaşınız, hatta yöneticileriniz dahil, kimseyle paylaşmayın.
  • Kurumdaki çalışanlara belirli aralıklarla bilgi güvenliği bilinçlendirme eğitimleri verilmelidir.
  • Kurumunuzda düzenli olarak,  bilgi güvenliği testleri gerçekleştirin.

KAYNAKÇA

Social Engineer.(2021).  Social-Enginerr 08.05.2021 tarihinde  www.social-engineer.org

Haber Türk.(2015). Haber Türk 08.05.2021 tarihinde https://hbr.tk/nhfaM9/w

Bilgimi Koruyorum.(2011). TÜBİTAK/ BİLGEM 08.05.2021 tarihinde https://bilgimikoruyorum.org.tr/index.php

Öne Çıkarılan Görsel: https://www.freepik.com/free-vector/steal-data-concept_7971765.htm#page=1&query=hacker&position=3

Bu makale smallseotools sitesi üzerinden 10.05.2021 tarihinde kontrol edilmiştir.
Makale, benzerlik değeri ile kabul edilmiştir. Results Completed: 100%  Plagiarism: %0  Unique: %100

Creative Commons Lisansı
Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.