20 Ekim 2021 - İnci'li Uzmanlar

Sosyal Mühendislik

#teknoloji #gelisimleparla

Günümüz teknolojisinde siber saldırılar çok gelişti. Siber saldırılardaki bu gelişme güvenlik teknolojilerinin de aynı zamanda gelişmesine yol açtı. Günümüzde bu gelişmeler sayesinde korumak istediğimiz yeri iyi bir şekilde koruma imkânı sağlayabiliyoruz. Fakat bu sistemlerin hepsinin ortak bir zafiyeti var, O da sosyal mühendislik.

Peki, bu sosyal mühendislik tam olarak nedir? İnsanlar nasıl buna kanıyor?

Sosyal mühendislik, bir sistem içerisinde yetki sahibi veya çalışan kullanıcıyı manipüle ederek şirket hakkında önemli, hassas bilgileri sızdırmalarını sağlayarak sistem içerisinde izinsiz bir giriş sağlamaktır. Bunu insanların iyi niyetini su istimal ederek, aç gözlülüklerini, meraklarını kullanarak, zaaflarından faydalanarak yaparlar. Zaaflar sayesinde sistemin içine girerler ve kullanıcılara bir arka kapı yazılımı (backdoor) kurdururlar. Böylelikle kullanıcı teknik olarak kendi kendini hacklemiş olur.

Kevin Mitnick (Dünyanın en çok tanınan sosyal mühendisi)

Sosyal Mühendislik nasıl çalışıyor?

Bu sistemi en iyi aşağıdaki görselle açıklayabiliriz.

Sosyal Mühendislik Teknikleri

• Omuz Sörfü
• Çöp Karıştırma
• Rol Yapma
• Oltalama
• Truva Atları, Ransomware (Virüsler)
• Tersine Sosyal Mühendislik

Omuz Sörfü

Parola yazılırken ya da erişim kısıtlı yerlere erişim sağlanırken kurbanın izlenmesidir. Dürbün ya da diğer görme arttırıcı cihazlar kullanılarak yakın mesafe aksine uzun mesafelerde kullanılabilir.

• Hava alanları, kafeler, oteller, halkın ortak kullanım alanları
• Yan masanızda oturan iş arkadaşınız
• Bankamatikler
• Kart ile ödeme yapılan alanlar

Vb. birçok alanda günlük hayatta karşılaşmak mümkündür.

Çöp Karıştırma

Çoğu kişinin önemsiz olarak gördüğü bilgiler sosyal mühendislik için çok önemli olabilmektedir. Önemsiz olarak görünen bilgiler birleştirilerek kurban için önemli senaryolar sunabilmektedir. Bu nedenle çöp karıştırma tekniği en az risk içeren tekniktir.

• Kart slipleri, küçük kâğıtlara alınan notlar
• CD, bellekler, veri taşıyabilecek materyaller
• Telefon rehberleri, el kitapçıkları, toplantı takvimleri vb.

Vazgeçilemeyen tekniklerdendir, çözüm için imha kuralları kullanılmalıdır.

Rol Yapma

Telefon ve iletişim kanalları üzerinden gerçekleştirilen bir yöntemdir.  Sahte bir senaryo ile kurbanın erişimindeki hassas bilgiye ulaşılması şeklinde gelişir. Genellikle sosyal medya üzerinden elde edilen bilgiler ile ikna yeteneği, yıldırma, korkutma ve pes ettirme taktiği kullanılarak gerçekleştirilir.

Bu durumlarda öncelikle yapılması gerekenler;

• Doğrulama için geri arama
• Bilgi isteyen kişiden kimlik bilgisi istenmesi
• Alınan bilginin doğrulanması
• Tuzak sorular ile kimliği doğrulatılmalı
• Kurumlar için bu tür durumlara karşı yönergeler oluşturulmalıdır.

Oltalama

İletişim kanalları ve E-posta ile iletişim kurularak gerçekleştirilmektedir. Toplu halde binlerce kişiye yapılabilmektedir. Saldırgan, amacına ulaşmak için güvenilir ve doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırır. Saldırganın hedefi arasında hassas bilgi vermeye zorlamak ya da kullanıcıyı hatalı bir hareket yapmaya yönlendirmektedir.

• Parola Çalma
• Uzaktan kod çalıştırma
• Köle (Zombi) bilgisayar oluşturma şeklinde uygulanabilir.

Truva Atı, Ransomware (Virüsler)

Zararsız bir işlevi varmış gibi görünen fakat zararlı olan yazılımlardır. Kendi kendilerine yayılabilen virüslerden farkı, yayılmak için kullanıcılardan faydalanmalarıdır. Güvensiz kaynaklardan bilinen bir yazılım görüntüsü ile cd, bellek gibi aygıtlar üzerinden, web siteleri, e-posta ortamları gibi birçok farklı alandan yöntemler denenmektedir. Kurban uygulamayı çalıştırdığında saldırı amacına ulaşarak yayılım sağlanmaktadır.

Tersine Sosyal Mühendislik

Rol yapma tekniğine benzer bir saldırı yöntemidir. Fakat bu kez yardımı kurbanın kendisi istemektedir. Sabotaj, pazarlama ve destek adımlarından oluşmaktadır. Saldırgan bir şekilde kurbanın kullandığı sistemlere basit erişimler elde eder. Böylece sistemi bozar ya da bozulmuş görüntüsü verir. Durumu fark eden kurban yardım aramaya başlar. Kurbanı takip etmekte olan saldırgan, yardım talebini gördüğü anda sadece kendisinin onarabileceğine dair söylemlerde bulunur ve kurbanı ikan eder. Artık kurban sorunun çözümü için saldırgana istenilen tüm bilgileri verebilmektedir.

Bu saldırıcı için en etkili savunma eğitim ve bilgilendirme kanallarının aktif olarak kullanılmasıdır.

Bir sonraki yazımızda sizlere örnek saldırılar ve korunma yöntemlerinden bahsedeceğiz.

Eğer bu konularla ilgileniyorsanız, Christopher Hadnagy tarafında yazılan İnsan Kandırma Sanatı adlı kitabı okumanızı tavsiye ederim.