Blog

Sosyal Mühendislik

Soru: En güvenli bilgisayar hangisidir?

Cevap: Kapalı olandır.

Soru: Peki ofise gidip bilgisayarı açması için birini ikna edersem?

Hackerlar karmaşık kod parçacıkları ve sistemlerin yanı sıra bazen de en basit yöntemlerden biri olan Sosyal Mühendislik (Social Engineering) yöntemlerini kullanarak da çok can yakmaktadır. Sosyal Mühendislik, insanları hedef almaktadır. Yani Sosyal Mühendislik’te sistemde bulunan zafiyete bakılmaz. Sosyal Mühendislik, insan ilişkilerini ve insanların zafiyetlerini ele alarak hedef kişi, kişiler veya kurum üzerinde bilgi toplamak ve toplanan bilgiler doğrultusunda hareket etmek için kullanılır. Bana göre ise Sosyal Mühendislik, yalan söyleme, aldatma ve iyi rol yapma sanatıdır.

Hacker’ların sistemlere sızmak için yalnızca açıkları, hazırladıkları özel yazılımlarını ve donanımları kullandıklarını zannederiz. Oysaki amaçlarına ulaşabilmek için daha farklı ve daha tehlikeli yollara da başvururlar. Sosyal mühendislikte hedef alınan sistemin açığı değil, sisteme girişte anahtar olarak kullanılacak kişidir. Her sistem bir kişi tarafından yönetilir ve kullanılır. Bu yöntemle aşılması imkânsız olarak görünen sistemler dahi kolaylıkla aşılabilir hale gelir. Sosyal mühendislik teknikleri ile giriş yapma yetkisi olan kişiler bulunur ve hedeflenen parolalar çalınabilir.

Biraz da sosyal medyada oynanan oyunlarda bizim ya da çevremizdekilerin ne kadar savunmasız olduğundan güncel bir örnekle bahsedelim.

Facebook: Yarın Teslim Tarihi!

“Paylaştığımız her şey, yarın herkese açık olacakmış. Silinmiş veya izinsiz olan mesajlar bile. Sadece bir bitti ve önlem almak her zaman için tercih edilir.. Kanal 13 Facebook’ta gizlilik konusunda konuşmuşlar. (Facebook’u veya Facebook’a fotoğraf, bilgi, mesaj ve gönderiler, hem geçmiş hemde gelecekte kullanmak için facebook izni ile herhangi bir tarafa izin vermem..) Bu ifade ile Facebook’a, bu profili ve /veya içeriği doğrultusunda bana karşı herhangi bir eylem alabilmesi kesinlikle yasaktır.. Gizlilik ihlali ve yasası, yasalar tarafından ceza (1_308_1_1_103 308_103 ve Roma tüzüğü…) Not; Facebook artık kamu taraf.. Tüm üyelerin bu şekilde bir not göndermesi gerekiyor.. İsterseniz bu sürümü kopyalayıp koyun.. Böyle bir ifadeyi en az bir kez yayınla, Teknik olarak fotoğraflar kullanımı ve profil devletle ilgili bilgi içinde.. Paylaş kopyala ama kendi adınız olsun…. Güvenliğiniz için..ÇOK ÖNEMLİDİR… AVUKATLAR KOPYALAYIP YAPIŞTIRMAKTA FAYDA GÖRÜYOR.”

Aslına bakarsanız kısa bir araştırma veya metni sadece bir kez olsun okumak bir şeylerin yanlış olduğunu anlamamıza yetecektir. Üstelik metnin bozuk bir Türkçe ile yazılmış olmasını bir türlü fark edilmedi. Metin gerçekte yazılmamıştı İngilzce’den otomatik çevirilmişti . Bu paylaşım aslında İngilizcedir ve paylaşılan metnin orijinali şöyle;

“All your posts can become public tommorow . Even the messages that have been deleted or the photos not allowed. After all, it does not cost anything for a simple copy and paste.

Better safe than sorry is right. Channel 13 News was just talking about this change in Facebook’s privacy policy. Better safe than sorry.

I do not give Facebook or any entities associated with Facebook permission to use my pictures, information, messages or posts, both past and future. By this statement, I give notice to Facebook it is strictly forbidden to disclose, copy, distribute, or take any other action against me based on this profile and/or its contents. The content of this profile is private and confidential information. The violation of privacy can be punished by law (UCC 1-308- 1 1 308-103 and the Rome Statute).

NOTE: Facebook is now a public entity. All members must post a note like this. If you prefer, you can copy and paste this version. If you do not publish a statement at least once it will be tactically allowing the use of your photos, as well as the information contained in the profile status updates. DO NOT SHARE. You MUST copy and paste”

Ayrıca metinde geçen “Roma Statüsü” Birleşmiş Milletler Konferansı’nın 1998 yılında karara bağladığı Uluslararası Ceza Mahkemesi’nin (UCM) Kuruluş Statüsü’dür. Roma Statüsü’ne taraf olan 124 ülke, UCD’nin yetkisini tanımaktadır. Türkiye Statü’ye taraf değildir.

Facebook, kullanıcıların verilerini nasıl topladığını ve nasıl kullandığını Veri İlkesi’nde açıklıyor. Her kullanıcı Facebook’a üye olurken bu ilke ve kuralları kabul etmiş sayılıyor. Yani, yukarıdaki gibi bir metni, kullanıcıların duvarlarına yapıştırmasının hiçbir anlam taşımadığını söylemek mümkün.

Kısacası bu tip paylaşımları sürekli olarak yapan bir sosyal medya kullanıcısı sosyal mühendisler için açık bir hedeftir denilebilir. Şimdi de sosyal mühendisliği birkaç başlıkta inceleyelim.

Sosyal Mühendislik Saldırı Türleri

Aslına bakarsanız çok fazla sayıda Sosyal Mühendislik saldırı türü bulunmaktadır. Bu kadar fazla olmasının nedeni ise Sosyal Mühendislik sadece sizin hayal gücünüze bağlı olmasıdır. Hayal edebildiğiniz, senaryo sayısı kadar Sosyal Mühendislik saldırı türü vardır.

Anahtar olarak kullanılacak kişinin bağlantılarını, ilgi alanlarını ve zaaflarını araştırarak senaryo hazırlanır. Sosyal mühendislikte tıpkı bir senarist gibi çalışırlar anahtar kişiye özgü senaryo üretirler. Üretilecek bu senaryonun tek bir amacı vardır; o da sisteme giriş yapabilmek için gerekli bilgileri ele geçirebilmektir. Sosyal mühendislik saldırılarında genellikle insanların zaafları, korkuları ve dikkatsizlikleri en büyük silah olarak kullanılır. İstenen bilgiye ulaşabilmek için size ulaşır, güveninizi kazanmaya çalışır hatta arkadaş bile olabilir.

1. GÜVEN UYANDIRIRLAR

Sosyal mühendislerin başarılarının sırrı insanların aldatılmaya fazlasıyla açık olmasıdır. Çünkü insanlar belli şekillerde yönlendirildiklerinde yanlış şeylere güven duyabilirler. Sizlerin hemen “Ben günlük hayatta bile kimseye güvenmem sanal ortamda mı güveneceğim.” dediğinizi duyar gibiyim. Sizi yardıma muhtaç bir hale getirir getirme size yardım etmek isteyen iyi gönüllü birisi olarak karşınıza çıkabilir. Sizden yardım isteyen çaresiz birisi olarak da karşınıza çıkabilir. Ya da bunu sizin karşınıza sanki sürekli mail aldığınız bir siteymiş gibi gösterip sizin güveninizi sağlayıp maile girmenizi sağlayarak sosyal mühendisin mailin açıldığında yönlendirmiş olduğu siteye, zararlı yazılıma ya da sisteminize sızma girişiminde bulunabilir.

2. SIZI TELEFON İLE ARARLAR

En etkili sosyal mühendislik ataklarından birdir. Siber suçlular sizi arayabilir ve yetkili biri gibi davranabilir. Bu sırada yavaş yavaş kullanıcı bilgilerinizi öğrenebilir. Özellikle yardım masaları bu tarz ataklara yatkındırlar. Çünkü yardım masaları yardım için ordalar, gerçekte yasal olmayan bilgileri öğrenmeye çalışan kişiler tarafından istismara açıktırlar.

3. ÇÖPLERINIZI KARIŞTIRABILIRLER!

Çöpleri kurcalamak, her çöpü temizlemek olarak da bilinen başka bir sosyal mühendislik metodudur. İstihbarat toplarken bilgilerin büyük bir çoğunluğu çöplerden bulabilirler. Şirketin çöplerinde; şirket telefon rehberi, kısa notlar, şirketin idari politika bilgileri, olaylar ve tatil izinleri, sistem işleyiş şekilleri, hassas veriler ya da giriş isim ve şifreleri çıktıları, kaynak kod çıktıları, diskler ve bantlar, şirket mektupları ve kısa formlar ve eskimiş donanımlar bulunabilmektedir. Telefon rehberlerinizle senaryoda canlandırılacak kişi bilgisini ya da hedef kişi adı ve telefon numarasını vermiş olursunuz. Organizasyon grafikleri kurumdaki yetkili kişiler hakkında bilgiler içerir. Küçük notlarınız parola algoritmanız gibi ilginç ufak bilgiler içerir. Takvimlerden hangi görevlinin ne zaman işyeri dışında olacağını ve saldırı için doğru zamanı planlama konusunda fikir verebilir.

4. PAYLAŞIMLARLA İLGINIZI ÇEKERLER

Daha önce de dediğim gibi onlar insanları iyi analiz ederler. Bu sayede zaaflarını ilgili alanlarını tek tek belirlerler. Kimi zaman yalnızca bir kişi ya da geniş bir grup için çalışmalar yaparlar. İşte tam bu noktada en iyi silahlardan birisi de Sosyal Medya ve yaptıkları paylaşımlar oluyor. Uzun süredir beklediğiniz bir ürünün fotoğrafıyla “İlk görüntüler basına sızdı” şeklindeki bir paylaşıma tıklamamanız çok zor. Hayranı olduğunuz sanatçının sansasyonel bir haberi yada en kolayı ölüm haberi sizi o linke tıklamaya itecektir. Sevdiklerinizin ve ailenizin yaşadığı şehirle ilgili büyük bir doğal afet haberi görebilirsiniz. Merak insanın en büyük zaaflarından birisi olduğu unutulmamalı ve  bu tür kaynağından emin olmadığınız paylaşımlara tıklarken dikkatli olmalısınız. Genellikle kötü amaçlı yazılımlarla dolu bu sitelere, reklam sitelerine ve anket sitelerine yönlendirilebilirsiniz. Bunlardan bazıları sisteminize otomatik olarak büyük zararlar verebilir.

Sosyal  Mühendislik  Saldırılarından  Korunma

Şirketinizdeki ya da kurumunuzdaki kullanıcılara eğitim vermelisiniz. Sosyal Mühendislik saldırılarına karşı alınacak en iyi tedbirlerden birisi kullanıcıları eğitmekten geçer. Personelinize internet ortamında şüphecilik aşılanmalı ve aşağıdaki gibi durumlarla karşılaştıklarında daha fazla şüphelenmeleri gerektiğini anlatmalısınız.

  • İsteğini yerine getirmeme durumunda kötü sonuçlarla karşılaşacağınızı anlatıyorsa,
  • Sıradan taleplerin dışında bilgiler ya da eylemler talep ediyorsa,
  • Siz soru sordukça rahatsız oluyorsa,
  • Yetkili ile görüşmek istediğinizde yetkili olduğunun iddia ediyorsa,
  • Bildiğiniz şirketleri ya da iş arkadaşlarınızın ismini hızlı ve arka arkaya sıralıyorsa,
  • Sürekli durumun acil olduğunu vurguluyorsa,
  • Erkek ya da kadın olmanız önemli değil size iltifat veya kur yapılıyorsa,
  • Zaten bilmesi gereken bir bilgi soruyorsa,
  • Şanslı olduğunuzu söyleyip hediye ya da ikramiye kazandığınız söylüyorsa,

Bu tip durumlarda mutlaka şüphelenmeli ve temkinli davranılmalıdır.




Yazar Hakkında

Lisans eğitimini Universitatea Romano-Americana’da Bilgisayar-Enformatik bölümününde tamamladı. Yüksek lisans eğitimini Universitatea Titu Maiorescu’da Sistem ve Ağ güvenliği alanında yaptı. Database Systems, Data Mining, C#, Python konularıyla ilgilenen Sibel KARA, Penetration Testing, Cryptology ve Network security alanlarında da çalışmalar yapmaktadır.






Yorum Yapmak İçin Giriş Yapın.