Blog

Sosyal Mühendislik Saldırıları ve Korunma Yolları

Günümüzde siber güvenlik/saldırı kavramları sıkça duyduğumuz kavramlar olma yolunda ilerlemektedir. Siber saldırı denildiği zaman genellike bilgisayar kaynaklı saldırı türleri düşünülür, lakin siber saldırıların içinde doğrudan insana karşı yapılan saldrılar da mevcuttur ve bu tip saldrılara sosyal mühendislik saldırıları denilmektedir. Sosyal mühendislik, bir diğer adıyla toplum mühendisliği olan bu kavramı özetle “insan hacklemek” olarak tanımlayan kaynaklar mevcut. Ortak bir tanım çerçevesinde açıklayacak olursak; herhangi bir durum üzerinde manipülasyon yaparak insanların psikoloji, duygu, düşünce ve zaafiyetlerinden faydalanmaya, bu kavramları kullanarak insanları herhangi bir şey için ikna etmeye sosyal mühendislik diyebiiriz. Sosyal mühendislik, siber güvenlik alanında basitmiş gibi görünen ama bir okadar da tehikeli olan saldırı türlerinden biridir. Bunun sebebi; insanoğlunun güvenlik zincirinin en zayıf hakası olmasıdır. Bu zayıflığın temeli; insanoğlunun davranışlarını her koşul altında kontrol altında tutmasının ve sürekli olarak bütün prosedürleri eksiksiz olarak tamalamlasının güçlüğüne dayanmaktadır. Bu zayıflığı herhangi bir dijital veya mekanik sistem ile tamamiyle tolere etmek imkansıza yakındır, buna dayanarak her insanın eşsiz bir yapıya sahip olduğunu düşünürsek insanoğlunun sosuz bir zafiyet kaynağı olduğu ortaya çıkacaktır. Sosyal mühendislik günlk hayatımızda farkında olmadan kullandığımız veyahut karşılaştığımız bir olgudur, örnek verecek olursak; küçüğünden büyüğüne hergün karşılaştığımız hemen tüm işyerindeki personeller farkında olmadan müşterlerine sosyal mühendislik saldırsı uygulamaktadır.

Sosyal mühendislik saldırıları genelde hedef kişiden gizili sayılan bilgileri almaya yada hedef kişinin/sistemin zaafiyetlerini ve rutinlerini öğrenmeye odaklıdır, bazı vakalarda sosyal mühendsilik yöntemleri ile hedef kişi ve kurumlardan maddi varlıklar istenmiş olsada sosyal mühendsilik birçok saldırının ilk aşaması olarak ortaya çıkmabilmektedir. Sosyal mühendislik saldırılarının genel bir şablonu olmasına rağmen hedef kişiye göre birden fazla yöntemin farklı kulanılması sonucunda saldırının beklenmedik bir noktadan gerçekleşmesi mümkündür, bu durumda sosyal mühendislik saldırılarının sadece bilinen kalıplaşmış senaryolardan gelmediği, saldırıların saldırganın elinde bulunan bilgilere ve hayal gücüne göre şekillendiği ortaya çıkmaktadır.

Sosyal mühendislik saldırıları insan ve bilgisayar tabanlı olmak üzere ikiye ayrılmaktadır, buna rağmen saldırılar temelde aynı şablon üzerinden ilerler. Sosyal Mühendisliğin uygulanma sürecine ait genel şablonu sırası ile incelenecek olunursa, 

1.Genel Hedef Kitle Belirlenmesi;

2.Bilgi Toplama;

3.Algı Zaafiyeti Oluşturma;

4.İnsan ve Bilgisyar Tabanlı Saldırıların hazırlanması ve uygulanması, kısımlarından oluştuğu görülmektedir.

 

1. GENEL HEDEF KİTLE BELİRLENMESİ

Sosyal Mühendisler aşağıda açıklanan kagetorilerden bir hedef seçip seçilen hedefe göre saldırı senaryosu hazırlamaktadırlar.

a. Ulaşılması Kolay Personel

Bu kategorideki kişiler işleri gereği ulaşılması ve iletişim kurulması kolay kişilerdir, bu kategorideki iş türlerinine örnek olarak güvenlik  görevlilerini ve danışma personelini örnek gösterebiliriz.

b. Yönetici ve Önemli Personel

Bu kategorideki insanlar işleri gereği diğer personellere nazaran daha yoğun tempoda çalışmaktadırlar, bu yoğunluktan ötürü bir dikkatsizlik oluşabilmekte veyahut ilgili kişilerin yokluğunda bu sözkonusu kişilerin adı ve mevkisi kullanılarak birçok bilgiye erişim sağlanılması mümkün olabilmektedir.

c. Zaafiyeti olan ve Sadakat Seviyesi Ortalama Olmayan Personel

Sosyal mühendisler genelde iyi gözlem yeteneğine sahip kişilerdir, herhangi bir zaafiyeti olan personel her daim sosyal mühendislerin dikkatini çekecektir. Öte yandan sadakat seviyesi düşük olan personellerin potansiyel güvenlik açıkları sadakat seviyesi çok yüksek olan kulanıcılar içinde geçerlidir.

d. Yardımsever Personel

Yardımsever personeller her daim sosyal mühendislik saldırılarına maruz kalma ihtimallerine sahiptierler, bir personelin yardımsever olduğunu farkeden sosyal mühendis, oluşturacağı herhangi bir sahte senaryo ile hedefi normalden daha kısa sürede ikna edebilir.

2. BİLGİ TOPLAMA

Sosyal mühendis seçilen hedef kitlesine göre bilgi toplar ve sahte senaryolar üretir. Hedefe kitlye ve/veya kişiye ait bilgi toplama sürecinde Facebook, Twitter, Instagram, Google ve Maltego başta olmak üzere birçok sosyal medya ve açık kaynak istihbarat sistemleri kullanılır.

3. ALGI ZAAFİYETİ OLUŞTURMA

Sosyal Mühendislik saldırıları iletişim ve ikna becerilerine dayanmaktadır. Saldırgan hedef ile herhangi bir şekilde iletişime geçer ve hedefi kendi isteğini yapması yönünde ikna etmeye çalışır. Sosyal mühendislerin kullandıkları algı karışıklığı sağlayan yaklaşımlar insan psikolojisini alt etme amaçlıdır. Algı karışıklığı ile hedefin sağlıklı düşünmesinin önüne geçilmeye çalışılmaktadır. Algı zaafiyeti oluşturma noktasında aşağıda açıklanan çeşitli yöntemler kullanılmaktadır.

a. İstek Arttırma ve Azaltma

Sosyal mühendis hedef ile temasa geçtikten sonra, güven oluşturarak hedeften yapılması basit şeyler talep eder, hedef istekleri yapmaya başladığında ise oluşan güveni kullanarak saldırgan isteklerin büyüklüğünü arttırır. Bir                         diğer yöntem ise bunun tam tersi olan istek azaltma yöntemidir, saldırgan ilk olarak hedeften yapamayacağı taleplerde bulunur ve taleplerin zorluk derecesini yavaş yavaş azaltıp bir baskı oluşturarak hedefin ufak isteği kabul                          etmesi sağlar.

b. Seçim Yapmaya Zorlama

Saldırgan hedef ile temasa geçtikten sonra oluşturduğu güvene bağlı olarak hedefe soru ile birlikte iki cevap seçeneği söyleyerek hedefi birini seçmek mecburiyetinde bırakır. Örneğin hedefteki kişiye “Kahve içer misin?” demek yerine “Kahveniz şekerli mi olsun yoksa şekersiz mi?” demek karşımızdaki kişiyi kahve içmeye zorlayacaktır.

c. Soruya Soru İle Cevap Verme

Hedef kişiyi sahte senaryolar ile ikna etmek kolay bir yetenek değildir, farkındalık seviyesi yüksek bir hedef ile karşı karşıya kalındığı zaman hedef, sosyal mühendise bazı sorular yönelterek onu zorda bırakabilir, bu durumda                   sosyal mühendisler çoğu zaman çıkış yolu bulmak için soruya soru ile cevap verme tekniğini kullanırlar örneğin “Kim olduğumu hatırlatmama gerek var mı?”, “Bu konuyu çözmek için bir yönetici ile görüşmek zorunda mı                                  kalacağım?” gibi sorular sosyal mühendislerin sıklıkla kullandıkları sorulara örnektir.

d. Borçlu Bırakma

Hedefi ikna etmek için kullanılan bir diğer yöntem borçlu bırakmaktır. İnsan doğası gereği borçlu olduğu vakit ödeşmiş olmak için hemen her yolu dener, bu süreç içinde sağlık düşünme konusunda problemler yaşar. Sosyal                             mühendisler insanolunun bu zaafını kullanmak amacıyla hedef kişiye talep edilmediği halde herhangi bir yardım sağlar ve hedefin ödeşmiş olma çabasını kötüye kullanarak hedef kişiye istediklerini yaptırmaya çalışırlar.

e. Ödüllendirme ve Korkutma

Hedefe ödül vererek isteklerini yaptırmak veya hedefi onun için değerli olan bir unsur ile korkutarak/tehdit ederek iseklerini yaptırma, sosyal mühensilerin yakın zamanda sıklıkla kullandıkları yöntemlerdendir.

 

4. İNSAN TABANLI SALDIRILAR

Bu tip saldırılar hedef ile fiziksel temas gerekentiren sladırılardır. Elde edilen bilgiler ile hedef baskı altına alınıp ikna etmek için çaba sarfedilir, bu noktada sosyal mühendisin fizyolojik ve psikolojik olarak güçlü olması gereklidir, herhangi hatalı bir mimik hedefin durumu farketmesi için yeterli olacaktır.

4.1 Son Kullanıcı veya Önemli Kullanıcı Gibi Davranma

Sosyal mühendis, hedefi ikna etmek için son kullancı veyahut mühim bir pozisyonda çalışan biri gibi davranarak daha önceden elde edilen bilgileri kullanarak daha fazla bilgi alabilmek için hedefe psiklojik baskı kurar.

4.2. Çöp Karıştırma ve Omuz Sörfü

Çöp karıştırma yöntemi, atılan önemli bir bilgiyi yada çalışaların zaaflarını yansıtabilecek herhangi bir materyali bulmak amacıyla kullanılmaktadır. Omuz sörfü ise benzer bilgi ve zaafiyetleri hedefi gözlemleyerek elde etme çabasıdır.

 

5. BİLGİSAYAR TABANLI SALDIRILAR

Bu tip saldırılar genelde fziksel temas yerine dijital kanal aracılığı ile hedefi yanıltarak istenilen sonuca varma çabasını amaçlar.

5.1.Yanıltıcı E-postalar ve Oltalama Saldırıları

Bu saldırı tipinde sosyal mühendisler hedefe e-mail aracılığı ile ulaşmaya çalışır, gönderilen sahte maiiler ile hedefin zararsız görünen zararlı bir yazılımı yüklemesi için sahte senaryolar üretilir. Yazılım yüklemenin yanı sıra hedefe  sistem tarafından uzantısı otomatikmen gizlenen dosyalar fatura ve benzeri şekilde gönderilir ve bu dosyları açması için sahte senaryolar oluşturulur. Örneğin en çok karşılaşılaşılan vakalardan biri .pdf veya .zip uzantılarının önüne gelen diğer uzantıların (pdf.exe zip.exe) windows sistemi tarafından otomatik olarak gizlenmesi (.pdf.exe nin sadece .pdf olarak görünmesi) ve dosyaların .pdf yada .zip şeklinde görünmesi zaafiyeti ile birçok kullanıcın bilgisayarına zararlı yazılımlar yüklenmiştir. Bir diğer yöntem ise zararlı link oluşturarak hedefin zararlı linke tıklamasını sağlamaktır, bu yöntemde hedefin sürekli olarak kullandığı sitelerin sahteleri oluşturularak sahte senaryolar üzerinden oturum bilgilerinin elde edilmesi amaçlanır.

5.2. Bilinmeyen Siteler ve Mobil Uygulamalar

Sosyal mühendislerin kullandığı bir diğer yöntem ise güvenli siteler üzeriden oturum bilgilerini kopyalamaktır. Normal şartlarda kullanıcıların büyük çoğunluğu benzer kullanıcı adı ve şifre kombinasyonu kullanırlar, hatta aynı kullanıcı adı ve şifre kombinasyonunu birden fazla platformda kullanan kullanıcı sayısı da bir hayli fazladır. Sosyal mühendis herhangi bir ürünü siteye kayıt olunması durumunda bedava vereceğini açıklayarak hedefin sistemde profil oluşturmasını sağlar ve oturum bilgilerini kullanrak hedefin diğer hesaplarını ele geçirir, birçok kullanıcı bu yöntemle bazı hesaplarına erişimi kaybetmiştir. Bir diğer zafiyet .apk dosyalarındadır, mobil uygulamaların kurulum esnasında istediği yönetici izinleri sistemi tehlikeye atmaktadır, zararlı bir yazılımın modifiye edilip zararsız gibi gösterlmesi durumunda, hedef yazılımı yüklerken izinleri verdiği zaman ki birçok uygulama istenilen izinler verilmediği takdirde sisteme yüklenememektedir, yazılımı modifiye eden bir sosyal mühendis mobil cihaza yönetici erişimi sağlayabilecektir. Bu tarz ugulamalar sadece orijinal üretici tarafından sağlanmalıdır, crack ve mod uygulanan .apk ve .exe dosyaları güvenlik kavramından çok uzaktır.

​​​​​​​

6. SOSYAL MEDYA

Sosyal medya saldırganlar için bir bilgi kaynağından fazlasını sunmaktadır. Saldırgan sosyal medya üzerinden hedef ile ilgili birçok bilgiye ulaşabilmekte ve aynı zamanda sahte profil oluşturarak hedef ile temase geçerek güven oluşturma şansına sahip olabilmektedir.

 

7. SOSYAL MÜHENDİSLİK SALDIRILARINA KARŞI ALINMASI GEREKEN ÖNLEMLER

Sosyal mühendislik saldırılarının temeli insan psikolojisini alt etmektir. Buna bağlı olarak eğitim ve belli periyotlarda düzenlenecek tatbikatlar siber bilincin ve farkındalığın artmasını sağlayacaktır. Kullanıcıların gelen e-mail’in yada linkin nereden gelip neredye gideceğine dair bir fikir sahibi olması gereklidir, bu farkındalığın oluşturulabilinmesi güvenliği bir üst seviyeye taşıayacaktır. Bunun yanında kullanıcıların şifre belirleme politikalarını yenilemesi ve güçlü şifreler oluşturarak belli periyotlarda yenilemesi gerekmektedir, şifrelerin herhangi bir yere not edilmesinin önüne geçilmeli ve eski kullanılan şifrelerin tekrar kulanılmaması gerekmektedir. Bilgi erişim hiyerarşisi oluşturulmalı ve hassas bilgilere erişecek kullancılar özenle beilrlenmelidir. Dijital ve bireysel önlemlerin yanısıra fiziksel önlemlere de önem gösterilmeli, güvenlik kamaeraları sürekli takip edilmeli ve bilgisayarlar dışardan gözlenemeyecek bir konumda olmalıdır. Bahsedilen önlemler hem bireysel hem de kurumsal kullanıclar için uyarlanabilir niteliktedir ve sosyal mühendislik saldırıları karşısında daha güçlü durabilmeyi sağlayacaktır.

8. SONUÇ

Bu makalede sosyal mühendislik saldırılarınn genel hedef kitlesi, türleri ve yaklaşım biçimleri sınıflandırılarak açıklanmıştır. Bir sosyal mühendisin izlediği adımlar sırası ile açıklanmış ve toplum bilincinin artması maksadı ile burada sunulmuştur. Yapılan analizin sonucuna göre elde edilen çıkarımlar; sosyal mühendislik saldırılarının tek bir çözümü olmadığı ve toplumun bilinçlenmesinin en önemli adım olduğudur. Yapılacak yatırmlara siber güvenlik ve siber farkındalık reklamları ve eğitimleri eklenmesi gerekli bilincin artaması için yapılması gereken önemli adımlardan biridir. Siber güvenlik kavramında sosyal mühendislik konusu önemsiz görülmemeli ve saldırganın sıradan bir kullanıcıdan bütün sisteme erişme riskinin olduğu her daim hatırlanmalıdır. İnsanoğlu her daim hata payının vazgeçilmez unsurudur ve bundan ötürü her daim sonsuz bir zafiyet kaynağı olarak görülmekte olup bunu tamamen engellemek mümkün değildir. Ancak oluşabilecek zafiyetlerin azaltılması ve bilinen saldırı yöntemlerine karşı yapılacakların öğrenilmesi ile birlikte güncel bir siber güvenlik çizgisinde ilerlemek mümkündür. Siber dünyada %100 siber güvenliğin imkansız olduğu göz önünde bulundurulduğunda, siber güvenliğe ait ilgi, bilinç ve yatkınlığın arttırılmasının birçok siber tehdidin önüne geçeceği gerçeği ortaya çıkmaktadır.




Yazar Hakkında

Yönetim Bilişim Sistemleri alanında Yüksek Lisans eğitimine devam etmekte ve uzunca bir süreden beri siber güvenlik alanında çeşitli bilimsel araştırma ve akademik çalışmalar yapmaktadır. Başta Sosyal Mühendislik, Fidyeci Yazılımlar ve Siber Savaş kapsamında üretilen siber silahlar alanındaki çalışmaları ile ülke genelinde çeşitli ulusal ve uluslararası nitelikte kongre ve çalıştaya katkıda bulunmuştur. Halen, siber güvenlik ve siber savaş alanında çeşitli çalışmalarına devam eden Atasoy, güncel fidye yazılımları (Ransomware) ve zararlı yazılım analizi (Malware Analysis) konuları üzerine çalışmalarını sürdürmektedir.






Yorum Yapmak İçin Giriş Yapın.