Sosyal mühendislik

SOSYAL MÜHENDİSLİK NEDİR?
saldırganın istediği şekilde davranmanızı sağlayan psikolojik bir saldırı türüdür. İnsanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır. Teknoloji kullanımından çok insanların hile ile kandırılarak bilgi elde edilmesidir.
Diğer bir değişle insan aldatma sanatı olarak tanımlanmaktadır. Siber suçlular elektronik sistemleri ve ağları kullanarak siber saldırılar düzenleyebildikleri gibi kurum çalışanları arasındaki zayıf halkayı hedefleyerek ve bu kişilerin zafiyetleri ve hatalarını sosyal mühendislik teknikleri ile kötüye kullanarak faydalanmakta ve sistemlere izinsiz erişim elde edebilmektedirler.

Sosyal mühendislik saldırılarında sisteminiz hedeflendiği gibi kimliğiniz, özel ve iş hayatınız da hedeflenmektedir. Bir sosyal mühendislik saldırısında insan davranışlarındaki zafiyetlerden faydalanır, çeşitli ikna ve kandırma yöntemleri kullanılarak kötü niyetli kişilerin erişmek istediği bilgiler elde edilmeye çalışılmaktadır.

Sosyal mühendislik saldırıları internet tarihinin en eski ve en tehlikeli saldırı türlerinden biridir. Günümüze kadar gelen sosyal mühendislik saldırılarında en popüler olan hikayelere bakıldığında bilgisayar korsanı Kevin Mitnick’in adı ön plana çıkmaktadır. Bilgisayar tarihinin en eski bilgisayar korsanı olan Kevin Mitnick bir sosyal mühendislik dehası olarak anılmaktadır. Kevin Mitnick’in popüler hale getirdiği sosyal mühendislik terimi, ilk olarak insanları istemedikleri şeyleri kendi istekleri ile yapmaya ya da gizli bilgilerini vermeye kandırma eylemi olarak tanımlanmıştır.

İnsan doğası gereği hemen hemen her an hata yapabilir ve yapmaktadır. Bu noktada siber saldırganlar sosyal mühendislik saldırıları ön plana çıkarak insan hatalarından faydalanmakta ve sistemlere / gizli bilgilere erişim elde etmektedirler.

Sosyal mühendisliğin mucidi olarak tanımlanan Kevin Mitnick bu alanda yazdığı kitapta sosyal mühendislik saldırılarına dikkat çekmektedir. Mitnick’in kitabında girdiği sistemlerin %80'ine sosyal mühendislik yöntemleriyle ulaştığını anlatılmaktadır. Aynı zamanda Kevin Mitnick’in yakalanmasında başrol oynayan güvenlik uzmanı Tsutomu Shimomura, Mitnick ile girdiği mücadeleyi anlatırken, özellikle de sosyal mühendislik yöntemlerine değinmiştir. Mitnick hakkında suçlayıcı bir delil sağlanamasa da o tarihte serbest bırakılma hakkı verilmeden 4 yıl boyunca bir hapishanede kalmıştır.

Mitnick, dünyanın en güvenli olarak adlandırılan bazı bilgisayar sistemlerine başarı ile sızmıştır. Bu sırada da teknik bir yol izlemektense sosyal mühendislik kullanarak Telekom cihazlarına erişim elde etmiştir.

Kevin 1978 yılında amatör radyo sistemleri ile uğraşırken Roscoe adında bir kadınla tanışmıştır. Roscoe ve arkadaşı Susan gündüzleri santral operatörlüğü yapıyorlardı. Teknik olarak bu konularda uzman olan Kevin, bu grubu ayakta tutan kişiydi ve bu grubu kullanarak birçok bilgiye erişim sağlamıştır. Kevin sızmak istediği bir sistem için öncelikli olarak bilgi toplar ve ardından sosyal mühendislik teknikleri ile gizli bilgileri elde edebiliyordu. Kevin ve arkadaşları elde ettikleri verileri para için kullanmadılar. Sistemlere girebilmek için en ayrıntılı bilgileri elde edebiliyorlardı. Kevin Mitnick 1980 yılında US Leasing adında elektronik cihazları kiralama şirketlerinden birinin bilgisayarlarına girdi. Kendisini Digital Equipments firmasının bir teknisyeni olarak tanımlayan Kevin, telefonda US Leasing’i arayıp sistemdeki bir arızayı çözmek için gerekli olan kullanıcı adı ve parolaları alabilmiştir. Bu bilgileri şüphelenmeden karşı tarafa veren firma çalışanı ertesi gün Digital firmasını aradığında böyle bir kimsenin olmadığını firmalarının onlar tarafından aranmadığını öğrendinde artık çok geçti.

1985"in yazında Kevin Mitnick tekrar ortaya çıktı. Hakkındaki tutuklama kararı zaman aşımına uğramıştı ve arkadaşı Lenny ile iletişime geçerek çalışmalarına tekrar başladı. Lenny çalıştığı yerlerdeki bilgisayarları Kevin"in kullanımına açmıştı. Bu sırada ABD"nin en büyük haber alma teşkilatı olan NSA (National Security Agency) bilgisayarlarına da girmeye başladı.Yaklaşık altı ay içinde Los Angeles bölgesi içindeki hemen tüm mini bilgisayarlara girmelerini sağlayacak kullanıcı hesaplarını elde ettiler. Bu sırada NSA"in sıkıştırmasıyla Lenny işten kovuldu. Bu ve benzeri birçok saldırı ve hack girişiminde Kevin Mitnick sosyal mühendislik saldırılarını kullanmıştır.

“Sosyal Mühendislik saldırıları Phishing adı verilen siber saldırılarla birleştiği zaman büyük bir oranda başarı sağlanmaktadır.”

SOSYAL MÜHENDİSLİK SALDIRILARINDA KULLANILAN YÖNTEMLER
Korku verici, heyecan duygunuzu tetikleyen, beklenen bir haber gibi görülen, felaket senaryoları, hediye, çekiliş ve benzeri birçok konu başlığı sosyal mühendislik saldırılarında kullanılmaktadır.

İnsanların, özellikle de siber güvenlikte farkındalık ve bilinç düzeyi düşük olan kurum çalışanlarının bu tarz duyguları tetiklenerek hata yapmaları sağlanır. Ardından siber saldırgan bu hatayı kötüye kullanarak sistemlere erişim sağlayabilir.

Japonya'da 11 Mart tarihinde gerçekleşen tsunami felaketinden dakikalar sonra, sahte virüsten koruma yazılımlarını barındıran sahte haber siteleri, bu yazılımları en güncel haberleri arayan kullanıcıların sistemlerine bulaştırdı.

Diğer bir yandan korku siber saldırganlar için müthiş bir motivasyon kaynağıdır. Siber saldırganlar kurbanlarını hedeflerken korkuyu, tehdidi ve benzeri heyecan verici duyguları tetikleyerek isteklerine boyun eğmenizi sağlamak için panik yaratan bir dil kullanırlar. Bu noktada popüler olayları, dünyayı etkileyen durumları, büyük maçları, turnuvaları veya sevgililer günü gibi özel günler sıkça sosyal mühendislik saldırılarında kullanılır ve büyük oranda başarıya ulaşılabilir. Bu noktada siber saldırganlar kredi kartı bilgileri, kişisel veriler, parolalarınız gibi hassas verilere ulaşabilme imkanı sağlamaktadırlar.

SOSYAL MÜHENDİSLİK SÜREÇLERİ VE YÖNTEMLERİ NELERDİR?
Sosyal mühendislik saldırılarında ilk aşama hedefin belirlenmesi ve kurbanın seçilmesidir. Kurbanlar seçilirken de genel olarak en zayıf halkayı yani bilgisiz, dikkatsiz kullanıcılar tercih edilir. Hedeflenen bilinçsiz kullanıcılar hakkında bilgi toplanarak ikinci aşamaya geçiş yapılır. Bilgi toplama sosyal mühendislik saldırılarında en önemli ve sonraki aşamalarda kullanılmak üzere toplanan verilerden oluşur. Bilgi toplama sırasında saldırganlar toplanacak verinin önemsizliğine veya değerine bakmaz. Hemen hemen kurban hakkındaki her türlü veriyi özellikle de sosyal ağları kullanarak toplamaya çalışır. Üçüncü aşamaya gelindiği zaman zayıflık tarama süreçleri devreye girer. Zayıflık tarama elle yapılabileceği gibi genel olarak otomatize araçlar kullanılarak gerçekleştirilir. Zayıflık tarama sürecinde elde edilen zafiyetler sonraki aşama için destek sağlamaktadır. Son aşama ise hedefin başarıya ulaşması ve ortaya çıkabilecek delil ve kanıtların ortadan kaldırılması sürecidir.

Son yıllarda ortaya çıkan sosyal mühendislik saldırılarını incelediğimizde kurum personellerine doğrudan ulaşılabilecek veya kurum çalışanlarına doğrudan etki edebilecek teknikleri etkin olarak kullandıklarını da görmekteyiz.

Genel olarak sosyal mühendislik saldırılarında oltalama, sahte aramalar, ters toplum mühendisliği, çöp karıştırma, bilgi çalmak gibi birçok teknik kullanılır. Bu teknikler hedeflenen kurbana özel yapılabildiği gibi hedef bir kurum olduğu takdirde kurum çalışanlarının bütününe de uygulanabilir. Günümüz teknolojileri düşünüldüğünde karşılıklı etkileşim açısından sosyal mühendislik türlerini iki başlık altında toplayabiliriz.

İnsan Tabanlı Sosyal Mühendislik Teknikleri; sosyal mühendislikte insanlarla doğrudan iletişime veya etkileşime geçilmesi durumudur. Burada amaç istenen bilginin doğrudan elde edilebilmesidir. Bu noktada başkasının kimliğine bürünme, üçüncü taraf gibi davranma, yardım ve destek hizmetlerini kullanmak şeklinde karşımıza gelmektedir.
Bilgisayar Tabanlı Sosyal Mühendislik Teknikleri; sosyal mühendislik süreçlerinde insanlarla doğrudan etkileşime geçilebildiği gibi bilgisayar tabanlı teknikler de kullanılmaktadır. Bu teknikte oltalama e-postaları (phishing) vazgeçilmez bir unsur haline gelmiştir. Diğer noktada telefonla dolandırıcılık (vishing), sahte siteler, trojan ve benzeri türdeki zararlı kodların kullanılması bu alana girmektedir.
Sosyal mühendislik süreçlerinde kurbandan alınabilecek bilgi karşılığında yardım, para, eşantiyon, hediye ve benzeri ilgi çekici ve ücretsiz adı altında birçok yöntem kullanılabilir. Hassas bilgiye ulaşmak için kişinin zafiyetlerini kullanmaya yönelik bir siber saldırı türü olarak karşımıza gelen siber saldırıların sonucunda saldırganın karlı çıkacağı bir senaryoya ikna edilmeye çalışılır.

Sosyal Mühendislik Saldırılarında Ortaya Çıkan Zararlar
Sosyal mühendislik saldırıları kurumlara bir giriş kapısı açabildiği veya kişilerin bilgisayarlarına erişim elde edilebilmesi için ilk adım olarak görülse de sonucu itibari ile büyük zararlar doğurabilmektedir. Sosyal mühendislik saldırıları ile ortaya çıkan zararlara bakıldığında maddi veya manevi olarak büyük zararlar verilebildiğini görüyoruz. Dünya genelinde yapılan siber saldırılara bakıldığında aralarında global markaların da olduğu birçok kuruma veya ulusal çaptaki firmalara milyon dolarlık zararlar verildiği ortaya çıkmıştır.

Siber saldırganlar sosyal mühendislik saldırıları ile kurum sistemlerine erişim elde ettikleri zaman veri çalmak, verileri kopyalamak, fidye istemek veya kişisel verileri internet ortamında yayınlamak gibi birçok zarar verebilmektedirler.

SOSYAL MÜHENDİSLİK SALDIRI ÖRNEKLERİ
Kişilere verilen zararları göz önüne aldığımız zaman fidye ve şantaj ön plana çıktığı gibi kredi kartı hırsızlığı sıklıkla karşımıza çıkmaktadır. Genel olarak Facebook ve benzeri ağlarda hesaplar ele geçirilerek hesap sahiplerinin anne babaları veya yakın akrabalarına…

“Cüzdanımı kaybettim, şu an bir benzin istasyonundayım, param yok telefonumun şarjı bitti. Bana kredi kartı numaranı yazar mısın? Benzinlikteki amca 100 TL verecek bana eve dönebilmem için…”

Bu ve benzeri senaryolar gençlerin hesapları ele geçirilerek bilinçsiz anne veya babadan birçok bilgi ve kazanç sağlanabiliyor.

Diğer bir örneğimizde ise hediyeli bir anket kullanılarak, kurbandan şifre girmesi önerilir. Kurbanın karşısına gelen siber saldırıda kişisel bilgiler veya giriş parolaları sorulabilir, ya da şifresini söylemesi durumunda o sırada sistemle ilgili yaşadığı sorunun çözüleceği vaadedilerek güven kazanılmaya çalışılır.

Genel olarak saldırganlar şirket veya kurumlara sızmak için erişim hakkı olan personelle güvene dayanan arkadaşlık kurma yoluna gitmektedirler. Bu yöntemde genel olarak sosyal ağları kullanmakta ve sahte profillerle kurbanın karşısına çıkılmaktadır. Şirket çalışanlarının iş dışında oluşan ilişkileri suistimal edebilir, ya da saldırılanla ortak ilgileri ve beğenileri paylaşıyor izlenimi vererek güven sağlanması amaçlanır.

Sosyal Mühendislik Saldırılarının Ortaya Çıkartacağı Zararlar
Yetkisiz Erişim Elde Etmek: Saldırganlar erişim sağlamak için gerekli bilgileri elde ederek sistemlere izinsiz olarak erişim sağlayabilirler.
İtibar ve Güven Kaybı: Siber saldırganlar sistemleri ele geçirdiklerinde kurum veya şirket itibarını zadeleyebildikleri gibi kurumun hizmet sunduğu şirket veya kişilerin gözünde itibarına büyük zararlar verebildiklerine de şahit olmaktayız.
Veri Hırsızlığı: Ele geçirilen parolalar veya erişim bilgileri ile şirketlerin iş süreçleri aksatılabilir, fidye istenebilir veyahut verileri çalınarak internet üzerinden satılabilir.
Hizmet Durdurma: Ele geçirilen sistemler çoğu zamana siber saldırganlar tarafından hizmet verilemez hale getirilmektedir. Bu noktada şirketler büyük maddi kayıplar yaşayabilir.
Yasal Yaptırımlar: Kurum müşterilerinin veyahut kişisel verilerin ihlali sonucunda GDPR, KVKK veya benzeri kanunlar sebebiyle şirketlere devletler veya ulusal çaptaki standartlar çeşitli yaptırımlar veya para cezaları kesebilmektedirler.
Sosyal Mühendislik Saldırılarına Karşı Alınabilecek Pratik Önlemler
Siber güvenlik doğası gereği bütüncül bir güvenlik yönetimine ihtiyaç duymaktadır. Bu noktada sosyal mühendislik saldırılarına karşı alınabilecek önlemler, diğer saldırı türlerine karşı alınabilecek önlemlerle benzerlik gösterebilirler.

Fiziksel Güvenlik Önlemleri: Sistem güvenliğinde özellikle de kritik verilerin işlendiği veyahut kullanıldığı şirketlerde fiziksel güvenlik en önemli tedbirlerin başında gelmektedir. Yetkisiz erişimlere karşı fiziksel güvenlik bilgisayar sistemlerinden önce atılan ilk güvenlik adımıdır. Şirketler hassas verilere erişimde, basılı veya diğer matbu dokümanların korunmasında fiziksel güvenliği hem insan faktörü hem de fiziksel güvenlik kontrolleri ile güven altına almak zorundadır.
Güvenlik Politikalarına Uyum: Kurumların oluşturdukları güvenlik politikaları açık, anlaşılır ve uygulanabilir olmalıdır. Erişilebilirliği eksik veya uygulanabilirliği zor olan güvenlik politikaları çoğu zaman kurum çalışanlarına zorluk yaşatabilmektedir. Aynı zamanda global standartlarla belirlenen güvenlik politikalarının kurum güvenliği ve veri güvenliği için önemli olduğunun altını çizmek isteriz.
Eğitimler ve Yaptırımlar: Kurum çalışanlarının farkındalık düzeyini ölçümlemek ve siber saldırılara karşı bilinçlendirmek için bilgi güvenliği farkındalık eğitimleri verilmektedir. Genel olarak birçok kurum ISO 27001 kapsamında bilgi güvenliği farkındalık eğitimlerini çalışanlarına belirli periyotlarla tekrarlamaktadırlar. Sosyal mühendislikte en önemli nokta kurum çalışanlarının farkındalık düzeyini artırmakla başlar.
Firewall ve Antivirüs Kullanımı: Hem kurum ağını denetlemek hem de kurum çalışanlarının bilgisayarlarını koruma amacı ile muhakkak bir Firewall ve Antivirüs kullanılması gereklidir.
Geri Arama: Hassas bilgilerin iletilmesi durumunda geri aramanın zorunlu kılınması gereklidir. Özellikle parola ve benzeri erişimlerin paylaşılması sırasında sahte aramalara karşı muhakkak geri arama yönteminin benimsenmesi şarttır.
Parola Politikası: Kurum genelinde bir parola politikası belirlenerek yönetim de dahil olmak üzere herkesin bu politikaya uyması önem arz etmektedir.
Şüpheci Olun: Şüpheli durumlar, belirsiz veya ucu açık sorularla veyahut paylaşımlar istendiği takdirde özellikle de e-posta ve SMS erişimlerinde mutlaka şüpheci olmak, gerektiğinde iki kere doğrulamak kurum güvenlik politikalarına yansıtılmalıdır.
Merkezi Loglama: Kurum iç ağı ve kurum çalışanlarının bilgisayarları ile misafir erişimlerinin denetlenmesinin yanı sıra kanunlara uygun bir şekilde loglama tutulması gereklidir.
Sonuç olarak bu ve benzeri güvenlik denetimleri ile birlikte sisteminizi koruma altına almak, kişisel verilerin gizliliğini sağlamak zorundasınız. Aynı zamanda hiçbir sistemin yüzde yüz güvenli olmadığını insan faktörünün her zaman büyük bir rol oynadığını unutmayın. Sosyal mühendislik saldırılarının etkisini en aza indirgemenin en önemli yolu güvenlik politikalarının güncel tutulması ve personelin uygun bir şekilde bilgilendirilmesi yani farkındalık eğitimleri ile mümkündür.