Günümüzün Mesleği; Sosyal Mühendislik

 "Benim özel bir yeteneğim yok. Yalnızca tutkulu bir meraklıyım." -Albert Einstein

Kübra Eskalan - Sızma Testi Uzmanı

Günümüzün Mesleği; Sosyal Mühendislik

Sosyal mühendislik, sistemlerdeki insan faktörünü kullanıp etkileşim sağlayarak gizli kalması gereken bilgilerin ortaya çıkarılması eylemidir. Bir nevi insanları manipüle etme tekniğidir.

Siber saldırganlar sosyal mühendislik saldırılarını oldukça fazla kullanmaktadır. Çünkü genellikle bir kişinin güvenini kazanıp parolasını veya kişisel bilgisini vermesi için kandırmak, parolanın kırılması veya kişisel bilginin ele geçirilmesinden daha kolaydır. Burada çoğu sistem için insan faktörü en tehlikeli açık olma niteliğindedir. Sosyal mühendislik saldırılarında başarı durumunu en çok etkileyen faktör ise saldırganın manipüle etme yeteneğidir. Çünkü başarılı manipüleler ile kurbandan istenen eylemler yerine getirilmektedir. İkna edebilmek, istenilen doğrultuda kişiye evet dedirtme sanatıdır.

Günümüzde sosyal mühendislik saldırılarının sayısı oldukça artmıştır ve artmaya devam etmektedir. Bununla doğru orantılı olarak bu saldırıların karmaşıklığı ve gerçekçiliği de oldukça artmaktadır. Bu tehlikeye karşı firmalar elemanlarının güvenlik konusundaki eğitimlerini ilk savunma hattı olarak görmelidirler. Çünkü insanlar, güvenlik zincirinin oluşumunda en zayıf halka varsayılmaktadır. Güvenlik ise neye ve kime güvenileceğini bilmekle ilgilidir. Bu yüzden sosyal mühendislik saldırılarının savunması hiç kolay değildir. Çünkü insanlar tahmin edilemez ve öngörülemezdir. Yani bir şirkette hangi elemanın bu saldırıya inanacağını bilemezsiniz. Saldırganlar ise bu belirsizlik karşısında hedef yelpazesini olabildiğince geniş tutarak başarı oranlarını arttırmaya çalışmaktadırlar. Bu şekilde hedeflerden birinin hazırlıksız olduğu bir ana denk gelebilme ihtimallerini yükseltirler. Çünkü insan doğasında; dikkatsizlik, meşguliyet, güvenlik bilinçsizliği vb. özellikler bulunmakta ve normal kabul edilmektedir. Bu yüzden firmalar elemanlarını siber güvenlik üzerine bilinçlenmelerini sağlamak amaçlı kaynak, eğitim ve araçlar sağlamalıdırlar.

Sosyal mühendislik saldırıları internet üzerinden ya da fiziki etkileşimler ile gerçekleşebilmektedir. Bunun için insanların eylemlerinin ne üzerine kurulu olduğu hakkında araştırma yaparak manipüle safhası için büyük yol kat edilebilir. Günümüz teknoloji çağında ise insanların zaaflarını bulma konusunda sıkıntı yaşandığı söylenemez. Bu yüzden sosyal mühendislik firmalar için en tehlikeli saldırı yöntemlerinden biridir. Çünkü firmalar sistemlerinde teknik bir açık bulunmadan da bu saldırıya maruz kalabilmektedirler. Bu yönüyle geleneksel saldırılardan oldukça farklıdır. Kime ne koşullarda güvenmemiz gerektiğini bilmemiz gerekmektedir. Kendi firmanız için alabildiğiniz tüm fiziki önlemleri almışsınızdır. Fakat kapıda tamirci olduğunu ve içeri girmesi gerektiğini söyleyen bir kişinin sözlerinin doğruluğunun kontrol edilmeden içeri alınmasına izin verilmiştir. O halde bu durumun beraberinde getireceği risklerden sizi fiziksel önlemleriniz korumamakta olduğunu geçte olsa fark edeceksinizdir.

Sosyal Mühendislik Saldırılarından Korunmak

Artık birçok siber saldırının doğrudan veya dolaylı yoldan sosyal mühendislik içerdiğini söyleyebiliriz. Bu tehditten kendimizi korumak için hem bireysel hem kurumsal olarak birtakım güvenlik politikalarını yaşam tarzımız haline getirmek zorunda olduğumuzu farkına varmalıyız. Bu saldırıya karşı kendimizi eğitim ile koruyabiliriz. Herkes bu konuda eğitimli ve bilinçli olursa güvenlik de artacaktır. Kendi bildiklerimiz ile etrafımızdakilerde farkındalık yaratırsak toplum olarak güvenlik konusunda amacımıza ulaşmış oluruz.

Bu politikalar için öncelikle kuruluşun olası bir sosyal mühendislik saldırısı durumunda ne yapacağını ve ne sonuçlar doğuracağını tecrübe edebilmek için sızma testleri gerçekleştirilmelidir. Bu şekilde test sonrası verilecek rapor ile harekete geçilmesi gerekmektedir. Olası riskler belirlendikten sonra ise personel eğitimleri düzenlenmeli ve bilinçlenme sağlanmalıdır. Aşağıda sosyal mühendislik ve olası herhangi bir siber saldırıya karşı almanız gereken genel kurallar verilmiştir.

• Kişinin kendi ve çalışanlarında siber güvenliğe dair öz farkındalık oluşturulmalıdır.
• Kişiler önemli bir sonuç doğurabilecek konularda karar vermeden önce yavaşlayıp düşünme alışkanlığı edinmelidir. Çünkü saldırganların istediği düşünmeden acele hareket etme eylemidir.
• Öğrenmeye ilham verecek çalışma ortamı oluşturularak çalışanlara siber güvenlik konusunda eğitimler verilmeli ve teşvik edilmelidir.
• E-posta spam filtreleri yüksek derecede tutulmalıdır. Bu şekilde sosyal mühendislik için yollanan e-postalar spam kutusuna düşerek bir nevi engellenmektedir.
• Kişisel bilgilerimizi isteyen bir mesajın yanıtlanması istenirse kesinlikle yanıtlanmamalıdır. Ayrıca güvenilir olmayan kaynaktan gelen e-postalara kesinlikle tıklanmamalıdır.
• Kişide sosyal mecra güvenliği algısı oluşturulmalıdır. Çünkü sosyal mecra en çok bilgi paylaşıp en savunmasız olduğumuz yerdir.
• Kişisel bilgilerimizin adlarını (anne-baba, evcil hayvan, ilkokul vb.) paylaşmaktan kaçınılmalıdır.
• Kişiler gerçek e-posta ile sahtesi arasındaki farkı anlayabilmek için bilinçlendirilmelidir. Örneğin e-postayı gönderenin e-posta adresi, tarafından gönderdiğini iddia ettiği firmanın alan adı ile uyuşmuyorsa bu e-posta sahtedir. Veya e-posta sizlere gereksiz bir şekilde bir ödül vadediyorsa (dikkat çekici bir hediye olabilir) tuzağa düşürülmek isteniyor olabilirsiniz.
• Hesaplarımızın çalınma ihtimaline karşı bir katman daha güvenlik almak için olabilecek tüm hesaplarda çok faktörlü kimlik doğrulama kullanılmalıdır. Ve kesinlikle tüm hesaplarımızın parolaları birbirinden farklı ve karmaşık olmalıdır.
• Cihazlarınızdaki güvenlik duvarı, anti virüs yazılımları güncel tutulmalıdır.
• Sahte olduğu anlaşılan bir e-postaya cevap bile verilmemesi gerekmektedir. Bu şekilde gerçek olmadığınızı düşünerek size başka yollarla da ulaşmak için çabalamazlar.
• Hiçbir cihazı halka açık alanlarda şifresiz, tedbirsiz bırakılmaması gerekmektedir. Mutlaka kitlenmeli ve güvence altına alınmalıdır.
• İnternet üzerinden kurulan arkadaşlıklarda verilen bilgilere ve manipüle edilmemeye dikkat edilmelidir.

Sosyal Mühendislik Türleri

Sosyal mühendislik saldırılarında oldukça fazla manipüle etme teknikleri bulunmaktadır. Bireysel ve kurumsal kullanıcılar açısından sosyal mühendislik saldırıları oldukça tehlikeli olduğu için en azından herkes sosyal mühendislik saldırı türlerini okuyarak nerelerden kandırılabilecekleri hakkında fikir sahibi olmaları gerekmektedir.

 Aşağıda bu saldırı türlerinden en çok karşılaşılanlarına örnekler verilmiştir.

1. Yemleme (Baiting)

Baiting, hem fiziksel hem sanal bir saldırı türüdür. Saldırganlar kurbanı bir ürünün cazibesiyle mantıklarını devre dışı bırakıp güvensiz bir eylem yapmaya iterler. Örneğin bir kafede kurbana yakın bir konuma üzerinde “Şifrelerim” yazan fakat içinde kötü amaçlı bir yazılım yerleştirdiğimiz CD bırakmak gibi. Bu şekilde CD’yi bilgisayarına takan kurban için iş işten geçmiş olur. 

2. Oltalama (Phishing)

Phishing saldırılarında, saldırganlar genellikle kurbanın aşina olduğu güvenilir bir kaynaktan (Google, Instagram, Youtube vb.) iletişim sağlıyormuş gibi davranarak gerçekliği taklit ederler. Bu saldırı türü çoğunlukla e-posta ile gerçekleşmekte olup genellikle kurbandan finansal, kişisel ve oturum bilgilerini paylaşması üzerine kuruludur. Her zaman kullandığınız ve güvendiğiniz bir sosyal mecranın orijinal ismine çok benzer bir alan adı ile sizlere e-posta atarak oturum bilgilerinizi ele geçirmesi phishing saldırılarına bir örnektir.

3. Korkutma (Scareware)

Scareware saldırı türünde, saldırganların asıl amacı hayali tehlikeler ile kurbanı korkutup bu korku hissinden yararlanarak aslında yapmaması gereken şeyleri yapmasını sağlamaktır. Örneğin bir kurban cihazında virüs olduğuna inandırılırsa belli bir miktar ödeme yaparak bu virüsün kaldırılabileceğine de inandırılabilir bu şekilde ödeme bilgileri ele geçirilebilir veyahut bilgisayarına bu virüsten kurtulması için kuracağı anti virüs görünümlü bir program yerine kötücül bir yazılım yüklenebilir.

4. Sahne Senaryo Uydurmak (Pretexting)

Pretexting, kurban üzerinde gözlem yapıp sahte senaryolar oluşturarak iletişim kurmak üzerine kurulu bir saldırı türüdür. Çoğunlukla telefon üzerinden ya da birebir iletişim ile gerçekleştirilir. Saldırgan kurban hakkında bilgi topladıktan sonra bu bilgilere uygun bir senaryo oluşturur ve kurbanla iletişimde kalarak güven duygusu oluşturulur. En sonunda bu güven duygusu üzerine kurulmuş ilişkide öğrenilmek istenen bilgiler kurbandan alınmış olur.  

5. Hedefli Oltalama (Spear Phishing)

Spear phishing saldırı türünde saldırganlar hedef odaklı çalışmaktadırlar. Burada hedef bir kişi olabilmekte ya da bir kurumun tüm çalışanları da olabilmektedir. Saldırgan bu saldırıda kurbanları hakkında bilgi (genellikle sosyal medyadan) toplamaktadır. Yeterli bilgiye ulaştıktan sonra kurban için tanıdık, güvenilir gözükecek bir e-posta atılmaktadır. Ve bu yollarla kişisel bilgiler ele geçirilmektedir. Spear phishing saldırıları oldukça fazla kullanılan ve başarı oranı yüksek bir saldırı çeşididir.

6. Yakın Takip (Tailgating)

Tailgating, güvenli ve halka açık olmayan bir alana erişebilmek için yapılan fiziksel bir saldırı türüdür. Bu saldırılar genellikle firmanın bir çalışanı taklit edilerek ve olabildiğince rahat olup o ortama aitmiş hissiyatı yaratılarak yapılmaktadır. Örneğin sunucu odasına girmeye çalışan bir saldırgan, elleri dolu bir şekilde oranın çalışanıymış gibi davranıp odaya giren yetkili birinin hemen arkasından yürüyebilir. Kapıyı açıp içeri girmeye çalışan yetkili kişiye, kartını masada unuttuğunu söyleyip hemen ardından odaya girerek ise gerçekte yapmak istediğine ulaşabilmektedir. Bu yüzden kurumlarda yetki gerektiren odalara girilirken mutlaka kimlik olması yükümlülüğü konusunda çalışanlar uyarılmalıdır.

7. Kimliğe Bürünme (Impersonating)

Impersonating saldırılarında saldırgan kurbandan bilgi alabilmek için, kurbanın tanıdığı veya kurbandan herhangi bir talepte bulunabilecek yetkili bir kişi gibi davranmaktadır. Burada saldırganın taklit ettiği kişi firmanın yetkili bir yöneticisi, polis gibi kişiler olabilmektedir. Bu şekilde kurban denileni yapma eğilimini göstermeye bir nevi zorlanır.

8. Quid Pro Quo

Quid pro quo saldırı türünde saldırganlar, bir şey karşılığında bir şey sunarlar. Bu saldırıda saldırgan erişim izni karşılığında kurbana bir hizmet teklif eder. Mesela bir deney yaptığını söyleyerek oturum bilgileri karşılığında bir hediye çeki teklif eder. Sadece firmalar için değil günlük hayatımızda da karşımıza oldukça fazla çıkan bir saldırı türüdür fakat fark edilmesi diğer türlere göre daha yüksektir.