Sosyal Mühendislik Nedir?

Sosyal mühendislik, internette insanların zaafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır. İnsanların karar verme süreçlerini değiştirmeye yönelik teknikler içerir.

Sosyal Mühendislik Saldırısı:

Kurumsal bilgi güvenlik riskleri tartışıldığında sosyal mühendislik saldırılarının çok fazla dikkat çekmemesi her zaman şaşırtıcıdır. Bununla birlikte nispeten güçlendirilmiş bir web sunucusu üzerinde ortaya çıkartılabilir bir açığı bulmaya karşılık, masum bir çalışanın bir bağlantı üzerine tıklamasını sağlamak genellikle çok daha kolaydır. Sosyal güvenlik saldırıları birçok farklı açıdan gelir: Hedeflenen e-postalardan, yanıltıcı telefon aramalarından ya da IT kaynaklarına ve aradıkları veriye erişim elde etmek üzere bir servis teknisyeni ya da zararsız bir kişi gibi davrananlardan… İster iyi niyetli bilgisayar korsanlarından ister suçlu saldırganlardan gelsin, sosyal mühendislik saldırıları gerçekte nasıl oluyor? “Sosyal mühendislik benim en favori aktivite türlerimden biridir.” diyor yıllar içinde çok sayıda etik sosyal mühendislik saldırısı gerçekleştiren Rook Security teknik danışmanı Chris Blow.

 

hack

Sosyal Mühendislik Saldırıları Nasıl Başladı?

Saldırganlar öncelikle sosyal medya sitelerine ve internet aramalarına yöneliyor. Hatta hedef firma hakkında öğrenebilecekleri veri sayısını artırmak için çöp konteynırlarını dahi karıştırıyor. Öğrendiği bilgiyi aldıktan sonra bunları e-posta, telefon ya da bizzat kendisi ile hedefli bir saldırı yapısında hayata geçiriyor. General Dynamics Fidelis Cybersecurity Solutions firmasının siber güvenlik servisleri başkan yardımcısı Mike Buratowski bu taktikleri biliyor. “Firmalar için ihlal değerlendirmeleri yaptığımızda genellikle internet üzerinde kuruma özel bilgiler buluyoruz. Bunlar kişisel olarak ayrıştıralabilir çalışan bilgilerini içeren bir personel listesini, her bir kişinin kime rapor verdiğini, kişinin iş sorumluluklarını ve satın alma yetkisini içerebiliyor. Bu tür durumlarda işletmeler sosyal mühendislik saldırılarına bir başlama noktası sağlayarak saldırganların inandırıcı bir hikaye anlatmalarını fazlasıyla kolaylaştırıyor.” diyor Buratowski.

Bu “inandırıcı” hikaye başarılı bir sosyal mühendislik saldırısının çekirdeğini oluşturuyor. “Nihayetinde sosyal mühendislik kurbanınızı kendinize inandırmak ve harekete geçmesini sağlamaktır; bu ister e-posta ya da bir dosya ekini açmak, bir linki tıklamak ya da hatta sahibini bulması için sözüm ona unutulmuş bir USB’yi takmak olabilir.” diye ekliyor Buratowski.

Blow bir sızma testinde sosyal mühendislikle müşteriden bir e-posta ve telefon istendiğini hatırlıyor. “Sızma testi sırasında onun SSL VPN ağ geçidini buldum. Sosyal güvenlik tarafında onunla ilgili özel bir şey olup olmadığına bakmak için ağgeçidi web sayfasını tekrar ziyaret ettim. Yoktu. Bu yüzden o sayfayı kopyaladım ve çok inandırıcı bir URL ile host ettim. Yazdığım e-posta’da söz konusu bölgenin çok uzun bir süredir en kötü kışlardan birini yaşadığını belirttim:

‘Hava soğukluğunun artması sebebiyle, çalışanlarımızın güvenliğini dikkate alarak uzaktan erişim ağgeçidimizi terfi sürecindeyiz ki bu sayede herkes evinden çalışma fırsatına sahip olabilecek. Lütfen yeni yazılımı kurmak için aşağıdaki linke tıklayın. Devam etmeden önce güvenlik bilgilerinizi girmeniz istenecektir.’

İşe yaradı. Bir saat geçmedi ki Blow çalışanların yüzde 60’ından fazlasının ona sisteme giriş bilgilerini verdiğini gördü. “Enformasyon güvenliği departmanı neler olduğunu tespit edene kadar (yaklaşık 90 dakika) yüzde 75’i aşan bir başarı oranı elde etmiştim. Bilgilerini paylaşan kullanıcılar arasında pazarlama, IT ve hatta C-seviye idareciler yer alıyordu.” diye konuşuyor.

kasnak

Sosyal Mühendislikten Nasıl Korunurum

Açıkça belirtmek gerekirse eğer önemli bir şirket sahibi değilseniz veya toplumca tanımış biri değilseniz risk çok büyük değil. Kendinizi bu konuda tehlikede hissediyorsanız bu işi daha profesyonel yapan kişilerden yardım almanız gerekir. Bu konuya ilişkin seminerler ve eğitimler düzenleniyor.

Sosyal mühendisliği önlemenin ve hafifletmenin ilk adımı, saldırılar hakkında bilgi edinmektir. Bu saldırılara, kötü niyetli PDF dosyalarını nasıl yeniden yaratacağınızı ya da nasıl mükemmel bir dolandırıcı olunacağını öğrenecek kadar derinlemesine dalmanız gerekmez. Ama kötü niyetli bir PDF’e tıkladığınızda ne olduğunu anlamak ya da birisinin sizi kandırmaya çalışıp çalışmadığını belirlemek için hangi işaretlere bakmanız gerektiğini bilmek, kendinizi korumanızda yardımcı olabilir. Yani sonuç şu ki: Eğer tam manasıyla korunmak istiyorsanız siz de bir sosyal mühendis olmalısınız. Buradaki kasıt uzman olmak değil, kendinizi koruyabilecek kadar bilgi sahibi olmanızdır.

“Ben kendimi basitçe güvene almak istiyorum” diyorsanız da çok basit öneriler var:

-Sosyal medya üzerinden bilgi paylaşımı yaparken çok daha dikkatli olmalısınız. Sizden istenen bilgilerin değerinin farkında olun. Bir sosyal mühendislik yarışmasından elde edilen verilere göre bilgi değersiz ya da çok az değerli olarak algılandığında, onu korumak için çok az çaba sarf edilir. Karşınızdaki sosyal mühendis alması gereken verinin değerini size küçük göstermeye çalışabilir. Bu taktiğin farkında olmalısınız.

-Şifrelerinizde değişik karakterler kullanmalısınız. Araştırmalara göre sadece harflerden oluşan bir şifreye sayı da eklenince bu şifreyi kırmak katbekat daha fazla zorlaşıyor.

-Sosyal hesaplarınızın doğrulama aşamalarını dikkatlice tamamlamalısınız. Bir hesabı oluştururken ‘doğrulama sorusu’ vb. gibi soruları dikkatlice seçmeli ve diğer kişilerin tahmin edemeyeceği türden cevaplar vermelisiniz.

-Dosyalarınızı güvenilir kaynaklardan ve mümkünse doğrulanmış yapımcılardan indirmelisiniz.

-Bilgisayarınızda düzenli olarak virüs taraması yapmalısınız.

Özellikle Christopher Hadnagy’nin “Sosyal Mühendislik: İnsan Kandırma Sanatı” adlı kitabı kullanılan yöntemleri ve nasıl yapıldığını detaylıca açıklıyor. Sosyal mühendislik, temeli filmlere dayanan bir bilim kurgu değil, her yaştan insan için tehlike yaratabilecek bir sistemdir.

kaynak: cyberlab.center

Bilgiyi Yay!