Sosyal Mühendislik Aşamaları ve Uygulamalı Case Örnekleri

Merhaba Arkadaşlar

Sosyal Mühendislik aslında en eski hacker bilimlerinden bir tanesidir.İngilizcesi “Social Engineering olan bu bilim aslında başlı başına incelenmesi ve dikkat edilmesi gereken konuların başında gelmektedir.Günümüzde esasında güvenlik zincirinin en zayıf halkasını yanlış yazılan güvenlik cihazı kuralları tam belirlenmemiş zayıf parolar ve bir çok donanımsal ve yazılımsal sistemler değildir.Bu zayıf olan bunları yöneten insanlardır. Sosyal mühendislik temel olarak insan ilişkilerini veya insanların dikkatsizliklerini kullanarak hedef kişi yada kurum hakkında bilgi toplamak ve gereken yönergelerle kullanmak olarak tanımlanabilir.Sosyal mühendislik alanında yapılan çalışmalar sisteme bir programla girmekten ziyade hedef genelde saldırılıcak kurum ve kişilerin yapısının analiz edilmesi bunun yanında bu sisteme giriş yapabilmesi için gerekli meteryalleri toplayarak saldırı gerçekleştirmesidir.

Esasında sosyal mühendislik bir meslek olarak seçilseydi sanırım hayalgücü en yüksek olan insanların bu mesleği seçebileceğini düşünebiliriz.Çünkü bir sisteme sızmak için belirli programlarla eylemi gerçekleştirmek gerçek hackerlığın sadece görünen bir yüzüdür.Esasen bu alanda gerçekten ilgili kuruma sızmak istiyorsanız.Sosyal mühendisliği yaparken hem karakterinizi hem kişiliğinizi hemde bilgi toplama yeteneğinizi geliştirmeniz gerekmektedir.Yani bir nevi bu alanı tiyatro sahnesi gibi kullanarak karşı kaledeki verileri bir şekilde çalmak ve veriyi kendi hanenize yazdırmak oldukça önemli bir durumdur.O yüzden Sosyal mühendislik dalında çalışanlar esasında birer sanatçıdır.Çünkü rol yapma etkin ilişim araçlarını kendi lehine kullanmak her bireyin yapabileceği bir husus değildir esasında.Bunların içerisinde hedef kuruma çalışan olarak girmek, kurum ile ilgili verileri toplamak,özellikle bilgi sistemleri çalışanları ile arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, sistemi yöneten veya idari anlamda söz sahibi hedef kişiyle yakın ilişiye girmek,kişilerin zaaflarından yararlanmak bilinen en iyi örnekleridir.

Ne yazık ki özellikle bilinçsiz bireyler bu saldırılara daha çok maruz kalıyor ve çeşitli zararlar görebiliyor.Günümüzde Sosyal Mühendislik ile elde edilen bilgilerin genelde hangi alanlarda toplandığına bakarsak;

1.Kişilere özel ilgilendikleri alanlarla ilgili e-posta aldatmaları

2.Çeşitli küresel eylem ve olaylarla alakalı insanların dikkatini çeken haberlerle ilgili fake sms ler veya linkler.

3.Sanal ticari dolandırıcılık teknikleri.

4.Telefonla yapılan aldatmalar ve kişilere olmadığı kişi olduğuna inandırma.

5.Kurumsal gizliliği ihlal edicek konuşmalar,görüşmeler.

Bunlar genelde günümüzde çok fazla farketmesekte çevremizde olan olaylatın belli bir kısmıdır diyebiliriz.Özellikle bu ana dalda insanları kandırmanın bir yönüde (özellikle erkeklerin zafiyeti) bayanlardır.Sosyal mühendislik üzerine yapılan araştırmalarda kadın sesinin erkek sesinden daha veriyi elde etmede daha avantajlı olduğunu göstermiştir.

Sosyal mühendisler esasında düşündüğümüz gibi vaktinin büyük kısmını internet üzerinde geçirmezler.Aslında hepsi oldukça sosyal bir yapıya sahiptir.Bu alanda herhangi bir bilgi kaçırma durumunda %20 ortamdaki teknolojileri kullanırken %80 insanlar üzerinden bilgiler toplarlanarak eylemler gerçekleştirilir.Yani biz bu tarz saldırıları sistemlerden değil bireylerin kendisinden beklememiz daha mantıklı olur diye düşünmekteyim.

Peki bir Sosyal Mühendise bilgi aktardığınızı farzedersek ne gibi sonuçlar ortaya çıkabilir ?

1.Kurumun en zayıf halkası konumuna gelirsiniz.Sizin üzerinizden konumuz ve çalışma işleyişiniz hakkında bilgi edinebilir.Bunu çeşitli yollar kullanarak (biz buna sıçrama tekniği diyoruz) yetkilendirmede bir üst kademeye çıkmak için kullanabilir.

2.Kurum içerisinde sizden aldığı bilgiler ile yapılan etkik dışı bir davranış veya bilgi sızdırılması karşısında sorumlu siz ve verdiğiniz bilgiler olabilir.Bu hem sizin yasal olarak başınızı ağrıtabilir hemde işinizden olabilirsiniz.

3.Kurumunuzun işleyişini riske atabilir tehlikeli bir şekilde çöküşünü veya saldırgan tarafından oluşturulacak kaotik ortamı farketmeden kendi eliniz ile tetikleyebilirsiniz.

4.Kurumsal olarak Maddi ve Manevi kayıplarınız olabilir.İmaj zedelenmesi yaşayabilir,bunun yanında kurumunuzun finansal-imaj bütünlüğünü tehlikeye atabilirsiniz.

İşte bu yüzden aslında sistemin en zayıf halkası biz insanlarız.Günümüz güvenlik ürünleri üreticilerinin yazdığı raporları incelersek.Saldırıların %90 i hedef kurbanın sistemin içerisinde yaptığı eylemler sonucu ortaya çıktığını söyleyebiliriz.Yani insan hatası siber saldırıların aslında %80 nini oluşturmaktadır.

Sosyal Mühendislikte Hedef Profil Özellikleri

Sosyal mühendislikte hedef profilleri seçerken bazı konularda dikkat ederek bu eylemi gerçekleştirirler.Dolayısı ile sistem tarafından bilgi alıcak olan Sosyal mühendis uzmanı aşağıdaki kriterlerdeki kullanıcı-amir ve teknik personeli hedef alır.

Kurum Dışından Erişilebilir Personelin Hedef Alınması:Kuruma dışarıdan ulaşılabilicek personellerin yanı sıra müşteri ilişkileri,insan kaynakları ve bunun gibi dışarı açık personeller.

Üst Düzey Yönetim ile Kritik Bilgilere Erişimi Olan Personel:Bulunduğu ortamda kıdem ve uzmanlık alanına göre daha gelişmiş yetkilere sahip olan (özellikle gizli bilgilere) çalışanlar.

Kurum İçerisinde Çalışmaya İsteklİ Olmayan Kullanıcılar:Kurum içerisinde yaptığı işten memnun olmayan ,Amirlerinin baskısı altında olan kurum bağlılığı zayıf olan personeller.

Kurum İçerisinde İtibar Kullanan Personel:Bu yetkili tipi en tehlikeli olandır.Kendi kurumu içerisinde nufüs edebileceği alanlara dışarıdaki hatırlı kullanıcılara ayrıcalıklı bilgileri sağlayan,kurum itibarını kullanan personeldir.

Destek Masası Sistemi:Aslında en kritik nokta bir sosyal mühendisin veri olarak kurbanların (şifre ve benzeri)ele geçireceği alanlardan bir tanesidir. Kullanıcıların bir çoğu yeterli teknik bilgisi olmadığından merkezi yönetim tarafından (IT Department) gönderilen yönergelere uymak gerektiğini (sorgusuz sualsiz) düşünür.Dolayısı ile bilgiyede erişimleri kısıtlı olduğundan kendilerini arayan kişinin saldırganmı yoksa gerçekten IT personelimi ayırt etmeleri zordur.

Peki saldırgan bu noktada hedef kuruma nasıl yaklaşabilir ?

Sosyal Mühendislik uzmanları saldırıcakları profilleri yukarıdaki gibi belirledikten sonra sıra geldi bu yöntemleri hangi şekillerde kullanabilir bunları inceleyeceğiz.

Kurum İçerisinde Destek Personeli Gibi Davranmak: Destek ihtiyacındaki müşteri ya da çalışanları yetkili personel olduğuna inandırmak.

Sosyal Ağlardan Ortak Noktaları Yakalamak:Saldırgan hedef aldığı kurum personellerinin sosyal ve iş ağlarından gruplarından irtibata geçerek arkadaş olabilir.

Ayrıcalıklı Yönetici-Müşteri Methodu:Bu yaklaşımda kuruma ulaşan bir Sosyal Mühendis içeride kendisini Amir olarak veya ayrıcalıklı bir müşteri olduğuna inandırarak bilgileri ele geçirmeye çalışabilir.

İyi Niyet Tekniği:Sosyal Mühendisler elleri gayet açık görünen iyilik sever birer melektir desemde inanmayınız lütfen.Her iyiliğin karşılığını isterler bu istekler kurumsal bilgiden tutun sizi yakabilicek şeylerde olabilir (farkında olmayabilirsiniz) aman dikkat!!

Kurum İçi Bağlılığı Suistimal Etmek:Kurum içerisindeki çalışanları kendilerinin oluşturduğu zararlı bir ortama çekerek onların kandırılmasını sağlamak.Eğer denilen yapılmazsa güvenlik tehlikesi ve kurumun zarar göreceğine ikna etmek.

Sosyal Mühendislikte Sahte Senaryolar Nasıl Üretilir ?

Bu alanda bilgileri ele geçirip gerekli altyapı oluşturulduktan sonra saldırganın ikinci hedefi bu eventlara göre bir saldırı seneryosu üretmektir.Her kurum için farklı seneryolar üretilebilir.Bunların en bilindiklerini inceleme fırsatı bulacağız.

Telefon ve Kitle İletişim Teknikleri ile Hedef Kişi İle Direk Temas Kurma:Aslında görünüşte kolay gibi gözüken ama detaylı bir senaryo ile yapılması gereken bir saldırı türüdür.Saldırganın temel amacı yapılan konuşmalarda araya kişisel verileri alabilicek soruları serpiştirerek hedef kişiden bilgilerin alınmasını sağlamaktır. Telefondaki işlemlerde yetkilendirme için ihtiyaç duyulan bilgiler genellikle başka kanallardan erişilebilir bilgiler (kimlik numarası, doğum tarihi v.b.) olduğu için sahte senaryolar uydurmak ve istenen bilgileri elde etmek çoğunlukla uygulanabilir bir saldırı yöntemi olmaya devam etmektedir.Tabi burda direk hedef kişiye ulaşmak içinde ona yakın kişilere ulaşılarak hedef kişinin bilgileri alınabilir.Bununla alakalı olarak örnek bir Case gösterebiliriz.

CASE 1:Hedef Kişinin Kişisel Bilgilerini Ele Geçirme ve Kuruma Sızma Yöntemi

Planlama:Sosyal Mühendis bu projede kendisini bir Kamu Kuruluşundan arayan kişi gibi tanıtarak,Kurbanın kendisine inanmasını sağlaması ve kişisel bilgileri ele geçirmesi.Bu kısımda genelde hedef kişinin en yoğun olduğu veya en rahat olduğu vakitler seçilerek telefon edilir.

Tanımlamalara Bakmak Gerekirse (K:Kurban,S:Saldırgan)

Kurban ile  ilgili 2 aşamalı bir saldırı planımız mevcut durumda.Birinci aşama kişisel bilgiler ikinci aşama ise kurumu hakkında bilg edinmek.Öncelikle sosyal ağlardan kullanıcımızı buluyoruz tabi günümüzde çoğu internet kullanıcımızın sosyal ağlarında nerde çalıştığı neler yaptığı ile ilgili bilgiler dolaştığından ötürü bulmamız pekte uzun sürmüyor.

İş alanlarını hedef alarak kurbanın CV sine ulaşıyoruz.Çalıştığı kurumu tespit ediyoruz ve o kurumdaki bilgilerini çalmak için operasyonu başlatıyoruz.

Elde Edilicek Veriler:Kurbanın Kimlik Numarası,Anne Adı,Baba,Adı,Doğum Tarihi,Doğum Yeri

S:Merhaba XXX ilemi  görüşüyorum ?

K:Ben XXX buyrun ?

S:Ben XXX Aile Hekim Merkezinden arıyorum Aile Hekiminiz değiştiğinden ötürü Sisteme yeniden giriş yapmamız gerekiyor.Rica etsem bilgilerinizi teyit etmemiz için kimlik numaranızı söylermisiniz ?

K:Tabiki Kimlik Numaram XXXXXXXXX

S:Teşekkürler şimdi ise Doğum yeri ve Doğum tarihinizi alabilirmiyim ?

K:Doğum yeri XXXX Doğum Tarihi XX/XX/XXXX

S:Çok teşekkür ederim son 2 sorumuz kaldı belgenizin güncellenmesi için Anne ve Baba adınızı alabilirmiyim ?

K:Tabiki Anne Adı:XXXX Baba Adı:XXXX (Saldırgan eğer erkek ile konuşuyorsa Soyismi sormasına gerek yoktur.Eğer bayan ise Anne kızlık soyadınıda sorabilir)

S:Teşekkür ederiz Aile Hekim bilgileriniz güncellenmiştir.Yeni Aile Hekimiz XXXX dir.İyi günler dilerim.

K:Rica ederim sizede iyi günler.

Sonuç:Şimdi yukarıdaki konuşma bir örnek burda Sosyal mühendis telefon iletişimi olarak sabit hat kullanmakta yani cep telefonu değil.Dolayısı ile kurumlar cep telefonu ile değilde sabit telefon ile aradıklarını düşünürsek kurban bu durumdan şüphelenmeyecektir.

Alınan Veriler:İsim Soyisim (Mevcut durumda).Doğum yeri doğum tarihi,Anne Adı,Baba Adı,Kimlik Numarası.

Neler Yapılabilir:Basit bir veri alma yöntemi ile kişisel bilgileri elde etmiş bulunmaktayız.Şimdi ikinci aşamaya geçiyoruz.Çalıştığı kurumun büyüklüğüne göre bir IT departmanı ve Destek ekibi olduğunu düşünebiliriz.Buna uygun olarak atıyorum X kurumun bilgi işlemi ile temas etmemiz gerekli burda kendimizi Y firması olarak tanıtıp bir ürün lansmanı ayarlayabiliriz.Bunun için X kurumun bilgi işleminde çalışanları sosyal iş platformunda arıyoruz ve bulduğumuz kurumda çalışan IT yöneticisi ile  kendimizi bir firma sahibi olarak tanıtıp kurumun bilgi işlemi ile temas etmek.Hedef Kişi ile Mail ile Temas edilerek (ki herhangi bir hosting firmasından SMTP servisi alarak diledğiniz firma gibi mailleşme yapabilirsiniz bununla alakalı olarak Social Engineering Tool lar mevcut durumda.Kendisini IT Operation Manager adı altında tanıtan saldırgan kurumun büyüklüğüne bağlı olarak bir Helpdestek Operator programı tanımak istediklerini söylüyor.Tabi bu bir POC kapsamında olduğundan ötürü kabul edilme şansı %80 diyebilirim.Tabiki firma adına (ki ortada böyle bir firma mevcut değil) bir çok cazip lisanslama maliyetleri ve 7/24 yerinde canlı destek hizmetlerini sunması o kurumda çalışan sistemcinin aklını çelicektir ve bunu kendi idari amirine iletecektir.Kurumların en fazla sıkıntı yaşadığı konular yüksek lisanslama maliyetleri olduğundan ötürü her kurum en düşük maliyet ile en iyi ürünü kullanmak ve onlara katıcak olan değerlerden yararlanmak ister(elinde program olsa dahi).

Örnek bir iletişim Maili şu şekilde Sistem yöneticisine iletilir.

XXX Bey Merhaba,

Türkiye’nin en iyi Destek Masası ile alakalı çözümlerimiz ile en iyi olma yolculuğumuz hakkında sizleri bilgilendirerek güveninize layık bir şirket olmayı arzu ediyoruz. 2015 yılında Türkiye’nin en gözde 100 girişimi (Startup 100) seçilerek başlayan yolculuğumuz, 2016 yılında Avrupa Destek Masası Yazılımı Ödüllerinde “Yılın Help-Desk Platformu”, 2017 yılında XXX tarafından “Yılın Son Kullanıcı Hizmet Sağlayıcısı” seçilerek aldığımız ödüller Türkiye’nin bu alanda lider olma yolunda bizleri onurlandırdı. AAA Holding, DDDD Yayın Grubu, BBB Holding, UUU Okulları, PPP Sağlık Grubu gibi sektörünün liderleri ile başlayan başarı hikayelerimiz 100’ün üzerinde kurumsal müşterimiz, 300’ün üzerinde yerinde destek personelimiz ile büyümeye devam ediyoruz. Sizleride bu konuda bilgilendirmek ve kurumunuza uygun ihtiyaç çözümlerini sunmak için uygun olursanız sizlerden görüşme talep ediyoruz.

Saygılarımızla

(Photoshop ile yapılmış bir kartivizt)

Kurum ile Toplantının Gerçekleşmesi:Kuruma yukarıdaki şekilde attığımız maile cevap verme ortalaması %70-80 arasındadır.Tabi bu noktada kendinizi olmayan firmada ne kadar satabildiğinizde önemlidir.Kurum ile telefonda görüşülerek lansman için görüşme saati ayarlanır ve toplantıya geçilir.Burda önemli olan 3 kişi olunmasıdır.Eğer diğer sosyal mühendislerle beraber çalışıyorsanız 2 erkek 1 bayan olması önemlidir iyi bir izlenim bırakabilmek için.Kurumsal ve resmi havası verilerek yer yer samimi bir havada gerçekleşen toplantıda ağzı gevşek kişilerden bilginin alınması noktasında kritik bir öneme sahiptir.

3 Kişilik ekipte ünvan sıralaması ve görevler şu şekilde dağıtılmaktadır.

1.Kişi Pre-Sales Engineering:Her konuda destek olucak kişi kurumun yapısını anlayacak soruları soran sosyal mühendis.

2.Kişi Sales Manager:Satışı yapıcak pozisyonda bulunan kişi.

3.Kişi Operations Manager: (Bayan) Sosyal kısımla ilgilenen mühendistir.Burdaki görevi karşıdaki kişiler ile sıcak bir iletişim kurarak toplantının rahat bir şekilde sohbet ortamında geçmesini llerindeki veriyi paylaşmasını sağlayacak görevde olan kişidir.

Toplantıda Sorulan Konular ve Alınan Bilgiler:Toplantı esnasında kurum içerisinde hangi tür programların kullanıldığı destek alırken insanmı yoksa otomatik bir sistem vasıtası ilemi kişilere yardım edildiği gibi bir çok sorunun cevabı alınır.Buna göre mühendisler kendi çözümleri (olmayan yazılım ile alakalı) birazda süsleyerek anlatırlar.Önceden hazırlamış oldukları fake bir program sunumu ile yaptıkları çalışmaları anlatır ve kurumun tam istediği olabilicek seçenekleri önlerine sunar ve bir POC çalışması ile alakalı çalışma takvimi ayarlarlar.Burada öğrenilenler ise çalışanların herhangi bir arıza olduğunda destek masası ile iletişime geçmeleri kişisel doğrulama sistemleri ile kimlik bilgilerinin doğrulandığını öğrenmeleri uzun sürmez.Aslında basit bir bilgi gibi görülsede oldukça tehlikeli bir veridir.Sohbet arasında kullanıcılarınız nereyi arayarak bilgilerini sıfırladığınıda sorabilir.Bunun yanında manuel olmasının sakıncalarını anlatarak bir nevi iyi polis (bakın bizde sizdeniz bize güvenebilirsiniz) mesajını vermektir.

Toplantı bittikten sonra sıra geldi Sosyal mühendislik yöntemini eldeki datalar ile kullanmaya bu noktada kurum ve kişi hakkında bilgileri ele geçirmiş bulunmaktayız.Basit bir Diagram çıkararak hedefe ve sonuca ne şekil ilerleyeceğimize karar veriyoruz.

Öncelikle doğruluğunu test etmek için Yardım Merkezini arıyoruz.

S:Saldırgan

Y:Yardım Merkezi

Yardım Masası Aranır ve Keşif Faliyeti Başlatılır:

S:Alo

Y:Alo buyrun burası Yardım Masası nasıl yardımcı olabilirim ?

S:Pardon ben XXX yeri aramıştım burası orası değilmi ?

Y:Hayır Beyfendi burası Teknik Yardım Masası.

S:Kusura bakmayın yanlış aramışım.Kolay gelsin iyi çalışmalar.

Y:Teşekkür ederim Beyfendi sizede iyi çalışmalar.

Sonuç:Saldırgan ilgili iletişim bağlantısının doğruluğunu teyit etmiş durumdadır.Şimdi sıra geldi o kurumda çalışan personelin kimlik bilgileri ile sistemini ele geçirmeye.

Kullanıcının ve Kurumdan verilen bilgileri kullanma zamanı geldi.Belirli bir saat sonra bu genelde akşam olur.Kurabın bilgileri dökümante edilir ve Yardım Masası tekrar aranır.

S:Saldırgan

Y:Yardım Merkezi

S:Merhaba orası Yardım Merkezimi ?

Y:Evet Yardım Merkezinden XXX nasıl yardımcı olabilirim ?

S:Kusura bakmayın ben XXX.Bu saate rahatsız ediyorum ama telefonumdan maillerime giremiyorum sürekli yanlış şifre uyarısı veriyor yardımcı olabilirmisiniz ?

Y:Tabiki kullanıcı adınızı söylermisiniz (bu noktada kritik bir yüzde var normalde kullanıcıların mail adresleri isim.soyisim olarak verildiğinden isim soyisim teyidi almak istiyor) .

S:Tabiki XXXX XXXX

Y:Teşekkürler bilginizi teyit etmek istiyorum Annenizin Kızlık Soyadının ilk 3 harfini söylermisiniz.

S:Tabiki XCV.

Y:Teşekkür ederim.Şifreniz HDHFJGKDKS olarak değiştirilmiştir.Telefonunuzdan ayarlara girip değiştirebilirsiniz.

S:Çok teşekkürler XXX şimdi değiştiriyorum.Kolay gelsin iyi çalışmalar.

Y:Teşekkürler sizede.

Sonuç:Sonuç olarak ilk başta oluşturulan planlama sayesinde önce kurban belirlenmiş sonra kurbanın çalıştığı kurum belirlenmiş.Genel manada analiz yapılmış.Hatta kurumla iletişime geçilmiş.Hangi sistemleri kullandıkları tespit edilmiş ve alternatif olanaklar belirtilmiş.Bunun yanında hesabın ele geçirileceği kişinin kullanıcı hesabı+eposta hesabı ele geçirilmiş.Onun içerisindeki Directory list (yani kurumdaki diğer kullanıcıların adresleri) elde edilmiş ve bunlarla ilgili çalışmalar tamamlanıp kurumun sistemine erişim sağlanmıştır.

CASE 2:Hedef Kişiye Phishing Saldırısı Yaparak Verileri Elde Etmek

Günümüzde son zamanlarda oldukça popüler olan bu yöntem genelde e-postalar vasıtası ile yapılan bir sosyal mühendislik yöntemidir.Bu konuda güveni sağlamak oldukça önemlidir.Saldırgan doğruluğu su götürmez bir gerçek maile benzeyen fake bir amil hazırlamak ve kurbanına bunu inandırmak zorundadır.Çoğu spam maillere baktığımızda gerçek olmadığı gün gibi belli olurken malesef kullanıcılar açısından IT tarafına bizim gibi bakmamaları sebebi ile kolayca tuzağa düşmeleri kaçınılmazdır. Saldırganın hedefleri arasında hassas bilgi vermeye zorlamak, ya da kullanıcıyı hatalı bir hareket yapmaya (sahte web sayfasına tıklamak, virüslü yazılım kurmak v. b.) yönlendirmektir.

Örnek bir bankadan alınan spam mail örneği.

Spam Mail Saldırılarına Karşı Kullanıcılara Verilicek Bilgiler

*İlk olarak kullanıcılara eğer büyük bir kurumsal işletme ise bölümler halinde oltalama saldırılarına karşı bilinçlendirmek gerekmektedir.Örnek e-postalar gösterilerek sahte olan noktaların hangileri olduğu gösterilmeli ve bilgilendirilmelidir.

*Oltama saldırılarında genelde Sosyal mühendisler ünlü kurumların logolarını kullanabilir.Bu logoların her yerde kullanılabileceği bilgisi verilmelidir.

*Mail üzerindeki linkleri tıklamadan önce mail gönderen kurum ile irtibata geçilmesi ve bu mailin signature imzasının geçerli olup olmadığı kontrol ettirilmelidir.

*Sahte postalar içerisinde şuraya tıklayınız şeklinde linkler olmaktadır. O linkin üzerine gelip linki kontrol ediniz. Emin olmadıkça linklere tıklamayınız.

Peki oltalama saldırılarında saldırganlar neleri ele geçirmeyi amaçlar ?

*Kullanıcı hesap şifreleri ve ona bağlı olan server bilgileri.

*Kullanıcının yetki durumuna göre parolaları.

*Eğer kullanıcı internet bankacılığı kullanıyor ise kart numarasından şifresine kadar herşeyi.

*Sosyal medya hesapları,Kişisel özel verileri ve aklınıza gelemeyecek bir çok özel datayı ele geçirebilir,şantaj yapabilir veya diski şifreleyerek kullanılamaz hale getirebilir.

* Mail yolu ile url ekleyerek veya zararsız gibi görünen bir pdf e dahi Truva atı koyarak sisteme giriş yapabilir.Aslında truva atı kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda, veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir.

Case 3:Size Bir Süprizimiz Var!!!!

Bu Case aslında olup olmamasından ziyade kullanıcıların veya IT sektorunde olan kişilerin bile tuzağa düşebileceği bir noktadır.Bunun aslında iki yolu vardır.Birincisi kurbanı tespit edip onunla tanışmak ve ona cazip teklifler sunarak kendisine bağımlı hale getirmek.Güvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, … önermek.Bunlar esasında bilgiyi alabileceğiniz fiziksel donanımlardır.

İkincisi ise şantaj yapılması.Hassas bilgiye ulaşmak için kişinin zaafiyetlerini açığa çıkararak onları kullanmakla tehit etmek ve bu şekilde değerli bilgileri kullanmaya yönelik bir saldırıdır. Burada saldırılan sonunda karlı çıkacağı (güya) bir senaryoya ikna edilir. Örneğin belirli bir tehtit karşısında kendisine gönderilen USB yi kurumdaki sisteme taktırılmasının sağlanması ve bunu yaparsa kendisinin rahat bırakılacağının belirtilmesi.Eğer bundan başkalarının haberi olursa elindeki bilgi ve belgeleri ortaya çıkarmakla tehit etmesi.

Bunun dışında kötü polisi anlattık şimdi sıra geldi iyi polis rolüne.Saldırganın hedefine, iş dışında ya da iş sırasında güvenini sağlayacak şekilde iletişime geçip ikna ederek bilgi vermesine ya da istediğini yaptırmasına dayanan bir yöntemdir. Saldırgan kuruma sağlayıcı olarak yaklaşıp erişim hakkı olan personelle güvene dayanan arkadaşlık kurma yoluna gidebilir, iş dışında oluşan ilişkileri suistimal edebilir, ya da saldırılanla ortak ilgileri ve beğenileri paylaşıyor izlenimi vererek güven sağlayabilir.

Bilgi Toplamada Diğer Tabir Edilen Yöntemler

Yukarıda maddelenmeye çalışılan yöntemler dışında, çalışanların ve kurumların yaptıkları tipik hatalardan istifade etmeye yönelik çeşitli bilgi toplama yöntemleri de bilinmektedir. Bunlardan bahsetmek gerekirse esasında şirket içerisindeki Sosyal Mühendislerin kimsenin farketmediği ortamlardan verileri çekebilme özelliğidir.Aslında örnek olarak bir temizlik işçisi kılığında dahi kurum içerisine sızabilir ve için tehlikeli olabilir.Kimsenin dikkat etmediği anlarda çalışma ortamındaki bazı metaryelleri toplayarak bunları birleştirebilir ve bilgiye erişebilir.Bunları nasıl yapabildiklerine bakarsak.

*Kurum içerisinde Omuz Sörfü tabir edilen Teknik kullanılması:Örnek olarak çalışma masanızın arkasında iş yapan birisi siz farketmeden bilgisayarınızın lock olmadığı durumlarda sisteminize erişebilir.Bunun yanında şifre yazarken klavyedeki tuşlarınıza bakabilir.

*Bilgi Sistemleri İle Alakalı Verilerin Çöpe Atılması:Aslında bunu biraz tembellikten yapmıyoruz fakat kurum ile alakalı bilgi ve belgeleri genelde bruşturma yöntemi ile çöpe atıyoruz ve sonrasını düşünmüyoruz.Fakat bunun bir riski olduğunu unutuyoruz.Kimsenin olmadığı bir vakitte sizin için kıyma görevi görücek bu sosyal mühendis çöplerde bozulmamış veya imha edilmemiş parçaları toplayabilir ve uygun bir şekilde verileri birleştirerek anlamlı datayı ortaya çıkarabilir.

Sosyal mühendislikte saldırı tipleri tamami ile karşıdaki saldırganın zekası hayal gücü ve kapasitesi ile sınırlıdır.Tabi bir sosyal mühendisin verebileceği hasar ve tehtitler de az çok belirli zincirleme reaksiyon ile ortaya çıkabilir.Tabi bu olaylar eğer başarılı olursa oluşabilicek hasarlara bakmak gerekir.Bunları incelemek gerekirse.

*Sosyal Mühendis hedef belirlediği kullanıcının bilgilerini ele geçirebilir.Bunun için şifreyi ele geçirmesi yeterlidir.

*Saldırgan  ele geçirdiği şifre ile sisteme giriş yapabilir.Kurum içerisinde o departmana ait verileri alabilir.Sınırlıda olsa kaynakları kendisine aktarabilir.

*Sosyal mühendislik ile veriyi elde eden kişi bunu dış dünya ile paylaştığında o kurum için ciddi itibar kaybı yaşatabilir.Çoğu zaman bu itibar kaybının yaşanmasının bedeli önlem alma maliyetinden yüksektir.

* Saldırgan tarafından ele geçirilen kurum içerisindeki sistem ve data kaynakları başka sistem ve kaynakların ele geçirilmesi ya da zarar verilmesi için kullanılabilir. Dolaylı olarak başka saldırılara sebep olunabilir; Bu durumda saldırının kaynağı aynı zamanda kurban olabilir.

*Kurum içerisindeki verilerin korunamaması ve 3.şahısların ele geçirmesi durumunda bunun müşteriler veya kurumda çalışanlar tarafında yapılacak şikayetler neticesinde yasal yaptırımların önünü açabilir.Özellikle gizlilik sözleşmesi ile verilerin korunma ilkesine uyulamadığı için kurumun başı ciddi şekilde soruşturmalarla belaya girebilir.

Sosyal Mühendislik ile İlgili Alınabilicek Önlemler

Sosyal mühendislik saldırılarına karşı kurum olarak alınabilicek hem sistemsel hemde fiziksel önemler mevcut durumdadır.Bunun yanında Sosyal mühendisliğe karşı son kullanıcılarıda eğitim içeriğinin verilmesi ve kullanıcıların bu alanla ilgili bilinçlendirilmeside önemli bir durumdur.

Birinci Adım Kurumunuzun Fiziksel Güvenliğinin Sağlanması:Bir kurumda sistemsel güvenliğin yanı sıra bunun dışında olan fiziksel güvenlik katmanında ihmal edilmemesi gerekir.Örnek olarak sistem odasının veya departmanların fiziksel güvenliği hangi durumda,erişim yetkileri kimlerde mevcut,bunun yanında sistem odasında kameralar varmıdır bunların kontrol edilmesi ve yok ise tamamlanması büyük önem taşımaktadır. Ayrıca sisteme erişimi olan kullanıcıların çeşitli profillerden olabildiği sistemlerde, kullanıcı güvenlik politikalarındaki sıkılaştırmalar ve denetlemeler uygulanmalı, tüm kullanıcı profillerinin yetkileri belirlenmelidir.

İkinci Adım Kullanıcıların Eğitimi ve Genel Yaptırımlar:En önemli adım zincirin en zayıf halkası olan kullanıcılara yönelik genel eğitimlerin verilmesinden geçer.Özellikle son kullanıcı için güvenlik ve sosyal mühendislikler ile ilgili temel insanların anlayabileceği ve uygulayabileceğine inandığı eğitim paketleri oluşturarak devamlı güncel hale getirilip son kullanıcı ile paylaşılabilir ve nelerin sakınca doğurduğu nelere dikkat edilmesi gerektiği anlatılabilir.Bu anlatımlara rağmen hala ihmalkarlık devam ediyorsa da kurum içerisinde çeşitli yaptırımlara tabi olucak şekilde kurum içi kurallar oluşturulabilir.

Kurum İçerisinde Etkili Güvenlik Politikalarının Oluşturulması:Kurum içerisinde oluşturduğunuz güvenlik politikaları genel manada anlaşılabilir olmanın yanı sıra sürdürülebilir olmasıda önemlidir.Karmaşık yapıda oluşturulan güvenlik politikaları genelde ya eksik olur yada zahmetli olduğundan uygulanma ihtimalinin azalmasına ve ihmal edilmeye mahkum duruma gelirler.Sosyal mühendislikte ilk hedef kullanıcılar olduğundan ötürü Kurum ve Çalışanlar arasındaki bağlılık ve güven seviyesi sisteminizin güvenliği ile orantılı bir durumdur.Fazla güven mekanizması savunmayı rehavete sokacağı gibi güvensizlik mekanizması gelecek saldırılara karşı bilerek savunmasız kalmasına sebep olabilir.

Sosyal Mühendislik Saldırılarında Anında Müdahale:Bu tarz saldırılar esnasında kurumun hangi şekilde tepki vereceği önceden planlanmalıdır.Saldırının türü ve önemi iyi analiz edilmeli ve hemen kriz masası kurularak bu saldırının hangi açıklıklar ile ne şekilde oluştuğunun tespitinin yapılması gerekmektedir.Sosyal mühendislik saldırıları çoğu zaman kullanıcının zaafını kullanarak yapıldığından dolayı, kullanıcı olayın farkına varmayabilir ya da farketse bile kendi güvenilirliğini zedeleyeceğini düşündüğünden olayı ilgili kişilere iletmeyebilir. Bu yüzden olay meydana geldikten sonra durumun yetkili personele iletilmesi için gerekli altyapı oluşturulmalı, bunların kuralları belirlenmelidir.

Denetim Mekanizmasının Kontrolünun Sağlanması:Sosyal Mühendislik ile alakalı saldırıların temel özelliği duruma göre değişik methodlar ile uygulanabilmesidir.Dolayısı ile saldırı tehtidine dair kurumun güvenlik politikaları sürekli güncel olmalı ve çağa ayak uydurabilmelidir.Denetimlerin bağımsız kuruluşlarca yapılmasının yanı sıra sürekli sistem ve kurum güvenliğinin test edilip zafiyetlerin tespit edilmesi ve yamalanmasıda oldukça önemli bir husustur.Bir sosyal mühendislik saldırısında önemli olan 4 temel nokta vardır.

*Birincisi Kurum dışından ve içeriden bilgi toplama.

*Kurum çalışanları ile dolaylı/dolaysız ilişki kurma.

*Kurum çalışanlarından faydalanma.

*Kiritik sistemlere erişim olmak üzere 4 temel üzerinde modellenir.

Bilgi toplama evresinde saldırgan iletişim kurabilicek unsurları belirler.Bunu yapabilmesi için en büyük kaynak ise arama motorları,sosyal ağ siteleri,kariyer siteleri ve kurumsal web sayfaları olmuştur.Özellikle dikkatimi çeken bazı web sayfalarında organizasyon şemasının paylaşılmasıdır.Normalde güzel bir şey gibi gözüksede aslında bilgilerin paylaşılmasında çok tehlikeli bir veridir.Bu yüzden kurum denetimlerinde bu tarz verilerin ne şekilde alınabileceğini analiz etmeli ve gerekli önlemler alınmalıdır.

Peki bunun dışında kuruma fiziksel manada sızmayı başarıp veri çalmaya teşebüste bulunan biri hakkında ne düşünebiliriz? Tabiki kulağa ütopik gelsede yaşanmış bir çok case mevcuttur.Kurum ile alakalı bilgiler edinildikten sonra kuruma gidilerek çalışan biri gibi davranabilir (ki yüksek seviyede tiyatro yeteneğinizin olması gerekir) .Bunun için iş çıkış veya giriş saatlerinde ki çalışanların kartları genelde bel hizasında bulunur otomatik gişelerden rahat geçebilmek için.Bu kısımda o kartın kopyasını oluşturmak ve oluşturulan kopyanın çalışmaması durumunda güvenlik tarafı ile konuşup kartın arızalandığına ikna etmekte denetimler esnasında test edebileceğiniz seneryolardır. Bunun haricinde kendi planlamanız içerisinde olan sosyal mühendislik case lerinide uygulayabilirsiniz.Tabi bu testler yasal sınırlar içerisinde olduğundan üst yönetimden izin alarak yapılması önemlidir

Bilgi toplaması yapıldı.Bunun yanında fiziksel olarakta girişi gerçekleştirdik.Şimdi sıra geldi en önemli hedefe bilgi elde etme methodunun uygulanmasına bunun için test edeceğiniz ortamda çalışanları yakın takibe almanız gerekmektedir.Bunun tekniklerini önceden yazmıştık hatırlıyorsunuz.Bunun dışında daha extrem yöntemlerde mevcut durumda.Mesela çöpleri karıştırıp atılan not kağıtlarını kontrol edebilirsiniz.Bunun dışında şirketin bilgilerinin ajandalara, ek notlarına ve ortak kullanıma açık panolara göz atmak  ekranı kilitlenmemiş bilgisayarları kullanmak, kullanıcı bilgisayarlarını kullanıma açmaya ikna edebilme yöntemlerinide test edebilirsiniz.

Bu kısıma kadar bahsedilenler standart yöntemler ve alınabilicek önlemler hakkında konuşurken genelde saldırı seneryoları üzerinden gidiyoruz.Yanlız bu saldırı meydana geldiğinde veya meydana gelmeden önce bunları analiz edip belirleyebilicek yöntemler mevcuttur.Bunun ismi aslında sosyal mayındır.Aslında bu mayınlar Sosyal mühendislik yapan kişilere karşı oluşturulmuş patlama seneryolarıdır diyebiliriz.Peki bu sosyal mayınlar nasıl oluşturulur bunları irdelemek gerekirse;

*Kurum içerisinde ve departmanlarda herkesin sosyal olarak birbirini tanıması faydalı olacağı gibi içeri giren yabancı kişinin tespitini kolaylaştırır.

*Telefon ile şifre resetleme durumlarında tek kullanımlık SMS bilgilendirme veya aut  gerektiren bir onay mekanizmasının kurulmasıda önemli bir sosyal mayındır.

*Tuzak soruların sorulması eğer kişisel bilgiler üzeriden gidiliyor ise bu bilgilerin fake olarak sorulması (örneğin okumadığı bir okul bilgisi sorularak onay alınmaya çalışılması).

*Güvenlik sistemlerinde gerekli giriş çıkış kayıtlarının oluşturulması ve yetkisiz kullanıcıların ayıklanması.

ve/veya kimlik ve personel bilgilerinin sorulmasının zorunlu kılınması

*Şüpheli gelen e-postalara hemen cevap vermemek,bunun yanında kontrol ettirmek ve dijital imzasının doğru olup olmadığını incelerken saldırganın saldırma direncini kırmak (ki çoğunlukla işe yarar bir yöntemdir).

Bütün bunlardan sonra genel bir özet yapmak gerekirse günümüz dünyasında bilgi ve iletişim teknolojileri %100 insan odaklı bir mekanizmaya sahiptir.Bu insan odaklı sistemler denildiğinde günümüzde bu ağın oluşturucusu ve tasarlayıcısı insandır demek istiyorum.Bu noktada insanın elinden çıkan bu sistemler hiç bir zaman %100 güvenilir olamaz.Çünkü insan faktörü tasarımını kendi yapsada güvenliğin en zayıf halkası olma özelliğini her daim taşımaktadır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!