Bilişim Sistemleri (BS) güvenliğinde sadece teknolojik önlemlere değil aynı zamanda yönetsel çabalara da bağlıdır. Teknolojik yöntemler, çeşitli güvenlik sorunlarını çözmek için geliştirilmiştir, fakat asıl önemli güvenlik ihlallerine katkı sağlayan insan faktörleri ihmal edilmiştir.
İşte bu makalemde insan faktörünü konu alan Sosyal Mühendislik(SM) saldırılarından bahsedeceğim.
Sosyal Mühendislik Nedir? Kime Denir?
Sosyal Mühendislik saldırılarının başarısı insanları kullanmada, psikolojik zayıflıklardan ve sahip olduğu bilgilerin değerinin farkında olmaması ve kendi bilgisini koruma konusunda özensiz olmasına dayanır.
Sosyal Mühendis (SM), bilgisayar ve bilgi güvenliği bağlamında sosyal mühendisler teknik kombinasyonlar kullanarak, kurbanların gizli bilgilerini ifşa eden veya sergilediği performansıyla güvenilir kişiler olduğunu inandıran kişilere verilen unvandır.
SM saldırganları genellikle insanların bilişsel önyargılarından faydalanma eğilimindedirler. SM saldırganları teknik bir zorlama olmadan, insanların güvenini kazanan, teknolojik güvenlik mekanizmalarını baypas etme potansiyeline sahiptirler. Buna en iyi örnek bilgisayar korsanlarının en meşhuru olan Kewin MITNICK örneğini verebilirim. Tavsiyem, Kewin MITNICK’in hayatını ve yaptığı işleri konu alan “Takedown” filmini seyretmeniz (film biraz eski 2000 yapımı ).
SM ile ilgili kısa bir tanım yaptık şimdi SM saldırıları ve bu saldırılara karşı geliştirilecek savunma mekanizmalarından bahsedelim.
Sosyal Mühendislik Saldırıları
SM’lik bir sanattır. İnsanoğlunu konu alan bu sanat SM’nin marifetlerine ve zekâsına göre her kapıyı açacak güçlü bir saldırı mekanizmasıdır.
Bir SM hedefindeki kişiyi seçtiği zaman aşağıdaki yolu izler:
SM saldırganları, görünüşte masum konuşmaları veya e-posta iletişim yoluyla mağdurlar(kurbanlar) ile güven ilişkisi kurma peşindedirler.
İnsanın doğası gereği, doğru olmayan kişilerin doğru kişi olduğunu ispatlama eğilimi vardır. Birçok kişi özellikle müşteri hizmetleri, yardım masasındaki kişiler veya iş yardımcıları bunların doğasında hep yardım etme isteği vardır, bunun için sorulan her soruya cevap verme eğilimindedirler. Bu nedenle SM saldırganlarının hedefinde bu tip kişiler vardır, bu kişilerle küçük bir etkileşimle kolaylıkla aralarında güven inşa edebilirler.
SM saldırılarının karşı tarafın yeteneklerine ve zekâsına bağlı olarak değiştiği için saldırı çeşitleri farklılık gösterebilir fakat ben belli başlı en çok tercih edilen saldırı türlerinden ve bunlara karşı nasıl bir önlem almamız gerekliliklerinden bahsedeceğim:
1. Senaryo Kurma(Pretexting)
Sık kullanılan yöntemler arasındadır, iyi bir SM, mutlaka karşı taraf (kurban) ile iletişime geçmeden önce kusursuz bir sahte senaryo hazırlar ve bu iletişime geçtiği kurbana senaryoyu oynar.
Örneğin; Sizi telefon ile resmi bir yerden aradığını söyleyen ve sisteminizde büyük bir problemin olduğunu ve problemin çözümü için sizden gerekli olan sisteminiz için önemli olan bilgileri almak istediğini düşünün. Siz arayan kişinin iyi niyetli size yardım edeceğini düşünürsünüz oysa karşı taraftaki kişi özel bilgilerinize erişmek isteyen dolandırıcını tekidir. (Siz belki bu numarayı yemez” hadi oradan kimi kandırıyorsun sen” diyebilirsiniz, ama emin olun ki bu senaryoya inanan kişi o kadar da az olmayacağından eminim)
Alınacak önlem: Gelişmiş kişilik özellikleri, her bireyin farklı özelliklere sahip olduğunu kabul edersek SM saldırılarına karşı tam anlamıyla güvenlik tedbirleri almak imkânsızdır. Güvenlik yönetiminde en zayıf halkanın insan olması durumu güçleştiren etkendir. Bu gibi durumlarda şüpheci davranmak, özellikle telefon ile görüşmelerde, karşı tarafa bilgileri vermeden önce mutlaka bir sorgulama süzgecinden geçirin mesala; bölümle alakalı kimlik ve telefon numarası gibi veya arayanın kimliği ile ilgili çapraz sorgulama geliştirilmeli ve ayrıca şifre gerektiren işlemlerde şifre prosedürleri ve standartları getirilmeli.
2. Oltalama (Phishing)
Bu teknik, özel bilgileri elde etmek için kullanılan aldatmaca tekniğidir. Genellikle saldırganın isteği doğrultusunda “doğrulama” isteyen bir banka veya kredi kartı şirketi gibi meşru maskelenmiş bir e-posta gönderir. Bir varyant gibi pin numaraları, sosyal güvenlik numaraları ve hesap numaraları gibi kişisel bilgileri toplamak için sahte etkileşimli sesli yanıt sistemide kullanılabilir.
SM’ler, phishing tekniği ile güvenilir site olarak bildiğiniz örneğin; Facebook,Twitter veya bu bir banka sitesi İŞBank, GarantiBank gibi sitelerin birebir kopyasını yaparak kendi zararlı sitesine yönlendirme yaparak veya eklenti kullanarak casus yazılımı bilgisayarınıza siz farkettirmeden kurabilir, bu yöntem genelde e-posta aracılığı ile kullanılır.
Alıncak Önlem: Öncelikle şu unutulmamalıdır, Facebook, Twitter, Banka siteleri genelde HTTPS protokolünü kullanırlar. Bu protokol bağlantısı, sizinle bilgileri girdiğiniz web sitesi arasındaki iletişimin bir takım şifreleme yöntemleriyle güvenli bir şekilde yapıldığını gösterir. Bunun için sitenin bu protokolüne dikkat etmek gerekir. Girdiğiniz sitede bu protokol kullanılmıyorsa veya siteye girdiğiniz zaman farklı bir siteye yönlendiriyorsa ya da sizden eklenti çalıştırmanızı istiyorsa dikkatli davranmanızın faydalı olacağı inancındayım.
4. Shoulder Surfing(Omuz sörfü)
Bu teknik pek kullanılmamada bilgi vermekte fayda var diye düşünüyorum. SM bu teknik ile kurbanın tuş takımı üzerinde girdiği erişim kodları ve şifreleri girerken izleyerek bu kodları ele geçirmek amacıyla kullanılan yöntemdir.
Çöp Araştırma Tekniği
Bu teknik ile SM’ler şirkete veya kuruma ait bir takım kılavuzları, telefon defterleri, çek, kredi kartı bilgileri ve banka dekontları veya diğer kurumsal, ticari kayıtlar gibi hassas bilgilerin dikkatsizce çöpe atılacağını varsayarak çöpleri karıştırma tekniğidir.
Alıncak Önlem: Bu tarz saldırılara maruz kalmamak için şirketinizde “Çöp Öğütücü Makineler” kullanmanız.
Yukarıda ki yazımda da belirttiğim gibi SM saldırıları, SM’nin yeteneklerine ve zekasıyla doğru orantılı olduğu için SM saldırılarını kestirmemiz pek mümkün değil, ben bu makalemde SM’de kullanılan başlıca tekniklerden ve korunma yollarından bahsetmeye çalıştım yararlı olması dileğiyle…
Esen Kalın…
ALINTIDIR.
BARBAROS.
İşte bu makalemde insan faktörünü konu alan Sosyal Mühendislik(SM) saldırılarından bahsedeceğim.
Sosyal Mühendislik Nedir? Kime Denir?
Sosyal Mühendislik saldırılarının başarısı insanları kullanmada, psikolojik zayıflıklardan ve sahip olduğu bilgilerin değerinin farkında olmaması ve kendi bilgisini koruma konusunda özensiz olmasına dayanır.
Sosyal Mühendis (SM), bilgisayar ve bilgi güvenliği bağlamında sosyal mühendisler teknik kombinasyonlar kullanarak, kurbanların gizli bilgilerini ifşa eden veya sergilediği performansıyla güvenilir kişiler olduğunu inandıran kişilere verilen unvandır.
SM saldırganları genellikle insanların bilişsel önyargılarından faydalanma eğilimindedirler. SM saldırganları teknik bir zorlama olmadan, insanların güvenini kazanan, teknolojik güvenlik mekanizmalarını baypas etme potansiyeline sahiptirler. Buna en iyi örnek bilgisayar korsanlarının en meşhuru olan Kewin MITNICK örneğini verebilirim. Tavsiyem, Kewin MITNICK’in hayatını ve yaptığı işleri konu alan “Takedown” filmini seyretmeniz (film biraz eski 2000 yapımı ).
SM ile ilgili kısa bir tanım yaptık şimdi SM saldırıları ve bu saldırılara karşı geliştirilecek savunma mekanizmalarından bahsedelim.
Sosyal Mühendislik Saldırıları
SM’lik bir sanattır. İnsanoğlunu konu alan bu sanat SM’nin marifetlerine ve zekâsına göre her kapıyı açacak güçlü bir saldırı mekanizmasıdır.
Bir SM hedefindeki kişiyi seçtiği zaman aşağıdaki yolu izler:
SM saldırganları, görünüşte masum konuşmaları veya e-posta iletişim yoluyla mağdurlar(kurbanlar) ile güven ilişkisi kurma peşindedirler.
İnsanın doğası gereği, doğru olmayan kişilerin doğru kişi olduğunu ispatlama eğilimi vardır. Birçok kişi özellikle müşteri hizmetleri, yardım masasındaki kişiler veya iş yardımcıları bunların doğasında hep yardım etme isteği vardır, bunun için sorulan her soruya cevap verme eğilimindedirler. Bu nedenle SM saldırganlarının hedefinde bu tip kişiler vardır, bu kişilerle küçük bir etkileşimle kolaylıkla aralarında güven inşa edebilirler.
SM saldırılarının karşı tarafın yeteneklerine ve zekâsına bağlı olarak değiştiği için saldırı çeşitleri farklılık gösterebilir fakat ben belli başlı en çok tercih edilen saldırı türlerinden ve bunlara karşı nasıl bir önlem almamız gerekliliklerinden bahsedeceğim:
1. Senaryo Kurma(Pretexting)
Sık kullanılan yöntemler arasındadır, iyi bir SM, mutlaka karşı taraf (kurban) ile iletişime geçmeden önce kusursuz bir sahte senaryo hazırlar ve bu iletişime geçtiği kurbana senaryoyu oynar.
Örneğin; Sizi telefon ile resmi bir yerden aradığını söyleyen ve sisteminizde büyük bir problemin olduğunu ve problemin çözümü için sizden gerekli olan sisteminiz için önemli olan bilgileri almak istediğini düşünün. Siz arayan kişinin iyi niyetli size yardım edeceğini düşünürsünüz oysa karşı taraftaki kişi özel bilgilerinize erişmek isteyen dolandırıcını tekidir. (Siz belki bu numarayı yemez” hadi oradan kimi kandırıyorsun sen” diyebilirsiniz, ama emin olun ki bu senaryoya inanan kişi o kadar da az olmayacağından eminim)
Alınacak önlem: Gelişmiş kişilik özellikleri, her bireyin farklı özelliklere sahip olduğunu kabul edersek SM saldırılarına karşı tam anlamıyla güvenlik tedbirleri almak imkânsızdır. Güvenlik yönetiminde en zayıf halkanın insan olması durumu güçleştiren etkendir. Bu gibi durumlarda şüpheci davranmak, özellikle telefon ile görüşmelerde, karşı tarafa bilgileri vermeden önce mutlaka bir sorgulama süzgecinden geçirin mesala; bölümle alakalı kimlik ve telefon numarası gibi veya arayanın kimliği ile ilgili çapraz sorgulama geliştirilmeli ve ayrıca şifre gerektiren işlemlerde şifre prosedürleri ve standartları getirilmeli.
2. Oltalama (Phishing)
Bu teknik, özel bilgileri elde etmek için kullanılan aldatmaca tekniğidir. Genellikle saldırganın isteği doğrultusunda “doğrulama” isteyen bir banka veya kredi kartı şirketi gibi meşru maskelenmiş bir e-posta gönderir. Bir varyant gibi pin numaraları, sosyal güvenlik numaraları ve hesap numaraları gibi kişisel bilgileri toplamak için sahte etkileşimli sesli yanıt sistemide kullanılabilir.
SM’ler, phishing tekniği ile güvenilir site olarak bildiğiniz örneğin; Facebook,Twitter veya bu bir banka sitesi İŞBank, GarantiBank gibi sitelerin birebir kopyasını yaparak kendi zararlı sitesine yönlendirme yaparak veya eklenti kullanarak casus yazılımı bilgisayarınıza siz farkettirmeden kurabilir, bu yöntem genelde e-posta aracılığı ile kullanılır.
Alıncak Önlem: Öncelikle şu unutulmamalıdır, Facebook, Twitter, Banka siteleri genelde HTTPS protokolünü kullanırlar. Bu protokol bağlantısı, sizinle bilgileri girdiğiniz web sitesi arasındaki iletişimin bir takım şifreleme yöntemleriyle güvenli bir şekilde yapıldığını gösterir. Bunun için sitenin bu protokolüne dikkat etmek gerekir. Girdiğiniz sitede bu protokol kullanılmıyorsa veya siteye girdiğiniz zaman farklı bir siteye yönlendiriyorsa ya da sizden eklenti çalıştırmanızı istiyorsa dikkatli davranmanızın faydalı olacağı inancındayım.
4. Shoulder Surfing(Omuz sörfü)
Bu teknik pek kullanılmamada bilgi vermekte fayda var diye düşünüyorum. SM bu teknik ile kurbanın tuş takımı üzerinde girdiği erişim kodları ve şifreleri girerken izleyerek bu kodları ele geçirmek amacıyla kullanılan yöntemdir.
Çöp Araştırma Tekniği
Bu teknik ile SM’ler şirkete veya kuruma ait bir takım kılavuzları, telefon defterleri, çek, kredi kartı bilgileri ve banka dekontları veya diğer kurumsal, ticari kayıtlar gibi hassas bilgilerin dikkatsizce çöpe atılacağını varsayarak çöpleri karıştırma tekniğidir.
Alıncak Önlem: Bu tarz saldırılara maruz kalmamak için şirketinizde “Çöp Öğütücü Makineler” kullanmanız.
Yukarıda ki yazımda da belirttiğim gibi SM saldırıları, SM’nin yeteneklerine ve zekasıyla doğru orantılı olduğu için SM saldırılarını kestirmemiz pek mümkün değil, ben bu makalemde SM’de kullanılan başlıca tekniklerden ve korunma yollarından bahsetmeye çalıştım yararlı olması dileğiyle…
Esen Kalın…
ALINTIDIR.
BARBAROS.
