Sosyal Mühendislik Saldırıları

Telefon, E-Posta ve diğer Sosyal Mühendislik Çeşitleri

Herhangi bir haber sitesini açtığınızda, karşınıza mutlaka çıkacak konulardan bir tanesi “A kişisi telefon dolandırıcılarına X lira kaptırdı” haberleridir. Fazlasıyla gördüğümüz için artık bağışıklık kazandık sanıyorum, tepki vermiyoruz çünkü.

Eski meclis başkanlarından, bilinen ünlü sanatçılara. Eski Emniyet mensuplarından, bürokratlara kadar bir çok alanda insan telefon dolandırıcılarına karşı etkisiz kalabiliyor. Sadece kendilerinde olması gereken bilgileri, telefonda hiç görmediği, tanımadığı insanlarla paylaşabiliyor.

İnsanların beyninde bir kontrol mekanizması var. O kontrol mekanizması, bizim bilgisayar sistemlerinde kullandığımız FireWall’lara çok benzer yapıda aslında. Yolda sizden birisi 5 lira istediği zaman beyniniz onu firewall dışında tutuyor, yabancı olarak nitelendirip, vermemeniz gerektiğini söylüyor. O yüzden dilenciler bu firewall’u “duygu sömürüsü” ile geçebilmek için, beyninizdeki koruma mekanizmasını by-pass edebilmek için değişik yöntemler kullanıyorlar. Birisi soğukta ayakkabısız dolaşıyor, birisi elini kolunu kırık gibi göstermeye çalışıyor gibi gibi..

Sosyal Mühendislik dediğimiz kavram da aslında, insanların beyinlerindeki o firewall benzeri yapıyı bir şekilde engelleyerek, içerideki bilgilerin dışarıya çıkmasını sağlamaktır. Şimdiye kadar bu şekilde bir tanım yapıldı mı bilmiyorum ama, benim kafamda olayı en net özetleyen tanım bu şekilde. Size bir e-posta geldiğinde, fishing yöntemi ile sosyal mühendislik saldırısına maruz kalacağınızda “güven” duygusu oluşturarak sizin beyninizdeki engeli geçmeyi başarmayı hedeflemektedir saldırganlar. Bunu nasıl yaparlar peki? Sizin şirketinizdeki sunucuların değiştiğini ve 30 gün içerisinde şifrenizin linke tıklayarak güncellenmesi gerektiğini söyler e-posta size. Siz de, tanıdığınız ve üstünüz olan birisinden e-postanın geldiğini gördüğünüzde otomatik olarak beyninizde “güvenli” diye işaretlersiniz. Sonrasında, “linke tıkla ve şifreni değiştir” komutunu sanki basit bir e-posta değil de şirketinizdeki yönetici söylüyormuş gibi algılar ve düşünmeye çok da fırsat bulamadan e-postanın yönlendirmelerine kendinizi kaptırmış olursunuz.

Günümüzde e-posta, fiziksel sosyal mühendislik, telefonda sosyal mühendislik gibi bir çok sosyal mühendislik yöntemi bulunmaktadır. Bunlar;
Sahte Senaryolar Uydurmak

Genellikle telefonla iletişim üzerinden gerçekleşen bir yöntemdir. Saldırganın amacına ulaşmak için sahte bir senaryo oluşturması ve bu senaryonun satırları arasından saldırılanın erişimindeki hassas bilgiye (bir sonraki adımda kullanmak üzere kişisel bilgiler ya da şifreler, güvenlik politikaları gibi erişim bilgileri) ulaşması şeklinde gelişir. Telefondaki işlemlerde yetkilendirme için ihtiyaç duyulan bilgiler genellikle başka kanallardan erişilebilir bilgiler (kimlik numarası, doğum tarihi v.b.) olduğu için sahte senaryolar uydurmak ve istenen bilgileri elde etmek çoğunlukla uygulanabilir bir saldırı yöntemi olmaya devam etmektedir. Saldırganın senaryonun ana hattı dışına çıkabilecek durumları da gözönüne alıp hazırlık yapması, başarı oranını artıran bir etkendir.
Güvenilir bir kaynak olduğuna ikna etmek

Son zamanlarda phishing olarak ünlenmiş bu yöntem, genellikle e-posta üzerinden ilerleyen bir sosyal mühendislik yöntemidir. Saldırgan, amacına ulaşmak için saldırılanı güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırır. Örneğin saldırgan yolladığı iletinin bir bankanın bilgi işlem bölümünden geldiğine ikna etmek isterse, aynı bankanın önceden yolladığı iletilerdeki biçemi şablon olarak alabilir ve iletiden dışarıya giden bağlantıları kötü niyetli bir sayfaya yönlendirebilir. Saldırganın hedefleri arasında hassas bilgi vermeye zorlamak, ya da kullanıcıyı hatalı bir hareket yapmaya (sahte web sayfasına tıklamak, virüslü yazılım kurmak v. b.) yönlendirmektir.

 
Truva atları (trojan)‏

Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda, veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir.
Truva atlarının bir şekli de road apple (yol elması – İngilizce’de at gübresinin hüsn-ü talilidir) olarak bilinir. Bu tür truva atları, e-posta, web gibi elektronik ortamların açıklıklarıyla yayılmak yerine, fiziksel olarak yayılırlar. Örneğin saldırgan üzerinde merak uyandıracak bir etiket bulunan bir disket, CD ya da flash disk oluşturur ve saldırılanın tesadüfen görebileceği bir yere (çöp kutusu, koridorun kenarı, tuvalet) atılmış gibi yerleştirir. Aslında zararlı yazılım içeren bu ortam, saldırılanın dikkatini çeker ve kullanırsa, zararlı yazılım bilgisayarda çalışarak saldırıyı gerçekleştirir.

 
Güvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, … önermek

Hassas bilgiye ulaşmak için kişinin zaafiyetlerini kullanmaya yönelik bir saldırıdır. Burada saldırılan sonunda karlı çıkacağı bir senaryoya ikna edilir. Örneğin hediyeli bir anket içinde şifresi ya da kişisel bilgileri sorulabilir, ya da şifresini söylemesi durumunda o sırada sistemle ilgili yaşadığı sorunun çözüleceği vaadedilebilir.

 
Güven kazanarak bilgi edinmek

Saldırganın hedefine, iş dışında ya da iş sırasında güvenini sağlayacak şekilde iletişime geçip ikna ederek bilgi vermesine ya da istediğini yaptırmasına dayanan bir yöntemdir. Saldırgan kuruma sağlayıcı olarak yaklaşıp erişim hakkı olan personelle güvene dayanan arkadaşlık kurma yoluna gidebilir, iş dışında oluşan ilişkileri suistimal edebilir, ya da saldırılanla ortak ilgileri ve beğenileri paylaşıyor izlenimi vererek güven sağlayabilir.

 
Diğer Yöntemler

Yukarıda maddelenmeye çalışılan yöntemler dışında, çalışanların ve kurumların yaptıkları tipik hatalardan istifade etmeye yönelik çeşitli bilgi toplama yöntemleri de bilinmektedir. Bunların arasında,

  • Omuz sörfü: Şifre yazılırken ya da erişim kısıtlı sistemlere erişilirken saldırılanın izlenmesi,
  • Çöp karıştırmak: Çöpe atılmış disket, CD, post-it, not kağıdı gibi, hassas bilgi içerebilecek eşyaları incelemek,
  • Eski donanımları kurcalamak: Hurdaya çıkmış, ikinci el satış sitelerinde satışa sunulmuş, çöpe atılmış, kullanılmadığı için hibe edilmiş donanımın içeriğini incelemek,
    bulunmaktadır.

Sosyal mühendislikte saldırı yöntemleri, listelerle sınırlı olmaktan çok, saldıranın kararlılığıyla ve yaratıcılığıyla sınırlıdır. Ayrıca tipik dolandırıcılık yöntemlerinin de uygulanmasıyla, olası yöntemlerin sayısı ve tipleri de artacaktır.

 
Tehditler

Başarıyla yapılması durumunda, sosyal mühendislik saldırıları çeşitli risklerin gerçekleşmesine neden olabilmektedir. Bunlar aşağıdaki gibi sınıflandırılabilir:

  • Yetkisiz erişim: Saldırgan, erişim sağlamak için gerekli bilgileri ele geçirebilir. Bunun gerçekleşmesi için çoğu zaman yanlışlıkla söylenen bir kullanıcı şifresi yeterlidir.
  • Hizmet hırsızlığı: Ele geçirilmiş şifreyle saldırgan erişimi kısıtlı dosyaları indirebilir ya da bant genişliği, işlemci zamanı, disk alanı gibi sınırlı kaynakları kullanabilir.
  • İtibar ve güven kaybı: Sosyal mühendislik yoluyla zarara uğramış bir kurum, müşterilerinin ve kamunun gözünde değer kaybedebilir. Yeniden güven kazanmanın bedeli, çoğunlukla baştan önlem almaktan çok daha yüksektir.
  • Dağıtık hizmet engelleme: Ele geçirilen sistem ve kaynaklar, başka sistem ve kaynakların ele geçirilmesi ya da zarar verilmesi için kullanılabilir. Dolaylı olarak başka saldırılara sebep olunabilir; Bu durumda saldırının kaynağı aynı zamanda kurban olabilir.
  • Hassas bilgiye erişim ve veri kaybı: Saldırgan, başarılı olması durumunda kurumun ve müşterilerinin bilgilerini ele geçirebilir. Bu bilgileri satabilir, daha fazla suistimal için kullanabilir ya da kurum aleyhine kullanabilir. Saldırgan sadece kurumun zarar görmesini istiyorsa, bilgiye erişimi engelleyebilir. Silmek, şifreli bir şekilde kaydetmek gibi yöntemlerle bilginin erişimini imkansız kılabilir.
  • Yasal yaptırıma uğramak: Kurumun müşterileri ve ortaklarıyla yaptığı gizlilik ve güvenlik anlaşmalarının ve hassas bilgiyi korumak için önlem almamanın yasal yaptırımları olabilir.

 

Önlemler

Sosyal mühendislik saldırılarına karşı alınabilecek önlemler, diğer siber saldırılara karşı alınacak önlemlerle benzerlik göstermektedirler. Belirleyici özellikleri, alınacak önlemlerin sadece bilgisayar ve ağ altyapısı değil, çevresel güvenlik ve düzenli eğitim boyutlarını da içermesidir.

 
Fiziksel Güvenlik

Sistem güvenliği gözden geçirilirken, genellikle yerel ya da konsoldan erişim sonucunda oluşabilecek güvenlik açıklıkları, etkisinden ve riskinden bağımsız olarak olma olasılığı düşük olarak değerlendirilmektedir. Fakat bu olasılık hesaplanırken, bilgisayar sistemleri dışındaki faktörler de gözönünde bulundurulmalıdır. Örneğin, sistemlere fiziksel erişimi olan herkesin güvenilir olup olmadığı gözden geçirilmeli, duruma göre fiziksel tehditlerin olma olasılığı yüksek olarak değerlendirilip, önlemler alınmalıdır. Ayrıca sisteme erişimi olan kullanıcıların çeşitli profillerden olabildiği sistemlerde, kullanıcı güvenlik politikalarındaki sıkılaştırmalar ve denetlemeler uygulanmalı, tüm kullanıcı profillerinin yetkileri belirlenmelidir.

 
Etkili Güvenlik Politikaları

Kurumun oluşturduğu güvenlik politikaları açık, anlaşılır, mantığa uygun, uygulanabilir, erişilebilir ve kapsayıcı olmalıdır. Erişilebilirliği eksik, anlaşılır olmayan ya da uygulanması çok zahmetli politikalar, genellikle uygulanmamaya ya da ihmal edilmeye mahkumdurlar. Güvenlik politikaları sosyal güvenlik saldırılarını konu edindiklerinde rollerden çoğunu çalışanlar oynadığı için, kurumla çalışanlar arasındaki güven seviyesi belirlenmelidir. Burada belirlenen güvenin azlığı çalışanın bağlılığını etkileyecek, gereğinden fazla güven ise çalışanlardan ya da çalışanlar üzerinden gelecek saldırılara karşı sistemi savunmasız bırakacaktır.

 
Eğitim ve Yaptırımlar

Çalışanlar politikalar hakkında ne kadar bilgiliyse, güvenlik politikaları o kadar değerlidir. Bu yüzden sürekli ve güncel eğitim ve bilgilendirme çalışmaları, çalışanları konu hakkında bilgilendirmek ve bilinçlendirmek açısından hayati öneme sahiptir. Ayrıca üst yönetim verilen eğitimlerin ve uyarıların izlendiğinden emin olmalı, güvenlik yönergelerine uyulmaması durumunda yaptırım uygulamaya kararlı olmalıdır. Eğitime ek olarak uygulanan yaptırımlar, çalışanların güvenlik politikalarını izlemesine yardımcı olur.

 
Olay Müdahalesi

Bir sosyal mühendislik saldırısı sırasında yapılacakların belirlenmesi özellikle önemlidir, sadece varolan süreçler gözden geçirilerek bile bir çok açıklığın önlemi alınabilir. Kullanıcıların e-posta iletilerinin asıl kaynaklarını nasıl belirleyecekleri, şüpheli e-postaları nasıl işleyecekleri ve web adreslerinin kimlik doğrulama bilgilerini nasıl kontrol edecekleri gibi işlemler belgelenmeli ve iş süreçlerine eklenmelidir. Sosyal mühendislik saldırıları çoğu zaman kullanıcının zaafını kullanarak yapıldığından dolayı, kullanıcı olayın farkına varmayabilir ya da farketse bile kendi güvenilirliğini zedeleyeceğini düşündüğünden olayı ilgili kişilere iletmeyebilir. Bu yüzden olay meydana geldikten sonra durumun yetkili personele iletilmesi için gerekli altyapı oluşturulmalı, bunların kuralları belirlenmelidir.

 
Denetim

Sosyal mühendislik saldırısı kavramı, doğası itibarıyla sürekli değişebilen bir saldırı tipi olduğu için, oluşturulan önlemlerin ve güvenlik politikalarının düzenli olarak gözden geçirilmesi ve güncellenmesi, denetimlerle etkilerinin onaylanması gereklidir. Denetim süreci basitçe bir saldırganın yapması beklenenlerin tatbikatı şeklinde gelişmektedir. Saldırılar,

  • bilgi toplama,
  • ilişki kurma,
  • istismar ve
  • erişim

olmak üzere dört adım olarak modellenmektedir.
Bilgi toplama ve ilişki kurma adımlarında, iletişim kurulabilecek unsurlar belirlenir. Bunun için çoğu zaman edilgen bilgi toplamayla saldırıya yeterli bilgiye ulaşılabildiği görülmüştür. Kurumsal web sayfaları, arama motorları, haber grupları, forumlar, iş arama siteleri, sosyal ağ siteleri ve hatta sarı sayfalar yardımıyla kurum çalışanları ve kurum organizasyonu hakkında yeterli bilgi edinilebilir. Denetimler, bu ortamlar üzerinden ne kadar hassas bilginin alınabileceği üzerine yoğunlaşmalıdır.
Fiziksel erişim sağlamak için uygulanan yöntemler arasında, çalışan biri gibi davranmak (sahte kimlik kartı, giriş-çıkış saatleri arasında kalabalığa karışmak v.b.), çalışanların arkasından giriş yapmak (gerçek kartla açılan kapı kapanmadan girmek gibi), sağlayıcı ya da misafir gibi davranmak (postacı, tamirci v.b.), mesai saatleri dışında normal süreçlerin uygulanmadığı zamanlarda giriş yapmaya çalışmak bulunur. Bunun dışında, üstte belirtilen sosyal mühendislik yöntemleri de uygulanabilir. Bu tür denetimler çoğu zaman uygulanabilirlik açısından yasal sınırda gezindiğinden iyi tasarlanmış ve üst yönetimden onay alınmış olmalıdır.
Fiziksel erişimden sonra ya da ayrıca bilgiye erişim için de çeşitli metodlar uygulanabilir. Denetimciler tarafından sıkça uygulanan bilgiye erişim yöntemleri arasında çalışanları gizlice izlemek (omuz sörfü, kulak misafirliği v.b. ), ofis içindeki çöpleri karıştırmak, klavyelerin, telefonların altına, takvimlere ve ajandalara, post-it notlarına ve ortak kullanıma açık panolara göz atmak, ekranı kilitlenmemiş bilgisayarları kullanmak, kullanıcı bilgisayarlarını kullanıma açmaya ikna etmek vardır.

 
Sosyal Mayınlar

Yukarıda bahsedilen standart önlemlerin yanı sıra, bir sosyal mühendislik saldırısını meydana gelirken ya da meydana gelmeden önce belirleyebilecek önlemler vardır. Bunlar kurumun yapısına ve sistemlerin kurulumuna göre farklılık gösterebilirler. En yaygın kullanılan sosyal mayınlar arasında aşağıdaki önlemler sayılabilir:

  • Herkesi tanıyan tek bir kişinin ofiste bulunması, böylece içeriye giren şüpheli kişilerin erken tanımlanabilmesi,
    Merkezi güvenlik kayıtları tutularak, teker teker bir şey ifade etmeyen kayıtların toplu halde izlenmesi, böyle korelasyon yapılabilmesi,
  • Telefonla hassas bilgi (unutulan şifre gibi) iletilmesi gerektiği durumlarda geri aramanın zorunlu kılınması ve geri aranan numaranın ilgili kişinin kayıtlarından alınması,
  • Kullanıcı kimliğinin doğrulanması gerektiğinde önceden belirlenmiş ve kayıtlarda yer alan anahtar soruların ve/veya kimlik ve personel bilgilerinin sorulmasının zorunlu kılınması,
  • Tuzak sorularla (örneğin kızı olmadığı bilinen bir personele kızının isminin sorulması) kimliğin doğrulanması,
    Şüphe durumunda aceleci davranmamak, hatta bekletmek ya da e-postaya hemen yanıt vermemek, ancak emin olduktan sonra işleme devam etmek (bu uygulamanın olası bir saldırganın geri çekilme ihtimalini artırmak gibi bir yan etkisi de vardır).

 

Sonuç

Hiç bir sistem insandan bağımsız değildir. Bilgisayar sistemleri, insanlar tarafından tasarlanır, bakımı ve işletimi insanlar tarafından yapılır ve sistemden faydalanan ve sistemi kullananlar da insandır. İnsan bileşeni aynı zamanda bir güvenlik sisteminin en zayıf halkasıdır. Bundan dolayı insan faktörünün istismarına dayanan sosyal mühendislik saldırılarının gerçekleşme olasılığının her zaman olduğu ve gözardı edilemeyeceği açıktır. Sosyal mühendislik saldırılarının başarısı, bilgisayar ve ağ sistemlerindeki yerel zayıflıkların varlığına bağlı olduğundan, yerel açıklıklara verilmesi gereken önemi artırmaktadır. Sosyal mühendislik saldırılarının etkisini en aza indirgemenin yolu güvenlik politikalarının güncel tutulmasından ve personelin uygun bir şekilde bilgilendirilmesinden geçer.

Share:

Leave a reply