1.1. Sosyal Mühendislik
İnsanların gizli bir bilgiyi veya sadece kendileri tarafından bilinen bilgileri ortaya çıkarmalarını sağlama yöntemine sosyal mühendislik denilir. Organizasyonların Help Desk (Yardım Masası) personeli, teknik destek yetkilileri, sistem yöneticileri vb. genel hedeflerdir. Sosyal mühendisliğin başarısı insanların değerli bilginin farkında olmamasına ve onu korumayı umursamamasına bağlıdır. Saldırının etkisi olarak ekonomik kayıplar, sırların açığa çıkması, davalar, saygınlık kaybı, geçici veya kalıcı kapanma, terörizm tehlikeleri gözlenebilir. [22]
Şirketleri saldırıya açık hâle getiren faktörler; yetersiz güvenlik eğitimi, bilgiye kontrolsüz erişim, birkaç organizasyona bağlı birim, güvenlik politikaları eksikliğidir.
Sosyal Mühendisliğin etkili olma nedenleri; Güvenlik politikaları, en zayıf halkası kadar güçlüdür bu yüzden insanlar en müsait unsurdur. Sosyal mühendislik girişimlerini tespit etmek zordur. Sosyal mühendislik saldırılarına karşı tam anlamıyla güvenlik sağlayacak bir yöntem yoktur. Sosyal mühendislik saldırısına karşı korunma sağlayacak özellikli bir yazılım ya da donanım yoktur. Yalnızca, örnek senaryolar ile farkındalığı artırarak gerçek durumla karşılaştığında, durumun farkında olarak bilgiyi sızdırmayı engellemek sağlamak çözüm olabilir.
1.1.1. Sosyal mühendislik saldırısı aşamaları
Hedef Şirket Araştırması:
Dumpster Diving (Çöp Karıştırma), web siteleri, çalışanlar, şirket turu gibi yöntemlerle şirketlerin iç işlerini, organizasyonlarını, kritik noktalarını belirleme aşamasıdır.
Kurban Seçimi:
Hedef şirketteki hakkı yenmiş veya zafiyetleri kolay ele geçirilecek olan çalışanlar belirlenir.
İlişki Geliştirme:
Seçilen çalışanlarla ilişkiler geliştirilir. Sosyal mühendislikte en gelişmiş silah olan “güven” tesis etmesi sağlanır.
İlişkiden Faydalanma:
Kritik hesap ve finansal bilgi, mevcut teknolojiler öğrenilir. Dostça sohbetler sırasında konuşulacak olan konular, sosyal mühendislik saldırısını başarıya ulaştıracak bir çok bilgiyi elde ettirebilir.
1.1.2. Sosyal mühendislik teknikleri
İnsan Tabanlı (Human-based) Sosyal Mühendislik
Etkileşimlerle kritik bilgi toplanır.
Çeşitleri;
Impersonation (Taklit Etme): Saldırgan yasal veya yetkili biri gibi davranır. En sık karşılaşılan insan tabanlı sosyal mühendisliktir. Saldırganlar telefon, e-posta vb. iletişim ortamını kullanarak ya da kendileri bunu yapabilirler. Kritik bilgiyi ortaya çıkarması için hedefi tetikler. Bir uç kullanıcı gibi davranıp kimliğini verip kritik bilgi isteyebilirler. Önemli bir kullanıcı gibi davranabilirler. Teknik destek yetkilisi gibi davranıp veri almak için parolaları ve IDleri talep edebilirler.
Yardım Masasının (Help Desk) Aşırı Yardımseverliği; Yardım masaları bariz şekilde yardım etme yerleriyken çoğunlukla sosyal mühendislik zafiyetidirler. Saldırgan bir şirketin yardım masasını arayıp yetkili pozisyondaki veya ilgili biri gibi davranıp kritik bilgiyi almaya çalışır.
Üçüncü Parti Yetkisi; Saldırgan istenen bilgiye erişimi olan hedef organizasyondaki yetkili çalışanının ismini öğrenir. Sonra da saklı bilginin olduğu hedef organizasyonu arar ve belirli çalışanın bilgi sağlanılmasını talep ettiğini iddia eder.
Teknik Destek; Saldırgan hedef organizasyonundaki yazılım tedarikçisinin (vendor) teknik destek personeliymiş gibi davranır. Sonra da organizasyondaki problemi çözmek için kullanıcı ID ve parolasını talep edebilir.
İç Çalışan/Müşteri/Tedarikçi (Vendor): Şirket kıyafeti veya uygun bir üniforma giyen saldırgan, tedarikçi, müşteri veya teknik servis elemanı olduğunu iddia ederek hedef binaya girer. Sonra da terminallere bağlı parolaları arar, gizli sohbetleri dinler vea masadaki dokümanları ve bilgiyi araştırır.
Tamirci; Saldırgan telefon tamircisi veya bilgisayar teknisyeni gibi davranarak hedef organizasyona girebilir. Sonra da izleme cihazı (snooping) yerleştirebilir veya göreviyle ilişkili eylemler sırasında gizli parolaları elde edebilir. Güvenilir Yetkili Kişi.
Gizlice Dinleme (Eavesdropping): Mesajlar okunur, sohbetler yetkisizce dinlenir, gizlice dinleme yapılır. Ses, video, yazılı iletişim ele geçirilir. Telefon hatları, e-posta, anlık mesajlaşma vb. gibi iletişim kanalları kullanılarak yapılabilir.
Sinsice Gözetleme (Shoulder Surfing): Parolalar, PINler, hesap numaraları vb. bilgiyi almak için birinin omzunun üzerinden bakmak gibi doğrudan gözetleme teknikleridir. Kritik bilgiyi elde etmek için dürbün gibi görüş arttırıcı cihazların yardımıyla uzak mesafeden de yapılabilir.
Çöp Karıştırma (Dumpster Diving): Başkasının çöpünde değerli bir şeyi aramaktır.
Ters (Reverse) Sosyal Mühendislik: Saldırganın kendini yetkili olarak tanıtır ve hedef saldırganın ihtiyaç duyduğu bilgiyi sunduğu tavsiyesine başvurur. Sabotaj, pazarlama ve teknik destek içerir.
Kaçak Girme (Piggybacking): Yetkili birinin kasıtlı olarak/bilmeden yetkisiz birinin güvenlik kapısından geçmesine izin vermesidir.
Yakından Takip Etme (Tailgating): Sahte kimlik kartı takan yetkisiz birinin erişim anahtarı (key access) gerektiren bir kapıdan geçen yetkili birini yakından takip ederek güvenli bölgeye girmesidir.
Bilgisayar Tabanlı Sosyal Mühendislik
Bilgisayarlar yardımıyla yapılır. İnternette gezinirken aniden pencere açılıp senden kullanıcı bilginle oturum açmanı ister (Pop-up Windows). Aldatmaca bilgileri (hoax letters) kullanıcıyı yeni virüsler, trojanlar, wormler hakkında uyaran e-postalardır. Zincirleme bilgiler (chain letters) kullanıcının e-postası söz konusu kişi sayısına iletmesi şartıyla ona para ve yazılım gibi bedava hediyeler sunduğu e-postalardır. Doğum günleri, bekârlık soyadı gibi bilgiyi almak için seçilmiş çevrimiçi kullanıcıyla sohbet ederek kişisel bilgi toplamaktır (Anlık Mesajlaşma). Finansal bilgi, sosyal güvenlik numaraları ve ağ bilgisi toplamak için alakasız, istenmeyen ve talep edilmeyen e-postadır (İstenmeyen E-posta/Spam Email).
Oltalama (Phishing): Düzgün bir siteden geldiğini iddia eden yasal olmayan bir e-posta kullanıcının kişisel veya hesap bilgisini elde etmeye çalışır. Bu e-postalar veya pop-uplar kullanıcıyı, kişisel bilgisini vermesini isteyecekleri güvenilir siteleri taklit eden web sayfalarına yönlendirirler.
Mızrakla Oltalama (Spear Phishing): Bir organizasyondaki özellikli bireyleri hedef alan doğrudan phishing saldırısıdır. Saldırganın rastgele e-posta adreslerine yüzlerce mesaj yolladığı normal phishing saldırısının aksine saldırgan, özellikli bir insan veya gruba yönlendirilmiş sosyal mühendislik esaslı, belli bir amaç için üretilen bir mesaj yollar. Normal phishing saldırısına kıyasla daha yüksek yanıt oranına sahiptir.
Oltalama E-Postalarını Belirleme;
- Bankadan, şirketten, sosyal paylaşım sitesinden gelmiş gibi görünür ve genel selamlar içerir (hello …)
- Senin e-posta adres defterinde listelenen biri gibi görünür
- Üstü kapalı tehdit (veiled threat) veya aciliyet hissi verir
- Dil Bilgisi/Yazım hataları içerebilir
- Spoof edilmiş web siteleri linkleri içerir
- İnanmayacak kadar iyi gibi görünen teklifler içerebilir
- Resmi görünen logolar ve yasal web sitelerinden alınmış bilgiler içerir
- Kötücül ek (attachment) içerebilir
Netcraft, PhishTank antiphishing aracıdır.
Mobil Tabanlı Sosyal Mühendislik
Mobil uygulamalar yardımıyla yapılır.
Kötücül Uygulamalar Yayınlama (Publishing Malicious Apps): Saldırgan, popüler uygulamalarla aynı isme ve çekici özelliklere sahip kötücül bir uygulama yaratıp büyük uygulama mağazalarında yayınlar. Bilinçsiz kullanıcılar bunları indirip telefonuna saldırgana bilgilerini gönderen Zararlı Yazılım (Malware)lar bulaştırırlar.
Geçerli (Legitimate) Uygulamaları Yeniden Paketlemek (Repackaging)
Taklit Güvenlik Uygulamaları (Fake Security Applications): Saldırgan kurbana bulaştırır. Kurban banka hesabında oturum açar. PC’deki Zararlı Yazılım (Malware), güvenlik mesajlarını almak için kurbanda telefonuna uygulama indirmesini söyleyen bir mesaj penceresi açar. Kurban kötücül uygulamayı indirir. Saldırgan artık SMS aracılığıyla bankadan kurbana gönderilen ikinci doğrulama ögesine erişebilir.
Kısa Mesaj Kullanarak.
İçeriden Saldırı (Insider Attack)
Casusluk (Spying): Birini rakip şirkete sokmak.
İntikam (Revenge): Şikâyetçi (Disgruntled) birini bulup şirketi ifşa ettirmek. Bir iç saldırı başlatmak kolaydır. Önlemek zordur. İç saldırgan kolaylıkla başarabilir.
İçeriden Tehditleri Önleme: Görev rotasyonları ve ayrımları, Loglama ve denetim, Mümkün olduğunca az hak verme, Resmi politikalar, Denetimli erişim, Kritik veri arşivi.
Sosyal Mühendislik Hedefleri | Saldırı Teknikleri | Savunma Stratejileri |
Ön Ofis ve Help Desk | Eavesdropping (Gizlice Dinleme), Shoulder Surfing (Sinsice Gözetleme), Impersonation (Taklit Etme), İkna etme, Gözdağı (Intimidation) | Telefonla parolaları veya başka bilgiyi asla açık etmemesi için çalışanı/help desk’i eğitmek |
Perimetre Güvenliği | Impersonation, Taklit IDler, Piggybacking (Kaçak Girme) vb. | Sıkı kimlik kartı (badge), anahtar (token) veya biyometrik doğrulama yapmak, çalışan eğitimi vermek ve güvenlik görevlileri çalıştırmak |
Ofis | Shoulder Surfing, Eavesdropping, Kendini zorla kabul ettirme (Ingratiation) vb. | Çalışan eğitimi vermek, çok iyi pratik yapmak ve parolaların kullanımı için kontrol listeleri yapmak |
Telefon (Help Desk) | Help desk çağrılarında Impersonation, Gözdağı, İkna etme | Çalışan eğitimi vermek, help desk için politikalar uygulamak |
Posta Odası | Hırsızlık, zarar verme veya postaların sahtesini yapma | Posta odasını kilitleyip izlemek ve çalışan eğitimi vermek |
Makine odası/Telefon dolabı | Gizli veriyi ele geçirmek için erişim sağlama girişimi, ekipman kaldırma ve/veya protokol analyzer bağlama | Telefon dolabını, sunucu odalarını vb. her zaman kilitli tutmak ve ekipman envanterini güncel tutmak |
Çizelge 2‑4 İçerik Saldırıları Teknikleri
1.1.3. Sosyal paylaşım sitelerinde temsil (ımpersonation)
Kötücül kullanıcılar sosyal paylaşım sitelerinden gizli bilgiyi alıp başka isimlerde hesaplar oluştururlar. Saldırgan geniş arkadaş ağı oluşturmak için başka profiller kullanıp sosyal mühendislik teknikleriyle bilgi toplar. Saldırganlar kişisel ve şirket bilgilerinin paylaşıldığı organizasyonun çalışan gruplarına katılmaya çalışırlar. Saldırganlar ayrıca sosyal mühendislik saldırı formlarını uygulamak için topladıkları bilgiyi kullanabilirler.
Kurumsal Ağlarda Sosyal Paylaşım Yapma Riskleri:
- Veri Hırsızlığı; Bilgi havuzuna birçok kullanıcının erişmesi bilgi sömürülmesi riskini arttırır.
- İstemeyerek Veri Sızdırma; Güçlü politika yokluğunda çalışanlar bilmeyerek şirketleriyle ilgili kritik veriyi açığa çıkarabilirler.
- Hedefe Yönelik Saldırılar; Saldırganlar buralardaki bilgiyi kullanıp hedefe yönelik saldırı yapabilirler.
- Ağ Zafiyeti; Tüm sosyal paylaşım siteleri kusurlara ve yazılım hatalarına (bugs) sahiptir dolayısıyla bu, organizyon ağında zafiyetlere yol açabilir.
1.1.4. Kimlik hırsızlığı
Identity theft, birisi kişiyi tanımlayan bilgileri dolandırıcılık amacıyla çalarsa olur. Saldırgan bununla hedef bir organizasyonun çalışan bilgisini taklit edebilir ve fiziksel olarak o yere erişebilir. Bunun riskini en az indirgemek için kredi kartı dökümanlarını periyodik olarak kontrol edilir, evdeki ve iş yerindeki kişisel bilgi korunur, kaynakların yasallığı doğrulanır.
1.1.5. Sosyal mühendisliğe karşı önlemler
Parola Politikaları:
- Periyodik olarak parola değiştirmek
- Tahmin edilebilir parolalardan uzak durmak
- Başarısız girişimlerden sonra hesap bloke etmek
- Karmaşık ve uzun parolalar kullanmak
- Parolaları gizli tutmak
Fiziksel Güvenlik Politikaları:
- ID kartları, üniformalar vb. vererek çalışanların kimliğini belirlemek
- Ziyaretçilere eşlik etmek
- Bölge erişim kısıtlamaları getirmek
- İşe yaramayan dokümanları düzgün şekilde parçalamak
- Güvenlik personeli istihdam etmek
Genel:
- Eğitim (Sosyal mühendislik farkındalığını arttırmak için tüm güvenlik politikalarını ve yöntemlerini içermelidir)
- Kurum Esasları (Operational Guidelines) (Kaynaklara sadece yetkili kullanıcılar tarafından erişildiğinden ve kritik bilginin korunduğundan emin olunmalıdır)
- Hak Erişimi (Administrator, kullanıcı ve misafir hesapları uygun şekilde yetkilendirilmelidir)
- Bilgi Sınıflandırması (Bilgi çok gizli, şahsi, sadece iç kullanıcı için, sadece genel kullanıcı için vb. gibi kategorize edilmelidir)
- Uygun Tepki Süresi Etkisi (Proper Incidence Response Time) (Sosyal mühendislik girişimi durumunda tepki vermek için uygun esaslar olmalıdır)
- Geçmiş Araştırması ve Uygun İşten Çıkarma Süreci (Background Check and Proper Termination Process) (Suçlu geçmişine sahip içeridekiler ve işine son verilmiş çalışanlar bilgiyi elde etmek için kolay hedeflerdir)
- Antivirüs/AntiPhishing Savunmaları (Uç kullanıcıda ve sosyal mühendislik saldırılarını en aza indirgemek için e-posta gateway’inde çok katmanlı antivirüs savunmaları kullanmak)
- İki Faktörlü Doğrulama (VPNler ve modem havuzları gibi yüksek riskli ağ servisleri için sabit parolalar yerine iki faktörlü doğrulama kullanmak)
- Yönetim Değişikliği (Dokümante edilmiş yönetim değişikliği süreci planlanmamış olandan çok daha güvenlidir)
Kimlik Hırsızlığı:
- Özel bilgi içeren tüm dokümanları korumak veya parçalamak
- Pazarlamacıların listelerinde isminin olmadığından emin olmak
- Düzenli olarak kredi kartı dökümanlarını incelemek ve hiçbir zaman gözden kaybetmemek
- Telefonda herhangi bir kişisel bilgi vermemek
- Postayı güvende tutup çabucak posta kutusunu boşaltmak
- Tüm kişisel veri taleplerinden şüphelenip doğrulamak
- Kişisel bilginin reklam edilmesini/internete yayılmasını önlemek
- Zorunlu olmadıkça hesap/sözleşme numarası göstermemek
1.1.6. Sosyal mühendislikte sızma testi
Yetki sağlanır à Penetrasyon testi kapsamı tanımlanır à E-posta adreslerinin listesi alınıp hedefle temasa geçilir à Bilgi elde edildiyse çok özel bahanelerle bir senaryo (script) oluşturulur/Bilgi elde edilemediyse à E-postalar toplanıp hedef organizasyondaki çalışanlarla ayrıntılı şekilde temasa geçilir (Dumpster diving, E-posta tahmin etme, USENET ve web araştırması, e-posta örümcekleri) à Footprinting (Ayak İzi) teknikleri kullanılarak bilgi toplanır à
Bilgi elde edilemediyse tekrar e-postalar toplanıp hedef organizasyondaki çalışanlarla ayrıntılı şekilde temasa geçilir/Bilgi elde edildiyse à Spesifik bahanelerle bir senaryo (script) oluşturulur à Çalışanlara kişisel bilgilerini isteyen e-posta gönderilir à Kişisel bilgi alındıysa ilgili kurbanlar ve alınan bilginin hepsi dokümante edilir/Kişisel bilgi alınmadıysa à Kötücül eklerle (attachments) hedef kurbanlara e-postalar yollanıp izlenir (ReadNotify) à Ek açıldıysa tüm kurbanlar dokümante edilir/Açılmadıysa à Hedef kurbanlara phishing e-postaları yollanır à Cevap alındıysa ilgili kurbanlar ve yanıtlarının tümü dokümante edilir/Alınmadıysa à Meslektaşı gibi davranıp hedef aranır ve kritik bilgi istenir à Önemli bir kullanıcı rolü yapılarak hedef aranır à Teknik destek yetkilisi rolü yapılarak hedef aranır ve kritik bilgi istenir à Organizasyondaki önemli birinden bahsedilip veri toplanmaya çalışılır à Hedef aranıp kişisel bilgi karşılığında ödüller teklif edilir à Hedef bilgi almak için çok kötü şeylerle tehdit edilir (hesabın devre dışı bırakılacak gibi) à Hedeflerin bilgilerini vermeleri için Reverse Sosyal Mühendislik teknikleri kullanılır à Çalışanlarla kafeteryada arkadaş olunup bilgi alınmaya çalışılır à Dış denetçi/müfettiş (external auditor) rolü yapılarak içeri girilmeye çalışılır à Taklit kimlik kartı takarak yakından takip edilmeye (tailgating) veya piggybacking (kaçak girme) ile içeri girilmeye çalışılır à Sistemler ve kullanıcılar üzerinde gizlice dinleme (eavesdropping) ve sinsice gözetleme (shoulder surfing) yapılmaya çalışılır à Resmi bir rapolar tüm bulgular dokümante edilir.
Social Engineering Toolkit (SET), Python ile çalışan sosyal mühendislikle ilgili penetrasyon testi yapmayı amaçlayan bir açık kaynaktır.