Yaklaşık olarak altı farklı banka ile çalışıyorum ve son üç ay içerisinde tam dördü sosyal mühendislik teknikleri konusunda güvende kalmaya dair uyarı e-postası gönderdi. Sosyal mühendislik ile artan dolandırıcılığın etkisi olacak ki; bu denli alarmlar üretilmeye devam ediliyor.
İçindekiler
Sosyal Mühendislik
Sosyal mühendislik, binalara, sistemlere veya verilere erişmek için teknik bilgisayar korsanlığı tekniklerinden ziyade insan psikolojisini kullanma sanatıdır.
Örneğin, bir yazılım güvenlik açığını bulmaya çalışmak yerine, bir sosyal mühendis bir çalışanı arayabilir ve bir destek personeli gibi davranarak çalışanı şifresini ifşa etmesi için kandırmaya çalışabilir. Ünlü hacker Kevin Mitnick, 90’larda “sosyal mühendislik” teriminin popülerleşmesine yardımcı oldu, ancak bu fikir ve tekniklerin çoğu, dolandırıcı sanatçılar olduğu sürece var olabildiler.
Veri merkezinizi, bulut dağıtımlarınızı, binanızın fiziksel güvenliğini güvence altına almak söz konusu olduğunda tüm özelliklere sahip olsanız bile, savunma teknolojilerine yatırım yapmışsanız, doğru güvenlik politikalarına ve süreçlerine sahip olmalısınız ve bunları ölçmelisiniz. Etkililik ve sürekli iyileştirme yapılmış olsa da kurnaz bir sosyal mühendis bu duvarın arkasına geçebilir.
Sosyal mühendislik teknikleri
Sosyal mühendisliğin, bir suçlunun kuruluşunuza sızması için çok başarılı bir yol olduğu kanıtlanmıştır. Bir sosyal mühendis güvenilir bir çalışanın şifresine sahip olduğunda, oturum açıp hassas veriler için içeride dolaşabilir. Suçlu, bir tesise fiziksel olarak girmek için bir erişim kartı veya erişim kodu ile verilere ulaşabilir, varlıkları çalabilir ve hatta insanlara zarar verebilir.
“Bir Hack Anatomisi” makalesinde, bir sızma testi uzmanı güncel olayları nasıl kullandığını, sosyal ağ sitelerinde bulunan halka açık bilgileri ve yasadışı girişine hazırlanmak için bir ikinci el mağazasından satın aldığı 4 dolarlık Cisco gömleğini anlatıyor. Gömlek, bina resepsiyonunu ve diğer çalışanları bir teknik destek ziyaretinde Cisco çalışanı olduğuna ikna etmesine yardımcı oldu. İçeri girdiğinde, diğer takım üyelerine de yasadışı giriş yapabildi. Ayrıca, diğer çalışanların görüş alanı içinde olmak üzere, birkaç kötü amaçlı yazılım yüklü USB’yi düşürmeyi ve şirketin ağına girmeyi başardı.
Yine de, bir sosyal mühendislik saldırısı gerçekleştirmek için ikinci el mağazaya gitmenize gerek yok. E-posta, telefon veya sosyal medya üzerinden de çalışırlar. Tüm saldırıların ortak yanı, insan doğasını kendi çıkarları için kullanmaları, açgözlülüğümüzü, korkumuzu, merakımızı ve hatta başkalarına yardım etme arzumuzu beslemeleri ve ondanfaydalanmaları.
Sosyal mühendislik örnekleri
Suçlular, kapıdan içeri girmeden veya bir telefon görüşmesi yapmadan önce bir yeri tanımak için genellikle haftalar ve aylar alır. Hazırlıkları, bir şirket telefon listesi veya kuruluş şeması bulmayı ve LinkedIn veya Facebook gibi sosyal ağ sitelerinde çalışanları araştırmayı içerebilir.
Telefonda
Bir sosyal mühendis, bir çalışan arkadaşı veya güvenilir bir dış otoriteyi (kolluk kuvvetleri veya bir denetçi gibi) arayabilir ve taklit edebilir. Türkiye’de en çok rastlanan örneklerde bu kurgu üzerinden işlemektedir. Ne yazık ki terör örgütleri ile yaşayan bir toplum olduğumuz için kaygılarımız da had safhada bulunmaktadır.
Ofiste
“Kapıyı benim için tutabilir misin? Anahtarım/giriş kartım yanımda yok.” Bunu binanızda ne sıklıkla duydunuz? Soran kişi şüpheli görünmese de, bu sosyal mühendisler tarafından kullanılan çok yaygın bir taktiktir.
Çevrimiçi
Sosyal ağ siteleri, sosyal mühendislik saldırılarının gerçekleştirilmesini kolaylaştırdı. Günümüzün saldırganları LinkedIn gibi sitelere gidebilir ve bir şirkette çalışan tüm kullanıcıları bulabilir ve bir saldırıyı ilerletmek için kullanılabilecek çok sayıda ayrıntılı bilgi toplayabilir.
Diğer
Sosyal mühendisler ayrıca kurbanları cezbetmek için son dakika haberlerinden, tatillerden, popüler kültürden ve diğer cihazlardan yararlanır. Woman, BestMark, Inc. kılığında gizemli alışveriş dolandırıcılığına karşı 1.825 dolar kaybeder, suçluların dolandırıcılıklarını gerçekleştirmek için bilinen bir gizemli alışveriş şirketinin adını nasıl kullandığını görürsünüz. Dolandırıcılar, tatil günlerinde suç hedeflerini ilerletmek için genellikle sahte hayır kurumları kullanır.
Saldırganlar ayrıca kimlik avı saldırılarını, kullanıcıları kötü amaçlı yazılım içeren ekleri tıklamaya ikna etmek için kullanılabilecek bilinen ilgi alanlarını (ör. Favori sanatçılar, aktörler, müzik, politika, hayırseverler) hedef alacak şekilde özelleştirecekler .
Ünlü sosyal mühendislik saldırıları
Hangi sosyal mühendislik taktiklerine dikkat etmeniz gerektiğine dair bir fikir edinmenin iyi bir yolu, geçmişte nelerin kullanıldığını bilmektir. Konuyla ilgili kapsamlı bir makalede tüm ayrıntıları aldım, ancak şimdilik dolandırıcılar için büyük ölçüde başarılı olan teknolojik platformlardan bağımsız üç sosyal mühendislik tekniğine odaklanalım.
Tatlı dil yılanı deliğinden çıkarır
Herhangi bir dolandırıcının size söyleyeceği gibi, bir dolandırıcıyı dolandırmanın en kolay yolu, kendi açgözlülüğünü kullanmaktır. Bu, dolandırıcının kurbanı kendi ülkelerinden kötü bir şekilde elde edilmiş nakit parayı güvenli bir bankaya almasına yardımcı olmaya ikna etmeye çalıştığı ve karşılığında fonların bir kısmını teklif ettiği klasik Nijeryalı 419 dolandırıcılığının temelidir. Bu “Nijeryalı prens” e-postaları onlarca yıldır devam eden bir şakaydı, ancak yine de insanların düşlediği etkili bir sosyal mühendislik tekniğidir.
Son ana kadar yolundaymış gibi göster
En basit ve şaşırtıcı bir şekilde, en başarılı sosyal mühendislik tekniklerinden biri, basitçe kurban gibi davranmaktır. Kevin Mitnick’in efsanevi erken dolandırıcılıklarından birinde, Digital Equipment Corporation’ın işletim sistemi geliştirme sunucularına sadece şirketi arayarak, lider geliştiricilerinden biri olduğunu iddia ederek ve oturum açmada sorun yaşadığını söyleyerek erişim sağladı; hemen yeni bir kullanıcı adı ve şifre ile ödüllendirildi. Bunların hepsi 1979’da oldu ve o zamandan beri her şeyin düzeleceğini düşünürdünüz, ancak yanılıyorsunuz: 2016’da bir bilgisayar korsanı ABD Adalet Bakanlığı e-posta adresinin kontrolünü ele geçirdi ve bunu bir çalışanın kimliğine bürünmek için kullandı.
Pek çok kuruluşun bu tür küstah taklitleri engellemeye yönelik engelleri vardır, ancak bunlar genellikle oldukça kolay bir şekilde aşılabilir.
Patron benim görüntüsü verin
Çoğumuz otoriteye saygı duymaya veya eylemde bulunan insanlara saygı göstermeye hazırız. Sanki yaptıklarını yapma yetkisine sahipler. İnsanları yer olma veya yapmamanız gereken şeyleri görme hakkına sahip olduğunuza veya sizden gelen bir iletişimin gerçekten saygı duydukları birinden geldiğine ikna etmek için bir şirketin iç süreçlerinin çeşitli derecelerde bilgisinden yararlanabilirsiniz. Örneğin, 2015 yılında Ubiquiti Networks’teki finans çalışanları, muhtemelen e-posta adreslerinde benzer bir URL kullanarak şirket yöneticilerinin kimliğine bürünen sanatçıları dolandırmak için milyonlarca dolar şirket parası harcadılar. Düşük teknoloji tarafında, 2000’lerin sonlarında ve 2010’ların başlarında İngiliz tabloidleri için çalışan araştırmacılar, kati blöf yoluyla telefon şirketinin diğer çalışanları gibi davranarak kurbanların sesli posta hesaplarına erişmenin yollarını buldular.
Örneğin, bazen taleplerini fazla düşünmeden yerine getirdiğimiz dış yetkililerdir. Hillary Clinton kampanyası başkanı John Podesta, Google’dan bir not olarak gizlenmiş ve şifresini sıfırlamasını isteyen bir kimlik avı e-postası gönderdiklerinde 2016 yılında Rus casusları tarafından e-postası ele geçirildi. Hesabını güvence altına alacağını düşündüğü eylemde bulunarak, aslında oturum açma kimlik bilgilerini verdi.
Sosyal mühendislik önleme
Güvenlik bilinci eğitimi, sosyal mühendisliği önlemenin bir numaralı yoludur. Çalışanlar, sosyal mühendisliğin var olduğunun farkında olmalı ve en yaygın kullanılan taktiklere aşina olmalıdır.
Neyse ki, sosyal mühendislik bilinci hikaye anlatmaya borçludur. Ve hikayeleri anlamak çok daha kolay ve teknik kusurların açıklamasından çok daha ilginçtir. Testler ve dikkat çekici ya da komik posterler, herkesin söylediği kişi olduğunu varsaymamanın da etkili hatırlatıcılarıdır.
Ancak sosyal mühendislikten haberdar olması gereken sadece çalışanlar değildir. Üst düzey liderlik yapanlar ve yöneticiler birincil kurumsal hedeflerdir.
Sosyal mühendisliğe karşı savunma için ipuçları
Sürekli eğitim verin
Hem genel kimlik avı tehditlerini hem de hedeflenen yeni siber tehditleri ele almak için düzenli olarak güncellenen kapsamlı bir güvenlik bilinci eğitim programına sahip olduğunuzdan emin olun. Unutmayın, bu sadece gelen bağlantılara tıklamak değildir.
Örnekleri kullanın
Evet, üst düzey yöneticileri dahil edin, ancak banka havalesi veya diğer finansal işlemler yapma yetkisi olan kişileri unutmayın. Dolandırıcılık içeren gerçek hikayelerin birçoğunun, bir yöneticinin onlardan acil bir eylemde bulunmalarını istediğine inanarak kandırılan alt düzey personelde ortaya çıktığını unutmayın. Genellikle normal prosedürleri ve/veya kontrolleri atlayarak ilerlenmemesi konusunu eklemekte fayda var diye düşünüyorum.
Mevcut süreçleri tekrar gözden geçirin
Gerekirse ekstra kontroller ekleyin. Görevlerin ayrılığının ve diğer korumaların bir noktada içeriden gelen tehditler tarafından tehlikeye atılabileceğini unutmayın, bu nedenle artan tehditler göz önüne alındığında risk incelemelerinin yeniden analiz edilmesi gerekebilir.
Yeni politikaları değerlendirin
CEO’nun özel e-posta hesabından gelen bir e-posta, personele otomatik olarak kırmızı bayrak göndermelidir, ancak karanlık tarafın uyguladığı en son teknikleri anlamaları gerekir. Herkes tarafından iyi anlaşılan yetkili acil durum prosedürlerine ihtiyacınız olacaktır.
Kimlik avı raporlama sistemlerinizi inceleyin
Yönetimle ve kilit personelle düzenli olarak bir masa üstü egzersizi yapın. Kontrolleri test edin ve potansiyel güvenlik açığı alanlarını tersine mühendislik yapın.
Sosyal mühendislik araç seti
Bazı satıcılar, sosyal mühendislik uygulamalarını yürütmeye ve/veya posterler ve haber bültenleri gibi yollarla çalışan farkındalığını oluşturmaya yardımcı olacak araçlar veya hizmetler sunar.
Ayrıca , ücretsiz olarak indirilebilen social-engineering.org’un Social Engineering Toolkit’i de incelemeye değer . Araç seti, hedefli kimlik avı saldırıları, yasal görünen web sitelerinin oluşturulması, USB sürücü tabanlı saldırılar ve daha fazlası dahil olmak üzere sosyal mühendislik yoluyla sızma testinin otomatikleştirilmesine yardımcı olur.
Şu anda, sosyal mühendislik saldırılarına karşı en iyi savunma, saldırıları tespit etmek ve yanıtlamak için kullanıcı eğitimi ve teknolojik savunma katmanlarıdır. E-postalardaki veya telefon görüşmelerindeki anahtar kelimelerin tespiti, potansiyel saldırıları ortadan kaldırmak için kullanılabilir, ancak bu teknolojiler bile yetenekli sosyal mühendisleri durdurmada muhtemelen etkisiz olacaktır.