Sosyal Mühendisler manipülasyon ustasıdır...
Sosyal mühendislik, bir kişiyi bilgiyi ifşa etmesi veya genellikle kendi çıkarına olmayan bir şey yapması için manipüle etme eylemidir. Bu makalede, Sosyal Mühendislerin insanları manipüle etmek (hacklemek) için yaygın olarak kullandığı birkaç yöntemi inceleyeceğiz.
Yaygın bir manipüle etme (aldatmaca) türü, geçmişi 18. yüzyıla kadar uzanan ve birçok modern enkarnasyona sahip olan İspanyol Mahkum’dur.
Genellikle başı belada olan ve servetine erişmek için yardımınıza ihtiyacı olan biridir bu kişi. Sadece birkaç bin dolar havale etmeniz gerekiyordur ona, sonra size on kat fazlasını ödeyecektir. Ama bunun nasıl sonuçlanacağını tahmin edebilirsiniz haliyle.
İnternette dolaşan benzer dolandırıcılık türleri vardır: IRS dolandırıcılığı, Piyango dolandırıcılığı vb… gibi. Bunlar genel olarak Gelişmiş teklif dolandırıcılığı olarak sınıflandırılır. Sizi bekleyen bir şey vardır ama onu alabilmek için bir avans ödemeniz gerekir.
Ortalama bir insana, bunlar kulağa kötü ve aptalca gelen dolandırıcılık türleri gibi gelecektir. Ancak bu dolandırıcılık türleri binlerce insanın zar zor koşullarda kazandıkları paralarını kaybetmesine neden oluyor maalesef. Bazı durumlarda, hayatlarından bile nice tasarruflar ederek bu paraları biriktiriyor bu insanlar.
Bunların hepsi fiiliyata geçirilmiş birer sosyal mühendislik örnekleridir.
Sosyal mühendisliğin arkasındaki fikir, potansiyel bir kurbanın doğal eğilimlerinden ve duygusal tepkilerinden yararlanmaktır esasında. Korku ve açgözlülük, genellikle Sosyal Mühendisler tarafından yararlanılan en savunmasız duygulardır.
Aşağıdaki videoda gerçek dünyadaki bir Sosyal mühendislik saldırısının harika bir örneğini izleyeceksiniz:
Sosyal Mühendislik Saldırıları Türleri
Sosyal mühendislik, bir hedefi manipüle etmek için kullanılan, yaklaşım türüne bağlı ve genel olarak beş saldırı türü olarak sınıflandırılabilir. Her birini gözden geçirelim.
1| Spam (E-posta, Metin, Whatsapp)
Spam, iletişim bilgileri genellikle hain yöntemlerle elde edilen büyük topluluklara mesaj göndermeyi içerir. İstenmeyen e-posta (spam), hem kötü amaçlı hem de kötü niyetli olmayan ileti yayınını tanımlamak için kullanılan genel bir terimdir.
Kötü niyetli olmayan spam, ürünlerini rastgele toplu olarak e-posta göndererek tanıtmaya çalışan reklamverenler tarafından kullanılır. Niyetleri zarar vermek değil, insanları ürünlerini satın almaya veya hizmetlerini tanıtmaya çalışmaktır.
Kötü niyetli spam, kullanıcıları kişisel bilgilerini ifşa etmeleri için manupüle etmek isteyenin hedef web sitesine çekmeye çalışan mesajlar içerir. Bu bilgiler daha sonra potansiyel kurbanlara yönelik hedefli kimlik avı / e-dolandırıcılık saldırıları düzenlemek için kullanılır.
2| Kimlik Avı (ve Olta Saldırısı)
Saldırgan kısa mesaj, e-posta veya sesli arama (sesli kimlik avı (olta saldırısı) = vishing) kullandığında buna “Kimlik Avı” denir.
Kimlik avı, hedeflenen kişinim değerli bilgilerini elde etmek için hedefi meşru bir kurum veya kuruluş tarafından çağrıldığına inandırmak için kullanılır.
Biri, yazıcı tedarikçiniz gibi davranarak şirketinizi ararsa, yazıcı hakkında belirli bilgiler elde edebilir; mesela model, IP adresi (internete bağlıysa) vb. Ve bu bilgi verildikten sonra, dahili ağınıza erişim sağlamak için yazıcıya saldırılabilir.
E-posta tabanlı kimlik avı saldırıları da yaygındır. Bir saldırgan, şirketinizdeki birine Facebook gibi davranarak e-posta gönderebilir. Ya da bir ekip üyesi bir bağlantıya tıkladığında, Facebook’a benzeyen bir sayfada ona oturum açma bilgileri sorulabilir. Bu giriş bilgileri saldırganın sunucusuna gönderilir ve ardından kurbanın Facebook hesabına tam erişim sağlanır.
Kimlik avı ve dolandırıcılık arasındaki en büyük fark, kimlik avı saldırılarının yüksek oranda hedeflenmiş olmasıdır. Saldırgan kime saldırmak istediğini ve ne tür bilgiler aradığını zaten biliyordur.
3| Yemleme
Yemleme, bir tuzak tasarlamayı ve potansiyel kurbanın tuzağa düşmesini beklemektir. Basit bir örnek verecek olursak, bir saldırgan şirketinizin otoparkına birkaç USB sürücüsü düşürürse, büyük olasılıkla çalışanlarınızdan biri USB sürücüsünün içeriğini kontrol etmek için onu bilgisayarlarına takmaya çalışacaktır. [uyanık tabi, buldu beleş USB’yi :)]
Bu aptalca gelebilir, ancak Sosyal Mühendisler tarafından yapılan basit numaraların büyük kurumsal veri ihlallerine neden olduğu çok sayıda örnek olmuştur. Gelişmiş teklif dolandırıcılığı yöntemi ile internette dolaşan saf insanları tuzağa düşürmek oldukça kolaydır.
Başka bir yaygın saldırı türü de korsan yazılımlardır. Saldırgan, kötü amaçlı yazılımları popüler bir işletim sistemine veya kurbanın indirmesi için bir filme yerleştirir. Kurban yazılımı indirip çalıştırdığında, kötü amaçlı kod kurbanın sisteminde yüklenir ve saldırgan, kurbanın makinesine tam erişime sahip olur.
4| Bindirme
Bindirme (PiggyBacking), potansiyel bir kurbana saldırmak için başka birini kullanmak anlamına gelir. Saldırgan, bindirme saldırısı gerçekleştirmek için kurbana erişimi olan bir üçüncü taraf (genellikle masum taraftır) kullanır.
Bindirmenin birçok çeşidi vardır. Bir saldırgan, çalışanınızı erişim kartını kullanarak ofisinize kadar takip ederse, bu, tailgating adı verilen bir bindirme biçimidir.
Özellikle gizli bilgiler için birçok bindirme saldırısı vakası olmuştur. Devlet kuruluşlarına donanım / yazılım sağlayan satıcı şirketler genellikle bindirme saldırılarının hedefidir.
Bu satıcılar bir kez saldırıya maruz kalarak tehlikeye girdiğinde, satıcı zaten hedefe erişim seviyesine sahip olduğundan hedef kuruma saldırmak daha kolay hale gelir. Bindirme (Piggybacking) ayrıca bazı aktif “Telefon dinleme” biçimleriyle de ilişkilidir. Saldırgan, iletişim ağına kulak misafiri olmak için kurbanın meşru bir bağlantısını kullanır.
Geçenlerde Wireshark hakkında ilginç bulabileceğiniz bir makale yazdım. Okumanızı tavsiye ederim.
5| Su Çukuru (Watering Hole)
Bu pasif-saldırı yöntemine, musluğun başında bekleyen kötü niyetli birinin, sudan faydalanmak isteyip çeşme başına gelenleri avladığı bir saldırı modelidir.
Su Çukuru (Watering Hole) yöntemi, hedefin rutin eylemlerini hesaba katar ve yetkisiz erişim elde etmek için bu eylemlerden birini kullanır. Örneğin, bir saldırgan, hedefin günlük olarak kullandığı web sitelerini bulur ve bu web sitelerinden birine kötü amaçlı yazılım yüklemeye çalışır.
“Su Çukuru” adı, avcıların vahşi doğada genellikle ortak sulama çukurlarının yakınında avlarını beklemelerinden kaynaklanmaktadır.
Buna bir örnek verecek olursak; Asyalı dini ve yardım gruplarını hedef alan 2019 Kutsal Su Kampanyasını söyleyebiliriz. Bu kampanyanın web sitesi ele geçirildi ve ardından ziyaretçilerden tarayıcılarına Adobe Flash yüklemeleri istendi.
Adobe Flash’ın bir dizi güvenlik açığı olduğundan, saldırganların bu sayede kurbanın makinelerinde kötü amaçlı kod çalıştırması kolaydı. Su Çukuru saldırıları nadirdir, ancak tespit edilmesi çok zor olduğundan önemli bir tehdit oluştururlar.
Kendinizi Sosyal Mühendislerden Nasıl Koruyabilirsiniz?
Artık sosyal mühendisler tarafından kullanılan farklı saldırı türlerini gördüğümüze göre, kendimizi ve organizasyonumuzu sosyal mühendislik saldırılarından nasıl koruyabileceğimize bakalım, ne dersiniz?
1| E-posta ve spam (istenmeyen e-posta) filtrelerini yükleyin
İstenmeyen e-posta filtreleri yüksek düzeyde hedeflenen saldırıları yakalayamasa da, istenmeyen e-postaların ve kötü niyetli e-postaların çoğunun hesabınıza ulaşmasını engeller.
2| Antivirüs ve güvenlik duvarını güncel tutun
Spam filtrelerine benzer şekilde, güncellenmiş bir virüsten koruma yazılımı, yaygın virüslerin, truva atlarının ve kötü amaçlı yazılımların çoğuna karşı koruma sağlar.
3| Doğrulama isteyin
Bankanız gibi bir kuruluşu temsil ettiğini iddia eden biri sizi aradığında daima doğrulama isteyin. Kredi kartı numaraları veya şifreler gibi gizli ayrıntıları asla telefon veya e-posta üzerinden paylaşmayın.
4| Farkındalık yaratın
Kurumunuzun suistimal edilmesini önlemenin en iyi yolu, güvenlik bilinci oluşturacak programlar oluşturmaktır. Çalışanlarınızı eğitmek, şirketinizi güvende tutmak için harika ve uzun vadeli bir yatırımdır.
5| Gerçek olamayacak kadar iyi görünüyorsa, öyledir
Son olarak, bir şey gerçek olamayacak kadar iyi görünüyorsa, genellikle öyledir. Seni çabuk zengin edeceğine söz veren yabancılara asla güvenme. Bir zamanlar birinin dediği gibi, “çabucak zengin olmaya çalışmak, tüm paranızı kaybetmenin en hızlı yoludur”.
Sonuç
Sosyal Mühendisler manipülasyon ustasıdır. Bir şirketin çalışanları sosyal mühendislik bilinci konusunda eğitilmedikçe, bir sosyal mühendisin tuzağına düşmekten kaçınmaları ve korunmaları oldukça zordur.
Sosyal mühendisler, genellikle insanların korku ve açgözlülük duygularını kullanmaya çalışır. Dolayısıyla, bu iki duyguya dayalı bir eylem yaptığınızda, bir adım geri atıp manipüle edilip edilmediğinizi görmek isteyebilirsiniz.
Bir spam mesajı üzerine gerçekleştirilen ünlü bir TED konuşması var. Videonun tamamını buradan izleyebilirsiniz.
Makalelerimin ve videolarımın bir özetinin, her pazartesi sabahı e-postanıza gönderilmesini istiyorsanız, e-posta bültenime abone olabilirsiniz. Ayrıca buradan benim hakkımda daha fazla bilgi edinebilirsiniz.
Sorumluluk Reddi: Makalelerim tamamen eğiticidir. Bunları okur ve birilerine zarar verirseniz, öncelikle bundan dolayı mesul değilim, ve bu size ait bir suçtur. Herhangi bir kötü niyetli eylemi asla teşvik ve tasvip etmiyorum. Etik kuralları buradan okumanızı tavsiye ediyorum.
