SUSKUN
02-19-2006, 12:08 AM
Çoğunuzun mail kutusuna hergün onlarca tanımadığınız insandan değişik taleplerde bulunan mailler geliyordur.Mesela "Çekilişte 100$ kazandınız,Kampanyamızdan bedava tatil kazandınız...vs" bunlar acaba gerçekmi yoksa sadece basit bir oyunun kağıtlarımı ?
İşte Social Engineering(Sosyal mühendislik) burada başlar.Kısaca insanları aldatarak kişisel bilgilerine veya direk şifrelerine ulaşma yöntemidir.Çok basit bir yöntem olmasına rağmen en etkili ve en çok kullanılan yöntemlerden biridir.
Dünya’nın en tanınmış hackerlarından biri olan Kevin Mitnick’in büyük bir sosyal mühendis olduğunu biliyormuydunuz ?Kevin kendi kitabında (Aldatma Sanatı) dünyanın büyük bankalarına , kamu kuruluşlarına , büyük şirketlerin hesaplarına bir kaç telefon görüşmesiyle ulaşılabileceğini anlatmış.Peki nasıl yapılıyor bu ?
Sosyal Mühendisliği temelde 2 ye ayırabiliriz.İnsan kaynaklı ve bilgisayar kaynaklı olarak.2 yöntemdede temelde aynı şey yapılabilir.Mesela bir x şirketindeki y kullanıcının hesap bilgilerine ulaşmak istiyoruz.İlk yapacağımız şey x bankasına kayıtlı y kullanıcısına bir şekilde ulaşmak çünkü işimiz aldatmak.y kullanıcısına ulaştıktan sonra ona biz sizin hesabınıza ulaşmak istiyoruz lütfen verin demiyeceğiz bu yüzden sosyal mühendisliğe başvurmamız gerekecek.Mesela önce y kullanıcısını arayıp
-Merhaba,biz x bankasının müşteri temsilcisiyiz hesaplardaki bir karışıklık nedeniyle bilgilerinizi doğrulamanız gerekmektedir.
deriz.Fakat burada alacağımız bilgiler y kişisinin direk bankayla alakalı bilgileri olmamalıdır çünkü hiçbir banka bu bilgileri istemez buda sizi eleverir.Şimdi y kullanıcısının hesap kayıt tarihi son giriş tarihi hesap numarası gibi bilgilerini öğrendik bundan sonrasıyla y kullanıcısyla işimiz olmuyacak.Yapacağımız işlem x bankasını aramak olacaktır.
-Merhaba ben x,bankanıza şu hesaplı kullanıcısıyım,en son girişim şu tarihtedir ve banka hesabıma giremiyorum...
ve gerisi gelecektir.(yukardaki örnekle kimseyi kandıramazsınız işin mantığını anlatmak için böyle bir örnek verdim.Gerçekte yapılan diyaloglar daha profosyonel ve daha tekniktir bunun için mesela bir banka hesabıyla uğraşıyorsanız bankacılıkla ilgili bayağı bir birikime sahip olmanız gerekmektedir.)
Yazının başında "Çekilişten şu kadar para kazandınız" diye bir örnek vermiştim.Şimdi bunu inceliyelim.Eğer böyle bir mail aldıysanız incelemişsinizdir.Size şu kadar para kazandınız şu tarihte bu parayı alabilmeniz için bir kontrol yapmamız lazım lütfen şu şu bilgileri vererek şu maile aşağıdaki onay koduyla birlikte yollayınız.Bunun hakkında bilgisi olmayan biri şöyle düşünür
-aaaa acaip para kazanmışım.Dur bi dakka ya belki sahtedir dur bakayım ne istiyorlar "isim,soyisim,adres,kullandığım geçerli mail,doğduğum şehir" e bu bilgileri versem ne olur vermesem ne olur en iyisi göndereyim bakarsın parayı alırım.
Gönderir ve birkaç gün sonra aklına birşey gelir.
-Benim mailin gizli sorusu Doğum yerim değilmiydi ?!!!
Ve mailini kaptırır.
Daha büyük bir örnek verelim.Dünyada yüzlerce şirket var ve çoğu birbiriyle rekabet içinde yapılan basit hatalar bile milyonlarca dolar kaybına yolaçabilir.Bu şirketler nasıl birbirine üstünlük sağlayabilir.En basidinden eğer ben rakip şirket hakkında bazı yeni bilgilere ulaşabilirsem ne yapacaklarını görürüm ve ben bir adım öne geçmek için hamle yapabilirim tıpkı satranç oyunu gibi.Rakibin ne yapacağını önceden kestirmek.Tabi biz kestirmeyl zaman harcayamayız bunun için sosyal mühendisliğe başvurarak karşı şirketin teknik elemanını "tuş" edebiliriz.
Müşteri(Sosyal Mühendis):Merhaba,ben sizin firmanızın çıkardığı şu ürünü almak istiyorum şu özelliği çok iyi fakat geliştirilmesi lazım bu yüzden piyasadaki diğer ürünleri cazip görüyorum.Bir müşteri olarak size bu şikayetimi bildirmek istedim.
Sazan Teknik Eleman:Efenim,Firmamız kendini sürekli geliştirmekte ve şuanda piyasadaki tüm diğer rakiplerine nazaran en iyi teknolojiyi sunmakta.Bahsettiğiniz ürün için daha yeni teknolojiler üretmekteyiz bu sayede gene öncü olacağımızı söyleyebilirim.
Müşteri(Sosyal Mühendis):Ne gibi yenilikler yapmayı planlıyorsunuz.yani ben bir müşteri olarak önceden bilmek isterim çünkü şu ürünü eğer daha iyisi olmayacaksa şu firmadan almayı düşünüyorum.
Sazan Teknik Eleman:Efenim,şu ürünümüzün şu özelliği dünyada ilkkez geliştirilmiş şu teknoloji sayesinde size şunu sunacaktır.Rakiplerimiz hala eski teknolojiyle boğuşurken biz ilkkez bunu piyasaya sürerek siz müşterilerimizi memnun etmeyi planlıyoruz.
...
Devam eder...
Peki sosyal mühendislik saldırılarına karşı nasıl korunabiliriz ?
Bunun için Komiser Güven ŞEKER’in bu konu hakkında yazdığı yazıyı inceleyebiliriz.
Sosyal Mühendislere Karşı Savunmayı Arttırma
Davetsiz misafirler yada sistem kırıcılar (hackers) sürekli olarak değişik taktikleri de kullanarak bilgisayar sistemlerine yönelik yasal olmayan şekilde erişmeye çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network) korumak için daha fazla zaman ve para harcarlar. Daha çok, yapılan harcamalar teknolojik güvenlik önlemleridir; sistem yükseltmeleri,güvenlik sistem paketleri, en son teknoloji kripto sistemleri gibi. Fakat yeni bir yol olan sosyal mühendislik bu önlemleri önemsemeden yasal olmayan uygulamalarına devam etmektedir.Bu tip saldırılara karşı kurumların savunmaları için iyi politikalara sahip olmaları gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir. Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele içerisinde, son teknolojik değişimlere ayak uyduran ama bunun her zaman sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir adım önünde yapan kişilerdir. Yayınlanan güvenlik bültenlerinde güvenlik açıkları, yeni zayıf noktalara yönelik bilgilendirmeleri, yeni yamaları, onarımları, yeni güvenlik ürünlerini, güvenlik uzmanları takip etse de yeni standart, ürünlerin standartdını sağlama açısından takip etme çok fazla zaman ve imkan gerektirmektedir. Sosyal mühendisler, güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına farklı yollardan giderler.
Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze almasın. Bunun anlamı güvenlik zayıflıkları programların, platformun, ağın (network) yada donanımların bağımsızlığı ile ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir. İnsan aracı üzerine odaklanan bir sistem içinde hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe karşı bağışıklığı temin edilemez. Sosyal mühendislerin hangi sömürü metotlarını kullandıkları, nasıl çeşitli şekilde kişilik özelliklerini değiştirerek başarılı bir sosyal mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu metotlar kullanılarak kişisel özellikleri de artırmak mümkündür, böylelikle daha başka yeni metotlarda geliştirilebilecektir.
Sorumluluğun yayılımı : Eğer hedefe onların kendi hareketlerinden sadece sorumlu olmadıklarına inandırılırsa, sosyal mühendisin ricasına uygun hareket ederler. Sosyal mühendisler çeşitli faktörlerin de yardımı ile oluşturdukları durumda, kişisel sorumluluk konusunu şaşırtma ile o kadar sulandırırlar ki bir karar vermeye zorlarlar. Sosyal mühendisler karar verme sürecinde diğer çalışanların isimlerini kullanırlar, ya da yüksek seviyeden yetkilendirilmiş bir eylem olduğunu diğer bir çalışanın ağzı ile, iddia ederler.
Göze girme şansı: Hedef eğer bir rica ile razı olan birisi ise, başarılı olma şansı yüksektir. Bir rakip olarak onu yönlendirmede bu çok büyük bir avantaj sağlar, ya da bilinmeyene göre yardım verir, sıcak bayan sesini kullanarak telefon aracılığı ile iletişime girerler. Sistem kırıcıları (hackers) topluluğuna teknoloji ile içli dışlı insanlar olarak toplumsal ilişkilerde çoğu zaman beceriksiz insanlar topluluğu olarak bakılır. Nitekim bu kanı da doğrudur. Sosyal mühendisler etkilemenin yüksek hiçbir formunu kullanmadan bilgi elde ederler.
İlişkilere Güvenmek: Çoğu zaman, sosyal mühendisler belirledikleri kurban ile iyi güvenilir bir ilişki için beklerler ve o zaman bu güveni sömürürler. Bunu takip eden zamanlarda ufak küçük etkileşimlerle ilişkiye girer ve doğal seyir içinde problem ortaya çıkar ve sosyal mühendis büyük hamlesini yapar. Böylece karşı taraftan şans verilmiş olur.
Ahlâkî görev: Hedefi dışarıdan ahlaksal olarak davranmaya cesaretlendirmek ya da başarı şansı için ahlaki hareket arttırmayı sağlamak. Bu durum için hedef olan kişi ya da organizasyondan bilgilerin sömürülerek alınmasını gerektiren bir iştir. Hedef eğer karşıdakine uymanın yanlış olduğuna inanırsa karşıdakini sorgulamanın hoş olmadığını hissederse, başarı şansı artmış demektir.
Suçluluk: Eğer mümkünse çoğu insan suçluluk hissinde olmaktan sakınır. Sosyal mühendisler çoğu zaman, psikodrama üstatlarıdır. Öyle bir mizansen hazırlarlar ki insanın yüreği cız eder, empati ve duygudaşlık meydana getirirler. Eğer suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa hedef bundan çok fazla memnun olacaktır. Rica edilen bilginin yerine getirilmeyeceğine inanarak, belirleyici problemlerin rica eden kişi tarafından sık sık yeterli ağırlıkta tartılıp denge içinde iyilik olsun diye yapılmasını sağlarlar.
Künye: Sosyal mühendisin hüneri ile daha çok hedef tanımlanır ve bilgiye erişilir. Sosyal mühendisler iletişim anında daha çok zekice bir araya getirilmiş öncelikli, temelli girişimlerle bağlantı kurmaya çalışırlar.
Faydalı olmaya istekli olmak: Sosyal mühendisler diğer insanlara yardım etmeden zevk alanlara güvenerek eylemlerini yürütürler. Kahramanımız karşı kişiden ya bir giriş hakkı ister ya da bir hesaba giriş için yardım etmesini ister. Sosyal mühendisler ayrıca birçok bireyin zayıf reddetme düzeyini bilerek ve işin uzmanına danışmanın dayanılmaz cazibesine sırtlarını dayayarak işlerini yaparlar.
Birbirine göre ayarlama: Hedef ile en az çatışma en iyisidir. Sosyal mühendisler genellikle ortamın gerektirdiği ses tonu ile zekice ve sabırlı sunuş yaparlar. Emir gibi, bir şey sipariş eder gibi, sinirli ve baş belası gibi kazanmak adına nadiren çalışırlar. Sosyal mühendis kahramanları genellikle direkt rica edenler, uydurma durum, kişisel ikna gibi kategorileri kullanırlar.
Direkt rica edenler: muhtemelen en basit metottur, ve başarı için en son olan yoldur. Bir işe basitçe girişildiğinde sorulan bilgidir. Direkt rica genellikle meydan okumadır ve genellikle ret edilir. Başarı şansı düşük olduğundan nadiren tercih edilir.
Uydurma durum: bir şey veya bir organizasyonun özelliğine göre elde edilen bilgilerle yapılan üretilen bir durum, bir kriz veya özel bir an ile ilgili olarak bu durumdan faydalanmadır. Kriz durumları anlık yardım içerir, sosyal mühendisler hedefin güvenini arttırıcı durumun gerekliliği ve yardım edilme ile ilgili ortam oluştururlar. Sosyal mühendislerin taktikleri gerçek üzerine kurulu olsa da şunu unutmamak gerekir ki; kahramanlar gerçek tabanlı şeylere ihtiyaç duymaz, sadece ortalama gerekli şeylerle çalışırlar.
Kişisel İkna , Kişisel olarak yardım yapmayı isteyen bununla ilgili istekli insan gibi davranırlar. Amaçları kuvvetli uyum değildir, gönüllü-uyumlu insan anlayışına ulaşmaya çalışmaktır. Birçok bilişim teknolojisi (IT) güvenliğinde çalışan insan gerekli bilgilerden yoksun bulunmaktadır. Bu işle uğraşanlara yönelik bilgi güvenliği farkındalığı programı uygulanmalıdır. Son kullanıcı kılavuzu, güvenlik öngörüleri ve güvenlik bilgileri olmalıdır. Çalışanların, sosyal mühendis riski ile ilgili eğitimi bu saldırılara karşı kurumların savunma aracıdır. Sosyal mühendisler psikoloji üzerine kurulu ve sosyal hainliklere dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George Stevens:2001). Bu çok özel saldırı metodunun farkındalığında özel süreçlerde eğitim ve çalışma gerektirir.
Alıntıdır!: Sosyal Mühendislere Karşı Savunmayı Arttırma bölümü / Güven ŞEKER İzmir İl Emniyet Müdürlüğü
Herkes e-postalarının arasında hergün, tanımadığı insanlardan çekilişte 50 $ kazandınız, şu kadar sürede diploma fırsatı gibi içerikleri olan e-postalar bulur.
Bu tip e-postaların amacı genelde insan ilişkilerini veya insanların dikkatsizliklerini kullanarak kurumlar ya da bireyler hakkında bilgi toplamaktır.
Amaç, bir kurumun yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.
Social Engineering(Sosyal mühendislik) diye adlandırılan şey en genel anlamıyla insanları aldatarak kişisel bilgilerine veya direk şifrelerine ulaşma yöntemidir.Çok basit bir yöntem olmasına rağmen en etkili ve en çok kullanılan yöntemdir de. Dünya’nın en tanınmış hackerlarından olan Kevin Mitnick aynı zamanda büyük bir sosyal mühendisdir.
Sosyal Mühendislik insan kaynaklı olabileceği gibi bilgisayar kaynaklı da olabilir.
Telefonda herhangi bir bankadan arıyormuş gibi, sizden kişisel bilgileriniz alınmaya çalışılabileceği gibi, doğum yeri bilginizin sorulduğu bir maile “ne önemi var ki” diyerek verdiğiniz bir yanıt, gizli sorusu doğum yeri olan mail adresinizi kaptırmanıza da neden olabilir.
Geçtiğimiz günlerde PandaLabs Sober solucanının sosyal mühendislik tekniklerine döndüğünü açıkladı
Sober.Y solucanı İngilizce veya Almanca olarak e-mail ile yayılıyor, yeni bir şifre veya eski okul arkadaşlarının bir resmi olmak için talepte bulunuyordu.
Firma Sober solucanının yeni varyantının TruPrevent Teknolojisiyle ilk kimlik tespiti yapılamadan yolunun kesildiğini de açıkladı.
Sober propaganda yapmak için iki tip e-mail kullanıyor: İlk olarak, İngilizce olarak “Your new password” konusuyla kullanıcıların bunun bir şifre değişimi olduğunu düşünmesini sağlıyor ve kullanıcılara ek dosyadaki verileri kontrol etmesini istiyor, pword_change.zip. İkinci olarak Almanca yazılmış bir e-mail ile kullanıcıların eski okul arkadaşlarının bir fotoğrafını ekteki dosyaya eklemelerini istiyor, KlassenFoto.zip. or PW_Klass.Pic.packed-bitmap.exe. Bu dosyalar wormun bir kopyasını içeriyor.
Dosya çalışırsa, hareket çoktan başladığı halde CRC error görünüyor. Bu worm tehlikede olan bilgisayar üzerindeki belirli uzantıları olan e-mail adreslerini topluyor ve kendini kendi SMTP motorunu kullanarak bu adreslere gönderiyor. Eğer e-mail adresi .de (Almanya), .ch (İsviçre) , .at (Avusturya) veya .li (Lihtenştayn) ile bitiyorsa sadece Almanca versiyonu kullanıyor.
Sober.Y’nin şuanda kayda geçme sayısı az olsa da önemli bir potansiyele sahip, bu nedenle PandaLabs güncellemeye karşılık olan imza dosyasını kullanılabilir duruma getirdi.
Kaynak: Bilisim-milliyet
İşte Social Engineering(Sosyal mühendislik) burada başlar.Kısaca insanları aldatarak kişisel bilgilerine veya direk şifrelerine ulaşma yöntemidir.Çok basit bir yöntem olmasına rağmen en etkili ve en çok kullanılan yöntemlerden biridir.
Dünya’nın en tanınmış hackerlarından biri olan Kevin Mitnick’in büyük bir sosyal mühendis olduğunu biliyormuydunuz ?Kevin kendi kitabında (Aldatma Sanatı) dünyanın büyük bankalarına , kamu kuruluşlarına , büyük şirketlerin hesaplarına bir kaç telefon görüşmesiyle ulaşılabileceğini anlatmış.Peki nasıl yapılıyor bu ?
Sosyal Mühendisliği temelde 2 ye ayırabiliriz.İnsan kaynaklı ve bilgisayar kaynaklı olarak.2 yöntemdede temelde aynı şey yapılabilir.Mesela bir x şirketindeki y kullanıcının hesap bilgilerine ulaşmak istiyoruz.İlk yapacağımız şey x bankasına kayıtlı y kullanıcısına bir şekilde ulaşmak çünkü işimiz aldatmak.y kullanıcısına ulaştıktan sonra ona biz sizin hesabınıza ulaşmak istiyoruz lütfen verin demiyeceğiz bu yüzden sosyal mühendisliğe başvurmamız gerekecek.Mesela önce y kullanıcısını arayıp
-Merhaba,biz x bankasının müşteri temsilcisiyiz hesaplardaki bir karışıklık nedeniyle bilgilerinizi doğrulamanız gerekmektedir.
deriz.Fakat burada alacağımız bilgiler y kişisinin direk bankayla alakalı bilgileri olmamalıdır çünkü hiçbir banka bu bilgileri istemez buda sizi eleverir.Şimdi y kullanıcısının hesap kayıt tarihi son giriş tarihi hesap numarası gibi bilgilerini öğrendik bundan sonrasıyla y kullanıcısyla işimiz olmuyacak.Yapacağımız işlem x bankasını aramak olacaktır.
-Merhaba ben x,bankanıza şu hesaplı kullanıcısıyım,en son girişim şu tarihtedir ve banka hesabıma giremiyorum...
ve gerisi gelecektir.(yukardaki örnekle kimseyi kandıramazsınız işin mantığını anlatmak için böyle bir örnek verdim.Gerçekte yapılan diyaloglar daha profosyonel ve daha tekniktir bunun için mesela bir banka hesabıyla uğraşıyorsanız bankacılıkla ilgili bayağı bir birikime sahip olmanız gerekmektedir.)
Yazının başında "Çekilişten şu kadar para kazandınız" diye bir örnek vermiştim.Şimdi bunu inceliyelim.Eğer böyle bir mail aldıysanız incelemişsinizdir.Size şu kadar para kazandınız şu tarihte bu parayı alabilmeniz için bir kontrol yapmamız lazım lütfen şu şu bilgileri vererek şu maile aşağıdaki onay koduyla birlikte yollayınız.Bunun hakkında bilgisi olmayan biri şöyle düşünür
-aaaa acaip para kazanmışım.Dur bi dakka ya belki sahtedir dur bakayım ne istiyorlar "isim,soyisim,adres,kullandığım geçerli mail,doğduğum şehir" e bu bilgileri versem ne olur vermesem ne olur en iyisi göndereyim bakarsın parayı alırım.
Gönderir ve birkaç gün sonra aklına birşey gelir.
-Benim mailin gizli sorusu Doğum yerim değilmiydi ?!!!
Ve mailini kaptırır.
Daha büyük bir örnek verelim.Dünyada yüzlerce şirket var ve çoğu birbiriyle rekabet içinde yapılan basit hatalar bile milyonlarca dolar kaybına yolaçabilir.Bu şirketler nasıl birbirine üstünlük sağlayabilir.En basidinden eğer ben rakip şirket hakkında bazı yeni bilgilere ulaşabilirsem ne yapacaklarını görürüm ve ben bir adım öne geçmek için hamle yapabilirim tıpkı satranç oyunu gibi.Rakibin ne yapacağını önceden kestirmek.Tabi biz kestirmeyl zaman harcayamayız bunun için sosyal mühendisliğe başvurarak karşı şirketin teknik elemanını "tuş" edebiliriz.
Müşteri(Sosyal Mühendis):Merhaba,ben sizin firmanızın çıkardığı şu ürünü almak istiyorum şu özelliği çok iyi fakat geliştirilmesi lazım bu yüzden piyasadaki diğer ürünleri cazip görüyorum.Bir müşteri olarak size bu şikayetimi bildirmek istedim.
Sazan Teknik Eleman:Efenim,Firmamız kendini sürekli geliştirmekte ve şuanda piyasadaki tüm diğer rakiplerine nazaran en iyi teknolojiyi sunmakta.Bahsettiğiniz ürün için daha yeni teknolojiler üretmekteyiz bu sayede gene öncü olacağımızı söyleyebilirim.
Müşteri(Sosyal Mühendis):Ne gibi yenilikler yapmayı planlıyorsunuz.yani ben bir müşteri olarak önceden bilmek isterim çünkü şu ürünü eğer daha iyisi olmayacaksa şu firmadan almayı düşünüyorum.
Sazan Teknik Eleman:Efenim,şu ürünümüzün şu özelliği dünyada ilkkez geliştirilmiş şu teknoloji sayesinde size şunu sunacaktır.Rakiplerimiz hala eski teknolojiyle boğuşurken biz ilkkez bunu piyasaya sürerek siz müşterilerimizi memnun etmeyi planlıyoruz.
...
Devam eder...
Peki sosyal mühendislik saldırılarına karşı nasıl korunabiliriz ?
Bunun için Komiser Güven ŞEKER’in bu konu hakkında yazdığı yazıyı inceleyebiliriz.
Sosyal Mühendislere Karşı Savunmayı Arttırma
Davetsiz misafirler yada sistem kırıcılar (hackers) sürekli olarak değişik taktikleri de kullanarak bilgisayar sistemlerine yönelik yasal olmayan şekilde erişmeye çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network) korumak için daha fazla zaman ve para harcarlar. Daha çok, yapılan harcamalar teknolojik güvenlik önlemleridir; sistem yükseltmeleri,güvenlik sistem paketleri, en son teknoloji kripto sistemleri gibi. Fakat yeni bir yol olan sosyal mühendislik bu önlemleri önemsemeden yasal olmayan uygulamalarına devam etmektedir.Bu tip saldırılara karşı kurumların savunmaları için iyi politikalara sahip olmaları gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir. Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele içerisinde, son teknolojik değişimlere ayak uyduran ama bunun her zaman sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir adım önünde yapan kişilerdir. Yayınlanan güvenlik bültenlerinde güvenlik açıkları, yeni zayıf noktalara yönelik bilgilendirmeleri, yeni yamaları, onarımları, yeni güvenlik ürünlerini, güvenlik uzmanları takip etse de yeni standart, ürünlerin standartdını sağlama açısından takip etme çok fazla zaman ve imkan gerektirmektedir. Sosyal mühendisler, güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına farklı yollardan giderler.
Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze almasın. Bunun anlamı güvenlik zayıflıkları programların, platformun, ağın (network) yada donanımların bağımsızlığı ile ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir. İnsan aracı üzerine odaklanan bir sistem içinde hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe karşı bağışıklığı temin edilemez. Sosyal mühendislerin hangi sömürü metotlarını kullandıkları, nasıl çeşitli şekilde kişilik özelliklerini değiştirerek başarılı bir sosyal mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu metotlar kullanılarak kişisel özellikleri de artırmak mümkündür, böylelikle daha başka yeni metotlarda geliştirilebilecektir.
Sorumluluğun yayılımı : Eğer hedefe onların kendi hareketlerinden sadece sorumlu olmadıklarına inandırılırsa, sosyal mühendisin ricasına uygun hareket ederler. Sosyal mühendisler çeşitli faktörlerin de yardımı ile oluşturdukları durumda, kişisel sorumluluk konusunu şaşırtma ile o kadar sulandırırlar ki bir karar vermeye zorlarlar. Sosyal mühendisler karar verme sürecinde diğer çalışanların isimlerini kullanırlar, ya da yüksek seviyeden yetkilendirilmiş bir eylem olduğunu diğer bir çalışanın ağzı ile, iddia ederler.
Göze girme şansı: Hedef eğer bir rica ile razı olan birisi ise, başarılı olma şansı yüksektir. Bir rakip olarak onu yönlendirmede bu çok büyük bir avantaj sağlar, ya da bilinmeyene göre yardım verir, sıcak bayan sesini kullanarak telefon aracılığı ile iletişime girerler. Sistem kırıcıları (hackers) topluluğuna teknoloji ile içli dışlı insanlar olarak toplumsal ilişkilerde çoğu zaman beceriksiz insanlar topluluğu olarak bakılır. Nitekim bu kanı da doğrudur. Sosyal mühendisler etkilemenin yüksek hiçbir formunu kullanmadan bilgi elde ederler.
İlişkilere Güvenmek: Çoğu zaman, sosyal mühendisler belirledikleri kurban ile iyi güvenilir bir ilişki için beklerler ve o zaman bu güveni sömürürler. Bunu takip eden zamanlarda ufak küçük etkileşimlerle ilişkiye girer ve doğal seyir içinde problem ortaya çıkar ve sosyal mühendis büyük hamlesini yapar. Böylece karşı taraftan şans verilmiş olur.
Ahlâkî görev: Hedefi dışarıdan ahlaksal olarak davranmaya cesaretlendirmek ya da başarı şansı için ahlaki hareket arttırmayı sağlamak. Bu durum için hedef olan kişi ya da organizasyondan bilgilerin sömürülerek alınmasını gerektiren bir iştir. Hedef eğer karşıdakine uymanın yanlış olduğuna inanırsa karşıdakini sorgulamanın hoş olmadığını hissederse, başarı şansı artmış demektir.
Suçluluk: Eğer mümkünse çoğu insan suçluluk hissinde olmaktan sakınır. Sosyal mühendisler çoğu zaman, psikodrama üstatlarıdır. Öyle bir mizansen hazırlarlar ki insanın yüreği cız eder, empati ve duygudaşlık meydana getirirler. Eğer suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa hedef bundan çok fazla memnun olacaktır. Rica edilen bilginin yerine getirilmeyeceğine inanarak, belirleyici problemlerin rica eden kişi tarafından sık sık yeterli ağırlıkta tartılıp denge içinde iyilik olsun diye yapılmasını sağlarlar.
Künye: Sosyal mühendisin hüneri ile daha çok hedef tanımlanır ve bilgiye erişilir. Sosyal mühendisler iletişim anında daha çok zekice bir araya getirilmiş öncelikli, temelli girişimlerle bağlantı kurmaya çalışırlar.
Faydalı olmaya istekli olmak: Sosyal mühendisler diğer insanlara yardım etmeden zevk alanlara güvenerek eylemlerini yürütürler. Kahramanımız karşı kişiden ya bir giriş hakkı ister ya da bir hesaba giriş için yardım etmesini ister. Sosyal mühendisler ayrıca birçok bireyin zayıf reddetme düzeyini bilerek ve işin uzmanına danışmanın dayanılmaz cazibesine sırtlarını dayayarak işlerini yaparlar.
Birbirine göre ayarlama: Hedef ile en az çatışma en iyisidir. Sosyal mühendisler genellikle ortamın gerektirdiği ses tonu ile zekice ve sabırlı sunuş yaparlar. Emir gibi, bir şey sipariş eder gibi, sinirli ve baş belası gibi kazanmak adına nadiren çalışırlar. Sosyal mühendis kahramanları genellikle direkt rica edenler, uydurma durum, kişisel ikna gibi kategorileri kullanırlar.
Direkt rica edenler: muhtemelen en basit metottur, ve başarı için en son olan yoldur. Bir işe basitçe girişildiğinde sorulan bilgidir. Direkt rica genellikle meydan okumadır ve genellikle ret edilir. Başarı şansı düşük olduğundan nadiren tercih edilir.
Uydurma durum: bir şey veya bir organizasyonun özelliğine göre elde edilen bilgilerle yapılan üretilen bir durum, bir kriz veya özel bir an ile ilgili olarak bu durumdan faydalanmadır. Kriz durumları anlık yardım içerir, sosyal mühendisler hedefin güvenini arttırıcı durumun gerekliliği ve yardım edilme ile ilgili ortam oluştururlar. Sosyal mühendislerin taktikleri gerçek üzerine kurulu olsa da şunu unutmamak gerekir ki; kahramanlar gerçek tabanlı şeylere ihtiyaç duymaz, sadece ortalama gerekli şeylerle çalışırlar.
Kişisel İkna , Kişisel olarak yardım yapmayı isteyen bununla ilgili istekli insan gibi davranırlar. Amaçları kuvvetli uyum değildir, gönüllü-uyumlu insan anlayışına ulaşmaya çalışmaktır. Birçok bilişim teknolojisi (IT) güvenliğinde çalışan insan gerekli bilgilerden yoksun bulunmaktadır. Bu işle uğraşanlara yönelik bilgi güvenliği farkındalığı programı uygulanmalıdır. Son kullanıcı kılavuzu, güvenlik öngörüleri ve güvenlik bilgileri olmalıdır. Çalışanların, sosyal mühendis riski ile ilgili eğitimi bu saldırılara karşı kurumların savunma aracıdır. Sosyal mühendisler psikoloji üzerine kurulu ve sosyal hainliklere dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George Stevens:2001). Bu çok özel saldırı metodunun farkındalığında özel süreçlerde eğitim ve çalışma gerektirir.
Alıntıdır!: Sosyal Mühendislere Karşı Savunmayı Arttırma bölümü / Güven ŞEKER İzmir İl Emniyet Müdürlüğü
Herkes e-postalarının arasında hergün, tanımadığı insanlardan çekilişte 50 $ kazandınız, şu kadar sürede diploma fırsatı gibi içerikleri olan e-postalar bulur.
Bu tip e-postaların amacı genelde insan ilişkilerini veya insanların dikkatsizliklerini kullanarak kurumlar ya da bireyler hakkında bilgi toplamaktır.
Amaç, bir kurumun yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.
Social Engineering(Sosyal mühendislik) diye adlandırılan şey en genel anlamıyla insanları aldatarak kişisel bilgilerine veya direk şifrelerine ulaşma yöntemidir.Çok basit bir yöntem olmasına rağmen en etkili ve en çok kullanılan yöntemdir de. Dünya’nın en tanınmış hackerlarından olan Kevin Mitnick aynı zamanda büyük bir sosyal mühendisdir.
Sosyal Mühendislik insan kaynaklı olabileceği gibi bilgisayar kaynaklı da olabilir.
Telefonda herhangi bir bankadan arıyormuş gibi, sizden kişisel bilgileriniz alınmaya çalışılabileceği gibi, doğum yeri bilginizin sorulduğu bir maile “ne önemi var ki” diyerek verdiğiniz bir yanıt, gizli sorusu doğum yeri olan mail adresinizi kaptırmanıza da neden olabilir.
Geçtiğimiz günlerde PandaLabs Sober solucanının sosyal mühendislik tekniklerine döndüğünü açıkladı
Sober.Y solucanı İngilizce veya Almanca olarak e-mail ile yayılıyor, yeni bir şifre veya eski okul arkadaşlarının bir resmi olmak için talepte bulunuyordu.
Firma Sober solucanının yeni varyantının TruPrevent Teknolojisiyle ilk kimlik tespiti yapılamadan yolunun kesildiğini de açıkladı.
Sober propaganda yapmak için iki tip e-mail kullanıyor: İlk olarak, İngilizce olarak “Your new password” konusuyla kullanıcıların bunun bir şifre değişimi olduğunu düşünmesini sağlıyor ve kullanıcılara ek dosyadaki verileri kontrol etmesini istiyor, pword_change.zip. İkinci olarak Almanca yazılmış bir e-mail ile kullanıcıların eski okul arkadaşlarının bir fotoğrafını ekteki dosyaya eklemelerini istiyor, KlassenFoto.zip. or PW_Klass.Pic.packed-bitmap.exe. Bu dosyalar wormun bir kopyasını içeriyor.
Dosya çalışırsa, hareket çoktan başladığı halde CRC error görünüyor. Bu worm tehlikede olan bilgisayar üzerindeki belirli uzantıları olan e-mail adreslerini topluyor ve kendini kendi SMTP motorunu kullanarak bu adreslere gönderiyor. Eğer e-mail adresi .de (Almanya), .ch (İsviçre) , .at (Avusturya) veya .li (Lihtenştayn) ile bitiyorsa sadece Almanca versiyonu kullanıyor.
Sober.Y’nin şuanda kayda geçme sayısı az olsa da önemli bir potansiyele sahip, bu nedenle PandaLabs güncellemeye karşılık olan imza dosyasını kullanılabilir duruma getirdi.
Kaynak: Bilisim-milliyet