Notes

Günümüzde siber güvenlik/saldırı kavramları sıkça duyduğumuz kavramlar olma yolunda ilerlemektedir. Siber saldırı denildiği zaman genellike bilgisayar kaynaklı saldırı türleri düşünülür, lakin siber saldırıların içinde doğrudan insana karşı yapılan saldrılar da mevcuttur ve bu tip saldrılara sosyal mühendislik saldırıları denilmektedir. Sosyal mühendislik, bir diğer adıyla toplum mühendisliği olan bu kavramı özetle “insan hacklemek” olarak tanımlayan kaynaklar mevcut. Ortak bir tanım çerçevesinde açıklayacak


olursak; herhangi bir durum üzerinde manipülasyon yaparak insanların psikoloji, duygu, düşünce ve zaafiyetlerinden faydalanmaya, bu kavramları kullanarak insanları herhangi bir şey için ikna etmeye sosyal mühendislik diyebiiriz. Sosyal mühendislik, siber güvenlik alanında basitmiş gibi görünen ama bir okadar da tehikeli olan saldırı türlerinden biridir. Bunun sebebi; insanoğlunun güvenlik zincirinin en zayıf hakası olmasıdır. Bu zayıflığın temeli; insanoğlunun davranışlarını her koşul altında kontrol altında tutmasının ve sürekli olarak bütün prosedürleri eksiksiz olarak tamalamlasının güçlüğüne dayanmaktadır. Bu zayıflığı herhangi bir dijital veya mekanik sistem ile tamamiyle tolere etmek imkansıza yakındır, buna dayanarak her insanın eşsiz bir yapıya sahip olduğunu düşünürsek insanoğlunun sosuz bir zafiyet kaynağı olduğu ortaya çıkacaktır. Sosyal mühendislik günlk hayatımızda farkında olmadan kullandığımız veyahut karşılaştığımız bir olgudur, örnek verecek olursak; küçüğünden büyüğüne hergün karşılaştığımız hemen tüm işyerindeki personeller farkında olmadan müşterlerine sosyal mühendislik saldırsı uygulamaktadır.

Sosyal mühendislik saldırıları genelde hedef kişiden gizili sayılan bilgileri almaya yada hedef kişinin/sistemin zaafiyetlerini ve rutinlerini öğrenmeye odaklıdır, bazı vakalarda sosyal mühendsilik yöntemleri ile hedef kişi ve kurumlardan maddi varlıklar istenmiş olsada sosyal mühendsilik birçok saldırının ilk aşaması olarak ortaya çıkmabilmektedir. Sosyal mühendislik saldırılarının genel bir şablonu olmasına rağmen hedef kişiye göre birden fazla yöntemin farklı kulanılması sonucunda saldırının beklenmedik bir noktadan gerçekleşmesi mümkündür, bu durumda sosyal mühendislik saldırılarının sadece bilinen kalıplaşmış senaryolardan gelmediği, saldırıların saldırganın elinde bulunan bilgilere ve hayal gücüne göre şekillendiği ortaya çıkmaktadır.

Sosyal mühendislik saldırıları insan ve bilgisayar tabanlı olmak üzere ikiye ayrılmaktadır, buna rağmen saldırılar temelde aynı şablon üzerinden ilerler. Sosyal Mühendisliğin uygulanma sürecine ait genel şablonu sırası ile incelenecek olunursa,

1.Genel Hedef Kitle Belirlenmesi;

2.Bilgi Toplama;

3.Algı Zaafiyeti Oluşturma;

4.İnsan ve Bilgisyar Tabanlı Saldırıların hazırlanması ve uygulanması, kısımlarından oluştuğu görülmektedir.



1. GENEL HEDEF KİTLE BELİRLENMESİ

Sosyal Mühendisler aşağıda açıklanan kagetorilerden bir hedef seçip seçilen hedefe göre saldırı senaryosu hazırlamaktadırlar.

a. Ulaşılması Kolay Personel

Bu kategorideki kişiler işleri gereği ulaşılması ve iletişim kurulması kolay kişilerdir, bu kategorideki iş türlerinine örnek olarak güvenlik görevlilerini ve danışma personelini örnek gösterebiliriz.

b. Yönetici ve Önemli Personel

Bu kategorideki insanlar işleri gereği diğer personellere nazaran daha yoğun tempoda çalışmaktadırlar, bu yoğunluktan ötürü bir dikkatsizlik oluşabilmekte veyahut ilgili kişilerin yokluğunda bu sözkonusu kişilerin adı ve mevkisi kullanılarak birçok bilgiye erişim sağlanılması mümkün olabilmektedir.

c. Zaafiyeti olan ve Sadakat Seviyesi Ortalama Olmayan Personel

Sosyal mühendisler genelde iyi gözlem yeteneğine sahip kişilerdir, herhangi bir zaafiyeti olan personel her daim sosyal mühendislerin dikkatini çekecektir. Öte yandan sadakat seviyesi düşük olan personellerin potansiyel güvenlik açıkları sadakat seviyesi çok yüksek olan kulanıcılar içinde geçerlidir.

d. Yardımsever Personel

Yardımsever personeller her daim sosyal mühendislik saldırılarına maruz kalma ihtimallerine sahiptierler, bir personelin yardımsever olduğunu farkeden sosyal mühendis, oluşturacağı herhangi bir sahte senaryo ile hedefi normalden daha kısa sürede ikna edebilir.

2. BİLGİ TOPLAMA

Sosyal mühendis seçilen hedef kitlesine göre bilgi toplar ve sahte senaryolar üretir. Hedefe kitlye ve/veya kişiye ait bilgi toplama sürecinde Facebook, Twitter, Instagram, Google ve Maltego başta olmak üzere birçok sosyal medya ve açık kaynak istihbarat sistemleri kullanılır.

3. ALGI ZAAFİYETİ OLUŞTURMA

Sosyal Mühendislik saldırıları iletişim ve ikna becerilerine dayanmaktadır. Saldırgan hedef ile herhangi bir şekilde iletişime geçer ve hedefi kendi isteğini yapması yönünde ikna etmeye çalışır. Sosyal mühendislerin kullandıkları algı karışıklığı sağlayan yaklaşımlar insan psikolojisini alt etme amaçlıdır. Algı karışıklığı ile hedefin sağlıklı düşünmesinin önüne geçilmeye çalışılmaktadır. Algı zaafiyeti oluşturma noktasında aşağıda açıklanan çeşitli yöntemler kullanılmaktadır.

a. İstek Arttırma ve Azaltma

Sosyal mühendis hedef ile temasa geçtikten sonra, güven oluşturarak hedeften yapılması basit şeyler talep eder, hedef istekleri yapmaya başladığında ise oluşan güveni kullanarak saldırgan isteklerin büyüklüğünü arttırır. Bir diğer yöntem ise bunun tam tersi olan istek azaltma yöntemidir, saldırgan ilk olarak hedeften yapamayacağı taleplerde bulunur ve taleplerin zorluk derecesini yavaş yavaş azaltıp bir baskı oluşturarak hedefin ufak isteği kabul etmesi sağlar.

b. Seçim Yapmaya Zorlama

Saldırgan hedef ile temasa geçtikten sonra oluşturduğu güvene bağlı olarak hedefe soru ile birlikte iki cevap seçeneği söyleyerek hedefi birini seçmek mecburiyetinde bırakır. Örneğin hedefteki kişiye “Kahve içer misin?” demek yerine “Kahveniz şekerli mi olsun yoksa şekersiz mi?” demek karşımızdaki kişiyi kahve içmeye zorlayacaktır.

c. Soruya Soru İle Cevap Verme

Hedef kişiyi sahte senaryolar ile ikna etmek kolay bir yetenek değildir, farkındalık seviyesi yüksek bir hedef ile karşı karşıya kalındığı zaman hedef, sosyal mühendise bazı sorular yönelterek onu zorda bırakabilir, bu durumda sosyal mühendisler çoğu zaman çıkış yolu bulmak için soruya soru ile cevap verme tekniğini kullanırlar örneğin “Kim olduğumu hatırlatmama gerek var mı?”, “Bu konuyu çözmek için bir yönetici ile görüşmek zorunda mı kalacağım?” gibi sorular sosyal mühendislerin sıklıkla kullandıkları sorulara örnektir.

d. Borçlu Bırakma

Hedefi ikna etmek için kullanılan bir diğer yöntem borçlu bırakmaktır. İnsan doğası gereği borçlu olduğu vakit ödeşmiş olmak için hemen her yolu dener, bu süreç içinde sağlık düşünme konusunda problemler yaşar. Sosyal mühendisler insanolunun bu zaafını kullanmak amacıyla hedef kişiye talep edilmediği halde herhangi bir yardım sağlar ve hedefin ödeşmiş olma çabasını kötüye kullanarak hedef kişiye istediklerini yaptırmaya çalışırlar.

e. Ödüllendirme ve Korkutma

Hedefe ödül vererek isteklerini yaptırmak veya hedefi onun için değerli olan bir unsur ile korkutarak/tehdit ederek iseklerini yaptırma, sosyal mühensilerin yakın zamanda sıklıkla kullandıkları yöntemlerdendir.



4. İNSAN TABANLI SALDIRILAR

Bu tip saldırılar hedef ile fiziksel temas gerekentiren sladırılardır. Elde edilen bilgiler ile hedef baskı altına alınıp ikna etmek için çaba sarfedilir, bu noktada sosyal mühendisin fizyolojik ve psikolojik olarak güçlü olması gereklidir, herhangi hatalı bir mimik hedefin durumu farketmesi için yeterli olacaktır.

4.1 Son Kullanıcı veya Önemli Kullanıcı Gibi Davranma

Sosyal mühendis, hedefi ikna etmek için son kullancı veyahut mühim bir pozisyonda çalışan biri gibi davranarak daha önceden elde edilen bilgileri kullanarak daha fazla bilgi alabilmek için hedefe psiklojik baskı kurar.

4.2. Çöp Karıştırma ve Omuz Sörfü

Çöp karıştırma yöntemi, atılan önemli bir bilgiyi yada çalışaların zaaflarını yansıtabilecek herhangi bir materyali bulmak amacıyla kullanılmaktadır. Omuz sörfü ise benzer bilgi ve zaafiyetleri hedefi gözlemleyerek elde etme çabasıdır.



5. BİLGİSAYAR TABANLI SALDIRILAR

Bu tip saldırılar genelde fziksel temas yerine dijital kanal aracılığı ile hedefi yanıltarak istenilen sonuca varma çabasını amaçlar.

Yazar : BhTy and Byb!r@