Notes

Günümüzde siber güvenlik/saldırı kavramları sıkça duyduğumuz kavramlar olma yolunda ilerlemektedir. Siber saldırı denildiği zaman genellikle bilgisayar kaynaklı saldırı türleri düşünülür, lakin siber saldırıların içinde doğrudan insana karşı yapılan saldırılar da mevcuttur ve bu tip saldırılara sosyal mühendislik saldırıları denilmektedir. Sosyal mühendislik, bir diğer adıyla toplum mühendisliği olan bu kavramı özetle “insan hacklemek” olarak tanımlayan kaynaklar mevcut. Ortak bir tanım çerçevesinde açıklayacak olursak;

Herhangi bir durum üzerinde manipülasyon yaparak insanların psikoloji, duygu, düşünce ve zafiyetlerinden faydalanmaya, bu kavramları kullanarak insanları herhangi bir şey için ikna etmeye sosyal mühendislik diyebiliriz. Sosyal mühendislik, siber güvenlik alanında basitmiş gibi görünen ama bir o kadar da tehlikeli olan saldırı türlerinden biridir. Bunun sebebi; insanoğlunun güvenlik zincirinin en zayıf halkası olmasıdır. Bu zayıflığın temeli; insanoğlunun davranışlarını her koşul altında kontrol altında tutmasının ve sürekli olarak bütün prosedürleri eksiksiz olarak tamamlamasının güçlüğüne dayanmaktadır. Bu zayıflığı herhangi bir dijital veya mekanik sistem ile tamamı ile tolere etmek imkansıza yakındır, buna dayanarak her insanın eşsiz bir yapıya sahip olduğunu düşünürsek insanoğlunun sossuz bir zafiyet kaynağı olduğu ortaya çıkacaktır. Sosyal mühendislik günlük hayatımızda farkında olmadan kullandığımız veyahut karşılaştığımız bir olgudur, örnek verecek olursak; küçüğünden büyüğüne her gün karşılaştığımız hemen tüm iş yerindeki personeller farkında olmadan müşterilerine sosyal mühendislik saldırısı uygulamaktadır.ü

Sosyal mühendislik saldırıları genelde hedef kişiden gizli sayılan bilgileri almaya yada hedef kişinin/sistemin zafiyetlerini ve rutinlerini öğrenmeye odaklıdır, bazı olaylarda sosyal mühendislik yöntemleri ile hedef kişi ve kurumlardan maddi varlıklar istenmiş olsa da sosyal mühendislik birçok saldırının ilk aşaması olarak ortaya çıkabilmektedir. Sosyal mühendislik saldırılarının genel bir şablonu olmasına rağmen hedef kişiye göre birden fazla yöntemin farklı kullanılması sonucunda saldırının beklenmedik bir noktadan gerçekleşmesi mümkündür, bu durumda sosyal mühendislik saldırılarının sadece bilinen kalıplaşmış senaryolardan gelmediği, saldırıların saldırganın elinde bulunan bilgilere ve hayal gücüne göre şekillendiği ortaya çıkmaktadır.
Sosyal mühendislik saldırıları insan ve bilgisayar tabanlı olmak üzere ikiye ayrılmaktadır, buna rağmen saldırılar temelde aynı şablon üzerinden ilerler. Sosyal Mühendisliğin uygulanma sürecine ait genel şablonu sırası ile incelenecek olunursa,

1.Genel Hedef Kitle Belirlenmesi;

2.Bilgi Toplama;

3.Algı Zafiyeti Oluşturma;

4.İnsan ve Bilgisayar Tabanlı Saldırıların hazırlanması ve uygulanması, kısımlarından oluştuğu görülmektedir.



1. GENEL HEDEF KİTLE BELİRLENMESİ

Sosyal Mühendisler aşağıda açıklanan kategorilerden bir hedef seçip seçilen hedefe göre saldırı senaryosu hazırlamaktadırlar.

a. Ulaşılması Kolay Personel

Bu kategorideki kişiler işleri gereği ulaşılması ve iletişim kurulması kolay kişilerdir, bu kategorideki iş türlerine örnek olarak güvenlik görevlilerini ve danışma personelini örnek gösterebiliriz.

b. Yönetici ve Önemli Personel

Bu kategorideki insanlar işleri gereği diğer personellere nazaran daha yoğun tempoda çalışmaktadırlar, bu yoğunluktan ötürü bir dikkatsizlik oluşabilmekte veyahut ilgili kişilerin yokluğunda bu söz konusu kişilerin adı ve mevkisi kullanılarak birçok bilgiye erişim sağlanılması mümkün olabilmektedir.

c. Zafiyeti olan ve Sadakat Seviyesi Ortalama Olmayan Personel

Sosyal mühendisler genelde iyi gözlem yeteneğine sahip kişilerdir, herhangi bir zafiyeti olan personel her daim sosyal mühendislerin dikkatini çekecektir. Öte yandan sadakat seviyesi düşük olan personellerin potansiyel güvenlik açıkları sadakat seviyesi çok yüksek olan kullanıcılar içinde geçerlidir.

d. Yardımsever Personel

Yardımsever personeller her daim sosyal mühendislik saldırılarına maruz kalma ihtimallerine sahiptirler, bir personelin yardımsever olduğunu fark eden sosyal mühendis, oluşturacağı herhangi bir sahte senaryo ile hedefi normalden daha kısa sürede ikna edebilir.

2. BİLGİ TOPLAMA

Sosyal mühendis seçilen hedef kitlesine göre bilgi toplar ve sahte senaryolar üretir. Hedefe kitleye ve/veya kişiye ait bilgi toplama sürecinde Facebook, Twitter, Instagram, Google ve Maltego başta olmak üzere birçok sosyal medya ve açık kaynak istihbarat sistemleri kullanılır.

3. ALGI ZAFİYETİ OLUŞTURMA

Sosyal Mühendislik saldırıları iletişim ve ikna becerilerine dayanmaktadır. Saldırgan hedef ile herhangi bir şekilde iletişime geçer ve hedefi kendi isteğini yapması yönünde ikna etmeye çalışır. Sosyal mühendislerin kullandıkları algı karışıklığı sağlayan yaklaşımlar insan psikolojisini alt etme amaçlıdır. Algı karışıklığı ile hedefin sağlıklı düşünmesinin önüne geçilmeye çalışılmaktadır. Algı zafiyeti oluşturma noktasında aşağıda açıklanan çeşitli yöntemler kullanılmaktadır.

a. İstek Arttırma ve Azaltma

Sosyal mühendis hedef ile temasa geçtikten sonra, güven oluşturarak hedeften yapılması basit şeyler talep eder, hedef istekleri yapmaya başladığında ise oluşan güveni kullanarak saldırgan isteklerin büyüklüğünü arttırır. Bir diğer yöntem ise bunun tam tersi olan istek azaltma yöntemidir, saldırgan ilk olarak hedeften yapamayacağı taleplerde bulunur ve taleplerin zorluk derecesini yavaş yavaş azaltıp bir baskı oluşturarak hedefin ufak isteği kabul etmesi sağlar.

b. Seçim Yapmaya Zorlama

Saldırgan hedef ile temasa geçtikten sonra oluşturduğu güvene bağlı olarak hedefe soru ile birlikte iki cevap seçeneği söyleyerek hedefi birini seçmek mecburiyetinde bırakır. Örneğin hedefteki kişiye “Kahve içer misin?” demek yerine “Kahveniz şekerli mi olsun yoksa şekersiz mi?” demek karşımızdaki kişiyi kahve içmeye zorlayacaktır.

c. Soruya Soru İle Cevap Verme

Hedef kişiyi sahte senaryolar ile ikna etmek kolay bir yetenek değildir, farkındalık seviyesi yüksek bir hedef ile karşı karşıya kalındığı zaman hedef, sosyal mühendise bazı sorular yönelterek onu zorda bırakabilir, bu durumda sosyal mühendisler çoğu zaman çıkış yolu bulmak için soruya soru ile cevap verme tekniğini kullanırlar örneğin “Kim olduğumu hatırlatmama gerek var mı?”, “Bu konuyu çözmek için bir yönetici ile görüşmek zorunda mı kalacağım?” gibi sorular sosyal mühendislerin sıklıkla kullandıkları sorulara örnektir.

d. Borçlu Bırakma

Hedefi ikna etmek için kullanılan bir diğer yöntem borçlu bırakmaktır. İnsan doğası gereği borçlu olduğu vakit ödeşmiş olmak için hemen her yolu dener, bu süreç içinde sağlık düşünme konusunda problemler yaşar. Sosyal mühendisler insanoğlunun bu zaafını kullanmak amacıyla hedef kişiye talep edilmediği halde herhangi bir yardım sağlar ve hedefin ödeşmiş olma çabasını kötüye kullanarak hedef kişiye istediklerini yaptırmaya çalışırlar.

e. Ödüllendirme ve Korkutma

Hedefe ödül vererek isteklerini yaptırmak veya hedefi onun için değerli olan bir unsur ile korkutarak/tehdit ederek işlerini yaptırma, sosyal mühendislerin yakın zamanda sıklıkla kullandıkları yöntemlerdendir.

4. İNSAN TABANLI SALDIRILAR

Bu tip saldırılar hedef ile fiziksel temas gerektiren saldırılardır. Elde edilen bilgiler ile hedef baskı altına alınıp ikna etmek için çaba sarf edilir, bu noktada sosyal mühendisin fizyolojik ve psikolojik olarak güçlü olması gereklidir, herhangi hatalı bir mimik hedefin durumu fark etmesi için yeterli olacaktır.

4.1 Son Kullanıcı veya Önemli Kullanıcı Gibi Davranma

Sosyal mühendis, hedefi ikna etmek için son kullanıcı veyahut mühim bir pozisyonda çalışan biri gibi davranarak daha önceden elde edilen bilgileri kullanarak daha fazla bilgi alabilmek için hedefe psikolojik baskı kurar.

4.2. Çöp Karıştırma ve Omuz Sörfü

Çöp karıştırma yöntemi, atılan önemli bir bilgiyi yada çalışanların zaaflarını yansıtabilecek herhangi bir materyali bulmak amacıyla kullanılmaktadır. Omuz sörfü ise benzer bilgi ve zafiyetleri hedefi gözlemleyerek elde etme çabasıdır.

5. BİLGİSAYAR TABANLI SALDIRILAR

Bu tip saldırılar genelde fiziksel temas yerine dijital kanal aracılığı ile hedefi yanıltarak istenilen sonuca varma çabasını amaçlar.



DELTA WEINBERG - SAKULTA