Bugünkü konumuzda Sosyal Mühendislik metotlarına, yöntemlerine, temellerine ve saldırılarına değineceğiz.

Bu konu sizler için rehber niteliğinde olacak. Konu bitiminde Sosyal Mühendislik ile ilgili aklınızdaki çoğu soruya cevap bulabileceksiniz.

Konumuzda Türk Youtuberların kanallarının nasıl çalındığından tutun, büyük şirketlerin hacklenmesi, sosyal medya hesaplarının çalınması, (instagram, facebook, twitter vb.) , verilerin çalınması, dataların patlatılması gibi pek çok siber saldırı aslında şimdi anlatacağım konuya değinmektedir.

Öncelikle siber güvenlik stratejisindeki en büyük zayıflık insanlardır. Bu yüzden sosyal mühendislik, hedeflenen kullanıcının bir saldırıyı tespit edememesinden yararlanır. Bir sosyal mühendislik tehdidinde, bilgisayar korsanı hedefi kandırmak için hassas müşteri bilgilerini veya kimlik doğrulama bilgilerini ifşa etmek gibi insan duygularını (genellikle korku ve aciliyet) kullanır.

İnsanlar zayıf halka olduğundan dolayı hiçbir sistem dolaylı veya dolaysız yoldan da olsa güvenli değildir.

Sosyal Mühendislik Nedir?

Sosyal mühendislik, hedeflenen bir kurbanı hassas bilgi ve verilerini vermesi için psikolojik olarak manipüle etmeyi amaçlayan siber suçlular tarafından gerçekleştirilen bir dizi kötü niyetli faaliyettir.

Sosyal mühendislik özellikle ağ sistemlerinde, yazılımlarda ve işletim sistemlerindeki güvenlik açıklarından ziyade insan hatasına dayanır. Meşru kullanıcılar tarafından yapılan hatalar daha az tahmin edilebilir olduğundan, bunları tespit etmek, kötü amaçlı yazılım tabanlı izinsiz girişleri tespit etmekten daha zordur. Genel olarak, sosyal mühendislik saldırılarının temel olarak iki ana amacı vardır:

Sabotaj: İşi kesintiye uğratarak veya verileri bozarak zarara veya rahatsızlığa neden olur.

Siber Hırsızlık: Hassas ve kritik bilgiler veya para gibi değerli eşyalara erişim kazanır.


Sosyal Mühendislik Nasıl Çalışır?

Sosyal mühendislik saldırıları, genellikle bilgisayar korsanları ve kurbanlar arasında iyi kurulmuş bir iletişim olduğunda ortaya çıkar. Bilgisayar korsanları, kullanıcının verilerini ihlal etmek için açıkça bir kaba kuvvet saldırısı kullanmak yerine kullanıcıyı hassas bilgileri tehlikeye atmaya yönlendirir ve motive eder.

Sosyal mühendislik saldırısı yaşam döngüsü, suçlulara kurbanı kolayca aldatabilecek güvenilir bir süreç sağlar. Sosyal mühendislik yaşam döngüsünde yer alan adımlar aşağıdakileri içerir:

1. Hedef Araştırması

Bir saldırıya hazırlık, bilgisayar korsanının önceden planlamasını gerektirir. Araştırma süresi boyunca, hedefin adı, kişisel ayrıntıları ve arka plan bilgileri belirlenir. Bu bilgilere dayanarak, saldırı yöntemleri/kanalları seçilir.

2. Hedefi İnandırma

Bu adımda, bilgisayar korsanı ilk adımda toplanan bilgilere dayanarak, hedef kurbanı inandırıcı olacak uydurma bir hikayeyle meşgul eder. Burada bilgisayar korsanının amacı, kurbanın güvenini kazanmaktır.

3. Saldırı

Hedef, gerekli güveni elde ettikten sonra asıl amaç olan bilgiyi çıkarmaya yönelir. Bilgisayar korsanı, amacına göre bilgiyi kullanır veya satar.

4. Çıkış

Saldırının hedefi tamamlandığında, etkileşim penceresi bilgisayar korsanı tarafından tipik olarak herhangi bir tespit veya şüpheden kaçınmak amacıyla kapatılır. Bilgisayar korsanı daha sonra izlerini kapatmaya ve elinden gelenin en iyisini yapmaya çalışır.

Telefon ve e-posta kimlik avı tekniklerinin bir kombinasyonu kullanılarak bir saldırı gerçekleştirilebilir ve kurbanı hassas (banka/sosyal güvenlik oturum açma) bilgilerini vermeye ikna edebilir.

Sosyal Mühendislik Saldırılarının Ortak Özellikleri Nelerdir?

Sosyal mühendislik saldırıları, saldırganın ikna veya güven gibi psikolojik hileler kullanması etrafında döner. Kullanıcı bu taktiklere maruz kaldığında, sessiz kalmaktan ziyade harekete geçme olasılığı daha yüksektir. Çoğu saldırıda, bilgisayar korsanları aşağıda listelenen bir dizi psikolojik manipülasyon tekniğini kullanarak kullanıcıları yanlış yönlendirir:

1. Duygusal manipülasyon

Duygusal manipülasyon, bilgisayar korsanlarına kurbanlarla her türlü etkileşimde üstünlük sağlar. Bu gibi durumlarda, mağdurlar duygusal bir durumdayken, mantıksız veya riskli eylemlerde bulunmaya daha yatkındır. Hedef kurbanları ikna etmek için öfke, merak, heyecan, korku, suçluluk ve üzüntü gibi duygular genellikle eşit ölçülerde kullanılır.

2. Anında eylem

Bilgisayar korsanları, kullanıcıları kandırmak için zamana duyarlı fırsat veya istekleri kullanma eğilimindedir. Kullanıcılar, acil müdahale gerektiren ciddi bir sorun kisvesi altında hassas bilgileri veya kritik kaynakları tehlikeye atmaya motive olabilir. Bazı senaryolarda, kullanıcılar hemen harekete geçmedikleri takdirde ortadan kalkabilecek bir ödül biçimine maruz kalabilir. Bu yaklaşımların her ikisi de mağdurun eleştirel düşünme veya mantıksal akıl yürütme yeteneğini geçersiz kılma eğilimindedir.

3. Güven

Sosyal mühendislik saldırıları, güvenle gelişir. Bilgisayar korsanı, kullanıcıya yalan söylediğinin farkında olduğundan, güven ve inanç bu tür saldırılarda çok önemli bir rol oynar. Saldırganlar, şüphe uyandırmayacak tanımlanmış bir anlatı oluşturmak için hedef kurban üzerinde önemli araştırmalar yürütür.

4. Basit yöntemler

Bu ortak özelliklerin bazı istisnaları, saldırganların ağ veya sistem erişimi elde etmek için kullandıkları basit yöntemleri içerir. Örneğin, büyük bir organizasyon binasının ortak yemek katındaki bir bilgisayar korsanı, tablet veya dizüstü bilgisayarlarında çalışan kullanıcıların yaptığı işlemleri gözetleyebilir ve bir e-posta göndermeden veya bir satır virüs kodu yazmadan hassas bilgilerine erişmeye çalışabilir.

Sosyal Mühendislik Türleri

Sosyal mühendislik saldırıları iki ana kategoride sınıflandırılabilir:

1. Teknoloji tabanlı saldırılar

Teknoloji tabanlı bir yaklaşım, kullanıcıyı “gerçek” bir bilgisayar sistemiyle etkileşime girdiğine inandırır ve onu gizli bilgileri sağlamaya ikna eder. Örneğin, kullanıcı bilgisayar uygulamasında bir sorun olduğunu ve hemen düzeltilmesi gerektiğini bildiren bir açılır pencere gördüğünde, kullanıcıya devam etmesi için bir bilgisayar uygulamasını yeniden doğrulaması söylenir. Kullanıcı yeniden kimlik doğrulama işlemine devam ederek kullanıcı kimliğini ve parolasını açılır pencerede tekrar girer. Kimlik doğrulama için gerekli kimlik bilgilerini girdikten sonra açılır pencereyi oluşturan bilgisayar korsanı artık kullanıcının kimliğine, parolasına erişebilir ve bu adımdan sonra ağlarına ve bilgisayar sistemlerine erişebilir.

2. İnsan etkileşimine dayalı saldırılar

İnsan etkileşimine dayalı bir yaklaşımda, sisteme veya ağa saldırmak için kurbanın farkında olmamasından yararlanılır. Bu genellikle saldırganın, gerçek kimliğini gizlerken kurbanın zaten bildiği bir kişi veya otorite gibi davranmasıyla gerçekleştirilir.

3. Hibrit saldırılar

Hibrit saldırılar, bilgisayar korsanının sosyal mühendislik saldırısını gerçekleştirmek için hem teknolojiyi hem de insan etkileşimlerini platform olarak kullandığı siber saldırıların en yaygın biçimidir. Örneğin, kurumsal bir sosyal mühendislik saldırganı, yardım masasına yaptığı bir çağrıda, bir işletme içinde çok yüksek yetkiye sahip bir kişi gibi davranır, parolayı unuttuğunu ve hemen sıfırlaması gerektiğini söyler. Buna karşılık, çalışan şifreyi sıfırlar ve yeni ayarlanan şifreyi e-posta ile göndermek yerine aramanın diğer ucunda bekleyen kişiye verir. Bir e-posta’ya erişimi olan bilgisayar korsanı, artık diğer çalışanlara daha fazla hassas bilgi vermeye zorlamak için sahte e-posta’lar gönderir.

Yukarıdaki örnekte, saldırgan, insan etkileşimine dayalı bir sosyal mühendislik tekniğini kullanarak bir teknoloji portalının (e-posta) kontrolünü ele geçirdi ve ardından daha fazla sosyal mühendislik saldırısı gerçekleştirmek için teknoloji tabanlı platformu kullandı.


Sosyal Mühendislik Saldırıları Nasıl Önlenir?

Sosyal mühendislik saldırılarını önlemek için kullanacağınız bazı yöntemleri aşağıda bulabilirsiniz:

1. Güvenli iletişim ve hesap yönetimi alışkanlıkları

Bir birey, yalnızca çevrimiçi iletişim veya etkileşime maruz kaldığında dış tehditlere karşı savunmasızdır. Bu tür etkileşimler, sosyal medya, e-posta, metin mesajları ve yüz yüze etkileşimleri içerir.

Aşağıdaki en iyi uygulamalar, sosyal mühendislik saldırılarına karşı bir güvenlik duvarı görevi görebilir:

a) E-posta’lardaki veya mesajlardaki bağlantılara tıklamayın

Gönderenden bağımsız olarak her zaman adres çubuğuna manuel olarak bir URL yazın. Sizin tarafınızdan resmi olarak doğrulanmayan veya meşru olmayan hiçbir URL ile etkileşimde bulunmayın. Ayrıca, şüpheli kaynaklardan gelen ekleri açmayın.

b) Çok faktörlü kimlik doğrulamayı kullanın

Çok faktörlü kimlik doğrulama, oturum açma sırasında kullanıcının kimliğini doğrulamak için ek katmanlar ekler. Bu tür faktörler, parmak izi veya yüz tanıma gibi kullanıcı biyometrik verilerini veya kısa mesaj yoluyla gönderilen OTP şifrelerini içerebilir.

c) Güçlü parolalar kullanın

Her kullanıcının şifresi benzersiz ve karmaşık olmalıdır, bu da şifrenin tahmin edilmesinin zor olması gerektiği anlamına gelir. Bu yüzden şifrelerinizde büyük harf, küçük harf, sayı ve sembol gibi çeşitli karakter türlerini kullanmayı deneyin.

d) Kişisel bilgileri paylaşmaktan kaçının

Herhangi bir şeyle veya herhangi biriyle etkileşim kurarken bilmeden güvenlik sorularının yanıtlarını veya parolanın bazı bölümlerini açığa vurmayın. Unutulmaz ancak yanlış olan güvenlik soruları oluşturmayı deneyin. Bunu yaparak, bir suçlunun hedef hesabı kırmasını zorlaştırabilirsiniz.

e) Dikkatli çevrimiçi arkadaşlıklar kurun

İnternet, dünya çapındaki insanlarla bağlantı kurmak için harika bir yol olsa da, aynı zamanda sosyal mühendislik saldırılarının gelişmesi için ortak bir platformdur. Bu nedenle, psikolojik manipülasyon veya güvenin açık bir şekilde kötüye kullanıldığını hissettiğiniz kişilere dikkat edin.

2. Güvenli ağ kullanım alışkanlıkları

Güvenlik açığı, güvenliği ihlal edilmiş çevrimiçi ağlarda maksimum düzeyde kullanılabilir. Bu nedenle, sosyal mühendislik saldırıları sırasında kullanıcıların verilerinin kurcalanmasını ve kötüye kullanılmasını önlemek için kullanıcının bağlı olduğu herhangi bir ağ için koruyucu önlemler alması gerekir.

a) Yabancıların birincil Wi-Fi ağınıza bağlanmasına izin vermeyin

Evdeki veya işyerindeki yabancıların, misafir Wi-Fi bağlantısı üzerinden Wi-Fi erişimine izin verin. Böyle bir düzenleme, ana şifreli, parola korumalı bağlantının güvenli ve müdahalesiz kalmasını sağlar.

b) Bir VPN kullanın

Ana kablosuz ağdaki (kablolu veya hücresel) birinin trafiği engellemenin bir yolunu bulduğu senaryolarda, sanal bir özel ağ (VPN) bu tür davetsiz misafirleri dışarıda tutabilir. VPN’ler, kullanıcıların internet bağlantılarını şifreli bir “tünel” üzerinden gizli tutmalarına olanak tanıyan hizmetler sunar. Bağlantı, üçüncü şahıs davetsiz misafirlere ve gizlice dinlemelere karşı korunur. Kullanıcıların verileri, çerezler veya başka yollarla izlenemeyecek şekilde anonimleştirilir.

c) Ağa bağlı cihazların ve hizmetlerin güvenliği

Ağa bağlı cihazların, akıllı cihazların ve bu cihazlarla ilişkili bulut hizmetlerinin güvenliğinin sağlanması önemlidir. Bu yüzden ev ağı yönlendiricileri veya araba bilgi-eğlence sistemleri, ev sinemaları vb. gibi genel olarak gözden kaçan cihazları koruyun. Tüm bu cihazlarda veri ihlalleri, potansiyel bir sosyal mühendislik dolandırıcılığı için kişiselleştirmeyi tetikleyebilir.

3. Güvenli cihaz kullanım alışkanlıkları

Cihazları güvende tutmak, dijital davranışları yönetmek kadar önemlidir. Cep telefonları, tabletler ve diğer bilgi işlem cihazları aşağıdaki ipuçları izlenerek korunabilir:

a) Kapsamlı internet güvenlik yazılımı

Sosyal saldırıların başarılı olduğu senaryolarda, kötü amaçlı yazılım bulaşmaları genel bir sonuçtur. Rootkit’ler, Truva atları ve diğer gömülü botlarla savaşmak için bulaşıcı izinsiz girişleri ortadan kaldırmak ve kaynaklarını takip etmek için gelişmiş bir internet güvenlik çözümü kullanmak önemlidir.

b) Cihazları halka açık yerlerde emniyetsiz bırakmayın

Bir işyerinde veya herhangi bir kamuya açık ortamda bir kullanıcı için en iyi uygulama, hiç kimsenin bu cihazlara erişmemesi için bilgisayarı ve mobil cihazları her zaman kilitlemektir. Ayrıca havaalanları, kafeler veya ticari pazarlar gibi halka açık yerlerde bu cihazları her zaman elinizde bulundurmanız gerekir.

c) Tüm yazılımlarınızı güncel tutun

Yama güncellemeleri, yazılıma temel güvenlik düzeltmeleri sağlar. Güncellemeler ertelendikçe veya atlandıkça, yazılım farkında olmadan saldırganların hedef alması için güvenlik açıkları ortaya çıkarır. Suçlular genellikle çoğu bilgisayarın ve mobil kullanıcının özelliklerinin farkında olduğundan, sosyal olarak tasarlanmış kötü amaçlı yazılım saldırıları için savunmasız bir hedef haline gelirsiniz.

d) Çevrimiçi hesaplarınızın bilinen veri ihlallerini kontrol edin

E-posta adresleri gibi çevrimiçi hesaplarınız için yeni ve mevcut veri ihlallerini aktif olarak izleyin. Kullanıcının çevrimiçi hesap verilerinin güvenliği ihlal edildiğinde bildirim sağlayan güvenlik bulut hizmetlerini kullanın.

4. Güvenlik bilinci eğitimi

Sosyal mühendislik, psikolojik davranışları manipüle ederek saldırıları belirler. Bir kimlik avı e-postası düşünün; burada alıcılar, e-posta’nın içindeki gömülü bir bağlantıya tıklamaya veya kötü amaçlı bir dosya indirmeye teşvik edilir. Siber suçlular, e-posta’yı gizlemek için güven ve aciliyet duygusu gibi özellikleri kullanarak e-posta’ların gerçek bir varlık gibi görünmesini sağlar.

Bu nedenle, tüm iş gücünün siber suçlular tarafından izlenen çeşitli hileleri anlamasını sağlamak, sosyal mühendisliğe karşı en iyi savunma olabilir. Sosyal mühendislik koruması, bireyleri eğiterek doğru türde farkındalık yaratmakla başlar. Tüm kullanıcılar bu tür sosyal saldırılar konusunda zaman zaman eğitilir ve uyarılırsa, güvenliği artırılabilir.

5. Düzenli siber güvenlik durum değerlendirmeleri

Siber suçlular, her saldırıda bir ortama saldırmak için kullandıkları sosyal mühendislik tekniklerini güncelleme ve değiştirme eğilimindedir. Bu nedenle, kapsamlı bir siber güvenlik yol haritası geliştirerek işletmelerin siber güvenlik savunmalarını güçlendirmeleri gerekir. Siber güvenlik durum değerlendirmesi, güvenlik açısından mevcut konumlarını, şu anda eksik olan bileşenleri ve siber güvenlik olgunluk düzeylerini artırmak için yapılması gerekenleri belirlemek isteyen işletmeler için avantajlı bir ilk adımı temsil eder.

6. 7/24 izleme uygulaması

Güvenlik ekibi, 7/24 izleme sağlayan hizmetleri test ederek ve doğrulayarak geliştirilebilir. İşletmeler, yönetmeliklere uymak, ortamlarını siber saldırılara veya veri ihlallerine karşı güvenceye almak veya operasyonel çalışma süresini yukarı doğru garanti etmek istiyorlarsa, ortamlarını 7 gün 24 saat etkin bir şekilde izlemenin bir yolunu bulmalıdır. İzleme, ağdaki sorunları gerçek zamanlı olarak tespit etmeye yardımcı olabilecek araçların kullanılmasını içerir. Bu tür araçlar, davranışsal analiz gerçekleştirme teknikleri ve anormallikleri tespit etmeye yardımcı olabilecek bazı akıllı araçları içerebilir. İzleme, yazılımın her zaman güncel tutulmasını ve sunucuların yanlış yapılandırmalarının gerektiği gibi ele alınmasını sağlayarak sistemin genel güvenliğini artırır.

Özetle, sosyal mühendislik, saldırganların özel bilgiler, erişim veya değerli eşyalar elde etmek için insan hatalarından yararlandığı bir manipülasyon tekniğini ifşa eder. Bu tür saldırılar, çevrimiçi platformdaki etkileşimler veya yüz yüze etkileşimler sırasında meydana gelir. Bir sosyal mühendislik saldırısında, saldırgan teknik, ağ veya güvenlik uzmanı olmadan kurbanın bilgilerine erişir.

Saldırgan, sisteme girmek veya kurbanın bilgisi olmadan kritik bilgileri elde etmek için gerekli olan hassas bilgileri sağlamak üzere kurbanı kandırmak için çeşitli taktikler kullanabilir. Bu nedenle, sosyal mühendislik saldırılarını ele almamanın ve ortadan kaldırmamanın maliyeti oldukça yüksektir. İyi bir bilgi güvenliği stratejisi, işletmenin güvenlik ihlallerine karşı güvenliğini sağlamak için genel bir stratejinin kritik bir bileşenini oluşturur. İşletmeler, sağlıklı bir bilgi güvenliği stratejisi uygulayarak sosyal mühendislik saldırılarının etkisini azaltabilir.

Böyle bir strateji, güvenlik bilinci eğitim oturumlarının ve eğitim programlarının uygulanmasını, politika uyumluluğunu izlemek için düzenli denetim programlarını, yetkisiz fiziksel erişimi önlemek için güvenlik cihazlarının kurulmasını ve güvenlik saldırılarına karşı sigorta sağlayan düzenlemelerin yapılmasını içerebilir.


what-is-social-engineering.svg

Hesaplar Nasıl Çalınıyor?


İşte yıllardır forumda konuları açılan :D Çok söz edilen ve sık sık anlatılmasına rağmen anlaşılmayan o konuya değinelim.

İlk olarak her hesabın çalınması kısmen mümkün. Bu sosyal mühendislik diye tabir ettiğimiz aldatmaca sanatı yetkililerden tutunda siber güvenlik kurumlarında personel olarak çalışan kişileri bile aldatmayı başarmıştır.

Örnek olarak hazırlamış olduğum bu görseli inceleyelim;


Saldırgan burada reklam vermek ister. Gariban (adlandırmama takılmayın :) ) reklamı merak eder. Saldırgan tam istediğini yapar, ona reklamı gönderir doğrudur açılır fakat arka planında virüs vardır. Bu nedenle asla merak uyandırmaz. Ardından gariban adlı şahsımız reklam işlerini yapmaya çalışırken saldırgan arka planda kurbanını takibe alır.

Bu saldırıyı hemen yapmaz bazen saatlerce bazen günlerce izlenir. Anti virüsler ötmediğinden (bypass ettiğinden) dolayı saldırgan rahat takılır, sıkıntı yaşamaz. Topladığı verilerle reklam verdirmek istediği Youtube kanalı olsun, sosyal medya hesapları olsun veya site olsun orayı devr alır. Ardından isterse saldırısını gerçekleştirerek hackler isterse de veri toplamaya devam eder.

Sonuç olarak izlese de izlemese de son darbeyi indirir ve kurbanı ortadan siler. Kurban ne olduğunu anlayamaz ve hesaplarını elinden kaybeder.

Burada saldırgan isterse hesabı hacklemez oymuş gibi davranmaya devam eder ve bu sayede daha çok insanı kandırır. Diğer bir tabirle tokatlamaya devam eder. İnsan sayısı artıkça da saldırgan istediklerini alır (veri veya paradır genellikle)

Son olarak yapmış olduğu işlemleri siler (log kayıtları var ise izini kaybettirmeye çalışır) ki zaten saldırıyı yapmadan önce önlemini almıştır. Bu nedenle izini çabukça kaybettirir.

Şekil değiştirir ve bu sefer başka hedeflere yönlenmeye başlar. Bu sayede insanlar davayı çözemez.


Kurum çalışanlarının bilgi güvenliği farkındalığını tespit etmek amacıyla Müşteri ile ortak belirlenen senaryolar kullanılarak, sosyal mühendislik saldırısı gerçekleştirilir. Müşteri tarafından belirlenen kişilere yönelik farklı senaryolarda sosyal mühendislik testleri gerçekleştirilir. Senaryonun amacı dışardaki bir saldırganın kurum çalışanlarına yönelik phishing (oltalama) saldırıları ile yetkisiz erişim elde edip edemeyeceği ve dışardan kurum yerel ağına dahil olunup olunamayacağı belirlenmektir.

Kurum çalışanlarının bilgi güvenliği konusundaki farkındalık seviyelerini ve sosyal mühendisliğe karşı direnç seviyelerini belirlemek amacıyla çalışanlara yönelik Sosyal Mühendislik testi gerçekleştirilir. Kurumun Bilgi Güvenliği Ekibi’nin belirlediği ve onayladığı senaryolar testte uygulanır.
Aşağıda Kurum çalışanlarına yönelik olarak yapılan 3 adet örnek Sosyal Mühendislik saldırısının senaryosu ve bu senaryonun sonuçları ayrıntılı bir şekilde anlatılmıştır.


Senaryolar

Müşteri güvenlik ekibi tarafından onaylanan senaryolar, aşağıdaki listelenmiştir. Bu senaryolar dâhilinde gerçekleştirilen sosyal mühendislik saldırıları ve bu saldırılara ait elde edilen veriler ayrı ayrı detaylandırılmıştır.


Sahte GSM Fatura

Sosyal mühendislik kapsamında uygulanan bu senaryoda, Müşteri güvenlik ekibinden temin edilen mail adreslerine GSM operatöründen geliyormuş gibi “example.com” adresinden sahte e-posta gönderilmiştir. Gönderilen e-postada, personele 205,00 TL ile 405,00 TL arasında değişen faturalar gönderilmiştir. Personelin gönderilen yüksek miktardaki faturadan şüphelenerek, mailde gönderilen bağlantıya tıklaması ve ardından fatura örneğini indirmeye yönelmesi sağlanmaya çalışılmıştır. Bağlantıya tıklayıp, faturasını indiren personel için fatura dokümanı yerine kurum için özel olarak hazırlanmış zararlı yazılımın kullanıcı tarafından çalıştırılması beklenmiştir. Dosyayı çalıştıran personelin bilgisayar yönetiminin ele geçirilmesi amaçlanmıştır.


Sahte IK Sayfası

Sosyal mühendislik kapsamında uygulanan bu senaryoda, müşteri güvenlik ekibinden temin edilen mail adreslerine İK’dan geliyormuş gibi “example.com” adresinden sahte e-posta gönderilmiştir. Gönderilen e-postada, personele günün koşullarına uygun olarak yetişmelerini sağlamak, görevinin gerektirdiği bilgi, beceri ve davranışlara sahip tutum kazanmalarını desteklemek, etkinlik ve tutumluluk bilinci ile yetiştirilerek kurum genel verimliliğini artırmak ve daha ileriki görevlere hazırlanmaları için 2016 eğitim başvurularını gerçekleştirilmeleri istenmiştir. Kullanıcıların e-posta ve sitenin sahte olduğunu fark etmeleri beklenmiştir.

Sahte Kargo Takip


Sosyal mühendislik kapsamında uygulanan bu senaryoda, Müşteri güvenlik ekibinden temin edilen mail adreslerine X Kargo’dan geliyormuş gibi “example.com” adresinden sahte E-Posta gönderilmiştir. Gönderilen E-Posta’da Personele; yeni bir kargolarının olduğu, yüksek fatura miktarına sahip kargonun “Yeni Sahra” şubesine teslim edildiği, kargo faturasının çıktı alınarak şubeye gidilmesi gerektiği söylenmiştir. Kullanıcıların gönderilen adresin ve mailin sahte olduğu, kargo faturası yerine de zararlı yazılım gönderildiğini fark etmeleri beklenmiştir.

ChatGPT ve Yaratıcı Endüstriler ChatGPT ve Yaratıcı Endüstriler

Yukarıdaki senaryolar örnek senaryolardır. Sosyal mühendislik senaryoları her kurum için özel olarak hazırlanmakta olup kurum çalışanlarına ve ihtitiyaçlarına yönelik geliştirilmektedir.

Türk Youtube Kanallarının çalınması, veya ünlülerin hacklenmesi mevzusu ise bilinçsizlik ve tedbirsizlikten kaynaklanır.

Bu sadece bize değil tüm Dünyadaki insanların başına gelebilecek bir olaydır.

Örnek olarak çalınan veya ele geçirilen Youtube kanallarından saldırganlar Elon Musk'ı kullanarak coinlerle ilgili canlı yayın yaparlar.

Bazen bağış toplarmış gibi gözükürler ve büyük vurgun yaparak ortadan kaybolurlar.

Ödemelerde coin ile yapıldığından dolayı izleri bulunamaz veya takip edilemez.

Konu ile ilgili olarak bu videoyu izleyebilirsiniz;


support.gif

Tarihin En İyi Sosyal Mühendislik Saldırıları


Sosyal Mühendislik saldırıları ve bu saldırılara karşı alınması gereken önlemler günümüzde aktif olarak gündemde olan konular. Bunun nedeni teknolojinin ve iletişim araçlarının gelişmesiyle birlikte sosyal mühendislik saldırılarının herhangi bir sınır tanımadan kolay şekilde gerçekleştirilebiliyor olması. Fakat sosyal mühendislik saldırıları yeni ortaya çıkan bir konu değil, tarih boyunca hep vardı ve farklı araçlar kullanılarak gerçekleştirildi. Özellikle gerçekleştirilme yöntemlerine dikkat çekmek istediğimiz önemli sosyal mühendislik saldırılarını bilgilerinize sunarız.

TRUVA ATI

10 yıllık bir kuşatmadan sonra Yunanların geri çekiliyormuş gibi yapması ve içinde yunan askerleri bulunan bir tahta atı savaş meydanında bırakmasıyla Troyalılar zaferi kutlamak için atı Truva surlarından içeri sokarak düşmana bir arka kapı vermişlerdir ve sonrasında ise Truva’nın düşmesine neden olmuşlardır. Gerçek olduğunu gösteren pek bir kanıt yok, fakat adını tüm bir zararlı yazılım sınıfına verecek kadar önemsenmiş bir sosyal mühendislik saldırısı örneğidir.

Zarar: Savaş ve Güvenlik araçları ve disipliniyle 10 yıl korunan şehir bir gecede düşmana teslim edilmiştir.

Kullanılan Yöntem: Hedefi yeterli seviyede güvenlik önlemi aldığına inandırarak bir anlamda uyutmak.

Çıkarılması gereken Ders: İnsan psikolojisi üzerine oynanan sosyal mühendislik oyunları büyük yatırımlar yaparak oluşturduğunuz güvenlik önlemlerini bir anda devre dışı bırakabilir.

RSA SECURID SIZINTISI


Siber saldırıların farklı amaçları olabilir. Her siber saldırıda direk olarak maddi kazanç hedeflenmez, hedefteki kurumun dolaylı yolla maddi zarara veya itibar kaybına uğraması da hedeflenebilir. RSA SecurID sızıntısı bunlardan biridir. 2011 yılında gerçekleşen veri sızıntısının detayları RSA tarafından tam olarak açıklanmasa da SecurID iki faktörlü kimlik doğrulama sistemi ile ilgili bazı bilgilerin çalındığı belirtilmektedir.

Zarar: Saldırgan bu saldırıdan direk olarak maddi kazanç elde edememekle birlikte RSA’in ana şirketi olan EMC bu veri sızıntısı olayını kapatmak için 66 milyon $ harcamıştır.

Kullanılan Yöntem: Saldırı RSA içerisindeki bazı çalışan gruplarına hedefli oltalama e-postası gönderilerek başlatılmıştır. Saldırının başarılı olmasının nedeni e-posta’ların ikna edici şekilde tasarlanmış olması ve adı “2011 İşe alım Planı” olan ilgili çekici bir dosya içermesidir.

Çıkarılması gereken Ders: İnsan ve İnsan psikolojisi güvenlik çemberinin en zayıf halkasıdır. Siber saldırganlar ise sürekli yeni yöntemler deneyerek bu zayıf halkayı kırmaya çalışıyorlar. Bu zayıf halkanın güçlendirilmesi ancak ve ancak farkındalığın oluşturulması ile mümkündür.

ABN AMRO PIRLANTA SOYGUNU


2007 yılında Belçika’da ABN Amro bankdan 28 milyon $ değerinde pırlanta çalındı. Soygun mesai saatlerinde, herhangi bir silah kullanılmadan gerçekleştirilmişti.

Zarar: Bu soygunun toplam zararı 28 milyon $ olarak açıklandı.

Kullanılan Yöntem: Soygunu gerçekleştirilen kişi bankanın son 1 yılda müşterisi idi. Soyguncunun kullandığı yöntem banka personelini iyi iletişimi ve kişisel özellikleriyle etkilemesiydi. Bu sayede banka personelinin güvenini kazanan soyguncu pırlantaların bulunduğu kasa anahtarını elde ederek kopyasını oluşturabilmişti.

Çıkarılması gereken Ders: Personelin karşısındaki kim olursa olsun ve kişisel ilişkileri hangi düzeyde olursa olsun yetki ve izinler dışında hiç kimseye herhangi bir konuda ayrıcalık tanımaması ve bu konuda uygulamalı olarak eğitilmesi gerekir. Unutulmamalıdır ki iyi iletişim, kişisel cazibe gibi sosyal araçlar sosyal mühendislik saldırılarında sıkça kullanılmaktadır.


ASSOCİATED PRESS TWİTTER HESABININ ELE GEÇİRİLMESİ


2013 yılında Associated Press Twitter hesabı Suriye Elektronik Ordusu tarafından ele geçirildi ve ele geçirildikten sonra “Beyaz Evde patlama gerçekleşti ve Barack Obama yaralandı” haberini paylaştı.

Zarar: Twitter hesabının ele geçirilmesi ve sonrasında paylaşılan haber Amerikan borsası Dow Jones’da 3 dakika içinde %1 düşüşe neden oldu.

Kullanılan Yöntem: Bu saldırıyı bizim için ilgi çekici hale getiren ve sosyal mühendislik saldırıları başlığı altında incelememize neden olan özellik Twitter hesabının ele geçirilmiş olması veya nasıl ele geçirildiği değil, yetkili bir ağızdan duyulan tek bir cümle ile farklı organizasyonların ne kadar zarar görebileceğidir.

Çıkarılması gereken Ders: Kurumunuzu hedef alan iyi tasarlanmış oltalama saldırıları sadece bilgi içerse bile kurumunuza ciddi zararlar verebilir.


NİGERİAN SCAM VE ÖNCESİ


Nigerian Scam herkesin bildiği ve hemen hemen herkesin karşılaştığı bir sosyal mühendislik yöntemidir. Fakat bu saldırı yönteminin geçmişi çok eskiye, 16. Yüzyıla dayanır. 16. Yüzyılda yardım isteyen şahıs Nijeryalı zengin işadamı değil , İspanyol bir Mahkumdu. Senaryo ise benzer şekildeydi: İspanya’da yanlışlıkla hapsedilen zengin bir işadamının kefaletle serbest bırakılması için belirli bir miktar para gerekiyordu ve karşılığında İspanyol zengin serbest kaldıktan sonra kendisine yardım eden şahısa bir servet vaadediyordu.

Zarar: 2013 yılı verilerine göre Nigerian Scam yönteminin tüm dünyada hesaplanan toplam zararı 12.7 milyar $. Daha kötü bir zarar örneği ise 2007 yılında Amerikada bir bölgenin 4 milyon dolarlık bütçesinin 1.25 milyon dolarının hazinedar tarafından Nigerian Scam saldırısına kaptırılmasıdır.

Kullanılan Yöntem: Bireylerdeki kolay yoldan kazanç veya avantaj elde etme arzusunun hedef alınması.

Çıkarılması gereken Ders: Bireylerin/Çalışanların bu tarz saldırı yöntemlerine karşı oltalama simülasyonları ile eğitilmesi gerekir. Nijeryalı zengin işadamı genel olarak bilinen bir saldırı yöntemi ve bireylerin bu tuzağa düşmeyeceklerini varsayabiliriz. Fakat unutulmamalıdır ki bu saldırı yöntemi 16. Yüzyıldan beri şekil değiştirerek devam ediyor ve karşımıza farklı şekillerde çıkabilir. Ayrıca bireyin benzer bir durumda kendi kaynağını mı, şirket kaynağını veya yetkisini mi kullanacağından da emin olamayız.


TARGET VERİ SIZINTISI


2013 yılında perakende mega zinciri Target’in sistemlerinden 40 milyon kredi kartı bilgisi çalındı.

Zarar: Bu veri sızıntısının Target’a toplam zararının 280 milyon $ olduğu belirtiliyor.

Kullanılan Yöntem: Bu veri sızıntısı olayını bizim için önemli hale getiren saldırının ve sonuçlarının büyüklüğüyle birlikte saldırı için kullanılan yöntemdir. Saldırganlar Target ağına Target’a havalandırma ve ısıtma konularında hizmet veren bir servis şirketinden phishing yöntemiyle elde ettikleri erişim bilgileri(kullanıcı adı,şifre gibi) ile sızabilmişlerdi.

Çıkarılması gereken Ders: Kurumların karşılıklı iş ilişkisinde bulunulan farklı kurum ve organizasyonlarla ilgili erişim ve güvenlik politikalarının belirlenmesi ve kesin olarak uygulanması gerekir. İş ortağınıza güvenebilirsiniz, fakat iş ortağınızın bilgisayarlarını kimin kontrol ettiğini bilemezsiniz.

Olay: Ronin Köprüsünün Hacklenmesi

Hedef: Ekipten bir üye

Saldırıyı Yapan: Lazarus (Kuzey Kore Devletine Hack Grubu)

Öncelikle hedefin belirlenmesi gerekiyordu. Eğer köprü hacklenecekse özel anahtarın ele geçirilmesine ihtiyaç var. Bu olaydan önce anahtarların 4 tanesi daha az zahmetli sosyal mühendislik saldırılarıyla ele geçirilmişti. Ancak Axie Dao’nun multisig cüzdanında işlem yapabilmek için 9 anahtardan 5’i ele geçirilmeliydi. Bunun için Sky Mavis bünyesinde çalışan bir mühendise ulaştılar.

Oltadaki Yem: Yüksek maaş ve daha iyi pozisyon.

En mutlu anınızı düşünün biri sizden bir şey istese bunu yapabilirsiniz. Yani heyecan ve mutluluk (aynı zamanda korku ve panik vs) bizim karar alma süreçlerimizi etkiliyor. Sosyal mühendisler aynı zamanda psikolojiden iyi anlarlar. Sky Mavis mühendisine bu cazip teklifi yaptılar ancak öncesinde hazırlıklar da yapılmıştı. İşi teklif eden şirket hakkında internette sahte yazılar, sahte bir internet sitesi vs. Çünkü hedef gelen iş teklifinin doğrulunu teyit etme zahmetinde bulunabilirdi.

Lazarus ekibinden birileri bu mühendise iş teklifinde bulunmak istediklerini ve detayların ekteki pdf dosyasında (yukarıdaki resim) olduğunu söylediler. Bugün bu yazıyı okuyanlar şunu cevaplandırmalı, size çok büyük bir şirketten bir işte teklifi maili gelse ve ekteki dosyada maaş dahil sosyal haklara dair detayların olduğunu bildiğiniz bir dosya olsa? Bunu büyük ihtimalle indirip açarsınız. Ancak pdf olarak gördüğünüz şey “Binder” denilen yardımcı yazılımlarla oluşturulan “birleştirilmiş” bir dosyadır. Yani dosyayı açtığınızda bir PDF var açılıyor ve aynı zamanda bir arka kapı (virüs, back door) çalışmaya başlıyor. Sonuç olarak beşinci özel anahtar da ele geçiriliyor ve Lazarus ekibi Kuzey Kore’nin roketlerine yakıt olması için bu varlıkları kripto mikserlere gönderip aklıyor.

Kaspersky, 2022 yılında dünya çapında kimlik avı önleme sistemi ile sahte web sitelerine yönlenen 500 milyondan fazla erişimi engellemeyi başardığını açıkladı. Türkiye, Orta Doğu ve Afrika bölgesinde kimlik avı saldırılarının 2021 yılına kıyasla iki kat artığını belirten Kaspersky yetkilileri, bireysel ve kurumsal kullanıcıların %7,9'u kimlik avı saldırılarından etkilendiğini belirtti. Araştırmaya göre Türkiye'de kimlik avından etkilenen kullanıcıların oranı ise %7,7.

İstenmeyen e-posta ve kimlik avı saldırıları, teknolojik açıdan karmaşık olmasa da gelişmiş sosyal mühendislik taktiklerine dayanıyor ve bu da onları farkında olmayanlar için oldukça tehlikeli bir hale getiriyor. Dolandırıcılar, özel kullanıcı verilerini toplayan veya dolandırıcılara para transferini teşvik eden kimlik avı web sayfaları oluşturma konusunda hayli becerikli. Kaspersky uzmanları da 2022 boyunca siber suçluların giderek daha fazla kimlik avına yöneldiğini keşfetti. Şirketin kimlik avı önleme sistemi, 2022'de dünya çapında 507.851.735 sahte içeriğe erişme girişimini başarıyla engelledi ki bu, 2021'de engellenen toplam saldırı sayısının iki katı.

Kimlik avı saldırılarının en sık hedef aldığı alan ise teslimat hizmetleri oldu. Dolandırıcılar, tanınmış teslimat şirketlerinden geliyormuş gibi görünen sahte e-postalar gönderip teslimatla ilgili bir sorun olduğunu iddia ediyorlar. E-posta, kişisel bilgileri veya finansal ayrıntıları isteyen sahte bir web sitesine bağlantı içeren linke tıklayan kurban, dark web sitelerine satılabilecek kimlik ve banka bilgilerini kaybedebiliyor.

En Sık Hedeflen Kategoriler: Çevrimiçi mağazalar ve finansal hizmetler


Finansal kimlik avı ile en sık hedeflenen kategoriler çevrimiçi mağazalar ve çevrimiçi finansal hizmetlerdi. Türkiye'deki finansal kimlik avı girişimlerinin %49,3'ü sahte ödeme sistemlerinin web siteleri, %27,2'si sahte çevrimiçi mağazalar, %23,5'i sahte çevrimiçi banka portalları aracılığıyla gerçekleşti.

Kaspersky uzmanları ayrıca 2022'nin kimlik avı ortamındaki küresel bir trendin altını çizdi: saldırıların haberciler aracılığıyla dağılımındaki artış ve engellenen girişimlerin çoğu WhatsApp'tan, ardından Telegram ve Viber'den geliyor.

Suçlular, sosyal medya platformlarında sahte güncellemeler ve doğrulanmış hesap durumu sunarak insanların merakını ve mahremiyet arzusunu istismar ediyorlar ve bu suçlular arasında sosyal medya kimlik bilgilerine yönelik, artan bir talep görülüyor.

Bir sosyal medya uyarısını taklit eden kimlik avı sayfası örneği


Ayrıca uzmanlar, kripto para dolandırıcılığının ve devam eden pandeminin, kimlik avı saldırganları tarafından hassas bilgileri çalmak için hala kullanılmaya devam ettiğini tespit etti. Bu dolandırıcılar, hassas bilgilerini çalmak için insanların korkularından ve endişelerinden yararlanıyor.

Kaspersky’nin Güvenlik Uzmanı Olga Svistunova, konuyla alakalı olarak "Kimlik avı, siber güvenlik ortamındaki en yaygın ve zararlı tehditlerden biri. En kötü siber tehditlerin çoğuna açılan kapı olan kimlik avı sayfaları hem bireysel tüketiciler hem de işletmeler için kimlik hırsızlığı, mali kayıp ve itibar zedelenmesiyle sonuçlanabilecek uzun bir olaylar zincirinin ilk adımı oluyor. Herkesin tehdidi anlaması ve kendini korumak için harekete geçmesi çok önemli.” yorumunu yaptı.

Spam veya kimlik avı tabanlı dolandırıcılıkların kurbanı olmamak için Kaspersky uzmanları aşağıdakileri öneriyor:

Yalnızca gönderen kişiye güvenebileceğinizden eminseniz e-postaları açın ve bağlantıları tıklayın


Gönderen kişi yasal gibi gözüküyor ancak mesajın içeriği garip görünüyorsa, alternatif bir iletişim kanalı aracılığıyla kontrol edebilirsiniz.

Bir kimlik avı sayfasıyla karşı karşıya olduğunuzdan şüpheleniyorsanız, bir web sitesinin URL'sinin yazımını kontrol edin. URL, I yerine 1 veya O yerine 0 gibi ilk bakışta fark edilmesi zor hatalar içerebilir.

Web'de gezinirken başarısı kanıtlanmış bir güvenlik çözümü kullanın. Uluslararası tehdit istihbaratı kaynaklarına erişimi sayesinde, bu gibi çözümler spam ve kimlik avı kampanyalarını tespit edip engelleyebilir.

Günümüzde sosyal mühendislik saldırılarının büyük bir çoğunluğu insanlarla doğrudan iletişime geçilerek yapılıyor. Fakat trojan, virüs, solucan, oltalama gibi sadece yazılımlar aracılığıyla yapılan saldırılar da var. En yaygın sosyal mühendislik saldırılarına hızlıca bakalım.

Omuz sörfü - Shoulder surfing: Klavye ile bilgi giren bir kişinin şifresini ya da diğer bilgilerini çalmak için gözetlemek.

Çöp dalışı - Dumpster Diving: İşe yarar bilgiler bulmak amacıyla hedeflenen kişinin çöplerini karıştırmak.

Kimlik hırsızlığı - İdentity Theft: Başkasına ait bilgilerin saldırgan tarafından kullanılması ve bu sahte kimlikle dolandırıcılık yapılması.

Oltalama (Phishing): Amaçlanan bilgileri ele geçirmek için hedefe, sahte e-posta, SMS veya bağlantı linki gönderilmesi. Genelde bu link, bir banka veya resmi bir kurumdan geliyormuş gibi tasarlanır ve hedeften bilgi istenir.

Telefon oltalaması - Vishing: Voice ve phishing kelimelerinden türetilen bu dolandırıcılık kavramı, hedefe gönderilen sahte e-postada, bir telefon numarası yönlendirmesi yer alır. Hedefin bu numarayı arayarak bilgilerini güncellemesi (karşı tarafa söylemesi) istenir.

Kimliğe bürünme - İmpersonation: Saldırganın bir işçi ya da yetkili kişi gibi davranarak bilgi çalmasıdır.

Yardım masası - Help desk: Hedef kişiye teknik yardım etmek amaçlı aramak, verilen yönlendirmelerle onun bilgisayarında işlem yapmaktır.

Üçüncü taraf - Third-party Authorization: Saldırganın bilgisayara erişim sağlamak için yetkili birinden izin aldığını söylemesidir. Bu saldırı yöntemi genelde yetkili kişiyle erişim kurulmanın mümkün olmadığı zamanlarda yapılır.

Editör: Egemen KEYDAL