Bülten Aboneliği

Bülten üyeliği için tıklayınız

Bu Blogda Ara

3 Ocak 2020

Sosyal Mühendislik Dolandırıcılığı

Çağımızın popüler aldatma tekniklerinden biri olan ve dolaylı yoldan da olsa bir saldırı türü olarak da adından söz ettiren sosyal mühendislik, hala günümüzün popüler bilgi toplama ve gizli bilgileri açığa çıkartma yöntemidir.

Günümüzde, bilgisayar korsanları (Hacker’lar) potansiyel suçlular olarak bilinse de aynı zamanda kandırma/aldatma yeteneği olan art niyetli her insan birer potansiyel suçlu olabilir.

Tamamen kullanıcı zafiyetleri üzerine kurulu, yanlış yönlendirme yöntemi olan bu sosyal mühendislikle, günümüze kadar birçok kurum ve kuruluşlara zararlar verilmiş ve halen verilmeye devam etmektedir.
Her ne kadar şirketler, güvenlik önlemleri için birçok teknolojik önlemler alsa da asıl önlem alması gereken şirketler değil şirket çalışanı olan insanlardır.
Standart bir firmada, bilgi güvenliğinin seviyesi, en zayıf halka olan insanın, alınacak önlemler hakkında ne kadar bilgi sahibi olmasıyla doğru orantılıdır. Ancak bu oran eskiden olduğu gibi halen düşük seviyede seyrine devam etmektedir.




Gizli bilgilerin başkalarının eline geçmesi, kişinin çalıştığı kurumun onuru ve toplumdaki imajının zarar görmesi, kişisel verilerin çalınması ve çalışanların zarar görmesi, parasal kayıplar, vakit kaybı, önemli veriye ulaşamama ve en önemlisi ise can kayıpları gibi oluşabilecek zararlar küçümsenemeyecek kadar çok ve etkilidir. Her geçen gün artarak devam eden olayları ve verdiği zararları görüyoruz.

Bu gibi zararlar karşısında sorumlu kişiler genellikle sistem yöneticileri olarak görülse de her kullanıcının, kendinden sorumlu olduğunu da unutmaması gerekir. Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür. Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki kullanıcı tarafından hiç kuşku uyandırmaz ve onun güvenini sömürür. Kullandığı en büyük silah ise bu konular hakkında farkındalığı düşük olan insan zafiyetidir.

Standart bir sosyal mühendislik süreci 4 ana başlıkta incelenebilir:

  1. Bilgi toplama
  2. İlişki oluşturma
  3. Uygulama
  4. İstismar

1. Bilgi Toplama
Öncelikle aldatılacak olan kurbanın hakkında maksimum seviyede bilgi toplanır ve birçok özellik araştırılır. Elde edilen bilgiler şirket web sitelerinden, diğer yayınlardan ve sık olmamakla birlikte hedef sistemde çalışan insanlarla konuşarak birçok bilgi toplanır. Bunun yanında Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak ise eski ama etkili yöntemlerden belli başlıcalarıdır.

2. İlişki Kurma
Çalışanlarla ilişki kurmakta en etkili yollardan birisi de kendini güvenilir olduğuna ikna etmektir. Saldırgan, hedefiyle iş dışında ya da iş sırasında güvenini sağlayacak şekilde iletişime geçip ikna ederek bilgi vermesi ya da istenileni yapması sağlanabilir. Hatta güvene dayalı arkadaşlık bile kurabilir. Bu şekilde kurulan ilişkileri rahatça suiistimal edebilir.




3. Uygulama
Kurbanla belirli bir güveni sağladıktan sonra bir sonraki adım ise uygulama aşamasıdır. Bunu yapmak için birçok yöntem olduğu gibi başlıcaları e-posta üzerinden yanıltıcı mail atmaktır. Saldırgan, amacına ulaşmak için kurbanına attığı mailin güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırmaya çalışır (phishing saldırısı). Bu şekilde hedefe hiçbir kuşku uyandırmadan ondan bilgi sızdırmaya çalışır veya hata yapmasını sağlar (sahte web sitesine tıklamak, virüslü yazılım kurmak, vs.).

4. İstismar
İlk üç aşamayı aştıktan sonra, elde edilen bilgileri kullanmak saldırgan için sıradaki hamledir. Bu bilgilerle şirkete yetkisiz erişim sağlayıp hizmet hırsızlığı yapabilir, bu bilgileri rakip kişilere veya firmalara satabilir, belli bilgileri silip veri kaybına neden olabilir, elde ettiği bilgileri aleyhte kullanıp para talep edebilir veya tehdit edebilir.

Önlemler

Bu gibi suistimallerin önüne geçebilmek için belirli önlemler almak elzemdir ve hayat kurtarabilir.
Bu önlemlerim başında ise;
        Artırılmış Fiziksel Güvenlik
        Etkili Güvenlik Politikaları
        Güvenliğe Aykırı Davranışların Uyarılması
        Detaylı Olay Müdahale Yöntemleri
        Denetleme
gelir.

Unutulmamalıdır ki insan faktörü içermeyen bir bilgisayar sistemi yoktur. Bu yüzden sosyal mühendislik saldırılarını önlemek için mümkün olan tüm imkânları kullanmak gerekir.

Popüler Yayınlar

Blog Arşivi