Günümüzde, bilgisayar
korsanları (Hacker’lar) potansiyel suçlular olarak bilinse de aynı zamanda
kandırma/aldatma yeteneği olan art niyetli her insan birer potansiyel suçlu
olabilir.
Tamamen kullanıcı
zafiyetleri üzerine kurulu, yanlış yönlendirme yöntemi olan bu sosyal
mühendislikle, günümüze kadar birçok kurum ve kuruluşlara zararlar verilmiş ve
halen verilmeye devam etmektedir.
Her ne kadar şirketler,
güvenlik önlemleri için birçok teknolojik önlemler alsa da asıl önlem alması
gereken şirketler değil şirket çalışanı olan insanlardır.
Standart bir firmada,
bilgi güvenliğinin seviyesi, en zayıf halka olan insanın, alınacak önlemler
hakkında ne kadar bilgi sahibi olmasıyla doğru orantılıdır. Ancak bu oran
eskiden olduğu gibi halen düşük seviyede seyrine devam etmektedir.
Gizli bilgilerin başkalarının
eline geçmesi, kişinin çalıştığı kurumun onuru ve toplumdaki imajının zarar
görmesi, kişisel verilerin çalınması ve çalışanların zarar görmesi, parasal
kayıplar, vakit kaybı, önemli veriye ulaşamama ve en önemlisi ise can kayıpları
gibi oluşabilecek zararlar küçümsenemeyecek kadar çok ve etkilidir. Her geçen
gün artarak devam eden olayları ve verdiği zararları görüyoruz.
Bu gibi zararlar
karşısında sorumlu kişiler genellikle sistem yöneticileri olarak görülse de her kullanıcının, kendinden sorumlu
olduğunu da unutmaması gerekir. Çoğu
insan, kandırılma olasılığının çok düşük olduğunu düşünür. Bu ortak inancın
bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki kullanıcı tarafından
hiç kuşku uyandırmaz ve onun güvenini sömürür. Kullandığı en büyük silah ise bu
konular hakkında farkındalığı düşük olan insan zafiyetidir.
1. Bilgi Toplama
Öncelikle aldatılacak
olan kurbanın hakkında maksimum seviyede bilgi toplanır ve birçok özellik
araştırılır. Elde edilen bilgiler şirket web sitelerinden, diğer yayınlardan ve
sık olmamakla birlikte hedef sistemde çalışan insanlarla konuşarak birçok bilgi
toplanır. Bunun yanında Omuz sörfü, çöp karıştırmak, eski donanımları
kurcalamak ise eski ama etkili yöntemlerden belli başlıcalarıdır.
2. İlişki Kurma
Çalışanlarla ilişki
kurmakta en etkili yollardan birisi de kendini güvenilir olduğuna ikna etmektir.
Saldırgan, hedefiyle iş dışında ya da iş sırasında güvenini sağlayacak şekilde
iletişime geçip ikna ederek bilgi vermesi ya da istenileni yapması sağlanabilir.
Hatta güvene dayalı arkadaşlık bile kurabilir. Bu şekilde kurulan ilişkileri
rahatça suiistimal edebilir.
3. Uygulama
Kurbanla belirli bir
güveni sağladıktan sonra bir sonraki adım ise uygulama aşamasıdır. Bunu yapmak
için birçok yöntem olduğu gibi başlıcaları e-posta üzerinden yanıltıcı mail
atmaktır. Saldırgan, amacına ulaşmak için kurbanına attığı mailin güvenilir ya
da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırmaya çalışır (phishing
saldırısı). Bu şekilde hedefe hiçbir kuşku uyandırmadan ondan bilgi sızdırmaya
çalışır veya hata yapmasını sağlar (sahte web sitesine tıklamak, virüslü
yazılım kurmak, vs.).
4. İstismar
İlk üç aşamayı aştıktan
sonra, elde edilen bilgileri kullanmak saldırgan için sıradaki hamledir. Bu
bilgilerle şirkete yetkisiz erişim sağlayıp hizmet hırsızlığı yapabilir, bu bilgileri
rakip kişilere veya firmalara satabilir, belli bilgileri silip veri kaybına
neden olabilir, elde ettiği bilgileri aleyhte kullanıp para talep edebilir veya
tehdit edebilir.
Bu gibi suistimallerin
önüne geçebilmek için belirli önlemler almak elzemdir ve hayat kurtarabilir.
Bu önlemlerim başında
ise;
gelir.
Unutulmamalıdır ki insan faktörü içermeyen bir
bilgisayar sistemi yoktur. Bu yüzden sosyal mühendislik saldırılarını önlemek
için mümkün olan tüm imkânları kullanmak gerekir.