Bir sabah uyandığınızda iş ortağınızdan banka bilgilerinin değiştiğini ve ödeminin farklı hesaba yapılmasını rica ettiği bir maille karşılaştığınızı düşünün. Tam ödeme yapacağınız gün bu mailin size ulaşması durumunda, paylaşılan hesaba ödeme yapma ihtimaliniz çok yüksek olacaktır. Ya da biraz daha dikkatli davranıp iş ortağınızın e-posta adresinin doğruluğunu teyit ederek emin olduktan sonra gönderimi gerçekleştirdiniz. Peki ya iş ortağınızın bu mailden haberi yoksa? Ödeme yapılmadığı için işiniz aksayacak ve maddi kayıplarla karşılaşacaksınız. Bu yazımda anlattığım senaryoda kullanılan yöntemden yani Sosyal Mühendislikten bahsedeceğim.
Sosyal Mühendislik Nedir?
Sosyal mühendislik, psikolojik manipülasyonlarla kullanıcıların korku, acelecilik, merak gibi duygusal zaaflarından faydalanıp güvenlik hataları yapmalarını amaçlayan bir saldırı türüdür.
Sosyal mühendisliği kullanarak yapılan saldırıların, tespiti zor olduğu için en tehlikeli saldırı türlerinden biri olduğunu söyleyebilirim.
Sosyal Mühendislikteki Ana Hedef Kitlesi Kimlerdir?
Demir çitlerle örgülü, her yanında kameralar olan, girişinde kontrol aşamalarıyla yetki kontrolü yapan bir yer hayal edin. Dışarıdan yetkisiz birinin girmesi imkansız ve sadece yetkililerin gireceğine eminsiniz. Sadece güvenlik donanımlarının onarımı ve bakımı için anlaştığınız bir şirket bulunuyor. Her ay düzenli olarak aynı günde gelen şirketin teknik elemanları önceden her ayın aynı günü ve saatinde randevu alındığı ve güvenlik personellerinin güvenini kazandıkları için güvenlik kontrollerinden hızlıca geçebiliyorlar.
İşte sosyal mühendislik tam olarak burada başlıyor. Saldırgan içeri girebilmek için güvenlik şirketi hakkında ve hedef yerin güvenlik personelleriyle ilgili bilgi toplaması halinde ufak bir dikkatsizlik içeri giriş biletini kazandıracaktır. Güvenlik firmasının düzenli olarak yollamış olduğu teknik personellerin ismi, hangi arabayla teknik desteği gidildiği, iş elbisesinin modeli gibi bilgiler toplandıktan sonra süreç başlayacaktır. Saldırgan gerçek teknik personellerden erken giderek, yeni işe alınmış gibi rol yapar. Rol esnasında sürekli olarak güvenlik firmasıyla bağlantılı olduğunu inandıracak cümleler kurar. “Beni Ahmet abi yönlendirdi, kamera kısmını ben inceleyeceğim, diğer kontroller için Mehmet abiyle birlikte birazdan gelecekler”, “Ahmet Abi, güvenlik müdürü Kenan Bey’le görüşmem gerektiğini ve kameralar hakkında bilgi alabileceğimi söyledi.” gibi cümlelerle eğer güvenlik personelleri kandırılırsa artık durumun farkına varılana kadar içeri giriş yetkisine sahip olacaktır.
Senaryoda olduğu gibi aslında saldırganın seçeceği kişiyi veya yolu belirlerken en basit ve güvenli şekilde yetki kazanmayı hedefler. Bu nedenle genelde güvenlik bilincinin az olduğu, aceleci davranan veya yeni işe başlayan kişileri tercih eder. Saldırganın amacına göre departmanlar ve seçilecek kişilerde değişiklik gösterebilir.
Örneğin, eğer saldırgan maddi kazanç sağlamayı düşünüyorsa genelde muhasebe biriminden birini seçer ve e-mail üzerinden saldırısını gerçekleştirir. Muhasebe birimindeki personelin dikkatsizliğinden yararlanarak saldırganın yönlendirdiği şekilde işlem yaptığını düşünelim. Muhasebesel verilerin tamamı bir hediye paketinde sunulmuş olacaktır. Ne kadar anlattığım senaryolar ütopik gelse de bu tarz olaylar yaşandı ve yaşanmaya devam ediyor.
Sosyal Mühendislikte En Yaygın Atak Türleri Nelerdir?
Phishing (Oltalama): Genelde bir web sitesi, banka şirketleri veya sosyal medya platformu gibi güvenilir bir kaynaktan iletiliyormuş gibi görünecek şekilde hazırlanmış web siteleri, e-postalar, kısa mesajlar ve telefon çağrıları kullanılır. E-posta içerisinde kullanıcının direkt olarak kişisel bilgilerin paylaşılmasını veya içerisinde bulunan zararlı bir bağlantıya yönlendirerek kişisel bilgilerin açılan sayfa üzerinden çalınması hedeflenir.
Örneğin, saldırgan Instagram’dan iletilmiş gibi görünen e-posta hesabınıza Instagram kullanıcınızın kapatılmaması için güvenlik doğrulaması yapmanızı talep eden bir e-posta iletir. Bu e-postanın tasarımı gerçekçi görüneceği için mail içeriğindeki linke tıklayıp verilerin girilmesi olasılığı artar.
Bahane Yöntemi (Pretexting) : Bu yöntem, hedef kullanıcıyı e-posta, telefon veya diğer iletişim kanalları üzerinden yetkili biri gibi davranarak güvenlik hatası yapmasını amaçlar. Atak başlamadan önce saldırgan, hedef kullanıcının kişisel bilgilerini, iş yerindeki görevini, iş yerinde kullanılan ve iş yerinin dışarıdan aldığı destekler konusu hakkında bilgilerini toplar. Bilgileri topladıktan sonra saldırgan hedef kullanıcıya yetkili bir kişiymiş gibi ulaşır ve verilerini paylaşmasını ister.
Örneğin, kendisini bilgi işlem departmanında çalışan biri gibi tanıtıp, cihazlara özel güncellemeler kullanacağını güvenlik teyidi için bilgisayar şifresini ve mail şifresini paylaşmasını talep eder. Saldırgan hedef kişinin ismini, çalıştığı şirketi ve pozisyonunu bildiği ve bu bilgileri konuşma esnasında kullanarak güven sağladığı için kişinin verileri paylaşma ihtimali artar.
Quid pro quo: Bir saldırganın kurbanın yardımını kazanarak bilgi veya erişim elde etmek için kullandığı bir sosyal mühendislik saldırısıdır. Saldırgan, kurbanı cezbetmek veya etkilemek için bir jest veya hizmette bulunur, ardından bu jestin karşılığında belirli bilgileri veya erişimi elde etmeye çalışır.
Örneğin, bir saldırgan, bir araştırma şirketi gibi davranarak, bir kişiye e-posta gönderir. E-posta, araştırma çalışmasına katılmak için bir davet içerir. Araştırma çalışmasının karşılığında, katılımcılara bir hediye veya ödül teklif edilir. Katılımcı, hediye veya ödülü kazanma umuduyla araştırma çalışmasına katılırsa, saldırgan katılımcının kişisel bilgilerini veya hassas bilgilerini elde edebilir.
Smishing: SMS yardımıyla kandırmaya yönelik bir saldırı yönetimi. SMS genelde banka hesabınıza para geldiğini ve parayı çekebilmeniz için bir linke tıklamanızı yada kargonuzun size ulaşması için adres teyiti içeren bir linke tıklamanızı ister.
Örnek olarak, aşağıda kendime gelen Smishing türündeki SMS’i paylaşıyorum. Gelen SMS’i incelediğimde kişisel bir telefon numarasından gönderilmiş. SMS içerisinde sözde yanlış adres nedeniyle kargomun tarafıma iletilebilmesi için adresimi paylaştıkları URL adresi üzerinden güncellemem istenmiş. Tabii ki ilk bakışta URL adresinden bunun sahte bir SMS olduğunu anladım. URL adresinizi tıkladığınızda karşınıza gerçekten ilgili kargo firmasına aitmiş gibi görünen sahte bir web sitesi çıkıyor. Sahte web sitesinin içerisinde e-posta adresleri, kullandığı parolalar, kredi kartı bilgileri, T.C. kimlik numarası gibi kişisel verilerinin girilmesi için form bulunuyor. Bu formu doldurup gönderdiğinizdeyse kişisel verileriniz saldırganın veritabanına otomatik olarak kaydoluyor.
Honeypot Scams: En çok düşülen tuzakların başında bu taktik bulunduğunu söyleyebilirim. Honeypot dolandırma taktiği genelde hedef kullanıcıyı ayartmayı amaçlar ve genelde sosyal medya hesaplarından gerçekleşir. Kimi zaman bu saldırı katılmadığınız bir çekilişten çıkan iPhone, pahalı bir çantada sadece sana özel 50%’lik indirim ya da 60 yaşındaki hayatına yeni heyecanlar arayan emekli dayımıza talip olan genç bir kadın olarak karşımıza çıkıyor.
Yemleme (Baiting): Bu atak türü genelde kullanıcının merakı ve heyecanı ön plana alınır. Halka açık alanlarda flash bellek, hediye kartları, CD gibi eşyalar bırakıp kullanıcının dikkati çekmeyi amaçlar. Kullanıcılar eşyayı bulduktan sonra bilgisayarına dışarıda bulduğu flash bellek ya da CD’yi cihazına takması, hediye kartı üzerinde bulunan URL adresine girmesi durumunda verileri saldırgan toplamaya başlar. Lisanslı yazılımları yasal olmayan yollarla indirilmesini (Crackli Yazılım) sağlayan siteleri de bu yönteme dahil edebiliriz.
Örneğin, 2019 yılında Türkiye’de bazı firmalara Netflix’ten gelmiş gibi görünen zarflar gönderildi. Zarf içerisinde Netflix tarafından hedef firmaya özel olarak iletildiğini belirten bir kart ve içerisinde kupon kodu ve hesap kullanımıyla ilgili belgenin bulunduğu söylenen Netflix logolu bir USB bellek bulunuyordu. Tabii ki, USB belleğin hedef cihazlara takıldığı anda içerisinde bulunan zararlı yazılım otomatik bir şekilde çalışıyor. R10 formundaki konuyla ilgili oluşturulan bir yazıda içerisindeki zararlı yazılımınsa hedef bilgisayarın ve bağlı olduğu ağdaki tüm cihazlara ulaşmaya yaradığı tespit edildiği paylaşıldı.
Saldırganların Bu Saldırıları Yapma Amacı Ne?
Yukarıda paylaştığım bilgilerle aslında maddi olarak kazanç sağlamak isteyen kişiler olduğunu anlamışsınızdır. Tabii ki hepsinin amacı kazanç sağlamak değildir. Bazı saldırganlar herhangi bir neden olmaksızın tamamen eğlenmek, güç gösterisi yapmak veya egosunu beslemek için bu saldırıları düzenleyebiliyor.
Örnek olarak web siteleri veya sosyal medya hesapları hackleyen kişilerin kendi nicklerinin bulunduğu imzalarını yayınlamasını gösterebiliriz. Hacklenen web sitesinden veya sosyal medya hesabından herhangi bir maddi beklentisi olmayan bu saldırganın tek amacı adının duyulmasıdır. Bilindik web sitelerini veya sosyal medya hesaplarını hackleyen saldırganlar taraftar toplamaya başlar ve tanınırlığı artar. Bu da saldırgana egosunu besleme şansı sunar ve fan kitlesi kazandırarak egosunu beslemeye devam eder.
Sosyal Mühendislik Saldırılarına Karşı Bilinçlenmesi Gereken Noktalar
Bu saldırılara karşı bilinçlenmek, sosyal mühendislik saldırılarından korunmanın ilk adımıdır. Bu saldırılardan kendinizi korumak için yapabilecekleriniz:
Şüphelerinize Güvenin ve Bildirin: Size gelen e-postalar, telefon aramaları, kısa mesajlar, sosyal medyanıza gelen mesajlara karşı ufak bir şüphe duysanız bile dikkat edin. Geri dönüşlerinizde kişisel bilgilerinizi vermekten kaçının. Karşı tarafın güvenilir olup olmadığını araştırın.
Örneğin bankadan aradığınız söyleniyorsa, bankanın ana telefon şubesini arayıp konu hakkında teyit alabilirsiniz.
Eğer bir şirkette çalışansanız, bu şüpheli herhangi bir bilgi paylaşmadan önce yetkililerinize bildirin ve karşı tarafın güvenilirliğini yetkililerinizle teyit edin.
Sosyal Medya Hesaplarınızı İnceleyin: Sosyal medya paylaşımlarında çok sayıda kişisel veri bulunur. Yaşadığınız evin adresi, okuduğunuz okul, doğum tarihiniz, aile bireyleriniz, çalıştığınız iş yeri, yakın arkadaşlarınız gibi çoğu veriyi fark etmeden paylaşılabiliyoruz. Bu nedenle sosyal medyanızın gizlilik ayarlarını sadece arkadaşlarınızın göreceği şekilde güncelleyebilirsiniz. Ya da sizin için önemli olan ev adresiniz gibi kişisel bilgilerin ulaşılmamasını istiyorsanız, eski ve yeni gönderilerinizde bulunan lokasyonu inceleyebilirsiniz. Unutmayın saldırganların ilk bakacağı yer sizin sosyal medya hesaplarınız olacaktır.
Çevrenizi Bilinçlendirin: Etrafınızdaki kişilerin zafiyet yaşaması sizi de etkileyebilir. Sosyal mühendislik konusunda bildiklerinizi ve karşılaştığınız saldırı yöntemlerini aile bireyleriniz, iş ve yakın arkadaşlarınızla paylaşın.
Güçlü Parolalar ve Çoklu Faktör Kimlik Doğrulama Kullanın: Yaşanan güvenlik zafiyetlerinden en çok yaşananı güvenli olmayan parolalardır. Güvensiz parolalara örnek vermek gerekirse, fb1907, qwerty, parolambu, 1aralik1990, 123123, 123456 gibi tuttuğunuz takımın adı ve kuruluş tarihi, sizin yada ailenizden birinin doğum tarihi, evlilik tarihi, ardışık sayıları içeren parolanız bulunuyorsa hemen değiştirmenizi öneririm.
Parolanızı en az 8 karakterden oluşan içerisinde en az bir tane, rakam, bir büyük harf, bir küçük harf ve bir adet özel karakter kullanın. Ek olarak artık neredeyse tüm uygulamaların desteklediği Çoklu Faktör Kimlik Doğrulama (MFA) doğrulaması kullanabilirsiniz. Bu sayede parolanıza ve hesabınıza giriş yapmanız için SMS veya kullandığınız Google Authenticator veya Duo gibi kimlik doğrulama yazılımlarının oluşturduğu koda ihtiyaç duyulacak.
VPN Kullanın: Uzak masaüstü bağlantısıyla eriştiğiniz bir cihaz bulunuyorsa VPN kullanmanızı kesinlikle öneriyorum. Uzak masaüstüne sadece VPN IP adresinizin bağlanacağı şekilde izin vererek yetkisiz erişimi engelleyebilirsiniz. Ek olarak internet gezinimi verilerinizi gizlemek içinde güzel bir kullanımdır. Tabii ki VPN tercihinizde dikkatli olmanızı ve güvenilir kaynaklardan VPN hizmeti temin etmenizi öneririz.
Cihazlarınızı ve Yazılımlarınızı Güncel Tutun: Kullandığınız cihazlara ve yazılımlarınıza gelen güncellemeleri ertelemeyin. Gelen güncellemeler güvenliğinizi korumak için iyileştirmelere sahip olabilir. Bu nedenle düzenli olarak cihazlarınızın işletim sistemini ve yazılımlarınızın güncellemelerini kontrol etmeniz önemlidir.
Antivirüs Uygulamaları Kullanın: Antivirüs uygulamaları, veri güvenliğinizi koruma konusunda en büyük yardımcınız olacaktır. Antivirüs uygulaması tercihinizde Web koruması desteğinin bulunmasına da dikkat etmenizi öneririm. Hem yazılım hem de web gezinmenizi koruma altına alarak güvenlik zafiyeti riskini en aza düşürebilirsiniz.