Sosyal Mühendislik Saldırıları

Okan Yıldız Alper Başaran

Kapak Tasarımı: Dilara Tuğba Uysal

www.sparta.com.tr 2

Giriş ....................................................................................... 4

Sosyal Mühendislik .......................................................... 6 Örnek: ....................................................................................... 9

Riski Anlamak ................................................................... 9

İnsan Zafiyetleri ............................................................. 13

Sosyal Mühendisin Hedefindeki Personeller Kimdir: ............................................................................... 15

Neden Sosyal Mühendislik Saldırısı: ....................... 17

Sosyal Mühendislik Saldırılarında İzlenilen Adımlar: ............................................................................. 19 Örnek Senaryo: .................................................................... 20

Sosyal Mühendislik Saldırısında Kullanılan Yöntemler ......................................................................... 23

Sosyal Mühendislik Saldırılarında Kullanılan Araçlar ............................................................................... 25

Parola Güvenliği ve Güçlü Parola Oluşturma Politikası ........................................................................... 26 Güçlü Parola Nasıl Oluşturulur: ..................................... 28

Kurum’un İçine Girmek ............................................... 30 İşten Ayrılan Çalışanlar .................................................... 34 Çöp Karıştırma ..................................................................... 38

Phishing (Oltalama) Saldırıları ................................. 41 Phishing Saldırısının Amaçları Nelerdir: .................... 42 Phishing Saldırı Yöntemleri: ........................................... 43 Phishing Saldırısına Karşı Alınması Gereken Önlemler: ............................................................................... 43

www.sparta.com.tr 3

3 Adımda Spear Phishing Saldırı: .................................. 46 Örnek Senaryolar: .............................................................. 47

Farkındalık Eğitimleri .................................................. 50 Eğitim çeşitleri ..................................................................... 51 Eğitimlerin planlanması ................................................... 53

www.sparta.com.tr 4

Giriş

Bilgi güvenliği denince aklımıza önce sistemler veya web uygulamaları gelse de güvenlik aslında insanla ilgilidir. Korumaya çalıştığımız veri bir işletmenin müşteri listesi, vatandaşların vergi bilgileri veya askeri sırlar olsa bile özünde yapmaya çalıştığımız şey bilişim altyapısını onu kullananlar ve ondan yararlananlar için daha güvenli hale getirmektir. İnsan faktörü aynı zamanda en önemli tehdit kaynağıdır. Kendi haline bırakılan sistemlerin güvenliğini tehdit edebilecek unsurlar genelde mekanik arıza veya su baskını gibi, yine bilgi güvenliği denildiğinde aklımıza sonradan gelen şeylerdir.

Günümüzde karşı karşıya olduğumuz saldırıların çok büyük bir kısmı insan kaynaklıdır ve aynı şekilde sistemleri değil, onları kullanan insanları hedef alırlar. Önemli güvenlik ihlaliyle sonuçlanan ve “başarılı” kabul edilebilecek saldırıları incelediğimizde öncelikle hedef alınan unsurun insan olduğunu görüyoruz.

Saldırganların hedef aldıkları sistemler üzerinde pek çok teknik hata kaynaklı zafiyet olduğunu görüyoruz. Teknik zafiyetleri istismar etmek belli bir düzeyde teknik beceri ve bazı durumlarda kaynak gerektirmektedir. Ancak hedef alınan sistemi kullanan kişiyi hedef almak çoğu zaman daha az teknik beceri gerektirmektir.

Bir başka açıdan bakacak olursak da tespit edilen teknik bir zafiyeti gidermek yayınlanacak bir yama veya güncelleme ile oldukça kolaydır. Sosyal mühendislik saldırılarının hedef aldığı zafiyetler ise insanın

www.sparta.com.tr 5

doğasından kaynaklandığı için “yama” veya “güncelleme” ile giderilebilecek türden zafiyetler değildir. Benzer şekilde teknik bir zafiyeti olduğunu bildiğiniz bir sistemin önüne güvenlik duvarı (firewall) vb. bir güvenlik çözümü koyarak zafiyetin istismar edilmesi engellenebilir, ilgili sistemi kullanan insanı ise bir güvenlik duvarına bağlamak mümkün olmayacaktır.

Bu ve kitapçık içerisinde ele alacağımız diğer nedenlerden dolayı sosyal mühendislik siber saldırılar, özellikle APT (Advanced Persistent Threat – Gelişmiş Sürekli Saldırı) gibi yeni nesil saldırılar için de önemli bir vektördür.

Bu çalışmanın içeriği güncellenmeye devam etmektedir. İyileştirebilmemiz için tespit ettiğiniz eksik/yanlışları bize bildirmenizi rica ederiz.

www.sparta.com.tr 6

Sosyal Mühendislik Sosyal mühendislik teknolojiyi kullanarak ya da teknolojiyi kullanmadan insanlardan bilgi edinme(aldatma) sanatıdır. İnsanları kandırarak bilgi etme ya da menfaat sağlama düşüncesi yeni değildir, binlerce yıldır varlığını sürdürmektedir ve insanlar var oldukça da varlığını sürdüreceklerdir. Bu tip saldırılar günümüzde pek çok olanda yaygın olarak kullanılmaktadır. Günümüzde aralarında bilim, sanat ve iş dünyasından pek çok insanlarında hedef olduğu cep telefonu dolandırıcılıkları güzel bir örnek oluşturabilir. Ama bizim bu konuda ilgilendiğimiz kısım kurumumuza yapılan sosyal mühendislik saldırılarına karşı bir farkındalık uyandırmak.

Sistem güvenliğimizi sağlamak, kurumumuzun ağlarını ve sunucularını güvenilir ve sürekli çalışır halde tutmak için tedbir olarak en son teknolojiyle donatırız. Teknolojik

www.sparta.com.tr 7

anlamda sistemimiz her ne kadar sağlam duvarların arkasında çalışır olsa da bu sistemimizi kullanacak olan personeller unutulmamalıdır. Kurumumuzda çalışacak olan bireyler işe alım sürecinde hangi bilgilerin kurum içi mahrem olduğuna, şirket içi dâhili sürecin nasıl işleneceği ya da hangi personelin (kurum içi hangi bölümün) hangi bilgiye erişim yetkisi olabileceği konusunda eğitimler verilmelidir. Sosyal mühendislik saldırıları hedef olarak insanı alan kişinin açıklıklarından faydalanarak gerekli bilgiyi toplamak üzerine yapılan saldırılardır. Bu saldırılarda hedefteki kişinin bilgisizliğinden, dikkatsizliğinden ve kişisel zaaflarından (hedefteki kişi hakkında saldırılmadan önce araştırılma yapılmışsa) faydalanılır.

Bu kişiler saldırılarda karşıdaki aktöre göre kendilerine bir rol biçerler. Genel olarak saldırganlar arkadaş canlısı davranıp iyi ilişkiler geliştirmeyi, kendini karşı cins olarak tanıtıp etkilemek(genelde bu tip saldırganların hedefleri erkektir) ya da ast üst ilişkisinden faydalanır (tabi ki bu konuda birçok örnek verilebilir). Bu tip saldırıların tercih edilmesinin sebebi; sisteme doğrudan saldırı yapıp vakit kaybedileceğine kendilerine daha hızlı sonuç verecek atakları geliştirmektir. Sosyal mühendislik saldırılarında amaç; kurumun yapısı, kurumun ağ yapısı, müşteri listesi, çalışan ya da yöneticiler kişisel bilgileri (adres, telefon, kimlik numarası, personel numarası vs.) , kurum içi dâhili numaralar, şifreler ve herhangi bir saldırıda aleyhimize kullanılmak üzere ne varsa elde etmektir. Trajikomik ama bu tip saldırılarda şifremizi bile bazen kendi ellerimizle saldırganlara teslim ederiz.

www.sparta.com.tr 8

Aşağıda Amerika Birleşik Devletleri’nde 2001-2010 yıllarında gerçekleşen bilgisayar olaylarının türlerine göre dağılımı verilmiştir.

Amerika’da yaşanmış olaylara baktığımızda bilgisayar suçların da ilk 3 sırayı %21 lik oranla çalınmış diz-üstü bilgisayarlar %16 ile hack olayları ve %13 ile Web izlemektedir. Çalınmış bilgisayarlar, ortam ve sürücüler %32’lik bir orana sahip. Ama bu olayların siber suç kapsamında mı yoksa para için mi yapıldığını bilemediğimiz için çalınmış donanımlar konusunda direk Sosyal Mühendislik saldırısıdır diyemiyoruz. Ancak yukarıda ki verilerden sosyal mühendislik teknikleri kullanılarak gerçekleşen Hack ve Hile olaylarını incelediğimizde karşımıza %24 lük bir oran çıkıyor ve bu da gerçek anlamda çok yüksek bir oran.

www.sparta.com.tr 9

Örnek: Soru: En güvenli bilgisayar kapalı bilgisayar mıdır? Siz ofiste değilken kapalı durumdaki bilgisayarınızdan bilgi çalınması mümkün müdür?

Cevap:

Maalesef mümkündür…

Saldırgan siz ofiste değilken, şirkete gelerek ya da telefon açarak çeşitli sosyal mühendislik teknikleriyle güvenlik görevlisi, sekreter ya da temizlik görevlisine bilgisayarınızı açtırıp, bir dizi komutlar girdirebilir.

Bu tarz saldırılara karşı şirketimizde güvenlik önlemleri almak zorundayız. İleriki sayfalarda da birkaç değineceğim kurumdaki herkes bilgi güvenliğinden sorumludur cümlesini kurmamdaki sebep yukarıdaki gibi güvenlik görevlisinden temizlik görevlisine, sekreterden bilgi işlem personeline kadar herkesin “Saldırganın” radarında yer aldığı gerçeğidir.

Riski Anlamak Proaktif bilgi güvenliği olarak adlandırabileceğimiz sızma testleri büyük ihtimalle bilgi güvenliği alanının en eğlenceli işidir. Ne yazık ki iyi bir “hacker” olmak bilgi güvenliği seviyesini artırmaya yeterli değildir. “Bilgi

www.sparta.com.tr 10

güvenliği özünde bir değişim ve risk yönetimi işidir” cümlesi bir çok kişiye çok sıkıcı gelir ama güvenliğin bu cephesini gözden kaçırırsak anlamlı bir güvenlik mimarisine ulaşmamız mümkün olmaz.

Değişikliği ve riski yönetmek için bu iki kavramı anlamak ve kuruluş bilişim altyapısına uygun olarak doğru şekilde değerlendirmek gerekmektedir. Kuruluş bilişim altyapısını oluşturan sistemlerin sürekli değiştiği gerçeğini kabullenmemiz gerekiyor. Değişikliklerden bazıları (örn: işletim sistemi güncellemesi) güvenlik seviyesine olumlu etkide bulunurken bazı değişiklikler (örn: kullanılan ofis yazılımında yeni bir zafiyetin bulunması) güvenlik seviyesini olumsuz etkilemektedir. İkinci örnekte görüldüğü gibi değişiklik aslına kuruluş ağı veya sistemleri üzerinde bile olmamıştır ve tamamen dış etkenlere bağlıdır.

Değişikliklere bağlı olarak kuruluş bilişim altyapısının risk seviyesini ölçmek, takip etmek ve kabul edilebilir seviyede tutmak için gerekli çalışmalar yapılmalıdır. Sosyal mühendislik saldırılarının da kuruluş bilgi varlığını hedef alan saldırılar olması nedeniyle bunlara karşı risk seviyesinin anlaşılması gereklidir. Bu alanda taşınan riskin ölçümünün zor olmasının başlıca sebebi soyut kavramlarla karşı karşıya olmamızdır. Dan Borge’nin “Riskin Kitabı” (The Book of Risk) eserinde ele aldığı ve karar verme süreçlerimizi etkileyen sebepler sosyal mühendislik saldırılarına kurban olmamıza sebep olan nedenlerle aynıdır. Borge çalışmasında aşağıdaki nedenleri ele almıştır.


Aşırı güven: Olayların beklediğimiz doğrultuda gerçekleşmesine olan güvenimiz bizi yanıltır. Geçmiş tecrübelerimize veya elimizdeki sınırlı bilgilere dayanarak bazı riskleri küçümseme eğilimiz karar verme sürecimizi olumsuz etkiler. Bilişim altyapımızı koruyan “yeni nesil güvenlik duvarı” gibi cihazlar veya bugüne kadar ciddi bir güvenlik ihlali yaşanmamış olması kuruluş yöneticilerinin bilişim altyapısını tehdit eden faktörleri küçümsemesine neden olabilir.

İyimserlik: Kendi becerilerimize olan güvenimiz bazı konulara iyimser yaklaşmamıza neden oluyor. Olayların, süreçlerin veya sistemlerin kendi kontrolümüzde olmalarını düşünmemiz nedeniyle bilişim sistemlerine yönelik saldırıların bizi etkilemeyeceğini düşünebiliriz. Bu düşüncenin bir uzantısı da “bize kimse saldırmaz” veya “hackerlar benim şirketimi neden hedef alsın?” gibi fikirlere sahip olunmasıdır. Aşağıdaki ekran görüntüsünden de anlaşılacağı üzere solcu görüş ve RedHack sempatizanı bir Twitter hesabı orta ölçekli inşaat firmalarını hedef almaktadır. Bu hedefleri seçmesinin başlıca nedeni saldırı kolaylığı ve başarı oranının yüksek olmasıdır. Herhangi bir kuruluşun kendisini herhangi bir anda kendini sosyo-politik bir kılıf uydurulmuş bir siber saldırının ortasında bulunabileceğini hatırlamakta fayda var.


Olaylardan ders çıkartmamak: Bir sorunu atlattıktan sonra geriye dönüp detaylı bir neden-sonuç veya kök neden analizi yapmak genellikle adetimiz değildir. Bunun doğal sonucu olarak da, özellikle siber güvenlik alanında, aynı sorunla birden çok kez karşılaşıyoruz.

Kalıp aramak: İnsan yapısı gereği olayları birbirine bağlayan kalıplar veya anlamlar arar. Bu anlam veya bütünlük arama yaklaşımı olayları eksik veya yanlış değerlendirmemize neden olmaktadır.

Eylemsizlik: Değişikliği çok sevmeyiz. Mevcut durumu korumak değiştirmekten daha acılı/pahalı/riskli olmadığı


sürece de değişiklik yapmayız. Sektörde yaygın olarak kullanılan “çalışıyorsa dokunma” söylemi de bunu destekler niteliktedir. Güvenlik konusunda bir karar vermek veya değişikliğe gitmek ise kuruluşun başına bir olay gelmediği sürece son derece yavaş ilerleyen bir süreçtir.

Bilinmeyen korkusu: Bilmediğimiz şeylerden korkarız. Bu konuya bir diğer bakış da “bildiğimiz şeylerden korkmayız” olarak ifade edilebilir. Korkmak veya korkmamanın ötesinde kabullenmek veya küçümsemek olarak da ifade edilebilecek bu durum söz konusu güvenlik olduğunda risk seviyemizin artmasına neden olmaktadır. Trafik kazalarında ölümleri “normal” karşıladığımız gibi zararlı yazılım gibi bazı tehditlere alıştığımız için küçümseme eğiliminde olabiliriz.

Yukarıda bazılarını ele aldığımız nedenlerle kuruluş personelini hedef alacak sosyal mühendislik saldırıları yumuşak karnımızı oluşturmaktadır.

İnsan Zafiyetleri Sunumlarımda iOS99 olarak adlandırdığım “insan işletim sistemi” üzerinde bazı zafiyetler vardır. Bunların istismar edilebilirlik derecesi kişiden kişiye değişiklik gösterse de hepimizde bulunan temel zafiyetler şunlardır:

Komut verilebilir olmak: Toplum içinde büyümenin ve yaşamanın getirdiği bir özellik olsa gerek başkasının bize ne yapmamız gerektiğini söylemesine alışkınız. Özünde etkili bir sosyal mühendislik saldırısı olan telefon


dolandırıcılığı olaylarını incelediğimizde sürekli karşılaştığımız tablo bunun bir kanıtı. Futbol kulübü başkanından futbolcusuna, üniversite hocasından devlet memuruna sayısız kişi kendilerini telefonla arayıp bir miktar para isteyenlerin taleplerini harfiyen yerine getirmiştir. Aklı başında herhangi biri bir miktar parayı poşete koyup halka açık bir yerde çöp kutusunun içine bırakmanın “aptalca” olduğunu söyleyebilir, ancak bu yolla dolandırılanların sayısının her gün artması bize bunun o kadar da kolay olmadığını göstermektedir.

Bilgisizlik: Bir konuda bilgimizin yetersiz olduğunu düşündüğümüzde daha “uzman” veya daha “bilgili” olarak gördüğümüz kişilerin söylediklerine uymak bize daha kolay geliyor. Basit bir senaryo gibi görünse de “sizi bilgi işlemden arıyorum...” türünde saldırganın “uzman” kimliğini kullandığı saldırıların etkili olmasının nedeni bu zaafımızdır.

İnanmak: Söylenenlere inanıyoruz. Nijerya’da insanlara “prensim, 45 milyon dolar transfer etmek için bir banka hesap numarasına ihtiyacım var” türündeki e-postaları gönderenlerin sayısının binlerle ifade edilmesinin başlıca sebebi bu; kurban bulabiliyorlar. İnanmaya hazır veya meyilli olduğumuz bir konuda kandırılmamız daha kolay oluyor. Buna verilebilecek uç örneklerin başında “defineci” olarak adlandırabileceğimiz kişiler gelir. Kendilerini define aramaya adamış ve bu yolla kazanç elde etmeyi düşünen kişilere sürekli “define haritası”, “2000 yıllık şarap” veya “işaret taşı” gibi şeyler satmaya çalışan birileri vardır. Buna karşılık, bu alana ilgisi


olmayan kişilere bu tür teklifler gelmez. Bize sunulduğunu düşündüğümüz bir fırsata inanmamız o fikre hazır olmamız kadar ihtiyacımıza da bağlıdır.

Sevilme isteği ve yardımseverlik: Başkalarının bizi sevmesine ihtiyacımız var. Bu özelliğimize yakın olan yardımseverliğin de katkısıyla sosyal mühendislik konusunda önemli zafiyetlerimizden birisi ortaya çıkmaktadır.

Sosyal Mühendisin Hedefindeki Personeller Kimdir:

Kurumumuza yapılan saldırılarda, saldırganın kurumumuzda kendine seçtiği bir hedef kitlesi vardır bunlardan 5 tanesi aşağıda verilmiştir.

1. Direkt Ulaşılabilir Personeller: Bu personeller direkt olarak müşterilerle ya da sağlayıcılarla iletişime geçen personellerdir. Teknik servis


elemanları veya çağrı merkezi çalışanları bu grupta incelenir. Bu pozisyonda ki çalışanlarımız sıkı eğitimlerden geçirilmelidir.

2. Üst Düzey Personeller: Kurumumuzda pozisyonu gereği ayrıcalıklı yetkilere sahip olan çalışanlar saldırganların en çok hedef almak istediği kişilerdir. Kurum içerisindeki görevi gereği bir takım gizli bilgilere sahip olan bu kullanıcıların, saldırgan tarafından kandırılıp çeşitli bilgiler elde edilmesi kurumumuza oldukça fazla zarar verebilir.

3. Yardım Sever Personeller: Bu başlıktaki personellerimiz kurum içinde, müşterilerine yardım ve destek için yetkisinden çok daha fazlasını kullanır. Ama bazen işler ters gidip yardım etmek istediği müşterisi kurumumuza sızmak isteyen saldırgan olabilir. Kurumumuz içinde personellerin yetki sınırları belirlenip, bu sınırlar içerisinde görevlerini yerine getirilmesi gerektiği hatırlatılmalıdır.

4. İşe Yeni Başlayan Personeller: Kuruma yeni başlayan personeller, sisteme erişim hakkı bulunan fakat bunun tam olarak nasıl kullanılacağını bilmeyen personeller ya da yardım masası çalışanları işe saldırgan arasındaki farkı ayıramayacak personeller kurum için oldukça tehlikeli sonuçlar doğurabilir. İşe yeni başlayan personellere sisteme erişim yetkisi verilmeden önce sıkı eğitimlerden geçirilmeli ve bu eğitim sonunda başarıya ulaştıktan sonra sisteme erişim yetkisi verilmelidir.


5. Kandırılmış ya da İkna Edilmiş Personeller: Kurumumuzda hala aktif olarak çalışan fakat şirketimize olan bağlılığı zayıflamış, işten ayrılmayı düşünen personeller insani hırslardan ya da karşı tarafın verdiği büyük vaatlerden dolayı kurumumuza zarar verici bir eylemde bulunabilir. Kurum içerisindeki diğer çalışanlar ve insan kaynakları olumsuz davranışlar sergileyen personelleri amirlerine rapor etmelidir.

Neden Sosyal Mühendislik Saldırısı:

Basit olarak üç sebebi verilebilir;

• İnsanlar kandırılma olasılığını çok düşük olduğunu düşünür

• Kurumlar güvenlik önlemini teknik açıdan yeterlilik olarak görür.

• Bilgi güvenliğinin en zayıf halkası İNSAN’ dır


. Yukarıda bahsedilen ikinci örnekte kurumların atladığı husus her sistemi kullanan en az bir insanın bulunmasıdır. Güvenliğin küçük bir yüzdesi teknik yeterlilik ile sağlanıyor, büyük bir kısmı ise kullanıcı sayesinde sağlanır. Saldırganlar her zaman kendileri için en kolay yolu tercih ederler ve dolayısıyla saldıracakları hedefi belirlerken gözlerini en zayıf halkaya dikerler. Bilgi Güvenliği seviyesi belirlenirken de en zayıf halkaya bakılır ve en zayıf halka ise İnsan Faktörüdür(“İnsanların zaafı bilgisayarlardan fazladır”) .


Sosyal Mühendislik Saldırılarında İzlenilen Adımlar:

Bilgi Toplama: Sosyal mühendisin yapacağı ilk iş budur. Kurum hakkında internetten, gazetelerden hatta bazen sizden kurum işleyişini ve kurum içinde kullanılan argümanları öğrenir. Bunu yapmasının amacı sorulan sorulara kısa zamanda doğru cevapları vermek ve kurum içinde kullanılan argümanları sıkça kullanmaktır. Bu şekilde inandırıcılığını artmasını sağlayabilir ve erişmek istediği bilgiye hızlıca erişebilir.

İyi İlişkiler Kurmak, Güven Kazanmak: Saldırgan bu evre de hedef olarak belirlediği kişi ile iş saatinde ve ya iş saatleri dışında iyi ilişkiler kurmayı amaçlayabilir. İş saatlerinde kişi ile güvene dayalı bir arkadaşlık kurmayı tercih edebilir ve ya iş saatler dışında gelişen kişisel ilişkileri istismar edebilir. Bunlardan bağımsız olarak


kendini o bilgiye erişmek için yetkili kişi olduğuna ikna edebilir ya da kendini güvenli bir kaynak olarak tanıtabilir.

Güveni İstismar Etmek: Saldırgan artık kurum hakkında yeterli bilgilere mevcut ve buna ek olarak ta bu bilgileri kullanarak şirket içinde kendine gerekli bilgileri sağlayabilecek güvenini kazandığı birilerini buldu. Artık tek yapması gereken özenle hazırladığı soruları hedefteki personele özenle yönelterek ondan gerekli bilgileri toplamaktır.

Bilgiyi Kullanma: Kurban tarafından edinilen bilginin tutarlılığına bakılır. Eğer bilgi istenilen bilgiyse saldırı amacına ulaşmıştır ve bilgiyi lehine kullanmaya başlayabilir. Saldırı amacına ulaşmamış ise önceki evrelere dönerek istenilen bilgiyi tekrar elde etmeye çalışır.

Bir kurumda işe yeniş başlayan personeller işe başlama sürecinden önce bilgi güvenliği eğitimlerinden geçirilmezse ve bu eğitimlerden gerekli görülen yeterliliğe ulaşmadan işe başlatılmışsa kurumumuz için büyük bir risk oluşmuş demektir. Aşağıdaki örnek senaryoda işe yeni başlayan bir personele yapılan Sosyal Mühendislik saldırısını inceleyelim.

Örnek Senaryo: - İyi günler ben pazarlama bölümünden Ayşe.

- Merhaba Ayşe, ben Bilgi İşlemden Mehmet.

- Evet Mehmet Bey?


- İşler nasıl gidiyor, şirkete alıştın mı?

- Şeyy alışma sürecim biraz sıkıntılı gidiyor galiba, buradaki herkese sürekli sorular sorup bunaltıyorum ama en kısa sürede bu süreci atlatacağım

- Tabii ki de, Şuan da senden baya memnun olduklarını duydum orada baya seviliyorsun hiç merak etme en yakın sürede Pazarlama bölümünün yıldızı olursun.

- Çok teşekkür ederim, siz niçin aramıştınız?

- İşe yeni başladığın için sana şirket içi güvenliğin nasıl sağlanacağını anlatacağım, Müsait misin?

- Tabii ki de çok memnun olurum.

- Çok iyi, öncelikle Ayşe şirket dışından getirilen DVD, usb gibi şeyleri bilgi işlemin izni dâhilinden bilgisayarımıza takmıyoruz, internetten yine bizim iznimiz dâhilinde olmadan herhangi bir program kurmanız şirket politikası gereği yasak. Şirket içi yada başka şubelerden aradığını söyleyen personellerin dahili numarasını alıp arama kayıtlarını kaydediyoruz. E-posta eklerine karşıda dikkatli olmamız gerek. Şirket E-posta adresini biliyorsun dimi?

- Evet, [email protected]

- Peki, kullanıcı adı olarak ismini mi kullanıyorsun?

- Hayır, ayşe_85 kullanıyorum


- Çok iyi birde son olarak şifrelerimizi 50 günde bir düzenli olarak değiştirmemiz gerekiyor şifrelerimize özel karakter, sayı ve harf kombinasyonu kullanman gerek kullanıyor musun?

- Hayır kullanmıyorum.

- Bunu değiştirmemiz gerekebilir şuan da kullandığın şifre nedir

- Şifrem xxxx

- Anladım Ayşe bu şifreyi değiştirmen gerek en kısa sürede, Eğer bir sorun yoksa ben diğer işlere bakayım burada işler biraz karışıkta ama herhangi bir sorun çıktığında derhal arayabilirsin hemen yardımcı oluruz.

-Çok teşekkür ederim yardımlarınız için Mehmet Bey, iyi günler.

- İyi günler.

Örnek Senaryo

Saldırgan hedef aldığı kurumdaki personellerin takıldığı kafe, spor salonları ve ya yemek yediği lokantalar gibi yerlerde ilgi çekici sahte bir kampanya ile ilgili broşür dağıtır. Kampanya ile ilgili detaylı bilgi almak isteyen personeller bir siteye yönlendirilir ve karşılarına çıkan sitede kampanyadan yararlanmak için siteye kayıt olmalarını ister. Hedefteki personellerimiz bu siteye kayıt olur. Buraya karşı her şey normal görünüyor ama bilinmeyen bir şey var ki biz insanlar parola oluşturmada


fazlasıyla üşengeç davranıyoruz ve her kullandığımız site ve ya sistemlere de bu şifrelerle giriş yapıyoruz. Ve sonuç olarak kurumumuzun belki de altın anahtarı sayılabilecek olan personel şifrelerini kendi ellerimizle saldırgana teslim etmiş oluyoruz.

Sosyal Mühendislik Saldırısında Kullanılan Yöntemler Sosyal mühendislik saldırılarında bilgi etmek bazen yukarıda ki gibi kolay olabiliyor. Birinci örnekte de gördüğümüz gibi en başta güven kazanmaya hal hatır sorarak başladı ve sonrasında onu överek kendi tuzağına iyice çekti(herkes başkalarının kendisini övmesini sever biraz poh pohlanmak hoşuna gider insanların). Peki, aynı durum sizin başınıza gelseydi ne yapardınız? Şirket içinde işe yeni başlayan personeller yeterli eğitimlerden geçirilmezse bir saldırgan sizin yerinize bu eğitimi verebilir ama çok ufak bir farkla artık sisteminiz de rahatça dolanabilecek bir şifre vardır.

Bu saldırılarda sıkça kullanılan yöntem aşağıda verilmiştir.

• Kurumun herhangi bir bölümünde ki çalışan gibi davranmak

• Üst düzey yetkili gibi davranmak

• Yardıma ihtiyacı olan bir personel gibi davranmak

• Kendini acındırmak


• Omuz sörfü

• Personele içinde zararlı yazılım bulunan bir usb bellek hediye etmek

• Kurbanı zararlı olan bedava bir yazılımı indirmeye ikna etmek

• Güven kazanmak için şirket içi terimler kullanmak

• Onu önceden tanıyormuş gibi yapmak

• Karşı cinsi etkilemeye çalışmak

• E-Posta ekinde keylogger ya da trojen gibi zararlı yazılımlar göndermek

• Kullanıcının yeniden parola bilgilerini girmesini sağlayan sahte pencereler açmak

• Kendini Emniyet, İstihbarat mensubu gibi tanıtmak

• Teknik destek sağlamak için aradığını ve belli başlı adımları izlemesi gerektiğine ikna etmek

• Kurumun içerisine fiziksel olarak sızmak

Sosyal mühendislerin kullandığı en sık kullanılan yöntemler yukarıdaki gibidir. Saldırganlar kendilerine bunlar gibi yüzlerce yöntem belirtebilir. Kurum içi personellerimizin bu gibi süreçlerde özellikle dikkat etmesi gereken birkaç durum vardır.


Sosyal Mühendislik Saldırılarında Kullanılan Araçlar Sosyal mühendislik saldırılarında saldırgan her zaman telefonla ya da kurumun içine sızarak tek başına bir şeyler yapmaz. Sosyal mühendisimizin ihtiyacına göre kullanacağı bir takım araçlar mevcuttur. Örnek olarak bir kuruma fiziksel olarak sızmış saldırgan yönetici konumdaki personelin bilgisayar ile klavye arasına fark edilemeyecek kadar ufak bir usb keylogger yerleştirebilir. Tabi bunun bir takım riskleri vardır, kaydedilen şifreleri görmek için tekrar kuruma sızıp usb keyloggerı alması gerekir. Ya da başka bir örnek vermek gerekirse saldırganımı kurumda çalışan üst düzey personellerden birine ortam dinleyicisi görevi gören bir Mouse ya da Kamera görevi gören şık ve pahalı bir kalem hediye edebilir. Bunun gibi akla gelmeyecek kadar yaratıcı birçok araç piyasada mevcut ve düşük bir ücret karşılığında herkesin sahip olabileceği şeyler. Özellikle büyük ölçekli şirketler ve kurumların bu gibi araçlara karşı ciddi güvenlik önlemleri alması gerekmektedir. Bu araçlardan bazıları aşağıdaki görselde verilmiştir.


Parola Güvenliği ve Güçlü Parola Oluşturma Politikası


Sosyal Mühendislik saldırılarında, belki de en çok elde edilmek istenen bilgi kurumun kullandığı sisteme ya da OWA gibi kurumsal e-posta adreslerine erişimini mümkün kılacak parolaları ele geçirmektir. Saldırganlar kitapçığın başında da bahsettiğimiz gibi kendileri için en pratik olan yolu tercih ederler. Sistemi kırmak ya da Brute Force atakları yaparak şifre elde etmek daha çok zaman alacak eylemler olduğu için ilk olarak şifreyi sizden elde etmeye çalışacaklar. Bu başlıkta değineceğim konu Sosyal Mühendislik ve Brute Force saldırılarına karşı nasıl önlemler alacağımızla ilgilidir. Saldırganlar kitapçığın başında da bahsettiğim ve örneklendirdiğim çeşitli yollarla şifrelerinizi ele geçirip, kurumunuz sistemine sızabilir. Ama saldırganlar örneklendirdiğimiz saldırlar da başarıyı ulaşamaz ise bir sonraki adımları olan şifrenizi kırma aşamasına geçmektir. Bu saldırılarda ki başarılar inanılmaz derecede iyidir örnek vermek gerekirse; 15 Temmuz 2015 de hacklenen Ashley Madison adlı arkadaşlık sitesine ait parolalar yayınlandı ve çalınan 11 milyon parola üzerinde yapılan incelemelerde en sık kullanılan ilk 3 parola şu şekildedir;

1. 120 bin kişi ile “123456” 2. 48 bin kişi ile “12345” 3. 39 bin kişi ile “password”

Yukarıda listelenen şifrelere baktığımızda Brute Force saldırısında kullanıcılara sadece bu 3 şifre ile deneme yapsak 207 bin kişinin hesabını ele geçirmiş oluyoruz. İnsanlar bazen parola oluşturma gibi konuda bu kadar


özensiz davranıyor, bu tarz parolalar oluşturmak hırsızlara karşı kapısı ve penceresi açık bırakılmış bir ev kadar güvenlidir. Kurumlar içersin de bir şifre politikası olmalıdır ve güvenli şifre oluşturmak zorunlu bir görev olmalıdır.

Güçlü Parola Nasıl Oluşturulur: • En az 8 karakterden oluşturulmalıdır. • Harfler ve özel karakterlerin (“^, +, %, &, /, (, $, ],

*, ?, _, -”) kullanılması zorunlu olmalıdır. • Parolalarda büyük ve küçük harf kullanımı

zorunlu olmalıdır • Parolalarımızda kişisel bilgiler (eşimizin adı,

çocuğumuzun adı, doğum tarihi vb.) bilgiler bulunmamalı

• Parolalarımızda ünlü isimler, film adları ve karakter isimleri (frodo, batman, messi) bulundurulmamalıdır

• Bütün fabrika çıkışlı parolaları değiştirin • Kullanıcılarınızın parolalarını yönetmelerini

kolaylaştırın. Parola yönetimi yazılımı kullanmak farklı sistemler için farklı parola kullanmalarını kolaylaştıracaktır

• Kullanıcılar tarafından belirlenen parolaların zayıf olabileceğini kabul edin. Parola politikalarını belirlemez ve bunların uygulanması için gerekli teknik önlemleri almazsanız kullanıcılar her zaman basit parola kullanmayı tercih edecektir.


• Otomatik olarak atanan parolaların da sorunlu olabileceğini kabul edin. Bilgisayar tarafından oluşturulan süper karmaşık bir parola güzeldir tabii ki ama hatırlaması zor olacağından kullanıcıların bunu bir yere not edebileceğini düşünmemiz gerekir. Bu nedenle otomatik olarak oluşturulan parolaların daha kolay hatırlanabilmesini sağlayacak bazı kurallar belirlemekte fayda olabilir

• Kullanıcı ve yetkili hesapları farklı yönetin. Kullanıcıların güçlü parola kullanması yeterli olabilir belki ama yetkili hesaplara girişin iki kademeli bir doğrulama ile yapılması uygun olacaktır

• Hesapları kilitleyin. Belli bir sayıda yanlış parola denemesi yapıldığında hesabın kilitlenmesini sağlayın. Bunun dışında giriş denemeleri ve benzeri saldırgan davranışları da izleyecek bir sistem kurulmalıdır

• Parolaları düz metin olarak tutmayın. Her hesap için tekil olan bir girdi (salt) ile birlikte hash değerlerini tutun


Kurum’un İçine Girmek

Sosyal mühendislik saldırılarında saldırgan bazen fazlasıyla risk alıp kurum içine kadar gelebilir. Şirketimizin içine kadar giren bir saldırgan oldukça tehlikeli sonuçlar doğurur. Örnek vermek gerekirse şirketimizin ağına bilgisayarını doğrudan bağlayabilir, gizli dosyaların bulunduğu odalara girebilir, kurumumuzun üzerinde çalıştığı bir projeyle ilgi bilgi toplamayı amaçlayabilir, şirket içinde sonradan kullanmak üzere kendine yakın arkadaşlıklar edinebilir veya personel masalarının üzerinde duran bilgisayar yâda sisteme giriş için kullanılan kullanıcı adları ve şifrelerini alabilir(bunu hemen hemen her şirket de görmek mümkün) .Bunlar olabilecek binlerce tehlikeden birkaç tanesi. Bu saldırılarda saldırgan şirket içine girmek için kullandığı yöntemlerden bazıları ise;

• Kendini şirketin iş ortaklarından biri olarak tanıtma


• Kuruma bir satış elamanı olarak girmek

• Personel kartını işe gelirken unuttuğunu ve acil işi olduğu söylemek

• Personel kartlarının kopyasını yapmak

• Kuruma giriş için gişe kullanılmayan yerlerde çalışanların arasına karışarak girmek

• Eski çalışan olarak girmek

• Şirketimizin personellerinden biriyle olan iyi ilişkilerini bahane ederek ziyaretçi olarak girmek

Şirketler bu saldırılardan korunmak için sıkı bir güvenlik önlemi uygulamaları gerek. Örnek vermek gerekirse bu önlemler;

• Kurum içinde personel kimlik kartı takmanın zorunlu olması

• Kurum içine girerken elektronik kartlarla turnikeden giriş yapılması ve personel kimliğini unuttuğunu iddia eden kişilerin amirlerin izini dâhilinde kuruma alınmalı ve olay rapor edilmeli.

• Gelen ziyaretçilerin kimlik bilgilerinin tutulması.(Herhangi bir olumsuzlukta kişiyi bulmamıza yardımcı olur)

• Kendini ziyaretçi, iş ortağı ya da malzeme tedarikçisi olarak tanıtan kişilerin muhatabından onay alınarak kurum içine sokulmaları


• Şirket içinde personel kimlik kartı taşımayan kişilerin sorgulanması.

• Ziyaretçilere bir refakatçinin eşlik etmesi

Gibi önlemler bizi olabilecek tehlikelerden asgari tutarda korur. Daha öncede değindiğimiz gibi kurum içinde bir güvenlik politikası oluşturulmalı ve çalışanların düzenli olarak eğitimden geçmeleri gerek. Özellikle de belirtmek gerekirse kurum içinde hemen hemen her odanın anahtarına sahip olan güvenlik görevlilerin bu tip saldırılara karşı iyi eğitilmiş olmaları gerekir. Bir saldırganın kurumumuz içine sızdığında oluşabilecek riskler;

• Çalışanların, unutmamak için çalışma alanlarına astığı şifreleri çalabilir.

• Şirketin dâhili ağına bağlanıp, internet trafiğini izleyebilir.

• Omuz sörfü vasıtasıyla kullanıcı adı ve şifreleri elde edebilir.

• USB keylogger gibi sosyal mühendislik saldırılarında kullanılan araçları, kurumun kritik görevindeki personellerin bilgisayarlarına takabilir.

• İleride yapacağı saldırılarında kullanmak üzere personelleri tuzağa düşürebilir

• Şirketin gizli belgelerine erişebilir.


Örnek Senaryo:

Geçenlerde kendim yaşadığım bir olaydan örnek vereyim. Türkiye’nin önde gelen radyo kanallarından birinde haber spikeri olarak çalışan arkadaşı mı ziyarete gittim ve kurum içine girerken ziyaret ettiğim de arkadaşımı aradılar ve ziyareti onayladıktan sonra kimliğimi alarak bana bir ziyaretçi kartı verdiler. Bu tarz kanallarda genel olarak herkes birbirini tanır ve içeride samimi bir ortam vardır. Ziyaret ettiğim kanalda aynı şekildeydi ama yine de kurum içinde personel kimlik kartını herkes taşıyordu buraya kadar her şey normal olması gerektiği gibiydi. Arkadaşımın kullandığı oda da telefonu şarj edebileceğim bir yer olup olmadığını sordum ve asistanın bilgisayar masasının bulunduğu yerde şarj edebileceğimi söyledi. Tam prize yönelip telefonumu şarj edecektim ki kafamı kaldırdığım da bilgisayarın yanında ufak bir not gördüm. Notu incelediğim de kanala ait internet sitesinin admin paneli uzantısı ve oraya erişim hakkı olan 2 kullanıcı adı ve parolası yazıyordu. Tabi ki bunu hemen arkadaşıma bildirdim ve bunun şirket için büyük riskler oluşturabileceğini aktardım.

Ya o notu ben değil de kurum içine sızan bir saldırgan ya da işten ayrılmayı düşünen bir personel görseydi? Birçok şirket de ki çalışanlar kullanıcı adını ve parolalarını unutmamak için bilgisayarın üstüne not ederler. Ama buna erişim hakkı olmayan çalışanlar ya da kurum içine davetli ya da davetsiz(Sosyal Mühendis) bir


şekilde giriş yaptıktan sonra bu tarz notları istismar edebilir. Personellerimizin bu tarz notları herkese görünür şekilde bulundurmamaları konusunda uyarmak gerekir.

İşten Ayrılan Çalışanlar İşten ayrılan personeller bazen kurum için oldukça büyük riskler taşır. Bu personeller rakip firma lehine çalışarak ya da direk kendisi kuruma olan kızgınlığından ötürü zarar verici davranışlarda bulunabilir. Bu personeller şirket içindeki işleyişi, parolaları, hangi bilgiyi kimden bulabilecekleri vs. bilgisine sahip oldukları için, insan kaynakları işten ayrılan personele karşı bir takım şirket kuralları oluşturmaz ise şirkete oldukça kötü sonuçlar doğurabilir

“Ayrılan personellere ait hesapların yönetimi belli risklerin oluşmasına neden olabilmektedir. Bu riskleri eski personelimizin arada bir şirket e-postalarını okumasından kapatmadığımız bu hesabın bilgilerinin saldırganlar tarafından ele geçirilip kullanılmasına kadar geniş bir yelpazede sıralayabiliriz. İntermedia şirketi tarafından yayınlanan bir raporda eski çalışanların


%89’unun önceden çalıştıkları şirketin Dropbox, e-posta, Sharepoint gibi önemli hesaplarına ulaşabildiklerini göstermektedir. Aynı rapor eski çalışanların %49’unun, ayrıldıktan sonra, şirket kaynaklarına eriştiklerini de göstermektedir.

Ayrılan personelin oluşturabileceği risklerin bir bölümünü ortadan kaldırmanıza yardımcı olabilecek bir kontrol listesi derledim.

Genel olarak unutulmaması gerekenler

Bu liste tabii ki uzatılabilir (veya şirketinizin durumuna göre kısaltılabilir) ama temel olarak gözden kaçırılmaması gerekenler arasında sayabileceklerimiz şunlardır;

• E-posta adresini kapatın • E-posta adresini aynı işi yapan birine yönlendirin • E-postaların yedeğini alın • E-posta adresini e-posta

listelerinden/gruplarından çıkartın • Ayrılan personelin adını internet sayfasından

kaldırın • Ayrılan personelin adını telefon defterinden

kaldırın • Bilgisayara erişimini kapatın • Kurumsal kaynak planlama (ERP) yazılımına

erişimi kapatın • Dahili telefonunu başkasına yönlendirin • Ofis anahtarını alın (dostça ayrılmadıysanız kilidi

değiştirin) • Giriş kartını alın ve iptal edin


• Laptop’u geri alın, diskin imajını alın, formatlayın • Şirket hattı/telefonunu alın • Şirket kredi kartı/fatura kartını alın • Şirkete ait fotoğraflı kimliği alın • VPN uzaktan bağlantı hesaplarını kapatın • Videokonferans, vs. Yardımcı hizmetlerdeki

hesapları kapatın • Giriş yetkisi olan bütün uygulamalardaki

kullanıcılarını kapatın • Şirkete ait sosyal medya hesaplarına erişimini

kapatın • Kablosuz ağ parolasını değiştirin

Ayrılan kişinin yetkili kullanıcı olması durumunda

Bilgi teknolojileri altyapımız üzerinde belli yetkileri olan personelin ayrılması durumunda yukarıdakilere ek olarak şunları hatırlamakta fayda olacaktır;

• Veri tabanı kullanıcılarını kapatın • Uygulamalardaki yönetim/teknik destek

hesaplarını kapatın • Ortak parola kullanılan uygulamaların parolalarını

değiştirin • Ağ cihazı (router, modem) parolalarını değiştirin • Güvenlik cihazı (firewall, IPS/IDS) parolalarını

değiştirin • Jenerik olarak kullanılan parolaları değiştirin ve

yeni bir jenerik parola belirleyin • Test kullanıcılarının parolalarını değiştirin

Bunların dışında göz önünde bulundurulmasında fayda olacak bir kaç nokta şunlar olabilir;


• Ağ üzerindeki kullanıcı hesaplarını düzenli olarak denetleyin

• Ayrılanların isimlerinin Bilgi İşlem birimine derhal bildirilmesini sağlayın

• Ortak kullanıcı kullanmayın (hiç bir uygulamanın tek kullanıcısı olmasın) ”


Çöp Karıştırma Çöp karıştırma, saldırı esnasında işe yarar bilgiler bulmak için hedefteki kurum veya kişinin çöpünü karıştırmadır. Genellikle kurumun, kurum sınırları dışında kullandığı çöpler tercih edilir. Bu saldırılarda saldırganın girdiği risk hemen hemen yok denecek kadar azdır (bir tek birazcık kirlenme riski vardır ), çünkü kurum dışına attığımız çöpler halka açık alanlarda bulunuyorsa çöp dalışı tamamen yasaldır,kişiler ve kurumlar çöplerinden kendileri sorumludur. Çöp bidonları kurum sınırları içerisinde bulunmalı ve dışarıdan erişime mutlak kapalı olmalıdır. Aksi takdirde çöp kutumuzdan faydalanmak üzere hali hazırda bekleyen saldırganlar ve rakip firmanın elemanları çöpünüzden menfaat sağlayabilir. Çöplerimizi atarken de kurum içinde belli başlı kurallar olması gerekir. Mesela kağıtlar mutlaka okunamayacak derecede ayrıştırmalı yada kurum için önemli bilgileri içeren taşınabilir veya sabit sürücüleri verileri tamamıyla okunamaz hala gelmeden çöp bidonlarına terk etmemeliyiz.


Bizim bilinçsizce attığımız çöpler düşmanlarımızın hazinesi olabilir. Peki bu saldırganlar bizim çöplerimizde neler arıyor birkaç örnek vermek gerekirse;

• Çalışan bilgileri

• Şifreler

• İmla hatasından dolayı atılan raporlar


• Güncelliğini yitirmiş telefon rehberi

• Müşteri listeleri

• Faturalar

• Girilecek ihale ile ilgili bilgiler

• Şirket içindeki donanımların kullanım kılavuzu

• Projelerimiz, programlarımız ve cihazlarım hakkındaki dokümantasyonlar

Yukarıda örnekleri verilen bilgiler çalışan güzünden işe yaramaz, güncelliğini yitirmiş ve önemsiz gözükebilir ama saldırganın gözünde bu bilgiler bulunmaz nimettir. Bir zamanların FBI tarafından en çok aranan listesinde “ ilk hacker ” olarak yer alan Kevin Mitnick ’in çöp dalışı hakkındaki sözleri aşağıda verilmiştir.

“ Yeni rehberlerin çıktığı akşamlarda çöp ziyaretleri yapardım, çünkü çöp bidonlarında düşünmeden atılmış yığınla eski rehber olurdu. Başka tuhaf zamanlarda da bazı ilginç bilgi cevherleri içerebilecek not kağıtları, mektuplar, raporlar gibi şeyler bulmak için giderdim.”


Phishing (Oltalama) Saldırıları

Phishing İngilizce “Password” ve “Fishing” kelimelerinin birleşmesiyle oluşan ve Türkçe ‘ye oltalama saldırı olarak geçen son zamanların en popüler Sosyal Mühendislik saldırılarındandır.

Saldırganlar, saldırı esnasında kullanabilecekleri olan bilgiyi çok çeşitli Sosyal Mühendislik yöntemleriyle elde etmeyi deneyebilir. Bu saldırı tiplerinden belki de günümüzde en popüler olan saldırı tipi “phishing” dir.

Saldırganlar bu saldırıda, kurbanına e-posta yollayarak saldırıyı gerçekleştirmektedir. Bu e-postalar, kurumun


herhangi bir bölümünden ve ya kurbanın aktif olarak kullandığı güvenilir bit siteden geliyormuş gibi gözüken, kurbandan kişisel bilgilerini girmesini, ilgili bağlantıya gidip formu doldurmasını ve ya zararlı yazılım içeren ekteki dosyayı indirmesini ister. Kurbanın doldurduğu forum araçlığıyla ya da sistemine bulaştırdığı zararlı yazılım vasıtasıyla, bilgileri çalmayı amaçlar.

Phishing saldırıları genel kapsamlı, rastgele olarak yapılan saldırılardır. Saldırganların hedef olarak belirlediği kuruma yaptığı oltama saldırılarına “Spear Phishing (Hedef Odaklı Oltama)” saldırı denir. Hedef odaklı oltalama saldırısında, saldırgan hedef kurumun ticari sırları, finansal verileri ve ya bu tür bilgileri kendisine sağlayabilecek olan bir kullanıcı adı ve şifreyi ele geçirmeyi amaçlar. Klasik phishing saldırılarından farklı olarak, spear phishing saldırılarından hedef kurum ve personellerini araştırırlar. Kurum içerisinde kullanılan sistemleri araştırabilecekleri gibi, hedef seçtikleri personellerin çeşitli sosyal medya hesaplarını inceleyip, onların hobileri ve ya ilgisini çekebilecek olan bilgileri toplar. Elde ettikleri bilgiler ışığında hedefe özel, phishing mail ve ya açılabilir pencere oluştururlar.

Phishing Saldırısının Amaçları Nelerdir:

• Kimlik bilgilerinin çalınması

• Fikri mülkiyet

• Ticari sırlar


• Kurum içi mahrem bilgiler

• Finansal veriler

• Kullanıcı adı ver Şifrenin çalınması

• Kullanıcı hesap numaralarının çalınması

• İnternet bankacılığı şifrelerinin çalınması

• Kurumun sistemine zararlı yazılım bulaştırılması

Phishing Saldırı Yöntemleri:

• Klonlanmış mail sistemi ya da kurum otomasyon sistemi ile personel kullanıcı adı ve şifrenin çalınması

• Zararlı yazılım bulunan ekler indirtmek

• Herhangi bir büyük ödül kazandınız vaadiyle kişisel bilgilerini çalma

• Bankadan gibi gelmiş gözüken, hesap bilgilerinizi yenilemenizi isteyen e-postalar

Phishing Saldırısına Karşı Alınması Gereken Önlemler:

• E-postanın kimden geldiğinden emin değilseniz dikkate almayınız, hiçbir kuruluş sizden e-posta yoluyla kişisel bilgilerinizi istemez.


• Güvenli olmadığını düşündüğünüz ve halka açık olan internet ağlarından elektronik işlem gerçekleştirmeyin.

• İnternet adresi olarak ip değeri barındıran sayısal değerler ile karşılaşırsanız mutlaka dikkat edin.

• Gelen e-postalarda maili gönderen ve yönlendirdiği internet adresi gibi bilgilere mutlaka bakın.

• Bilgisayarınızın güncelleştirmelerini ve güvenlik yamalarını her zaman kontrol edin ve mutlaka anti virüs programı kullanın.

• Şüpheli gördüğünüz e-posta ve linkleri mutlaka bilgi işlem personeline bildirin.

• E-postalarda ki kısaltılmış URL (bit.ly,goo.gl ve tinyurl.com) adreslerine kesinlikle tıklamayın.

• Şüpheli ve ya bilmediğiniz web sitelerine kişisel bilgilerinizi kesinlikle vermeyiniz.

• SSL sertifikası güvenli ve kullanıcı ile sunucu arasındaki veriyi 128 bit ile şifrelenmiş bir web sitede işlem yaptığınızı gösterir.


Not: Saldırganlar bazen yaptığı klon sitelerde SSL sertifikası da bulunabilir. En iyi çözüm internet adresini, adres çubuğuna el ile girmemiz.


3 Adımda Spear Phishing Saldırı:

1. Saldırgan öncelikle kullanıcı adı ve parolayla giriş yapılabilen, hedef kurumun kullandığı mail sistemi, otomasyon sistemi ve ya bankaların web sitelerinin sahtesini yapar ve ya zararlı yazılım bulunduran sahte bir mail hazırlar.

2. Saldırgan çeşitli bilgi toplama araçları kullanarak

hedef kurumdaki personel mail adreslerine ulaşır ve mail listesindeki personellere phishing maili yollar.


3. Kurbanların sahte sayfa girerek kişisel girmelerini

ya da kötücül yazılım bulunduran e-posta ekini açarak sistemlerine bulaştırmalarını bekler.

Örnek Senaryolar: 1. Aşağıda ki örnekte Turkcell Fatura Ödeme

adresinden geliyormuş gibi gözüken ve “Ekim faturanız indirmek için hazır” başlıklı mail son zamanlarda sıkça rastladığımız phishing maildir. Bu mailin yönlendirdiği adresi incelediğimizde www.remont-kotlow-04.ru adresine yönlendirdiğini görüyoruz. Bu gibi gelen maillerde muhakkak yönlendirdiği maile dikkatli bir şekilde bakmalıyız. Çünkü saldırganlar yukarıda ki gibi alakasız bir adres kullandıkları gibi turkcel.com, turkcelll.com veya turkcell.corn gibi göz


yanılmasına yol açabilecek sahte adreslere de yönlendirebilirler. Bu tarz mailler alındığında mutlaka gelen e-postayı bilgi işlem departmanı yetkililerine bildirilmelidir.

2. Aşağıda ki örnekte verilen phishing saldırı ise

yukarıda verdiğimiz 3 adımda phishing saldırısı örneğine benzerlik gösteriyor. Saldırgan ilgili bankanın online internet bankacılığı giriş ekranını klonlayarak, kurbanın bu sistem üzerinden giriş yapmasını beklemektedir. Bu gibi saldırılarda dikkat edilmesi gereken en önemli hususlardan biri adres çubuğunda www.zandege.com gibi alakasız bir adresin ve ya bizimde yaptığımız örnekteki gibi bir ip adresi barındırmasıdır.


3. Bu örneğimizde kurbanı sahte bir web siteye yönlendirerek hesap bilgilerini teyit etmesi başlığı altında, kişisel bilgilerini çalmaktır. Ancak e-postayı yollayan maile baktığımızda [email protected] gibi alakasız bir mail adresiyle karşılaşıyoruz. Şunu unutmamak gerekir ki hiçbir firma e-posta yoluyla kişisel bilgilerimizin teyit edilmesini istemez.


Farkındalık Eğitimleri Kitapçığın başında söylediğimiz gibi sosyal mühendislik saldırılarına karşı kuruluş çalışanlarının önüne kurabileceğimiz bir “güvenlik duvarı” yoktur. Bu saldırılara karşı en etkili yöntem farkındalık eğitimleridir. Farkındalık eğitimlerinin 2 temel amacı aşağıdaki gibi özetlenebilir;

1. Kuruluş personelinin sosyal mühendislik saldırıları konusunda bilgi ve bilinç düzeyinin artması ve bu sayede bu tür saldırıların etkilerinin azaltılması.


2. Kuruluş personelinin bilgi güvenliği çalışmalarına ve bu yolla kuruluş genelindeki bilgi güvenliği düzeyinin artmasına katkıda bulunması.

Eğitim çeşitleri Bilgi güvenliği farkındalığı eğitimlerinin etkili olabilmesi için birden fazla seferde ve farklı yollarla verilmesi gerekir. Aşağıda bazı eğitim yöntemlerini ele aldık.

Oryantasyon: Kuruluş bünyesine yeni katılan personele verilen oryantasyon eğitiminin içerisinde bilgi güvenliği konusunun ele alınması gerekir. Kuruluşun bilgi güvenliği konusuna verdiği önemin ilk günden anlaşılması personelin de bu konuya vereceği önemi etkileyecektir. Bu tür oryantasyon eğitimleri sırasında kuruluş ve yapılacak işlerle ilgili çok miktarda bilginin kısa sürede aktarıldığını göz önünde bulundurarak bilgi güvenliği konusundaki konuları sınırlamakta fayda var. Farkındalık eğitimi sürecinin daha sonra destekleneceğini düşünerek ilk günlerde “bilgi güvenliği kuruluşumuz için önemlidir” mesajını vermek yeterli olabilir.

Sınıf eğitimleri: Oryantasyonda detaylı olarak ele alınmayan konuların işlenmesi ve dönemsel tazeleme eğitimlerinin sınıf içerisinde (yüz yüze) yapılması önemlidir. Personelin eğitmen ile iletişim kurması, aklına takılanları sorabilmesi veya sorulan sorulara verilen cevapları duyması eğitimlerin etkisini artıran unsurlardır.

E-posta hatırlatmaları: Gerçekler acıdır. Gönderdiğiniz hatırlatma/tazeleme e-postalarını okumayacaklar. Bunun yanında, bu tür e-postaları gönderdiğinizi fark eden bir


saldırgan bunları sosyal mühendislik saldırılarında şablon olarak kullanabilir. Etkisiz olduğundan önereceğimiz ilk yöntem olmayacaktır.

Kuruluş portali üzerinden duyurular: E-postalarda karşılaştığımız durum bu yöntem için de geçerlidir. Ayrıca kullanıcıların portala bağlanmasını gerektirdiği için işi gereği düzenli olarak portal kullanmayan personele ulaşmak mümkün olmayacaktır.

Online eğitimler: Çalıştığım kurumlarda “mecburi” tutulan bütün online eğitimlerde aynı manzarayla karşılaştım; personel eğitimi açıyor ve ilerlemek için gerekli müdahaleleri yapıyor. Kayıtlara göre eğitim süreci devam ediyor ama aslında eğitimi aldığını düşündüğümüz kişi o sırada başka işlerle meşgul oluyor. Yapılan online sınavın genellikle eğitimin hemen ardından gelmesi bilginin içselleştirilmeden tekrar edilmesine, dolayısıyla çabuk unutulmasına neden olmaktadır.

Giriş ekranı uyarıları: Kullanıcıların dikkatini tutabilmek için belirli aralıklarla değiştirmek önemlidir. Bilgisayar kullanan personelin günde en az 1 kez göreceklerini düşünerek etkisi tartışılır olsa da sınıf eğitimlerine destek olmak amacıyla kullanılabilecek bir yöntemdir.

Posterler: Test veya danışmanlık yapmak için gittiğim kuruluşların çoğunda bilgi güvenliği konulu afişler vardır. Bunlar “oltaya takılmış giriş ekranı” ve “parola diş fırçası gibidir, paylaşılmaz” gibi yıllardır her yerde görmeye alıştığımız görseller ve mesajlardan oluştuğu için fazla etkili olmadıklarını düşünüyorum. Farklı görseller, yeni


yazılar ve farklı yaklaşımlarla bu yöntemin eğitimleri destekleyeceğinden şüphem yok.

Eğitimlerin planlanması Eğitim planlaması sırasında dikkate alınması gereken önemli bir nokta farklı personel gruplarına farklı düzeyde ve sıklıkta eğitim verilmesi gerektiğidir. Önceki bölümlerde ele aldığımız gibi bazı çalışanlarımız sosyal mühendislik saldırılarına diğerlerine göre daha açıktır. Bu gruptaki çalışanlara daha sık ve daha detaylı eğitimler verilmesi koşuluyla aşağıdaki genel eğitim planı üzerine bir yapı kurulabilir.

İlk aşama: Tehdidin farkına varılması. Teknik detaylara ve konulara boğulmadan sosyal mühendislik saldırıların gerçekten kuruluşu ve personeli hedef aldığının mesajının verilmesi gerekiyor. Eğitim sırasında yapılacak bir hatanın sadece kuruluş bilgilerini değil, personelin kişisel bilgilerini de tehlikeye atacağının vurgulanması önemlidir. Benden önce “bilgi güvenliği üçgeni gizlilik, bütünlük ve erişilebilirlikten oluşur...” il başlayan eğitimler alan kuruluş personelinin iş yerinde kullandıkları bilgisayar üzerinden kredi kartı bilgilerini çaldırabileceklerini anlayınca çok daha farklı bir tavır sergilediğine defalarca şahit oldum. Bilgi güvenliğinin kuruluş kadar personeli de korumayı amaçladığını vurgulamak önemlidir. Bilgi güvenliği kültürünün oluşmasına olumlu katkı sağlayacağı için üst düzey yöneticilerin de eğitimlere personelin kalanıyla katılması önemlidir. Yöneticilere özel oturumlar da yapılabilir


ancak bu yöntem kuruluş genelindeki algının değişmesine daha hızlı sebep olacaktır.

İkinci aşama: Güvenlik kültürünün oluşması. Kuruluş genelinde kabul görmüş bir güvenlik kültürünün oluşturulması şarttır. Bu sayede personel ne yapması (belirlenen güvenlik kurallarına uymak) ve ne yapmaması (saldırganın ricalarını yerine getirmek) gerektiğini içselleştirebilecek ve uygulayabilecektir. Sema Yüce’nin bir sunumunda “ben insanlar kartla açılan bir kapıyı kibarlık olsun diye arkalarından gelen kişi için açık tutmadıkları gün mutlu olacağım” demişti. Güvenlik kültürünün oturması bu davranışların normalleşmesini, yaygınlaşmasını ve kalıcı olmasını sağlayabilecek tek etkendir. Güvenlik kültürünün oluşmasında önemli kilometre taşlarından birisi de personelin, söz konusu güvenlik olduğunda, karşıdan gelen talebi (kimden geliyor olursa olsun) sorgulama hakkının olduğunu anlaması ve bu hakkı sonuna kadar kullanmasıdır.

Üçüncü aşama: Uyarı işaretlerinin yerleştirilmesi. Hepimize olmuştur; başımıza öyle bir olay gelir ki “acaba bu bir kamera şakası mı?” diye durup düşünürüz. Benzer şekilde kuruluş çalışanlarının durup “acaba bu bir sosyal mühendislik çalışması mı?” sorusunu sormalarını sağlayacak ipuçlarını bilmeleri gerekiyor. Sosyal mühendislik saldırılarının tipik özellikleri hatırlamak adına tekrarlamakta fayda görüyorum;


• Acil: Talebin “acil” olması ve personelin kendini hızlı hareket etme konusunda baskı altında hissetmesi.

• Yetki: İşin normal sürecinin işlemesini engellemek veya “işi hızlandırmak” için yetkili bir ismin kullanılması (Genel Müdür istiyor, vb.)

• Garip talepler: Sıradışı veya seyrek gelen bir taleple karşı karşıya olmak

• Yersiz iltifat/iyilik: Ortada bir neden yokken iltifat edilmesi veya iyilik yapılması

Dördüncü aşama: test. Verilen eğitimlerin etkisinin ölçülmesi ve çalışanların her an tetikte olmasını sağlamak için sosyal mühendislik testlerinin yapılması ve test sonuçlarına göre eğitim sürecinin iyileştirilmesi şarttır.

Sosyal Mühendislik Saldırıları

Technology

Transcript of Sosyal Mühendislik Saldırıları