Siber güvenlik tüm kurum ve şirketler için önem arz etmektedir. Teknolojiyi iyi anlamda kullanırken buradan gelebilecek tehditlere karşı önlemlerinde alınması gerekmektedir. Bilindiği üzere birçok siber saldırı tekniği vardır. Kötü niyetli hackerlar gelişen teknolojiyi kendi çıkarları doğrultusunda kullanarak firma ve kurumlara yönelik saldırılarını şekillendirmektedir. Bu saldırı yöntemlerinden bir tanesi de “Sosyal Mühendislik” yöntemidir.
Sosyal mühendislik; kişi davranışlarındaki yanlış ve zaafları kullanarak, bunlardan faydalanarak sistemin ele geçirilmesidir. Bu tanımı daha basite indirgemek gerekirse, insanları aldatma sanatıdır. Siber saldırganlar kendilerine has elektronik sistemleri kullanarak hedef sistemi ele geçirebileceği gibi hedefte çalışan kişilerin zayıflık ve zafiyetlerini kullanarak da hedef sistemi ele geçirebilmektedir. Bunun için hedef hakkında araştırma yapılarak zayıf halkanın bulunması ve buna uygun sosyal mühendislik yönteminin uygulanması yeterlidir.
Sosyal mühendislik saldırılarında kurum ya da firmanın kullandığı sistemler hedef alındığı gibi kimlik bilgileri ya da özel hayat da hedef durumunda olabilir. Bu saldırıdaki en önemli husus insan davranışlarındaki zafiyetlerdir. Saldırganların en popüler özelliği ise ikna ve kandırma yöntemlerini iyi şekilde kullanabilmeleridir.
Sosyal mühendislik saldırısının en popüler ismi Kevin Mitnick’dir. Bu kişi sosyal mühendislik saldırısının dehası olarak tanımlanır. Kendisi ise sosyal mühendisliği; insanların istemedikleri şeyleri kendi istekleri ile yapmaya ya da gizli olan bilgilerini vermeye kandırma fiili olarak tanımlamaktadır. Yazdığı kitabında bizzat kendisinin girdiği sistemlerin yaklaşık %80’ini sosyal mühendislik teknikleriyle gerçekleştirdiğinden bahsetmiştir. Çünkü insan her an hata yapabilme potansiyeline sahiptir.
Peki sosyal mühendislikte kullanılan teknikler nelerdir? İşte birkaç örnek; beklenilen bir bilgi gibi görünen, heyecan duygusunu tetikleyen, korku verici senaryolar, felaket senaryoları, hediye çekiliş ve benzeri birçok konu başlığı sosyal mühendislik saldırılarında kullanılmıştır. Dediğimiz gibi burada en büyük faktör insandır. Buna bir örnek olay vermek gerekirse; geçmişte bir inşaat firması penetrasyon testi yaptırmak ister. Bunun için penetrasyon testi yapacak firmaya yaklaşık 1 milyon dolar ödeme yapar.
Firma yaklaşık 6 aylık çalışmasının sonucunda herhangi bir açık tespit edemez. Bunu bir de sosyal mühendislik yöntemiyle denemeye karar verir ve yazdıkları özel bir virüsü flash belleğin içine koyar. Uzun bir sür uzaktan incelenen şirket ve çalışanlarından bir kişi göze kestirilir. Bu kişi her gün aynı saatte işe geliyor, arabasını aynı yere park ediyordu. Hazırlanan flash bellek ertesi gün bu kişinin yol güzergahında bir yere bırakılır. Kişi yürürken yerde gördüğü flashı alır ve devam eder.
Amaç çalışanın zafiyetinden faydalanılarak bu flashı herhangi bir bilgisayarı takmasını sağlamaktır. Ve düşündükleri gibi de gerçekleşir. Çalışan ofisine geçer geçmez ilk iş olarak flasha bakmak ister ve bilgisayara takar. İşte o anda ilk önce o bilgisayar akabinde ağa sıçrayan virüs ile zafiyet bulunur. ,
Sosyal mühendislik saldırılarındaki süreçlere bakacak olursak ilk olarak hedef belirlenir. Belirlenen hedefin en dikkatsiz, bilinçsiz, zayıf halka olmasına özen gösterilir. Akabinde hedef kişi hakkında bilgi toplama çalışmalarına başlanır. Burada gerek özel gerekse iş hayatındaki bilgileri toplanır. Bu birçok farklı yöntemle yapılabilir.
Hedef kişinin sosyal medya hesapları detaylı incelenir. Tuttuğu takımdan, memleketine, doğum tarihine kadar her bilgi önemlidir. Üçüncü aşama olarak zafiyet tarama gerçekleştirilir. Son aşama ise saldırı başarıya ulaştıktan sonra ortada delil ve kanıt kalmaması için bunların ortadan kaldırılmasıdır. Görüldüğü üzere saldırganlar olayın tüm yönünü düşünerek sabırla hareket ederler. Dolayısıyla tehlikeli bir saldırı tekniğidir.
Buraya kadar anlatılan kısım insan tabanlı sosyal mühendislik konusu idi. Bir de bilgisayar tabanlı sosyal mühendislik saldırıları vardır. Bunun en önemli parçası ise oltalama adı verilen “phishing” saldırılarıdır. Buna benzer telefonla dolandırıcılık “vishing”, sahte siteler de bir sosyal mühendislik saldırı örnekleridir.
Sosyal mühendislik saldırılarında maddi kayıplar olabileceği gibi prestij kaybı da önemli kayıplar arasındadır. Bunların yanı sıra, yetkisiz erişim elde etme, veri hırsızlığı, hizmet aksatma ya da durdurma gibi zararlar ortaya çıkabilmektedir. Dolayısıyla dikkat edilmesi gerekmektedir. Burada alınabilecek en etkili yöntemlerden bir tanesi kurum ya da şirket fark etmeksizin yönetici kademesi dahil tüm personelin genel bir siber güvenlik eğitimi alması gerekmektedir. Buradaki amaç kişilerin bilinçlendirilmesidir. Bu konuda yardım almak için BBS Teknoloji ekibinden destek alabilirsiniz.
Bu saldırılara karşı takınabilecek uygun tavır şüpheciliktir. Dolayısıyla bilinmeyen usb ler kullanılmamalı, telefonla gelen aramalarda istenen özel bilgiler verilmemelidir.
Alınacak tüm önlemlere karşı böyle bir saldırıya maruz kaldıysanız alanında uzman siber güvenlik ekibimiz çözüme her zaman hazırdır.
