Siber Güvenlik Saldırılarından Sosyal Mühendislik

Siber Güvenlik Komitesi Başkanı Zeki bey hafta sonu tatiline odaklanmış bir halde ofisten çıkmak üzere iken bir telefon geldi. Muhasebe Biriminden Ceylan'ın bir dolandırıcılık kurbanı olabileceğini şirketin yüklü bir miktar fatura ödemesi talimatı geçtiği anlaşılıyor diye kısa bir bilgi verdi.Ceylan, en önemli tedarikçimizden aradılar. Gecikmiş ödemenin yapılmaması durumunda yeni projemizin riske gireceğini kesin olarak bildirdi. Proje yönetim süreçlerinde yaşananları aktarıp, sürecin dondurulacağını kesin bir dil ile deklare etti. E posta yolu ile faturayı gönderip ivedi olarak mutabakat talep etti. Ceylan bir yanda hatta telefon hattında iken gelen e postayı açtı ve ekli e faturayı açtı, faturayı işleme derhal alacağını karşı tarafa bildirdi. Derhal ödeme servisine e postayı yönlendirdi. Her şeyi biliyordu, “kesinlikle inandırıcıydı” Ceylanı; mesai bitmeden hemen önce arayan kişi önemli tedarikçilerinin telefon numarası ile aramıştı, aslında verilen tüm bilgiler ceylanın kesin olarak bildiği, önemli bir kısmı da şirket içi bilgilerdi tereddüt etmeyi gerektirir bir şey yoktu. Yinede Ceylan çok dikkatli bir muhasebeciydi nasıl böyle bir hata yaparız diye sızlanarak tüm hesapları kontrol etmeye başladı. Ancak artık çok geçti. 

Zeki Bey anlamıştı, phishing (oltalama) “telefon üzerinden taşınan bir dolandırıcılık” ve olası bir kimlik avı e-postasını birleştiren hedef odaklı bir kimlik avı saldırısı.

Sosyal mühendislik yolu ile gerçekleştirilen saldırı; etkileme, zorlama, aldatıcı ilişkiler geliştirme, sorumluluğu, etik değerleri, dürüstlüğü ya da bağlılığı azaltma amacını güden yöntemler kullanarak kişileri gizli bilgi vermeleri veya erişim sağlamaları için aldatma sürecidir. Ayrıca sosyal mühendislik; “organizasyon güvenliğinin insanlarla etkileşime girilerek kırılmasıdır” şeklinde tanımlandığı gibi, “insanların ortak duygularındaki boşluklardan avantajlar elde etmek” şeklinde de tanımlanmaktadır. Sosyal mühendislik, normal şartlarda insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatdır. Teknoloji kullanımından çok, insanların hile ile kandırılarak bilgi elde edilmesidir. Sosyal mühendislik yönteminde insanları aldatarak çeşitli bilgiler elde etmek suretiyle sisteme zarar verme, verileri çalma ve sistemi ele geçirme amacı vardır. Oltalama yapma, Spam postalar, telefonla arama ve mesaj gönderme gibi yöntemler en sık kullanılan sosyal mühendislik yöntemleridir.

Şimdi olayı analiz edelim.

1-Arayan kişi telefon numarasını taklit etmiştir. Arama gerçekten bahsedilen şirketten geliyormuş gibi göstermiştir.

2-Bu aynı zamanda çağrının güvenli olduğuna, Ceylan’ın inanmasını sağladı. Siber saldırganların hedefleriyle güven başlatmak için kullandıkları temel araçlardan biridir.

3-Bir kuruluşu sosyal mühendislik saldırılarından korunmanın kolay bir senaryosu yoktur. Bilginin, eğitimin, izlemin ve tenazurun çok önemli olduğu asimetrik bir senaryodur. Bu örnekte şirketin bu süreçleri ihmal ettiği anlaşılacaktır.

4- Sosyal mühendislik, siber saldırganlar için cazip bir seçenektir. Maliyeti düşük, riski az ve ödüllü çok bir saldırı seçeneği olmaktadır. Bu saldırıda da öyle olmuştu, saldırganlar bir taraftan yüklü bir ödeme faturasını hedefe sunarak bu e-postayı en üst yöneticiler dahil açılmasını sağlayarak saldırı hedefine ulaşmıştır.

5-Güvenlik teknolojisi ilerlerken, insan kaynaklı açıklar aynı kaldı. Sosyal, kültürel ve psikolojik etkenlerden her bireyin farklı farklı etkilendiği varsayımı insan kaynaklı açıklardan yararlanma riskini taze tutmaktadır. Zeki bey ve Ceylan hanım bu süreçte pahalı bir öğrenme yöntemi yaşadılar.

6- Kuruluş çalışanlarının sosyal mühendislik saldırıları hakkındaki sürdürülebilir farkındalık eğitimleri eksikliği veya önemsizleştirmek risk faktörünü arttırmaktadır. Ceylan’a sunulan bilgiler kurum içinden sızdırılmış bilgiler mi? “Genellikle bu bilgiler internet sitelerinde ve sosyal medya hesaplarında yayınlanan bilgi ve paylaşımlardan elde edilir.” Kamuya açık bilgiler mi? “sıklık ile bu sorunun cevabı evettir” Bu saldırının bazı yönleri tahmin edilebilir mi? “Sosyal mühendislik saldırıları farkındalık eğitimleri ile muhtemel senaryolara vakıf olan çalışanlar saldırıyı tahmin edebilir. Bu tip durumlarda teenni ile davranış yöntemlerinin öğretilmesi ile riskler minimize edilebilir.” Potansiyel olarak önlenebilir mi? Tespit edilebilir mi? Siber güvenlik ekibi belirli riskleri ve potansiyel saldırı vektörlerini proaktif olarak belirleyip yönetebilme kabiliyeti var mı? “Bu üç soruya da evet diyebilmek için, siber güvenliğin paylaşılan bir sorumluluk olduğunu unutmamalıyız. Sistemlere, varlıklara ve bilgilere erişimi olan kişiler de bunların korunmasından sorumlu olduğu unutulmamalıdır. Bu sorumluluğu yerine getirmek için gerekli farkındalık ve becerilere sahip olunması halinde evet cevabı ile cevaplayabiliriz.”

Sosyal mühendislik etkileme sanatını iyi kullanıldığı az zaman az risk çok getiri yöntemidir. Sistem izinsiz erişimleri engellemek için birçok yazılım, şifreleme güvenlik önlemleri almaktadır. Bu nedenle bir sisteme giriş yapmanın en kolay yolu; sistem yöneticisinden yetki alarak sisteme dâhil olmaktır. Ne kadar güvenlik önlemi alınmış olursa olsun hiçbir sistem %100 güvenli değildir. İnsan psikolojisinden iyi anlamayı ve insanın zayıf anında manipüle etmeyi iyi bilen sosyal mühendisler aldatarak, ikna ederek ya da etkileyici tavırlarla en zayıf halka olan insan üzerinden, doğru taktik ve teknikler kullanarak saldırı gerçekleştirir. Hedef kişiyi hemen etkisi altına alarak istediği bilgiyi ele geçirir. Sosyal mühendislik saldırı türleri nelerdir. Devam edecek…