2. www.sparta.com.tr 2
Giriş
.......................................................................................
4
Sosyal
Mühendislik
..........................................................
6
Örnek:
.......................................................................................
9
Riski
Anlamak
...................................................................
9
İnsan
Zafiyetleri
.............................................................
13
Sosyal
Mühendisin
Hedefindeki
Personeller
Kimdir:
...............................................................................
15
Neden
Sosyal
Mühendislik
Saldırısı:
.......................
17
Sosyal
Mühendislik
Saldırılarında
İzlenilen
Adımlar:
.............................................................................
19
Örnek
Senaryo:
....................................................................
20
Sosyal
Mühendislik
Saldırısında
Kullanılan
Yöntemler
.........................................................................
23
Sosyal
Mühendislik
Saldırılarında
Kullanılan
Araçlar
...............................................................................
25
Parola
Güvenliği
ve
Güçlü
Parola
Oluşturma
Politikası
...........................................................................
26
Güçlü
Parola
Nasıl
Oluşturulur:
.....................................
28
Kurum’un
İçine
Girmek
...............................................
30
İşten
Ayrılan
Çalışanlar
....................................................
34
Çöp
Karıştırma
.....................................................................
38
Phishing
(Oltalama)
Saldırıları
.................................
41
Phishing
Saldırısının
Amaçları
Nelerdir:
....................
42
Phishing
Saldırı
Yöntemleri:
...........................................
43
Phishing
Saldırısına
Karşı
Alınması
Gereken
Önlemler:
...............................................................................
43
4. www.sparta.com.tr 4
Giriş
Bilgi güvenliği denince aklımıza önce sistemler veya web
uygulamaları gelse de güvenlik aslında insanla ilgilidir.
Korumaya çalıştığımız veri bir işletmenin müşteri listesi,
vatandaşların vergi bilgileri veya askeri sırlar olsa bile
özünde yapmaya çalıştığımız şey bilişim altyapısını onu
kullananlar ve ondan yararlananlar için daha güvenli hale
getirmektir. İnsan faktörü aynı zamanda en önemli tehdit
kaynağıdır. Kendi haline bırakılan sistemlerin güvenliğini
tehdit edebilecek unsurlar genelde mekanik arıza veya
su baskını gibi, yine bilgi güvenliği denildiğinde aklımıza
sonradan gelen şeylerdir.
Günümüzde karşı karşıya olduğumuz saldırıların çok
büyük bir kısmı insan kaynaklıdır ve aynı şekilde
sistemleri değil, onları kullanan insanları hedef alırlar.
Önemli güvenlik ihlaliyle sonuçlanan ve “başarılı” kabul
edilebilecek saldırıları incelediğimizde öncelikle hedef
alınan unsurun insan olduğunu görüyoruz.
Saldırganların hedef aldıkları sistemler üzerinde pek çok
teknik hata kaynaklı zafiyet olduğunu görüyoruz. Teknik
zafiyetleri istismar etmek belli bir düzeyde teknik beceri
ve bazı durumlarda kaynak gerektirmektedir. Ancak
hedef alınan sistemi kullanan kişiyi hedef almak çoğu
zaman daha az teknik beceri gerektirmektir.
Bir başka açıdan bakacak olursak da tespit edilen teknik
bir zafiyeti gidermek yayınlanacak bir yama veya
güncelleme ile oldukça kolaydır. Sosyal mühendislik
saldırılarının hedef aldığı zafiyetler ise insanın
5. www.sparta.com.tr 5
doğasından kaynaklandığı için “yama” veya
“güncelleme” ile giderilebilecek türden zafiyetler değildir.
Benzer şekilde teknik bir zafiyeti olduğunu bildiğiniz bir
sistemin önüne güvenlik duvarı (firewall) vb. bir güvenlik
çözümü koyarak zafiyetin istismar edilmesi
engellenebilir, ilgili sistemi kullanan insanı ise bir
güvenlik duvarına bağlamak mümkün olmayacaktır.
Bu ve kitapçık içerisinde ele alacağımız diğer
nedenlerden dolayı sosyal mühendislik siber saldırılar,
özellikle APT (Advanced Persistent Threat – Gelişmiş
Sürekli Saldırı) gibi yeni nesil saldırılar için de önemli bir
vektördür.
Bu çalışmanın içeriği güncellenmeye devam
etmektedir. İyileştirebilmemiz için tespit ettiğiniz
eksik/yanlışları bize bildirmenizi rica ederiz.
6. www.sparta.com.tr 6
Sosyal Mühendislik
Sosyal mühendislik teknolojiyi kullanarak ya da
teknolojiyi kullanmadan insanlardan bilgi
edinme(aldatma) sanatıdır. İnsanları kandırarak bilgi
etme ya da menfaat sağlama düşüncesi yeni değildir,
binlerce yıldır varlığını sürdürmektedir ve insanlar var
oldukça da varlığını sürdüreceklerdir. Bu tip saldırılar
günümüzde pek çok olanda yaygın olarak
kullanılmaktadır. Günümüzde aralarında bilim, sanat ve
iş dünyasından pek çok insanlarında hedef olduğu cep
telefonu dolandırıcılıkları güzel bir örnek oluşturabilir.
Ama bizim bu konuda ilgilendiğimiz kısım kurumumuza
yapılan sosyal mühendislik saldırılarına karşı bir
farkındalık uyandırmak.
Sistem güvenliğimizi sağlamak, kurumumuzun ağlarını
ve sunucularını güvenilir ve sürekli çalışır halde tutmak
için tedbir olarak en son teknolojiyle donatırız. Teknolojik
7. www.sparta.com.tr 7
anlamda sistemimiz her ne kadar sağlam duvarların
arkasında çalışır olsa da bu sistemimizi kullanacak olan
personeller unutulmamalıdır. Kurumumuzda çalışacak
olan bireyler işe alım sürecinde hangi bilgilerin kurum içi
mahrem olduğuna, şirket içi dâhili sürecin nasıl
işleneceği ya da hangi personelin (kurum içi hangi
bölümün) hangi bilgiye erişim yetkisi olabileceği
konusunda eğitimler verilmelidir. Sosyal mühendislik
saldırıları hedef olarak insanı alan kişinin açıklıklarından
faydalanarak gerekli bilgiyi toplamak üzerine yapılan
saldırılardır. Bu saldırılarda hedefteki kişinin
bilgisizliğinden, dikkatsizliğinden ve kişisel zaaflarından
(hedefteki kişi hakkında saldırılmadan önce araştırılma
yapılmışsa) faydalanılır.
Bu kişiler saldırılarda karşıdaki aktöre göre kendilerine
bir rol biçerler. Genel olarak saldırganlar arkadaş canlısı
davranıp iyi ilişkiler geliştirmeyi, kendini karşı cins olarak
tanıtıp etkilemek(genelde bu tip saldırganların hedefleri
erkektir) ya da ast üst ilişkisinden faydalanır (tabi ki bu
konuda birçok örnek verilebilir). Bu tip saldırıların tercih
edilmesinin sebebi; sisteme doğrudan saldırı yapıp vakit
kaybedileceğine kendilerine daha hızlı sonuç verecek
atakları geliştirmektir. Sosyal mühendislik saldırılarında
amaç; kurumun yapısı, kurumun ağ yapısı, müşteri
listesi, çalışan ya da yöneticiler kişisel bilgileri (adres,
telefon, kimlik numarası, personel numarası vs.) , kurum
içi dâhili numaralar, şifreler ve herhangi bir saldırıda
aleyhimize kullanılmak üzere ne varsa elde etmektir.
Trajikomik ama bu tip saldırılarda şifremizi bile bazen
kendi ellerimizle saldırganlara teslim ederiz.
8. www.sparta.com.tr 8
Aşağıda Amerika Birleşik Devletleri’nde 2001-2010
yıllarında gerçekleşen bilgisayar olaylarının türlerine
göre dağılımı verilmiştir.
Amerika’da yaşanmış olaylara baktığımızda bilgisayar
suçların da ilk 3 sırayı %21 lik oranla çalınmış diz-üstü
bilgisayarlar %16 ile hack olayları ve %13 ile Web
izlemektedir. Çalınmış bilgisayarlar, ortam ve sürücüler
%32’lik bir orana sahip. Ama bu olayların siber suç
kapsamında mı yoksa para için mi yapıldığını
bilemediğimiz için çalınmış donanımlar konusunda direk
Sosyal Mühendislik saldırısıdır diyemiyoruz. Ancak
yukarıda ki verilerden sosyal mühendislik teknikleri
kullanılarak gerçekleşen Hack ve Hile olaylarını
incelediğimizde karşımıza %24 lük bir oran çıkıyor ve bu
da gerçek anlamda çok yüksek bir oran.
9. www.sparta.com.tr 9
Örnek:
Soru: En güvenli bilgisayar kapalı bilgisayar
mıdır? Siz ofiste değilken kapalı durumdaki
bilgisayarınızdan bilgi çalınması mümkün müdür?
Cevap:
Maalesef mümkündür…
Saldırgan siz ofiste değilken, şirkete gelerek ya
da telefon açarak çeşitli sosyal mühendislik
teknikleriyle güvenlik görevlisi, sekreter ya da
temizlik görevlisine bilgisayarınızı açtırıp, bir dizi
komutlar girdirebilir.
Bu tarz saldırılara karşı şirketimizde güvenlik önlemleri
almak zorundayız. İleriki sayfalarda da birkaç
değineceğim kurumdaki herkes bilgi güvenliğinden
sorumludur cümlesini kurmamdaki sebep yukarıdaki gibi
güvenlik görevlisinden temizlik görevlisine, sekreterden
bilgi işlem personeline kadar herkesin “Saldırganın”
radarında yer aldığı gerçeğidir.
Riski Anlamak
Proaktif bilgi güvenliği olarak adlandırabileceğimiz sızma
testleri büyük ihtimalle bilgi güvenliği alanının en
eğlenceli işidir. Ne yazık ki iyi bir “hacker” olmak bilgi
güvenliği seviyesini artırmaya yeterli değildir. “Bilgi
10. www.sparta.com.tr 10
güvenliği özünde bir değişim ve risk yönetimi işidir”
cümlesi bir çok kişiye çok sıkıcı gelir ama güvenliğin bu
cephesini gözden kaçırırsak anlamlı bir güvenlik
mimarisine ulaşmamız mümkün olmaz.
Değişikliği ve riski yönetmek için bu iki kavramı anlamak
ve kuruluş bilişim altyapısına uygun olarak doğru şekilde
değerlendirmek gerekmektedir. Kuruluş bilişim
altyapısını oluşturan sistemlerin sürekli değiştiği
gerçeğini kabullenmemiz gerekiyor. Değişikliklerden
bazıları (örn: işletim sistemi güncellemesi) güvenlik
seviyesine olumlu etkide bulunurken bazı değişiklikler
(örn: kullanılan ofis yazılımında yeni bir zafiyetin
bulunması) güvenlik seviyesini olumsuz etkilemektedir.
İkinci örnekte görüldüğü gibi değişiklik aslına kuruluş ağı
veya sistemleri üzerinde bile olmamıştır ve tamamen dış
etkenlere bağlıdır.
Değişikliklere bağlı olarak kuruluş bilişim altyapısının risk
seviyesini ölçmek, takip etmek ve kabul edilebilir
seviyede tutmak için gerekli çalışmalar yapılmalıdır.
Sosyal mühendislik saldırılarının da kuruluş bilgi varlığını
hedef alan saldırılar olması nedeniyle bunlara karşı risk
seviyesinin anlaşılması gereklidir. Bu alanda taşınan
riskin ölçümünün zor olmasının başlıca sebebi soyut
kavramlarla karşı karşıya olmamızdır. Dan Borge’nin
“Riskin Kitabı” (The Book of Risk) eserinde ele aldığı ve
karar verme süreçlerimizi etkileyen sebepler sosyal
mühendislik saldırılarına kurban olmamıza sebep olan
nedenlerle aynıdır. Borge çalışmasında aşağıdaki
nedenleri ele almıştır.
11. www.sparta.com.tr 11
Aşırı güven: Olayların beklediğimiz doğrultuda
gerçekleşmesine olan güvenimiz bizi yanıltır. Geçmiş
tecrübelerimize veya elimizdeki sınırlı bilgilere dayanarak
bazı riskleri küçümseme eğilimiz karar verme sürecimizi
olumsuz etkiler. Bilişim altyapımızı koruyan “yeni nesil
güvenlik duvarı” gibi cihazlar veya bugüne kadar ciddi bir
güvenlik ihlali yaşanmamış olması kuruluş yöneticilerinin
bilişim altyapısını tehdit eden faktörleri küçümsemesine
neden olabilir.
İyimserlik: Kendi becerilerimize olan güvenimiz bazı
konulara iyimser yaklaşmamıza neden oluyor. Olayların,
süreçlerin veya sistemlerin kendi kontrolümüzde
olmalarını düşünmemiz nedeniyle bilişim sistemlerine
yönelik saldırıların bizi etkilemeyeceğini düşünebiliriz. Bu
düşüncenin bir uzantısı da “bize kimse saldırmaz” veya
“hackerlar benim şirketimi neden hedef alsın?” gibi
fikirlere sahip olunmasıdır. Aşağıdaki ekran
görüntüsünden de anlaşılacağı üzere solcu görüş ve
RedHack sempatizanı bir Twitter hesabı orta ölçekli
inşaat firmalarını hedef almaktadır. Bu hedefleri
seçmesinin başlıca nedeni saldırı kolaylığı ve başarı
oranının yüksek olmasıdır. Herhangi bir kuruluşun
kendisini herhangi bir anda kendini sosyo-politik bir kılıf
uydurulmuş bir siber saldırının ortasında
bulunabileceğini hatırlamakta fayda var.
12. www.sparta.com.tr 12
Olaylardan ders çıkartmamak: Bir sorunu atlattıktan
sonra geriye dönüp detaylı bir neden-sonuç veya kök
neden analizi yapmak genellikle adetimiz değildir. Bunun
doğal sonucu olarak da, özellikle siber güvenlik alanında,
aynı sorunla birden çok kez karşılaşıyoruz.
Kalıp aramak: İnsan yapısı gereği olayları birbirine
bağlayan kalıplar veya anlamlar arar. Bu anlam veya
bütünlük arama yaklaşımı olayları eksik veya yanlış
değerlendirmemize neden olmaktadır.
Eylemsizlik: Değişikliği çok sevmeyiz. Mevcut durumu
korumak değiştirmekten daha acılı/pahalı/riskli olmadığı
13. www.sparta.com.tr 13
sürece de değişiklik yapmayız. Sektörde yaygın olarak
kullanılan “çalışıyorsa dokunma” söylemi de bunu
destekler niteliktedir. Güvenlik konusunda bir karar
vermek veya değişikliğe gitmek ise kuruluşun başına bir
olay gelmediği sürece son derece yavaş ilerleyen bir
süreçtir.
Bilinmeyen korkusu: Bilmediğimiz şeylerden korkarız. Bu
konuya bir diğer bakış da “bildiğimiz şeylerden
korkmayız” olarak ifade edilebilir. Korkmak veya
korkmamanın ötesinde kabullenmek veya küçümsemek
olarak da ifade edilebilecek bu durum söz konusu
güvenlik olduğunda risk seviyemizin artmasına neden
olmaktadır. Trafik kazalarında ölümleri “normal”
karşıladığımız gibi zararlı yazılım gibi bazı tehditlere
alıştığımız için küçümseme eğiliminde olabiliriz.
Yukarıda bazılarını ele aldığımız nedenlerle kuruluş
personelini hedef alacak sosyal mühendislik saldırıları
yumuşak karnımızı oluşturmaktadır.
İnsan Zafiyetleri
Sunumlarımda iOS99 olarak adlandırdığım “insan işletim
sistemi” üzerinde bazı zafiyetler vardır. Bunların istismar
edilebilirlik derecesi kişiden kişiye değişiklik gösterse de
hepimizde bulunan temel zafiyetler şunlardır:
Komut verilebilir olmak: Toplum içinde büyümenin ve
yaşamanın getirdiği bir özellik olsa gerek başkasının bize
ne yapmamız gerektiğini söylemesine alışkınız. Özünde
etkili bir sosyal mühendislik saldırısı olan telefon
14. www.sparta.com.tr 14
dolandırıcılığı olaylarını incelediğimizde sürekli
karşılaştığımız tablo bunun bir kanıtı. Futbol kulübü
başkanından futbolcusuna, üniversite hocasından devlet
memuruna sayısız kişi kendilerini telefonla arayıp bir
miktar para isteyenlerin taleplerini harfiyen yerine
getirmiştir. Aklı başında herhangi biri bir miktar parayı
poşete koyup halka açık bir yerde çöp kutusunun içine
bırakmanın “aptalca” olduğunu söyleyebilir, ancak bu
yolla dolandırılanların sayısının her gün artması bize
bunun o kadar da kolay olmadığını göstermektedir.
Bilgisizlik: Bir konuda bilgimizin yetersiz olduğunu
düşündüğümüzde daha “uzman” veya daha “bilgili”
olarak gördüğümüz kişilerin söylediklerine uymak bize
daha kolay geliyor. Basit bir senaryo gibi görünse de “sizi
bilgi işlemden arıyorum...” türünde saldırganın “uzman”
kimliğini kullandığı saldırıların etkili olmasının nedeni bu
zaafımızdır.
İnanmak: Söylenenlere inanıyoruz. Nijerya’da insanlara
“prensim, 45 milyon dolar transfer etmek için bir banka
hesap numarasına ihtiyacım var” türündeki e-postaları
gönderenlerin sayısının binlerle ifade edilmesinin başlıca
sebebi bu; kurban bulabiliyorlar. İnanmaya hazır veya
meyilli olduğumuz bir konuda kandırılmamız daha kolay
oluyor. Buna verilebilecek uç örneklerin başında
“defineci” olarak adlandırabileceğimiz kişiler gelir.
Kendilerini define aramaya adamış ve bu yolla kazanç
elde etmeyi düşünen kişilere sürekli “define haritası”,
“2000 yıllık şarap” veya “işaret taşı” gibi şeyler satmaya
çalışan birileri vardır. Buna karşılık, bu alana ilgisi
15. www.sparta.com.tr 15
olmayan kişilere bu tür teklifler gelmez. Bize
sunulduğunu düşündüğümüz bir fırsata inanmamız o
fikre hazır olmamız kadar ihtiyacımıza da bağlıdır.
Sevilme isteği ve yardımseverlik: Başkalarının bizi
sevmesine ihtiyacımız var. Bu özelliğimize yakın olan
yardımseverliğin de katkısıyla sosyal mühendislik
konusunda önemli zafiyetlerimizden birisi ortaya
çıkmaktadır.
Sosyal Mühendisin Hedefindeki Personeller
Kimdir:
Kurumumuza yapılan saldırılarda, saldırganın
kurumumuzda kendine seçtiği bir hedef kitlesi vardır
bunlardan 5 tanesi aşağıda verilmiştir.
1. Direkt Ulaşılabilir Personeller: Bu personeller
direkt olarak müşterilerle ya da sağlayıcılarla
iletişime geçen personellerdir. Teknik servis
16. www.sparta.com.tr 16
elemanları veya çağrı merkezi çalışanları bu
grupta incelenir. Bu pozisyonda ki çalışanlarımız
sıkı eğitimlerden geçirilmelidir.
2. Üst Düzey Personeller: Kurumumuzda
pozisyonu gereği ayrıcalıklı yetkilere sahip olan
çalışanlar saldırganların en çok hedef almak
istediği kişilerdir. Kurum içerisindeki görevi gereği
bir takım gizli bilgilere sahip olan bu kullanıcıların,
saldırgan tarafından kandırılıp çeşitli bilgiler elde
edilmesi kurumumuza oldukça fazla zarar
verebilir.
3. Yardım Sever Personeller: Bu başlıktaki
personellerimiz kurum içinde, müşterilerine
yardım ve destek için yetkisinden çok daha
fazlasını kullanır. Ama bazen işler ters gidip
yardım etmek istediği müşterisi kurumumuza
sızmak isteyen saldırgan olabilir. Kurumumuz
içinde personellerin yetki sınırları belirlenip, bu
sınırlar içerisinde görevlerini yerine getirilmesi
gerektiği hatırlatılmalıdır.
4. İşe Yeni Başlayan Personeller: Kuruma yeni
başlayan personeller, sisteme erişim hakkı
bulunan fakat bunun tam olarak nasıl
kullanılacağını bilmeyen personeller ya da yardım
masası çalışanları işe saldırgan arasındaki farkı
ayıramayacak personeller kurum için oldukça
tehlikeli sonuçlar doğurabilir. İşe yeni başlayan
personellere sisteme erişim yetkisi verilmeden
önce sıkı eğitimlerden geçirilmeli ve bu eğitim
sonunda başarıya ulaştıktan sonra sisteme erişim
yetkisi verilmelidir.
17. www.sparta.com.tr 17
5. Kandırılmış ya da İkna Edilmiş Personeller:
Kurumumuzda hala aktif olarak çalışan fakat
şirketimize olan bağlılığı zayıflamış, işten
ayrılmayı düşünen personeller insani hırslardan
ya da karşı tarafın verdiği büyük vaatlerden
dolayı kurumumuza zarar verici bir eylemde
bulunabilir. Kurum içerisindeki diğer çalışanlar ve
insan kaynakları olumsuz davranışlar sergileyen
personelleri amirlerine rapor etmelidir.
Neden Sosyal Mühendislik Saldırısı:
Basit olarak üç sebebi verilebilir;
• İnsanlar kandırılma olasılığını çok düşük
olduğunu düşünür
• Kurumlar güvenlik önlemini teknik açıdan
yeterlilik olarak görür.
• Bilgi güvenliğinin en zayıf halkası İNSAN’ dır
18. www.sparta.com.tr 18
.
Yukarıda bahsedilen ikinci örnekte kurumların atladığı
husus her sistemi kullanan en az bir insanın
bulunmasıdır. Güvenliğin küçük bir yüzdesi teknik
yeterlilik ile sağlanıyor, büyük bir kısmı ise kullanıcı
sayesinde sağlanır. Saldırganlar her zaman kendileri için
en kolay yolu tercih ederler ve dolayısıyla saldıracakları
hedefi belirlerken gözlerini en zayıf halkaya dikerler. Bilgi
Güvenliği seviyesi belirlenirken de en zayıf halkaya
bakılır ve en zayıf halka ise İnsan
Faktörüdür(“İnsanların zaafı bilgisayarlardan
fazladır”) .
19. www.sparta.com.tr 19
Sosyal Mühendislik Saldırılarında İzlenilen
Adımlar:
Bilgi Toplama: Sosyal mühendisin yapacağı ilk iş budur.
Kurum hakkında internetten, gazetelerden hatta bazen
sizden kurum işleyişini ve kurum içinde kullanılan
argümanları öğrenir. Bunu yapmasının amacı sorulan
sorulara kısa zamanda doğru cevapları vermek ve kurum
içinde kullanılan argümanları sıkça kullanmaktır. Bu
şekilde inandırıcılığını artmasını sağlayabilir ve erişmek
istediği bilgiye hızlıca erişebilir.
İyi İlişkiler Kurmak, Güven Kazanmak: Saldırgan bu
evre de hedef olarak belirlediği kişi ile iş saatinde ve ya
iş saatleri dışında iyi ilişkiler kurmayı amaçlayabilir. İş
saatlerinde kişi ile güvene dayalı bir arkadaşlık kurmayı
tercih edebilir ve ya iş saatler dışında gelişen kişisel
ilişkileri istismar edebilir. Bunlardan bağımsız olarak
20. www.sparta.com.tr 20
kendini o bilgiye erişmek için yetkili kişi olduğuna ikna
edebilir ya da kendini güvenli bir kaynak olarak
tanıtabilir.
Güveni İstismar Etmek: Saldırgan artık kurum
hakkında yeterli bilgilere mevcut ve buna ek olarak ta bu
bilgileri kullanarak şirket içinde kendine gerekli bilgileri
sağlayabilecek güvenini kazandığı birilerini buldu. Artık
tek yapması gereken özenle hazırladığı soruları
hedefteki personele özenle yönelterek ondan gerekli
bilgileri toplamaktır.
Bilgiyi Kullanma: Kurban tarafından edinilen bilginin
tutarlılığına bakılır. Eğer bilgi istenilen bilgiyse saldırı
amacına ulaşmıştır ve bilgiyi lehine kullanmaya
başlayabilir. Saldırı amacına ulaşmamış ise önceki
evrelere dönerek istenilen bilgiyi tekrar elde etmeye
çalışır.
Bir kurumda işe yeniş başlayan personeller işe başlama
sürecinden önce bilgi güvenliği eğitimlerinden
geçirilmezse ve bu eğitimlerden gerekli görülen
yeterliliğe ulaşmadan işe başlatılmışsa kurumumuz için
büyük bir risk oluşmuş demektir. Aşağıdaki örnek
senaryoda işe yeni başlayan bir personele yapılan
Sosyal Mühendislik saldırısını inceleyelim.
Örnek Senaryo:
- İyi günler ben pazarlama bölümünden Ayşe.
- Merhaba Ayşe, ben Bilgi İşlemden Mehmet.
- Evet Mehmet Bey?
21. www.sparta.com.tr 21
- İşler nasıl gidiyor, şirkete alıştın mı?
- Şeyy alışma sürecim biraz sıkıntılı gidiyor galiba,
buradaki herkese sürekli sorular sorup bunaltıyorum ama
en kısa sürede bu süreci atlatacağım
- Tabii ki de, Şuan da senden baya memnun olduklarını
duydum orada baya seviliyorsun hiç merak etme en
yakın sürede Pazarlama bölümünün yıldızı olursun.
- Çok teşekkür ederim, siz niçin aramıştınız?
- İşe yeni başladığın için sana şirket içi güvenliğin nasıl
sağlanacağını anlatacağım, Müsait misin?
- Tabii ki de çok memnun olurum.
- Çok iyi, öncelikle Ayşe şirket dışından getirilen DVD,
usb gibi şeyleri bilgi işlemin izni dâhilinden
bilgisayarımıza takmıyoruz, internetten yine bizim iznimiz
dâhilinde olmadan herhangi bir program kurmanız şirket
politikası gereği yasak. Şirket içi yada başka şubelerden
aradığını söyleyen personellerin dahili numarasını alıp
arama kayıtlarını kaydediyoruz. E-posta eklerine karşıda
dikkatli olmamız gerek. Şirket E-posta adresini biliyorsun
dimi?
- Evet, ayse@herhangibirkurum.com.tr
- Peki, kullanıcı adı olarak ismini mi kullanıyorsun?
- Hayır, ayşe_85 kullanıyorum
22. www.sparta.com.tr 22
- Çok iyi birde son olarak şifrelerimizi 50 günde bir
düzenli olarak değiştirmemiz gerekiyor şifrelerimize özel
karakter, sayı ve harf kombinasyonu kullanman gerek
kullanıyor musun?
- Hayır kullanmıyorum.
- Bunu değiştirmemiz gerekebilir şuan da kullandığın
şifre nedir
- Şifrem xxxx
- Anladım Ayşe bu şifreyi değiştirmen gerek en kısa
sürede, Eğer bir sorun yoksa ben diğer işlere bakayım
burada işler biraz karışıkta ama herhangi bir sorun
çıktığında derhal arayabilirsin hemen yardımcı oluruz.
-Çok teşekkür ederim yardımlarınız için Mehmet Bey, iyi
günler.
- İyi günler.
Örnek Senaryo
Saldırgan hedef aldığı kurumdaki personellerin takıldığı
kafe, spor salonları ve ya yemek yediği lokantalar gibi
yerlerde ilgi çekici sahte bir kampanya ile ilgili broşür
dağıtır. Kampanya ile ilgili detaylı bilgi almak isteyen
personeller bir siteye yönlendirilir ve karşılarına çıkan
sitede kampanyadan yararlanmak için siteye kayıt
olmalarını ister. Hedefteki personellerimiz bu siteye kayıt
olur. Buraya karşı her şey normal görünüyor ama
bilinmeyen bir şey var ki biz insanlar parola oluşturmada
23. www.sparta.com.tr 23
fazlasıyla üşengeç davranıyoruz ve her kullandığımız
site ve ya sistemlere de bu şifrelerle giriş yapıyoruz. Ve
sonuç olarak kurumumuzun belki de altın anahtarı
sayılabilecek olan personel şifrelerini kendi ellerimizle
saldırgana teslim etmiş oluyoruz.
Sosyal Mühendislik Saldırısında Kullanılan
Yöntemler
Sosyal mühendislik saldırılarında bilgi etmek bazen
yukarıda ki gibi kolay olabiliyor. Birinci örnekte de
gördüğümüz gibi en başta güven kazanmaya hal hatır
sorarak başladı ve sonrasında onu överek kendi
tuzağına iyice çekti(herkes başkalarının kendisini
övmesini sever biraz poh pohlanmak hoşuna gider
insanların). Peki, aynı durum sizin başınıza gelseydi ne
yapardınız? Şirket içinde işe yeni başlayan personeller
yeterli eğitimlerden geçirilmezse bir saldırgan sizin
yerinize bu eğitimi verebilir ama çok ufak bir farkla artık
sisteminiz de rahatça dolanabilecek bir şifre vardır.
Bu saldırılarda sıkça kullanılan yöntem aşağıda
verilmiştir.
• Kurumun herhangi bir bölümünde ki çalışan gibi
davranmak
• Üst düzey yetkili gibi davranmak
• Yardıma ihtiyacı olan bir personel gibi davranmak
• Kendini acındırmak
24. www.sparta.com.tr 24
• Omuz sörfü
• Personele içinde zararlı yazılım bulunan bir usb
bellek hediye etmek
• Kurbanı zararlı olan bedava bir yazılımı
indirmeye ikna etmek
• Güven kazanmak için şirket içi terimler kullanmak
• Onu önceden tanıyormuş gibi yapmak
• Karşı cinsi etkilemeye çalışmak
• E-Posta ekinde keylogger ya da trojen gibi zararlı
yazılımlar göndermek
• Kullanıcının yeniden parola bilgilerini girmesini
sağlayan sahte pencereler açmak
• Kendini Emniyet, İstihbarat mensubu gibi
tanıtmak
• Teknik destek sağlamak için aradığını ve belli
başlı adımları izlemesi gerektiğine ikna etmek
• Kurumun içerisine fiziksel olarak sızmak
Sosyal mühendislerin kullandığı en sık kullanılan
yöntemler yukarıdaki gibidir. Saldırganlar kendilerine
bunlar gibi yüzlerce yöntem belirtebilir. Kurum içi
personellerimizin bu gibi süreçlerde özellikle dikkat
etmesi gereken birkaç durum vardır.
25. www.sparta.com.tr 25
Sosyal Mühendislik Saldırılarında Kullanılan
Araçlar
Sosyal mühendislik saldırılarında saldırgan her zaman
telefonla ya da kurumun içine sızarak tek başına bir
şeyler yapmaz. Sosyal mühendisimizin ihtiyacına göre
kullanacağı bir takım araçlar mevcuttur. Örnek olarak bir
kuruma fiziksel olarak sızmış saldırgan yönetici
konumdaki personelin bilgisayar ile klavye arasına fark
edilemeyecek kadar ufak bir usb keylogger yerleştirebilir.
Tabi bunun bir takım riskleri vardır, kaydedilen şifreleri
görmek için tekrar kuruma sızıp usb keyloggerı alması
gerekir. Ya da başka bir örnek vermek gerekirse
saldırganımı kurumda çalışan üst düzey personellerden
birine ortam dinleyicisi görevi gören bir Mouse ya da
Kamera görevi gören şık ve pahalı bir kalem hediye
edebilir. Bunun gibi akla gelmeyecek kadar yaratıcı
birçok araç piyasada mevcut ve düşük bir ücret
karşılığında herkesin sahip olabileceği şeyler. Özellikle
büyük ölçekli şirketler ve kurumların bu gibi araçlara
karşı ciddi güvenlik önlemleri alması gerekmektedir. Bu
araçlardan bazıları aşağıdaki görselde verilmiştir.
27. www.sparta.com.tr 27
Sosyal Mühendislik saldırılarında, belki de en çok elde
edilmek istenen bilgi kurumun kullandığı sisteme ya da
OWA gibi kurumsal e-posta adreslerine erişimini
mümkün kılacak parolaları ele geçirmektir. Saldırganlar
kitapçığın başında da bahsettiğimiz gibi kendileri için en
pratik olan yolu tercih ederler. Sistemi kırmak ya da
Brute Force atakları yaparak şifre elde etmek daha çok
zaman alacak eylemler olduğu için ilk olarak şifreyi
sizden elde etmeye çalışacaklar. Bu başlıkta
değineceğim konu Sosyal Mühendislik ve Brute Force
saldırılarına karşı nasıl önlemler alacağımızla ilgilidir.
Saldırganlar kitapçığın başında da bahsettiğim ve
örneklendirdiğim çeşitli yollarla şifrelerinizi ele geçirip,
kurumunuz sistemine sızabilir. Ama saldırganlar
örneklendirdiğimiz saldırlar da başarıyı ulaşamaz ise bir
sonraki adımları olan şifrenizi kırma aşamasına
geçmektir. Bu saldırılarda ki başarılar inanılmaz
derecede iyidir örnek vermek gerekirse; 15 Temmuz
2015 de hacklenen Ashley Madison adlı arkadaşlık
sitesine ait parolalar yayınlandı ve çalınan 11 milyon
parola üzerinde yapılan incelemelerde en sık kullanılan
ilk 3 parola şu şekildedir;
1. 120 bin kişi ile “123456”
2. 48 bin kişi ile “12345”
3. 39 bin kişi ile “password”
Yukarıda listelenen şifrelere baktığımızda Brute Force
saldırısında kullanıcılara sadece bu 3 şifre ile deneme
yapsak 207 bin kişinin hesabını ele geçirmiş oluyoruz.
İnsanlar bazen parola oluşturma gibi konuda bu kadar
28. www.sparta.com.tr 28
özensiz davranıyor, bu tarz parolalar oluşturmak
hırsızlara karşı kapısı ve penceresi açık bırakılmış bir ev
kadar güvenlidir. Kurumlar içersin de bir şifre politikası
olmalıdır ve güvenli şifre oluşturmak zorunlu bir görev
olmalıdır.
Güçlü Parola Nasıl Oluşturulur:
• En az 8 karakterden oluşturulmalıdır.
• Harfler ve özel karakterlerin (“^, +, %, &, /, (, $, ],
*, ?, _, -”) kullanılması zorunlu olmalıdır.
• Parolalarda büyük ve küçük harf kullanımı
zorunlu olmalıdır
• Parolalarımızda kişisel bilgiler (eşimizin adı,
çocuğumuzun adı, doğum tarihi vb.) bilgiler
bulunmamalı
• Parolalarımızda ünlü isimler, film adları ve
karakter isimleri (frodo, batman, messi)
bulundurulmamalıdır
• Bütün fabrika çıkışlı parolaları değiştirin
• Kullanıcılarınızın parolalarını yönetmelerini
kolaylaştırın. Parola yönetimi yazılımı kullanmak
farklı sistemler için farklı parola kullanmalarını
kolaylaştıracaktır
• Kullanıcılar tarafından belirlenen parolaların zayıf
olabileceğini kabul edin. Parola politikalarını
belirlemez ve bunların uygulanması için gerekli
teknik önlemleri almazsanız kullanıcılar her
zaman basit parola kullanmayı tercih edecektir.
29. www.sparta.com.tr 29
• Otomatik olarak atanan parolaların da sorunlu
olabileceğini kabul edin. Bilgisayar tarafından
oluşturulan süper karmaşık bir parola güzeldir
tabii ki ama hatırlaması zor olacağından
kullanıcıların bunu bir yere not edebileceğini
düşünmemiz gerekir. Bu nedenle otomatik olarak
oluşturulan parolaların daha kolay
hatırlanabilmesini sağlayacak bazı kurallar
belirlemekte fayda olabilir
• Kullanıcı ve yetkili hesapları farklı yönetin.
Kullanıcıların güçlü parola kullanması yeterli
olabilir belki ama yetkili hesaplara girişin iki
kademeli bir doğrulama ile yapılması uygun
olacaktır
• Hesapları kilitleyin. Belli bir sayıda yanlış parola
denemesi yapıldığında hesabın kilitlenmesini
sağlayın. Bunun dışında giriş denemeleri ve
benzeri saldırgan davranışları da izleyecek bir
sistem kurulmalıdır
• Parolaları düz metin olarak tutmayın. Her hesap
için tekil olan bir girdi (salt) ile birlikte hash
değerlerini tutun
30. www.sparta.com.tr 30
Kurum’un İçine Girmek
Sosyal mühendislik saldırılarında saldırgan bazen
fazlasıyla risk alıp kurum içine kadar gelebilir.
Şirketimizin içine kadar giren bir saldırgan oldukça
tehlikeli sonuçlar doğurur. Örnek vermek gerekirse
şirketimizin ağına bilgisayarını doğrudan bağlayabilir,
gizli dosyaların bulunduğu odalara girebilir,
kurumumuzun üzerinde çalıştığı bir projeyle ilgi bilgi
toplamayı amaçlayabilir, şirket içinde sonradan
kullanmak üzere kendine yakın arkadaşlıklar edinebilir
veya personel masalarının üzerinde duran bilgisayar
yâda sisteme giriş için kullanılan kullanıcı adları ve
şifrelerini alabilir(bunu hemen hemen her şirket de
görmek mümkün) .Bunlar olabilecek binlerce tehlikeden
birkaç tanesi. Bu saldırılarda saldırgan şirket içine
girmek için kullandığı yöntemlerden bazıları ise;
• Kendini şirketin iş ortaklarından biri olarak
tanıtma
31. www.sparta.com.tr 31
• Kuruma bir satış elamanı olarak girmek
• Personel kartını işe gelirken unuttuğunu ve acil işi
olduğu söylemek
• Personel kartlarının kopyasını yapmak
• Kuruma giriş için gişe kullanılmayan yerlerde
çalışanların arasına karışarak girmek
• Eski çalışan olarak girmek
• Şirketimizin personellerinden biriyle olan iyi
ilişkilerini bahane ederek ziyaretçi olarak girmek
Şirketler bu saldırılardan korunmak için sıkı bir güvenlik
önlemi uygulamaları gerek. Örnek vermek gerekirse bu
önlemler;
• Kurum içinde personel kimlik kartı takmanın
zorunlu olması
• Kurum içine girerken elektronik kartlarla
turnikeden giriş yapılması ve personel kimliğini
unuttuğunu iddia eden kişilerin amirlerin izini
dâhilinde kuruma alınmalı ve olay rapor edilmeli.
• Gelen ziyaretçilerin kimlik bilgilerinin
tutulması.(Herhangi bir olumsuzlukta kişiyi
bulmamıza yardımcı olur)
• Kendini ziyaretçi, iş ortağı ya da malzeme
tedarikçisi olarak tanıtan kişilerin muhatabından
onay alınarak kurum içine sokulmaları
32. www.sparta.com.tr 32
• Şirket içinde personel kimlik kartı taşımayan
kişilerin sorgulanması.
• Ziyaretçilere bir refakatçinin eşlik etmesi
Gibi önlemler bizi olabilecek tehlikelerden asgari tutarda
korur. Daha öncede değindiğimiz gibi kurum içinde bir
güvenlik politikası oluşturulmalı ve çalışanların düzenli
olarak eğitimden geçmeleri gerek. Özellikle de belirtmek
gerekirse kurum içinde hemen hemen her odanın
anahtarına sahip olan güvenlik görevlilerin bu tip
saldırılara karşı iyi eğitilmiş olmaları gerekir. Bir
saldırganın kurumumuz içine sızdığında oluşabilecek
riskler;
• Çalışanların, unutmamak için çalışma alanlarına
astığı şifreleri çalabilir.
• Şirketin dâhili ağına bağlanıp, internet trafiğini
izleyebilir.
• Omuz sörfü vasıtasıyla kullanıcı adı ve şifreleri
elde edebilir.
• USB keylogger gibi sosyal mühendislik
saldırılarında kullanılan araçları, kurumun kritik
görevindeki personellerin bilgisayarlarına
takabilir.
• İleride yapacağı saldırılarında kullanmak üzere
personelleri tuzağa düşürebilir
• Şirketin gizli belgelerine erişebilir.
33. www.sparta.com.tr 33
Örnek Senaryo:
Geçenlerde kendim yaşadığım bir olaydan örnek
vereyim. Türkiye’nin önde gelen radyo kanallarından
birinde haber spikeri olarak çalışan arkadaşı mı ziyarete
gittim ve kurum içine girerken ziyaret ettiğim de
arkadaşımı aradılar ve ziyareti onayladıktan sonra
kimliğimi alarak bana bir ziyaretçi kartı verdiler. Bu tarz
kanallarda genel olarak herkes birbirini tanır ve içeride
samimi bir ortam vardır. Ziyaret ettiğim kanalda aynı
şekildeydi ama yine de kurum içinde personel kimlik
kartını herkes taşıyordu buraya kadar her şey normal
olması gerektiği gibiydi. Arkadaşımın kullandığı oda da
telefonu şarj edebileceğim bir yer olup olmadığını
sordum ve asistanın bilgisayar masasının bulunduğu
yerde şarj edebileceğimi söyledi. Tam prize yönelip
telefonumu şarj edecektim ki kafamı kaldırdığım da
bilgisayarın yanında ufak bir not gördüm. Notu
incelediğim de kanala ait internet sitesinin admin paneli
uzantısı ve oraya erişim hakkı olan 2 kullanıcı adı ve
parolası yazıyordu. Tabi ki bunu hemen arkadaşıma
bildirdim ve bunun şirket için büyük riskler
oluşturabileceğini aktardım.
Ya o notu ben değil de kurum içine sızan bir saldırgan ya
da işten ayrılmayı düşünen bir personel görseydi?
Birçok şirket de ki çalışanlar kullanıcı adını ve
parolalarını unutmamak için bilgisayarın üstüne not
ederler. Ama buna erişim hakkı olmayan çalışanlar ya da
kurum içine davetli ya da davetsiz(Sosyal Mühendis) bir
34. www.sparta.com.tr 34
şekilde giriş yaptıktan sonra bu tarz notları istismar
edebilir. Personellerimizin bu tarz notları herkese
görünür şekilde bulundurmamaları konusunda uyarmak
gerekir.
İşten Ayrılan Çalışanlar
İşten ayrılan personeller bazen kurum için oldukça büyük
riskler taşır. Bu personeller rakip firma lehine çalışarak
ya da direk kendisi kuruma olan kızgınlığından ötürü
zarar verici davranışlarda bulunabilir. Bu personeller
şirket içindeki işleyişi, parolaları, hangi bilgiyi kimden
bulabilecekleri vs. bilgisine sahip oldukları için, insan
kaynakları işten ayrılan personele karşı bir takım şirket
kuralları oluşturmaz ise şirkete oldukça kötü sonuçlar
doğurabilir
“Ayrılan personellere ait hesapların yönetimi belli
risklerin oluşmasına neden olabilmektedir. Bu riskleri
eski personelimizin arada bir şirket e-postalarını
okumasından kapatmadığımız bu hesabın bilgilerinin
saldırganlar tarafından ele geçirilip kullanılmasına kadar
geniş bir yelpazede sıralayabiliriz. İntermedia şirketi
tarafından yayınlanan bir raporda eski çalışanların
35. www.sparta.com.tr 35
%89’unun önceden çalıştıkları şirketin Dropbox, e-posta,
Sharepoint gibi önemli hesaplarına ulaşabildiklerini
göstermektedir. Aynı rapor eski çalışanların %49’unun,
ayrıldıktan sonra, şirket kaynaklarına eriştiklerini de
göstermektedir.
Ayrılan personelin oluşturabileceği risklerin bir bölümünü
ortadan kaldırmanıza yardımcı olabilecek bir kontrol
listesi derledim.
Genel olarak unutulmaması gerekenler
Bu liste tabii ki uzatılabilir (veya şirketinizin durumuna
göre kısaltılabilir) ama temel olarak gözden
kaçırılmaması gerekenler arasında sayabileceklerimiz
şunlardır;
• E-posta adresini kapatın
• E-posta adresini aynı işi yapan birine yönlendirin
• E-postaların yedeğini alın
• E-posta adresini e-posta
listelerinden/gruplarından çıkartın
• Ayrılan personelin adını internet sayfasından
kaldırın
• Ayrılan personelin adını telefon defterinden
kaldırın
• Bilgisayara erişimini kapatın
• Kurumsal kaynak planlama (ERP) yazılımına
erişimi kapatın
• Dahili telefonunu başkasına yönlendirin
• Ofis anahtarını alın (dostça ayrılmadıysanız kilidi
değiştirin)
• Giriş kartını alın ve iptal edin
36. www.sparta.com.tr 36
• Laptop’u geri alın, diskin imajını alın, formatlayın
• Şirket hattı/telefonunu alın
• Şirket kredi kartı/fatura kartını alın
• Şirkete ait fotoğraflı kimliği alın
• VPN uzaktan bağlantı hesaplarını kapatın
• Videokonferans, vs. Yardımcı hizmetlerdeki
hesapları kapatın
• Giriş yetkisi olan bütün uygulamalardaki
kullanıcılarını kapatın
• Şirkete ait sosyal medya hesaplarına erişimini
kapatın
• Kablosuz ağ parolasını değiştirin
Ayrılan kişinin yetkili kullanıcı olması durumunda
Bilgi teknolojileri altyapımız üzerinde belli yetkileri olan
personelin ayrılması durumunda yukarıdakilere ek olarak
şunları hatırlamakta fayda olacaktır;
• Veri tabanı kullanıcılarını kapatın
• Uygulamalardaki yönetim/teknik destek
hesaplarını kapatın
• Ortak parola kullanılan uygulamaların parolalarını
değiştirin
• Ağ cihazı (router, modem) parolalarını değiştirin
• Güvenlik cihazı (firewall, IPS/IDS) parolalarını
değiştirin
• Jenerik olarak kullanılan parolaları değiştirin ve
yeni bir jenerik parola belirleyin
• Test kullanıcılarının parolalarını değiştirin
Bunların dışında göz önünde bulundurulmasında fayda
olacak bir kaç nokta şunlar olabilir;
37. www.sparta.com.tr 37
• Ağ üzerindeki kullanıcı hesaplarını düzenli olarak
denetleyin
• Ayrılanların isimlerinin Bilgi İşlem birimine derhal
bildirilmesini sağlayın
• Ortak kullanıcı kullanmayın (hiç bir uygulamanın
tek kullanıcısı olmasın) ”
38. www.sparta.com.tr 38
Çöp Karıştırma
Çöp karıştırma, saldırı esnasında işe yarar bilgiler
bulmak için hedefteki kurum veya kişinin çöpünü
karıştırmadır. Genellikle kurumun, kurum sınırları dışında
kullandığı çöpler tercih edilir. Bu saldırılarda saldırganın
girdiği risk hemen hemen yok denecek kadar azdır (bir
tek birazcık kirlenme riski vardır ), çünkü kurum dışına
attığımız çöpler halka açık alanlarda bulunuyorsa çöp
dalışı tamamen yasaldır,kişiler ve kurumlar çöplerinden
kendileri sorumludur. Çöp bidonları kurum sınırları
içerisinde bulunmalı ve dışarıdan erişime mutlak kapalı
olmalıdır. Aksi takdirde çöp kutumuzdan faydalanmak
üzere hali hazırda bekleyen saldırganlar ve rakip
firmanın elemanları çöpünüzden menfaat sağlayabilir.
Çöplerimizi atarken de kurum içinde belli başlı kurallar
olması gerekir. Mesela kağıtlar mutlaka okunamayacak
derecede ayrıştırmalı yada kurum için önemli bilgileri
içeren taşınabilir veya sabit sürücüleri verileri tamamıyla
okunamaz hala gelmeden çöp bidonlarına terk
etmemeliyiz.
39. www.sparta.com.tr 39
Bizim bilinçsizce attığımız çöpler düşmanlarımızın
hazinesi olabilir. Peki bu saldırganlar bizim çöplerimizde
neler arıyor birkaç örnek vermek gerekirse;
• Çalışan bilgileri
• Şifreler
• İmla hatasından dolayı atılan raporlar
40. www.sparta.com.tr 40
• Güncelliğini yitirmiş telefon rehberi
• Müşteri listeleri
• Faturalar
• Girilecek ihale ile ilgili bilgiler
• Şirket içindeki donanımların kullanım kılavuzu
• Projelerimiz, programlarımız ve cihazlarım
hakkındaki dokümantasyonlar
Yukarıda örnekleri verilen bilgiler çalışan güzünden işe
yaramaz, güncelliğini yitirmiş ve önemsiz gözükebilir
ama saldırganın gözünde bu bilgiler bulunmaz nimettir.
Bir zamanların FBI tarafından en çok aranan listesinde “
ilk hacker ” olarak yer alan Kevin Mitnick ’in çöp dalışı
hakkındaki sözleri aşağıda verilmiştir.
“ Yeni rehberlerin çıktığı akşamlarda çöp ziyaretleri
yapardım, çünkü çöp bidonlarında düşünmeden atılmış
yığınla eski rehber olurdu. Başka tuhaf zamanlarda da
bazı ilginç bilgi cevherleri içerebilecek not kağıtları,
mektuplar, raporlar gibi şeyler bulmak için giderdim.”
41. www.sparta.com.tr 41
Phishing (Oltalama) Saldırıları
Phishing İngilizce “Password” ve “Fishing” kelimelerinin
birleşmesiyle oluşan ve Türkçe ‘ye oltalama saldırı
olarak geçen son zamanların en popüler Sosyal
Mühendislik saldırılarındandır.
Saldırganlar, saldırı esnasında kullanabilecekleri olan
bilgiyi çok çeşitli Sosyal Mühendislik yöntemleriyle elde
etmeyi deneyebilir. Bu saldırı tiplerinden belki de
günümüzde en popüler olan saldırı tipi “phishing” dir.
Saldırganlar bu saldırıda, kurbanına e-posta yollayarak
saldırıyı gerçekleştirmektedir. Bu e-postalar, kurumun
42. www.sparta.com.tr 42
herhangi bir bölümünden ve ya kurbanın aktif olarak
kullandığı güvenilir bit siteden geliyormuş gibi gözüken,
kurbandan kişisel bilgilerini girmesini, ilgili bağlantıya
gidip formu doldurmasını ve ya zararlı yazılım içeren
ekteki dosyayı indirmesini ister. Kurbanın doldurduğu
forum araçlığıyla ya da sistemine bulaştırdığı zararlı
yazılım vasıtasıyla, bilgileri çalmayı amaçlar.
Phishing saldırıları genel kapsamlı, rastgele olarak
yapılan saldırılardır. Saldırganların hedef olarak
belirlediği kuruma yaptığı oltama saldırılarına “Spear
Phishing (Hedef Odaklı Oltama)” saldırı denir. Hedef
odaklı oltalama saldırısında, saldırgan hedef kurumun
ticari sırları, finansal verileri ve ya bu tür bilgileri
kendisine sağlayabilecek olan bir kullanıcı adı ve şifreyi
ele geçirmeyi amaçlar. Klasik phishing saldırılarından
farklı olarak, spear phishing saldırılarından hedef kurum
ve personellerini araştırırlar. Kurum içerisinde kullanılan
sistemleri araştırabilecekleri gibi, hedef seçtikleri
personellerin çeşitli sosyal medya hesaplarını inceleyip,
onların hobileri ve ya ilgisini çekebilecek olan bilgileri
toplar. Elde ettikleri bilgiler ışığında hedefe özel, phishing
mail ve ya açılabilir pencere oluştururlar.
Phishing Saldırısının Amaçları Nelerdir:
• Kimlik bilgilerinin çalınması
• Fikri mülkiyet
• Ticari sırlar
43. www.sparta.com.tr 43
• Kurum içi mahrem bilgiler
• Finansal veriler
• Kullanıcı adı ver Şifrenin çalınması
• Kullanıcı hesap numaralarının çalınması
• İnternet bankacılığı şifrelerinin çalınması
• Kurumun sistemine zararlı yazılım bulaştırılması
Phishing Saldırı Yöntemleri:
• Klonlanmış mail sistemi ya da kurum otomasyon
sistemi ile personel kullanıcı adı ve şifrenin
çalınması
• Zararlı yazılım bulunan ekler indirtmek
• Herhangi bir büyük ödül kazandınız vaadiyle
kişisel bilgilerini çalma
• Bankadan gibi gelmiş gözüken, hesap bilgilerinizi
yenilemenizi isteyen e-postalar
Phishing Saldırısına Karşı Alınması Gereken
Önlemler:
• E-postanın kimden geldiğinden emin değilseniz
dikkate almayınız, hiçbir kuruluş sizden e-posta
yoluyla kişisel bilgilerinizi istemez.
44. www.sparta.com.tr 44
• Güvenli olmadığını düşündüğünüz ve halka açık
olan internet ağlarından elektronik işlem
gerçekleştirmeyin.
• İnternet adresi olarak ip değeri barındıran sayısal
değerler ile karşılaşırsanız mutlaka dikkat edin.
• Gelen e-postalarda maili gönderen ve
yönlendirdiği internet adresi gibi bilgilere mutlaka
bakın.
• Bilgisayarınızın güncelleştirmelerini ve güvenlik
yamalarını her zaman kontrol edin ve mutlaka
anti virüs programı kullanın.
• Şüpheli gördüğünüz e-posta ve linkleri mutlaka
bilgi işlem personeline bildirin.
• E-postalarda ki kısaltılmış URL (bit.ly,goo.gl ve
tinyurl.com) adreslerine kesinlikle tıklamayın.
• Şüpheli ve ya bilmediğiniz web sitelerine kişisel
bilgilerinizi kesinlikle vermeyiniz.
• SSL sertifikası güvenli ve kullanıcı ile sunucu
arasındaki veriyi 128 bit ile şifrelenmiş bir web
sitede işlem yaptığınızı gösterir.
45. www.sparta.com.tr 45
Not: Saldırganlar bazen yaptığı klon sitelerde
SSL sertifikası da bulunabilir. En iyi çözüm
internet adresini, adres çubuğuna el ile girmemiz.
46. www.sparta.com.tr 46
3 Adımda Spear Phishing Saldırı:
1. Saldırgan öncelikle kullanıcı adı ve parolayla giriş
yapılabilen, hedef kurumun kullandığı mail
sistemi, otomasyon sistemi ve ya bankaların web
sitelerinin sahtesini yapar ve ya zararlı yazılım
bulunduran sahte bir mail hazırlar.
2. Saldırgan çeşitli bilgi toplama araçları kullanarak
hedef kurumdaki personel mail adreslerine ulaşır
ve mail listesindeki personellere phishing maili
yollar.
47. www.sparta.com.tr 47
3. Kurbanların sahte sayfa girerek kişisel girmelerini
ya da kötücül yazılım bulunduran e-posta ekini
açarak sistemlerine bulaştırmalarını bekler.
Örnek Senaryolar:
1. Aşağıda ki örnekte Turkcell Fatura Ödeme
adresinden geliyormuş gibi gözüken ve “Ekim
faturanız indirmek için hazır” başlıklı mail son
zamanlarda sıkça rastladığımız phishing maildir.
Bu mailin yönlendirdiği adresi incelediğimizde
www.remont-kotlow-04.ru adresine
yönlendirdiğini görüyoruz. Bu gibi gelen maillerde
muhakkak yönlendirdiği maile dikkatli bir şekilde
bakmalıyız. Çünkü saldırganlar yukarıda ki gibi
alakasız bir adres kullandıkları gibi turkcel.com,
turkcelll.com veya turkcell.corn gibi göz
48. www.sparta.com.tr 48
yanılmasına yol açabilecek sahte adreslere de
yönlendirebilirler. Bu tarz mailler alındığında
mutlaka gelen e-postayı bilgi işlem departmanı
yetkililerine bildirilmelidir.
2. Aşağıda ki örnekte verilen phishing saldırı ise
yukarıda verdiğimiz 3 adımda phishing saldırısı
örneğine benzerlik gösteriyor. Saldırgan ilgili
bankanın online internet bankacılığı giriş ekranını
klonlayarak, kurbanın bu sistem üzerinden giriş
yapmasını beklemektedir. Bu gibi saldırılarda
dikkat edilmesi gereken en önemli hususlardan
biri adres çubuğunda www.zandege.com gibi
alakasız bir adresin ve ya bizimde yaptığımız
örnekteki gibi bir ip adresi barındırmasıdır.
49. www.sparta.com.tr 49
3. Bu örneğimizde kurbanı sahte bir web siteye
yönlendirerek hesap bilgilerini teyit etmesi başlığı
altında, kişisel bilgilerini çalmaktır. Ancak e-
postayı yollayan maile baktığımızda
kskaarv1@binghamton.edu gibi alakasız bir mail
adresiyle karşılaşıyoruz. Şunu unutmamak
gerekir ki hiçbir firma e-posta yoluyla kişisel
bilgilerimizin teyit edilmesini istemez.
50. www.sparta.com.tr 50
Farkındalık Eğitimleri
Kitapçığın başında söylediğimiz gibi sosyal mühendislik
saldırılarına karşı kuruluş çalışanlarının önüne
kurabileceğimiz bir “güvenlik duvarı” yoktur. Bu
saldırılara karşı en etkili yöntem farkındalık eğitimleridir.
Farkındalık eğitimlerinin 2 temel amacı aşağıdaki gibi
özetlenebilir;
1. Kuruluş personelinin sosyal mühendislik
saldırıları konusunda bilgi ve bilinç düzeyinin
artması ve bu sayede bu tür saldırıların etkilerinin
azaltılması.
51. www.sparta.com.tr 51
2. Kuruluş personelinin bilgi güvenliği çalışmalarına
ve bu yolla kuruluş genelindeki bilgi güvenliği
düzeyinin artmasına katkıda bulunması.
Eğitim çeşitleri
Bilgi güvenliği farkındalığı eğitimlerinin etkili olabilmesi
için birden fazla seferde ve farklı yollarla verilmesi
gerekir. Aşağıda bazı eğitim yöntemlerini ele aldık.
Oryantasyon: Kuruluş bünyesine yeni katılan personele
verilen oryantasyon eğitiminin içerisinde bilgi güvenliği
konusunun ele alınması gerekir. Kuruluşun bilgi güvenliği
konusuna verdiği önemin ilk günden anlaşılması
personelin de bu konuya vereceği önemi etkileyecektir.
Bu tür oryantasyon eğitimleri sırasında kuruluş ve
yapılacak işlerle ilgili çok miktarda bilginin kısa sürede
aktarıldığını göz önünde bulundurarak bilgi güvenliği
konusundaki konuları sınırlamakta fayda var. Farkındalık
eğitimi sürecinin daha sonra destekleneceğini düşünerek
ilk günlerde “bilgi güvenliği kuruluşumuz için önemlidir”
mesajını vermek yeterli olabilir.
Sınıf eğitimleri: Oryantasyonda detaylı olarak ele
alınmayan konuların işlenmesi ve dönemsel tazeleme
eğitimlerinin sınıf içerisinde (yüz yüze) yapılması
önemlidir. Personelin eğitmen ile iletişim kurması, aklına
takılanları sorabilmesi veya sorulan sorulara verilen
cevapları duyması eğitimlerin etkisini artıran unsurlardır.
E-posta hatırlatmaları: Gerçekler acıdır. Gönderdiğiniz
hatırlatma/tazeleme e-postalarını okumayacaklar. Bunun
yanında, bu tür e-postaları gönderdiğinizi fark eden bir
52. www.sparta.com.tr 52
saldırgan bunları sosyal mühendislik saldırılarında
şablon olarak kullanabilir. Etkisiz olduğundan
önereceğimiz ilk yöntem olmayacaktır.
Kuruluş portali üzerinden duyurular: E-postalarda
karşılaştığımız durum bu yöntem için de geçerlidir.
Ayrıca kullanıcıların portala bağlanmasını gerektirdiği
için işi gereği düzenli olarak portal kullanmayan
personele ulaşmak mümkün olmayacaktır.
Online eğitimler: Çalıştığım kurumlarda “mecburi” tutulan
bütün online eğitimlerde aynı manzarayla karşılaştım;
personel eğitimi açıyor ve ilerlemek için gerekli
müdahaleleri yapıyor. Kayıtlara göre eğitim süreci devam
ediyor ama aslında eğitimi aldığını düşündüğümüz kişi o
sırada başka işlerle meşgul oluyor. Yapılan online
sınavın genellikle eğitimin hemen ardından gelmesi
bilginin içselleştirilmeden tekrar edilmesine, dolayısıyla
çabuk unutulmasına neden olmaktadır.
Giriş ekranı uyarıları: Kullanıcıların dikkatini tutabilmek
için belirli aralıklarla değiştirmek önemlidir. Bilgisayar
kullanan personelin günde en az 1 kez göreceklerini
düşünerek etkisi tartışılır olsa da sınıf eğitimlerine destek
olmak amacıyla kullanılabilecek bir yöntemdir.
Posterler: Test veya danışmanlık yapmak için gittiğim
kuruluşların çoğunda bilgi güvenliği konulu afişler vardır.
Bunlar “oltaya takılmış giriş ekranı” ve “parola diş fırçası
gibidir, paylaşılmaz” gibi yıllardır her yerde görmeye
alıştığımız görseller ve mesajlardan oluştuğu için fazla
etkili olmadıklarını düşünüyorum. Farklı görseller, yeni
53. www.sparta.com.tr 53
yazılar ve farklı yaklaşımlarla bu yöntemin eğitimleri
destekleyeceğinden şüphem yok.
Eğitimlerin planlanması
Eğitim planlaması sırasında dikkate alınması gereken
önemli bir nokta farklı personel gruplarına farklı düzeyde
ve sıklıkta eğitim verilmesi gerektiğidir. Önceki
bölümlerde ele aldığımız gibi bazı çalışanlarımız sosyal
mühendislik saldırılarına diğerlerine göre daha açıktır.
Bu gruptaki çalışanlara daha sık ve daha detaylı
eğitimler verilmesi koşuluyla aşağıdaki genel eğitim planı
üzerine bir yapı kurulabilir.
İlk aşama: Tehdidin farkına varılması.
Teknik detaylara ve konulara boğulmadan sosyal
mühendislik saldırıların gerçekten kuruluşu ve personeli
hedef aldığının mesajının verilmesi gerekiyor. Eğitim
sırasında yapılacak bir hatanın sadece kuruluş bilgilerini
değil, personelin kişisel bilgilerini de tehlikeye atacağının
vurgulanması önemlidir. Benden önce “bilgi güvenliği
üçgeni gizlilik, bütünlük ve erişilebilirlikten oluşur...” il
başlayan eğitimler alan kuruluş personelinin iş yerinde
kullandıkları bilgisayar üzerinden kredi kartı bilgilerini
çaldırabileceklerini anlayınca çok daha farklı bir tavır
sergilediğine defalarca şahit oldum. Bilgi güvenliğinin
kuruluş kadar personeli de korumayı amaçladığını
vurgulamak önemlidir. Bilgi güvenliği kültürünün
oluşmasına olumlu katkı sağlayacağı için üst düzey
yöneticilerin de eğitimlere personelin kalanıyla katılması
önemlidir. Yöneticilere özel oturumlar da yapılabilir
54. www.sparta.com.tr 54
ancak bu yöntem kuruluş genelindeki algının
değişmesine daha hızlı sebep olacaktır.
İkinci aşama: Güvenlik kültürünün oluşması.
Kuruluş genelinde kabul görmüş bir güvenlik kültürünün
oluşturulması şarttır. Bu sayede personel ne yapması
(belirlenen güvenlik kurallarına uymak) ve ne
yapmaması (saldırganın ricalarını yerine getirmek)
gerektiğini içselleştirebilecek ve uygulayabilecektir.
Sema Yüce’nin bir sunumunda “ben insanlar kartla
açılan bir kapıyı kibarlık olsun diye arkalarından gelen
kişi için açık tutmadıkları gün mutlu olacağım” demişti.
Güvenlik kültürünün oturması bu davranışların
normalleşmesini, yaygınlaşmasını ve kalıcı olmasını
sağlayabilecek tek etkendir. Güvenlik kültürünün
oluşmasında önemli kilometre taşlarından birisi de
personelin, söz konusu güvenlik olduğunda, karşıdan
gelen talebi (kimden geliyor olursa olsun) sorgulama
hakkının olduğunu anlaması ve bu hakkı sonuna kadar
kullanmasıdır.
Üçüncü aşama: Uyarı işaretlerinin yerleştirilmesi.
Hepimize olmuştur; başımıza öyle bir olay gelir ki “acaba
bu bir kamera şakası mı?” diye durup düşünürüz. Benzer
şekilde kuruluş çalışanlarının durup “acaba bu bir sosyal
mühendislik çalışması mı?” sorusunu sormalarını
sağlayacak ipuçlarını bilmeleri gerekiyor. Sosyal
mühendislik saldırılarının tipik özellikleri hatırlamak adına
tekrarlamakta fayda görüyorum;
55. www.sparta.com.tr 55
• Acil: Talebin “acil” olması ve personelin kendini
hızlı hareket etme konusunda baskı altında
hissetmesi.
• Yetki: İşin normal sürecinin işlemesini
engellemek veya “işi hızlandırmak” için yetkili bir
ismin kullanılması (Genel Müdür istiyor, vb.)
• Garip talepler: Sıradışı veya seyrek gelen bir
taleple karşı karşıya olmak
• Yersiz iltifat/iyilik: Ortada bir neden yokken iltifat
edilmesi veya iyilik yapılması
Dördüncü aşama: test.
Verilen eğitimlerin etkisinin ölçülmesi ve çalışanların her
an tetikte olmasını sağlamak için sosyal mühendislik
testlerinin yapılması ve test sonuçlarına göre eğitim
sürecinin iyileştirilmesi şarttır.