Kişileri gizli bilgi vermeleri ya da erişim sağlamaları icin aldatma sureci olarak tanımlanabilecek sosyal muhendislik, coğu guvenli ağ icin onemli bir tehdittir. Sosyal muhendislik hakkında yeteri kadar bilgi olmasına rağmen, savunma yontemleri genelde yeterli olmaktan uzaktır. Etkileme, zorlama, aldatıcı ilişkiler geliştirme, sorumluluğu, etik değerleri, durustluğu ya da bağlılığı azaltma amacını guden yontemler kullanarak başarı sağlayan sosyal muhendislik saldırılarına karşı guvenlik politikalarında, eğitimlerinde ve olay mudahale yontemlerinde onlemler alınması gerekmektedir.
Tanımlar

Bilgisayar guvenliği terimleriyle Sosyal Muhendislik, insanlar arasındaki iletişimdeki ve insan davranışındaki acıklıkları tanıyıp, bunlardan faydalanarak guvenlik sureclerini atlatma yontemine dayanan mudahalelere verilen isimdir. Bu tanım cercevesinde iletişim kavramından kasıt, kişiler arasında, kişiyle kurum arasında ya da kurumlar arasındaki etkileşimdir. İnsan davranışlarındaki acıklıklarsa, insanların gundelik sergiledikleri, niyetlerinden bağımsız hareketlerin guvenlik acısından istenmeyen durumlara sebep olması ihtimalleridir. Mudahale derken de guvenlik acısından kritik bilgileri elde etmek eylemini anlıyoruz.
Bir kuruma yonelik sosyal muhendislik saldırılarının tipik hedefleri, saldırganın suistimal edebileceği durumdaki personeldir. Saldırılan profilleri aşağıdaki şekilde ozetlenebilir:
Direkt ulaşılabilir personel (Servis elemanları, telefonlara yanıt veren calışanlar): Kurumun dış yuzu olarak tanımlanabilecek, işi gereği muşteriler ve sağlayıcılarla iletişim kuran calışanlar.
Onemli personel (Yoneticiler, gizli bilgiye erişim hakkı olan personel): Kurumdaki gorevleri gereği zorunlu olarak ayrıcalıklı yetkiye sahip olan ya/ya da gizli bilgiye ceşitli nedenlerle erişim hakkı olan calışanlar.
Sempati sahibi personel: Kurum icinde gorevli olan, muşterilerine yardım ve destek icin yetkisinden fazlasını ya da kurum icindeki itibarını kullanabilecek calışanlar.
Destek ihtiyacındaki son kullanıcılar: Kurumun hizmetlerinden yararlandıklarından dolayı sistemlere erişimi bulunan fakat kurum hakkındaki bilgileri eksik olduğundan dolayı sistemlerle ilgili destek almaları gerektiğinde meşru destek personeliyle kotu niyetli saldırganı ayırt edemeyebilecek kullanıcılar.
Kandırılmış, aldatılmış ya da ikna edilmiş personel: Kurum icinde gorevli olan ve kuruma ya da kurum calışanlarına bağlılığı zayıflamış calışanlar.

Saldıran profili ise, hedefe ve yonteme bağlı olarak değişebilir. Kullanılagelen yontemlerin bazıları şoyledir:
Otoriter yaklaşım: Yetkili, ust duzey yonetici ya da ayrıcalıklı muşteri olduğuna ikna etmek.
Yardım onermek: Destek ihtiyacındaki muşteri ya da calışanları yetkili personel olduğuna inandırmak.
Benzerlik ve ortak noktalar bulmak: Calışanla arasında ceşitli sanal sosyal bağlantılar (akrabalık, ortak meslek, ortak arkadaş, aynı cevre v.s.) oluşturmak.
Mukabele etmek: İstenen bir iyilik icin bir karşılık onermek.
Bağlılık ve durustluğu suistimal etmek: Kuruma bağlı calışanı, saldıranın isteğini yapmaması durumunda kurumun zarar goreceğine ikna etmek.
Duşuk bağlılıktan yararlanmak: Kuruma bağlılığı zayıf calışanları ikna, aldatma ya da kandırma gibi yontemlerle ayartmak.

Yontemler

Sosyal muhendislik saldırılarının niteleyici ozelliği, saldırganın hareketlerinin meşru olduğu goruntusunun bozulmamaya calışılmasıdır. Bu yuzden yontemlerin doğası ve iceriği ozel durumun şartlarına gore farklılaşabilir. Bu bolumde standart bir sınıflandırma yapılacaktır.
Sahte senaryolar uydurmak

Genellikle telefonla iletişim uzerinden gercekleşen bir yontemdir. Saldırganın amacına ulaşmak icin sahte bir senaryo oluşturması ve bu senaryonun satırları arasından saldırılanın erişimindeki hassas bilgiye (bir sonraki adımda kullanmak uzere kişisel bilgiler ya da şifreler, guvenlik politikaları gibi erişim bilgileri) ulaşması şeklinde gelişir. Telefondaki işlemlerde yetkilendirme icin ihtiyac duyulan bilgiler genellikle başka kanallardan erişilebilir bilgiler (kimlik numarası, doğum tarihi v.b.) olduğu icin sahte senaryolar uydurmak ve istenen bilgileri elde etmek coğunlukla uygulanabilir bir saldırı yontemi olmaya devam etmektedir. Saldırganın senaryonun ana hattı dışına cıkabilecek durumları da gozonune alıp hazırlık yapması, başarı oranını artıran bir etkendir.
Guvenilir bir kaynak olduğuna ikna etmek

Son zamanlarda phishing olarak unlenmiş bu yontem, genellikle e-posta uzerinden ilerleyen bir sosyal muhendislik yontemidir. Saldırgan, amacına ulaşmak icin saldırılanı guvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırır. Orneğin saldırgan yolladığı iletinin bir bankanın bilgi işlem bolumunden geldiğine ikna etmek isterse, aynı bankanın onceden yolladığı iletilerdeki bicemi şablon olarak alabilir ve iletiden dışarıya giden bağlantıları kotu niyetli bir sayfaya yonlendirebilir. Saldırganın hedefleri arasında hassas bilgi vermeye zorlamak, ya da kullanıcıyı hatalı bir hareket yapmaya (sahte web sayfasına tıklamak, viruslu yazılım kurmak v. b.) yonlendirmektir.
Truva atları (trojan)‏

Zararsız bir işlevi varmış gibi gorunen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan viruslerden ya da solucanlardan farkı, yayılmak icin kullanıcılardan yararlanmalarıdır. Truva atları, guvensiz kaynaklardan, bilinen bir yazılım goruntusunde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şupheli kaynaklardan gonderilen yazılımlara guvenilmesi sonucunda, veya bilgisayar virusleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir.
Truva atlarının bir şekli de road apple (yol elması – İngilizce'de at gubresinin husn-u talilidir) olarak bilinir. Bu tur truva atları, e-posta, web gibi elektronik ortamların acıklıklarıyla yayılmak yerine, fiziksel olarak yayılırlar. Orneğin saldırgan uzerinde merak uyandıracak bir etiket bulunan bir disket, CD ya da flash disk oluşturur ve saldırılanın tesadufen gorebileceği bir yere (cop kutusu, koridorun kenarı, tuvalet) atılmış gibi yerleştirir. Aslında zararlı yazılım iceren bu ortam, saldırılanın dikkatini ceker ve kullanırsa, zararlı yazılım bilgisayarda calışarak saldırıyı gercekleştirir.
Guvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, … onermek

Hassas bilgiye ulaşmak icin kişinin zaafiyetlerini kullanmaya yonelik bir saldırıdır. Burada saldırılan sonunda karlı cıkacağı bir senaryoya ikna edilir. Orneğin hediyeli bir anket icinde şifresi ya da kişisel bilgileri sorulabilir, ya da şifresini soylemesi durumunda o sırada sistemle ilgili yaşadığı sorunun cozuleceği vaadedilebilir.
Guven kazanarak bilgi edinmek

Saldırganın hedefine, iş dışında ya da iş sırasında guvenini sağlayacak şekilde iletişime gecip ikna ederek bilgi vermesine ya da istediğini yaptırmasına dayanan bir yontemdir. Saldırgan kuruma sağlayıcı olarak yaklaşıp erişim hakkı olan personelle guvene dayanan arkadaşlık kurma yoluna gidebilir, iş dışında oluşan ilişkileri suistimal edebilir, ya da saldırılanla ortak ilgileri ve beğenileri paylaşıyor izlenimi vererek guven sağlayabilir.
Diğer Yontemler

Yukarıda maddelenmeye calışılan yontemler dışında, calışanların ve kurumların yaptıkları tipik hatalardan istifade etmeye yonelik ceşitli bilgi toplama yontemleri de bilinmektedir. Bunların arasında,
Omuz sorfu: Şifre yazılırken ya da erişim kısıtlı sistemlere erişilirken saldırılanın izlenmesi,
Cop karıştırmak: Cope atılmış disket, CD, post-it, not kağıdı gibi, hassas bilgi icerebilecek eşyaları incelemek,
Eski donanımları kurcalamak: Hurdaya cıkmış, ikinci el satış sitelerinde satışa sunulmuş, cope atılmış, kullanılmadığı icin hibe edilmiş donanımın iceriğini incelemek,

bulunmaktadır.
Sosyal muhendislikte saldırı yontemleri, listelerle sınırlı olmaktan cok, saldıranın kararlılığıyla ve yaratıcılığıyla sınırlıdır. Ayrıca tipik dolandırıcılık yontemlerinin de uygulanmasıyla, olası yontemlerin sayısı ve tipleri de artacaktır.
Tehditler

Başarıyla yapılması durumunda, sosyal muhendislik saldırıları ceşitli risklerin gercekleşmesine neden olabilmektedir. Bunlar aşağıdaki gibi sınıflandırılabilir:Yetkisiz erişim: Saldırgan, erişim sağlamak icin gerekli bilgileri ele gecirebilir. Bunun gercekleşmesi icin coğu zaman yanlışlıkla soylenen bir kullanıcı şifresi yeterlidir.


Hizmet hırsızlığı: Ele gecirilmiş şifreyle saldırgan erişimi kısıtlı dosyaları indirebilir ya da bant genişliği, işlemci zamanı, disk alanı gibi sınırlı kaynakları kullanabilir.
İtibar ve guven kaybı: Sosyal muhendislik yoluyla zarara uğramış bir kurum, muşterilerinin ve kamunun gozunde değer kaybedebilir. Yeniden guven kazanmanın bedeli, coğunlukla baştan onlem almaktan cok daha yuksektir.
Dağıtık hizmet engelleme: Ele gecirilen sistem ve kaynaklar, başka sistem ve kaynakların ele gecirilmesi ya da zarar verilmesi icin kullanılabilir. Dolaylı olarak başka saldırılara sebep olunabilir; Bu durumda saldırının kaynağı aynı zamanda kurban olabilir.
Hassas bilgiye erişim ve veri kaybı: Saldırgan, başarılı olması durumunda kurumun ve muşterilerinin bilgilerini ele gecirebilir. Bu bilgileri satabilir, daha fazla suistimal icin kullanabilir ya da kurum aleyhine kullanabilir. Saldırgan sadece kurumun zarar gormesini istiyorsa, bilgiye erişimi engelleyebilir. Silmek, şifreli bir şekilde kaydetmek gibi yontemlerle bilginin erişimini imkansız kılabilir.
Yasal yaptırıma uğramak: Kurumun muşterileri ve ortaklarıyla yaptığı gizlilik ve guvenlik anlaşmalarının ve hassas bilgiyi korumak icin onlem almamanın yasal yaptırımları olabilir.

Onlemler

Sosyal muhendislik saldırılarına karşı alınabilecek onlemler, diğer siber saldırılara karşı alınacak onlemlerle benzerlik gostermektedirler. Belirleyici ozellikleri, alınacak onlemlerin sadece bilgisayar ve ağ altyapısı değil, cevresel guvenlik ve duzenli eğitim boyutlarını da icermesidir.
Fiziksel Guvenlik

Sistem guvenliği gozden gecirilirken, genellikle yerel ya da konsoldan erişim sonucunda oluşabilecek guvenlik acıklıkları, etkisinden ve riskinden bağımsız olarak olma olasılığı duşuk olarak değerlendirilmektedir. Fakat bu olasılık hesaplanırken, bilgisayar sistemleri dışındaki faktorler de gozonunde bulundurulmalıdır. Orneğin, sistemlere fiziksel erişimi olan herkesin guvenilir olup olmadığı gozden gecirilmeli, duruma gore fiziksel tehditlerin olma olasılığı yuksek olarak değerlendirilip, onlemler alınmalıdır. Ayrıca sisteme erişimi olan kullanıcıların ceşitli profillerden olabildiği sistemlerde, kullanıcı guvenlik politikalarındaki sıkılaştırmalar ve denetlemeler uygulanmalı, tum kullanıcı profillerinin yetkileri belirlenmelidir.
Etkili Guvenlik Politikaları

Kurumun oluşturduğu guvenlik politikaları acık, anlaşılır, mantığa uygun, uygulanabilir, erişilebilir ve kapsayıcı olmalıdır. Erişilebilirliği eksik, anlaşılır olmayan ya da uygulanması cok zahmetli politikalar, genellikle uygulanmamaya ya da ihmal edilmeye mahkumdurlar. Guvenlik politikaları sosyal guvenlik saldırılarını konu edindiklerinde rollerden coğunu calışanlar oynadığı icin, kurumla calışanlar arasındaki guven seviyesi belirlenmelidir. Burada belirlenen guvenin azlığı calışanın bağlılığını etkileyecek, gereğinden fazla guven ise calışanlardan ya da calışanlar uzerinden gelecek saldırılara karşı sistemi savunmasız bırakacaktır.
Eğitim ve Yaptırımlar

Calışanlar politikalar hakkında ne kadar bilgiliyse, guvenlik politikaları o kadar değerlidir. Bu yuzden surekli ve guncel eğitim ve bilgilendirme calışmaları, calışanları konu hakkında bilgilendirmek ve bilinclendirmek acısından hayati oneme sahiptir. Ayrıca ust yonetim verilen eğitimlerin ve uyarıların izlendiğinden emin olmalı, guvenlik yonergelerine uyulmaması durumunda yaptırım uygulamaya kararlı olmalıdır. Eğitime ek olarak uygulanan yaptırımlar, calışanların guvenlik politikalarını izlemesine yardımcı olur.
Olay Mudahalesi

Bir sosyal muhendislik saldırısı sırasında yapılacakların belirlenmesi ozellikle onemlidir, sadece varolan surecler gozden gecirilerek bile bir cok acıklığın onlemi alınabilir. Kullanıcıların e-posta iletilerinin asıl kaynaklarını nasıl belirleyecekleri, şupheli e-postaları nasıl işleyecekleri ve web adreslerinin kimlik doğrulama bilgilerini nasıl kontrol edecekleri gibi işlemler belgelenmeli ve iş sureclerine eklenmelidir. Sosyal muhendislik saldırıları coğu zaman kullanıcının zaafını kullanarak yapıldığından dolayı, kullanıcı olayın farkına varmayabilir ya da farketse bile kendi guvenilirliğini zedeleyeceğini duşunduğunden olayı ilgili kişilere iletmeyebilir. Bu yuzden olay meydana geldikten sonra durumun yetkili personele iletilmesi icin gerekli altyapı oluşturulmalı, bunların kuralları belirlenmelidir.
Denetim

Sosyal muhendislik saldırısı kavramı, doğası itibarıyla surekli değişebilen bir saldırı tipi olduğu icin, oluşturulan onlemlerin ve guvenlik politikalarının duzenli olarak gozden gecirilmesi ve guncellenmesi, denetimlerle etkilerinin onaylanması gereklidir. Denetim sureci basitce bir saldırganın yapması beklenenlerin tatbikatı şeklinde gelişmektedir. Saldırılar,
1 bilgi toplama,
2 ilişki kurma,
3 istismar ve
4 erişim

olmak uzere dort adım olarak modellenmektedir.
Bilgi toplama ve ilişki kurma adımlarında, iletişim kurulabilecek unsurlar belirlenir. Bunun icin coğu zaman edilgen bilgi toplamayla saldırıya yeterli bilgiye ulaşılabildiği gorulmuştur. Kurumsal web sayfaları, arama motorları, haber grupları, forumlar, iş arama siteleri, sosyal ağ siteleri ve hatta sarı sayfalar yardımıyla kurum calışanları ve kurum organizasyonu hakkında yeterli bilgi edinilebilir. Denetimler, bu ortamlar uzerinden ne kadar hassas bilginin alınabileceği uzerine yoğunlaşmalıdır.
Fiziksel erişim sağlamak icin uygulanan yontemler arasında, calışan biri gibi davranmak (sahte kimlik kartı, giriş-cıkış saatleri arasında kalabalığa karışmak v.b.), calışanların arkasından giriş yapmak (gercek kartla acılan kapı kapanmadan girmek gibi), sağlayıcı ya da misafir gibi davranmak (postacı, tamirci v.b.), mesai saatleri dışında normal sureclerin uygulanmadığı zamanlarda giriş yapmaya calışmak bulunur. Bunun dışında, ustte belirtilen sosyal muhendislik yontemleri de uygulanabilir. Bu tur denetimler coğu zaman uygulanabilirlik acısından yasal sınırda gezindiğinden iyi tasarlanmış ve ust yonetimden onay alınmış olmalıdır.
Fiziksel erişimden sonra ya da ayrıca bilgiye erişim icin de ceşitli metodlar uygulanabilir. Denetimciler tarafından sıkca uygulanan bilgiye erişim yontemleri arasında calışanları gizlice izlemek (omuz sorfu, kulak misafirliği v.b. ), ofis icindeki copleri karıştırmak, klavyelerin, telefonların altına, takvimlere ve ajandalara, post-it notlarına ve ortak kullanıma acık panolara goz atmak, ekranı kilitlenmemiş bilgisayarları kullanmak, kullanıcı bilgisayarlarını kullanıma acmaya ikna etmek vardır.
Sosyal Mayınlar

Yukarıda bahsedilen standart onlemlerin yanı sıra, bir sosyal muhendislik saldırısını meydana gelirken ya da meydana gelmeden once belirleyebilecek onlemler vardır. Bunlar kurumun yapısına ve sistemlerin kurulumuna gore farklılık gosterebilirler. En yaygın kullanılan sosyal mayınlar arasında aşağıdaki onlemler sayılabilir:
1 Herkesi tanıyan tek bir kişinin ofiste bulunması, boylece iceriye giren şupheli kişilerin erken tanımlanabilmesi,
2 2 Merkezi guvenlik kayıtları tutularak, teker teker bir şey ifade etmeyen kayıtların toplu halde izlenmesi, boyle korelasyon yapılabilmesi,
3 Telefonla hassas bilgi (unutulan şifre gibi) iletilmesi gerektiği durumlarda geri aramanın zorunlu kılınması ve geri aranan numaranın ilgili kişinin kayıtlarından alınması,
4 Kullanıcı kimliğinin doğrulanması gerektiğinde onceden belirlenmiş ve kayıtlarda yer alan anahtar soruların ve/veya kimlik ve personel bilgilerinin sorulmasının zorunlu kılınması,
5 Tuzak sorularla (orneğin kızı olmadığı bilinen bir personele kızının isminin sorulması) kimliğin doğrulanması,
6 Şuphe durumunda aceleci davranmamak, hatta bekletmek ya da e-postaya hemen yanıt vermemek, ancak emin olduktan sonra işleme devam etmek (bu uygulamanın olası bir saldırganın geri cekilme ihtimalini artırmak gibi bir yan etkisi de vardır).

Sonuc

Hic bir sistem insandan bağımsız değildir. Bilgisayar sistemleri, insanlar tarafından tasarlanır, bakımı ve işletimi insanlar tarafından yapılır ve sistemden faydalanan ve sistemi kullananlar da insandır. İnsan bileşeni aynı zamanda bir guvenlik sisteminin en zayıf halkasıdır. Bundan dolayı insan faktorunun istismarına dayanan sosyal muhendislik saldırılarının gercekleşme olasılığının her zaman olduğu ve gozardı edilemeyeceği acıktır. Sosyal muhendislik saldırılarının başarısı, bilgisayar ve ağ sistemlerindeki yerel zayıflıkların varlığına bağlı olduğundan, yerel acıklıklara verilmesi gereken onemi artırmaktadır. Sosyal muhendislik saldırılarının etkisini en aza indirgemenin yolu guvenlik politikalarının guncel tutulmasından ve personelin uygun bir şekilde bilgilendirilmesinden gecer.


ALINTIDIR.

__________________