Güvenlik / Security Makaleleri - Güvenlik Dünyasında Sosyal Mühendislik

Belirli teknikler kullanılarak kişilerin veya kurumların bilgilerinin toplanmasına sosyal mühendislik denir. Bir çeşit dolandırıcılık veya basit bir hile ile başlayan bu sistem kişilerin bilgisayarlarına girip kişisel bilgilerini ele geçirip, saldırganın çıkar amaçlı kullanması ile son bulur.

Sosyal Mühendislik Teknikleri ve Koşulları

Bütün sosyal mühendislik teknikleri insan zekasının hatalarını temel alır. Bu hatalar belirli saldırı teknikleri ile birleştirilir;

Pretexting

Belirli bir senaryo üzerine kurulu olan sosyal mühendislik tekniği, kurbana bir hikaye anlatarak başlar ve genellikle telefon üzerinden gerçekleşen Pretexting basit yalanlar üzerine kurulur. Kurbana bir işlem için sosyal güvenlik numarasının gerekli olduğu, doğum gününü kutlama kalıplaşmış Pretexting tekniklerindendir.

Yukarıda belirtilen teknikler sayesinde toplanan kişisel bilgiler, kurbandan habersizce bilgilerinin değiştirilmesinde kullanılır. Günümüzde genellikle annemizin kızlık soyadı, doğum günü ve sosyal güvenlik numarası istemeye ile başlayan Pretexting en etkili sosyal mühendislik tekniğidir ayrıca kurbanın en az şüphe duyduğu sosyal mühendisliktir.
Prtexting genellikle polis, banka, taksit ödeme, iş başvurusu yanıtı gibi basit ancak zeki hazırlanmış tuzaklar üzerine kuruludur. Saldırgan basit sorular sorarak karşı tarafın şüphelenmesini sağlamadan kişisel bilgilerini toplar.

Phishing

Phishing genel olarak e-posta baz alınarak yapılan bir sosyal mühendislik tekniğidir. Yollanan sahte e-posta, kurbanın banka hesabını güncellemesi gerektiği üzerine kuruludur. Yollanan sahte e-posta sayesinde kurban e-posta ile gelen linke basarak saldırgan tarafından hazırlanan sahte web sitesine yönlendirilir, kişisel bilgilerini güncelleyen kurban ne olucağından habersiz olarak işlemi tamamlar. Kişisel bilgileri elde eden saldırgan topladığı bilgileri kendi çıkarları doğrultusunda kullanır.

IVR/Telefon Phishing

Bu tekniği kullanan saldrıganlar bir bankanın veya devlet kuruluşunun call centerından aradığı belirterek, kurbanın kişisel bilgilerini ele geçirirler. Sistem genellikle kurbanın PIN veya şifresini kilitleyerek başlar ardından kurban aranarak şifresinin kilitlendiği yeniden aktif hale getirmek için kişisel bilgilerine ihtiyaç olduğu söylenir.

Truva Atları

Saldırgan tarafından geliştirilen veya satın alınan zararlı, kurbanın e-posta adresine ” sexy ” ” cool ” ekran koruyucu adı altında eklenti olarak postalanır. Kurban yollanan eklentiyi açar ve saldırganın kullandığı truva atı tarafından kişisel bilgiler yollanır. Burada önemli olan korunma yöntemi antivirüs ve sistemin güncelleğidir.

Road apple

Bu sosyal mühendislik tekniği, gerçek dünyanın truva atı olarak adlandırılabilinir. Saldırgan tarafından özel olarak hazırlanan zararlı CD/disket veya USB bellek kurbanın ulaşabileceği [ tuvaletler, asansörler vb. ] yere bırakılır.

Örnek olarak; Saldırgan tarafından hazırlanan bir disk üzerine firma logosu basılarak ve üstüne ilgi çekicek bir yazı yazılarak kurbana postalanır. Kurbanın diski bilgisayarına takıp çalıştırması ile sisteme bulaşan zararlı işlemi tamamlar.

Karşılık

Saldırgan rasgele bir şirketin teknik servisini arar ve yardıma ihtiyacı olduğu söyler, önerilen çözümlerin hiçbirinin işe yaramadığını, karşılaştığı sorunu anlatan bir e-posta atıcağını teknik servis elemanına söyler. Ardından saldırgan tarafından hazırlanan zararlı e-posta teknik servis elemanına yollanır. Böyle bir e-postayı bekleyen teknik servis elemanı hiç birşeyden şüphelenmeden postayı açar ve saldırı başarı ile sonuçlanmış olur