Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2

Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2

06/07/2020 Kapalı Yazar: emrecaglaryildiz

Sosyal Mühendislikle İlgili Yapılan Akademik Çalışmalardan Örnekler

Çağımızda teknolojinin gelişmesi ve sanal dünyanın her geçen gün hayatımızın her alanında kullandığımız vazgeçilmez bir araç olmasıyla beraber bu alan kötü amaçlı kişiler içinde çekici hale gelmiştir. Kötü amaçlı bu kişiler, çıkarları için kişi ya da kurumlara zarar verecek çalışmalarda bulunmuş ve sonuç olarak büyük zararlara neden olmuşturlar.

Unutulmaması gereken en önemli nokta sosyal mühendislik saldırılarına karşı hiçbir sistem tam anlamıyla güvende değildir. Bu nedenle sosyal mühendislik saldırılarında zararın engellenmesi ya da en aza indirilebilmesi için toplum olarak farkındalık geliştirilmesi ve çeşitli destekleyici eğitimler ile bu sürecin sürekli öğrenmeye açık bir şekilde devam ettirilmesi gerekmektedir. Bu süreçte kendi farkındalık seviyelerini artırmak için kurum ve kişilere büyük sorumluluk düşmektedir.    

Aydaner G. (2019) çalışmasında, Bandırma On yedi Eylül Üniversitesi Merkez Kampüsünde 693 öğrencinin katılımıyla gerçekleşen bir anket çalışması yapılmış, araştırmada genç tüketicilerin anket sonuçları genel olarak değerlendirildiğinde ise öğrencilerin bilgi güvenliği ve güvenli internet kullanımı konularında eğitimlere ihtiyaç duydukları ve bu konuda alacakları eğitimin sosyal mühendislik saldırılarından etkilenme seviyelerinin düşürülmesinde yardımcı olacağı sonucuna ulaşılmıştır.

Tosun A. (2015) çalışmasında, sosyal mühendislerin saldırılarının eğitim düzeyleri arasındaki başarı oranlarını incelemiş, çeşitli eğitim düzeyleri arasında önemli farklılıklar gözlemlemiştir. Sosyal mühendisler için eğitim seviyesi düşük insanlar daha kolay hedef olarak görülmektedir. Çünkü yapılan çalışmaya göre yükseköğretim seviyelerine kıyasla düşük eğitim seviyeli insanlara saldırılar %62,2 oranında daha başarılı olacaktır. Sosyal mühendislerin hedeflerini başarı oranı yüksek olan insanlardan seçeneklerini düşünülürse siber ve sosyal farkındalığın ne kadar önemli olduğunu bir kez daha anlaşılmış olacaktır.

image 5 - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2
Sosyal mühendisler yaşa göre başarı oranları Tosun A. (2015)

Yine aynı çalışmada sosyal mühendislerin hedef seçerken yaş ve teknik kriterleri göz önünde bulundurduğu, 18-25 yaş aralığındaki insanları daha kolay hedef olarak gördükleri aktarılmaktadır. Ayrıca çalışmada 36-60 yaş aralığındaki insanlara saldırı başarı oranının 18-25 yaş aralığındaki kitleye yakın olduğu ve bu iki kitlenin birleşiminde sosyal mühendislerin başarı oranının %88,9 gibi çok ciddi bir düzeye ulaştığı görülmektedir. Bir başka incelemede ise organizasyonlardaki sosyal mühendislik saldırılarında özellikle işe yeni başlayan çalışanların (teknik yeterliliği sınırlı) ve yeni mezun çalışanların hedef olarak seçilmesi durumunda kolay hedef olarak görüldüğü yer almaktadır.

Barışkan M. A. (2017)çalışmasında, yapılan ankette birçok kullanıcının siber güvenlik farkındalığının temel düzeyde olduğunu gözlemlemiştir. Yalnız iş sosyal mühendislik saldırıları farkındalığına gelince ibre maalesef sıfıra yaklaşmıştır. Özellikle katılımcıların sosyal medya kullanımlarında fazlaca aktif olmalarının kendileri açısından birçok bilgiyi saldırganın avuçları içine bıraktıklarından habersiz oluşları kaygı verici olarak gözlenmiştir. Kişilerin sosyal medya hesaplarından takip edilmesi sonrasında sosyal mühendisler hedefle sosyal medya üzerinden ya da telefon ile iletişim kurarak planlarına, inandırıcılık seviyelerini artırmış bir şekilde başlatacaktır. Kişinin verilen bilgiler karşısında duyulan güven sonrası saldırganın ağına düşmesi kolay olacaktır. Yine çalışmada üzerinde özellikle durulan nokta, kişilerin sosyal mühendislik ve siber güvenlik alanında mutlaka bilinçlendirilmesi gerekliliği olmuştur. 

Aslan T. (2019) çalışmasında, turizm sektöründeki yoğun sosyal medya kullanımıyla birlikte sosyal mühendislerin ilgilerinin bir kısmının bu yöne kaydığı ve çeşitli tekniklerle dolandırıcılık vakalarının geliştiği belirtilmektedir. En çok kullanılan tekniklerin başında ise karar manipülasyonu gelmektedir. Sosyal mühendislerin aslında olmayan ya da ilanlarda belirtilen özellikleri taşımayan turizm firmalarını sosyal medya üzerinde açtıkları sahte hesap ve sahte yorumlarla manipüle edip inandırıcılığını artırarak kurbanlarını ağına düşürdüğü işlenmektedir. Siber güvenlik ve sosyal mühendisliğin önemine değinilen çalışmada ayrıca insanların bu durumlardan nasıl zarar gördükleri ve kurumlara güvenlerindeki kaybı da detaylandırarak aktarmaktadır.

Özkan İ. (2019) çalışmasında, siber güvenlik ve bilgi güvenliğinin öncelikli öneminden bahsetmiştir. Kurban tarafından elden kaçırılabilecek en ufak veri ya da bilginin ilerleyen süreçte sosyal mühendislerin hedefine giderken başarıya ulaşabilecekleri kestirme bir yol olabileceği tarih ve dünyadan örneklerle betimlenmiştir.

image 4 - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2
Saldırılar sonucu oluşan yıllık zarar (milyon $) Özkan İ. (2019)

Çalışmada sonrasında bu tip siber saldırıların ekonomi üzerine etkilerinden detaylarıyla bahsetmiştir. Çalışmadan yapılacak çıkarım, siber güvenlikteki hataların geri dönülmez yollara çıkabileceğinin farkındalığının tüm ülkelerce oluşturulması ve ortak önlemler alınması yönündedir.

Kör A. (2015) çalışmasında, sistemlerin siber saldırılardan nasıl korunacağını ve hizmet kesintisine uğramadan nasıl hizmetin devam ettirilebileceğinden bahsedilmektedir. Çalışmada özellikle sistemsel ve coğrafi yedekliliğin önemine değinilmiştir. Sisteme gelen taleplerin coğrafi olarak ayrılıp ilgili sunucuya dengelenmesi ve olası bir saldırı durumunda isteklerin diğer sunucuya yönlendirilmesi gibi detaylar aktarılmıştır. Ayrıca çalışmada yoğun gerçekleştirilen saldırı tipleri arasında sosyal mühendislik saldırılarına da yer verilmiştir. 

Şahinaslan Ö. (2013) çalışmasında, bilişim teknolojilerinin kurulumundan işletilmesine kadar birçok süreçte insan faktöründen bahsetmiş ve bu insanların yeterli seviyede eğitim almamış ve farkındalık oluşmamış olmaları durumunda, isteyerek ya da istemeyerek sistemlere kalıcı ya da geçici birçok zarar verebileceklerine dikkat çekmiştir. Çalışmada aktarılan bir diğer husus ise saldırılarla kişisel verilerin ele geçirilmesiyle sosyal mühendislerin çalışması için uygun alanların oluşabileceği uyarısıdır. Ayrıca varlıklar üzerinde tespit edilebilen zafiyetleri kullanabilecek tehditlere karşı alınacak önlemlerin bir arada tanımlanıp yönetilebildiği siber önlem sistemi (SOS) adı verilen bir uygulama geliştirilmiş ve detaylarından bahsedilmiştir.

image 3 - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2
Ulusal bilgi güvenliği risk araştırması Şahinaslan Ö. (2013)

Keskin D., Gözenman S. (2019) çalışmada, insanların sosyal bir varlık olduğu ve her zaman sosyal saldırılara açık olduğu vurgusu yapılmıştır. Çalışmada sosyal mühendislerin kullandıkları teknikler ve çeşitli özellikleri hakkında bilgiler aktarıldığı gözlenmiştir. Çalışma, kişi ve kurumların sosyal mühendislerin ustaca aldatma sanatını kullanmalarına karşı kendilerini korumaları için politika oluşturmaları, vizyon belirlemeleri için rehber niteliği taşımaktadır. Çalışma üzerinden edinilecek bilgiler ile kişi ve kurumların farkındalık düzeylerinde olumlu yönde gelişme yaşanacağı gözlenmiştir.

Acılar A., Bastuğ A. (2016) çalışmasında, sosyal mühendisliklerin saldırılarından korunabilmek için alınabilecek çok basit fakat hayat kurtaracak önlemleri aktarmıştır. İşletmelerde en önemli güvenlik sorunlarından birinin eğitimsiz ve bilgisiz çalışanlar olduğuna vurgu yapılmıştır. Ayrıca sosyal mühendislik saldırılarının ilerleyen süreçlerde önüne geçilebilmesi için siber güvenlik ile ilgili farkındalık çalışmalarının mutlaka periyodik düzende yapılması gerekliliğine atıfta bulunulmuştur.

Gül E. (2019) çalışmasında, sistemlerin yönetiminde özellikle log sistemlerinin öneminden detaylarıyla bahsedilmektedir. Uygun aralıklarla incelenecek ya da anomali durumunda alarm vermesi için iyi konfigüre edilmiş log uygulamalarının sistemlere düzenlenecek her çeşit siber saldırının önceden tespitinde önemli yarar sağlayacağı vurgulanmıştır. (Örneğin kablosuz ağ logları incelenerek sisteme bir sosyal mühendislik saldırısı yapılamasının saldırganın araştırma aşamasındayken fark edilebileceği gibi.)

image 11 - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2

Bağcı H. (2009) çalışmasında, sosyal mühendislik saldırılarına karşı hiçbir sistemin tam anlamıyla güvenlik sağlamadığına dikkat çekmiştir. Ayrıca çalışmada belirtilen kurumlar arası ortak kullanılan veri tabanları saldırı etkisini katlayarak artıracak etmenlerden olarak gösterilmektedir. Çalışmada kurban konumuna düşmesi olası hedefler arasında dikkat çekici detaylardan biri de faydalı olmaya istekli sempatik personeller ile kuruma bağlılık seviyesi düşük olan ve kurum politikalarından anlamayan çalışanların gösterilmesidir. Genelde sosyal mühendislik saldırılarına karşı sıkı güvenlik politikaları oluşturulması ilk alınacak önlemler arasındadır. Yalnız çalışmanın ana fikrinde de belirtildiği üzere saldırılara karşı en etkili savunma yöntemini: eğitim ve öğretim olarak açıklamaktadır. Ayrıca denetlerin hayati önemi de çalışmada detaylıca işlenmektedir.

Yavanoğlu U., Sağıroğlu Ş., Çolak İ. (2012) çalışmada, sosyal ağların iletişimdeki pozitif etkisinden ziyade bu ağlarda bulunan bilgilerin nasıl tehdit ve tehlikelere dönüşebileceğinin farkındalığı oluşturulmaya çalışılmıştır. Çalışmada sarsıcı örnekler kullanılarak sosyal mühendislerin hedef kişi hakkında nasıl bilgileri ele geçirebilecekleri gözler önüne serilmektedir. İnsanların kendi yaptıkları paylaşımlarla kendileriyle ilgili ne kadar çok mahrem bilgi paylaştıkları ve bu bilgiler ile basit şekilde banka dolandırıcılıkları yapılabileceği, organize suç örgütlerinin kullanabileceği birçok bilgiye rahatlıkla ulaşabileceği detaylarıyla aktarılmaktadır.

Akca M. A. (2016) çalışmasında, kişi ve kurumların sosyal mühendislik saldırılarından, mail ve mesajlaşma yönünden nasıl korunabileceğiyle ilgili incelemelerde bulunmuş ve alınabilecek önlemleri aktarmıştır. Ayrıca çalışması sırasında kişilerin mail ve mesajlarını inceleyen ve kimlik tespiti yaparak diğer kişiye maili dikkate alıp almama konusunda öğütte bulunan bir yazılım hazırlamıştır. Yazılımın 20 kişilik ve 1200 mesajlık bir testteki başarı oranı %60 olarak hesaplanmıştır. Bu oranda sosyal mühendisliğin yüzlerce çeşit teknikle yapılabiliyor olması da bir etken olarak göze çarpmıştır.

image 12 - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2

Yıldırım E. (2018) çalışmasında, Cyber Security Breaches Survey 2016’a göre, işletmelerin %69’unda siber güvenliğin kıdemli yöneticiler için yüksek öncelikli olduğunu, buna rağmen sadece %51’inin siber risklere karşı harekete geçtiğini, %29’unun resmi yazılı Siber Güvenlik politikalarına sahip olduğunu, %10’unun resmi siber kaza yönetim planının olduğunu aktarmıştır. Çalışmada ayrıca birçok firmanın siber güvenlik konusunda endişeli olduğu belirtilmiştir. Bunun nedeni ise sadece 2015 yılında büyük firmaların %65’inin siber güvenlik ihlallerine maruz kalmasıdır. Ayrıca saldırganların büyük, küçük işletme hedef seçimi yapmadan rastgele veya yüksek hedefli saldırıyor olmaları da bu endişenin kaynaklarından olarak gösterilmiştir.

Houchins T. (2002) çalışmasında, sosyal mühendisliği, “herhangi bir yazılım ya da sistem açığı olmadan, sisteme yetkisiz erişimin sağlanabilmesi” olarak tanımlamaktadır. Çalışmada kurum ve kişilerin sistem güvenliğine olan yatırımlarının fazla olması ve sıkı güvenlik ilkeleri, çalışanlarda ve kullanıcılarda verilerin zaten güvende olduğu düşüncesini uyandırdığından bahsediliyor ve psikolojik saldırıların bu nedenle daha kolay hale geldiği vurgulanıyor. Ayrıca günümüzdeki işçi devir (işe giriş-ayrılış) hızının da güvenlik önlemlerini baltalayıcı etkisinden bahsediliyor. Bu noktada sosyal mühendislik saldırısıyla meydana gelecek bir sızıntı ya da güvenlik sorununun tüm sistemin ele geçmesine neden olabileceği aktarılmaktadır. Bu nedenle çalışmasında bilinçli ve eğitimli çalışan/kullanıcı vurgusu yapılıyor ve sosyal mühendislik tekniklerinden detaylıca bahsediliyor. 

Chinta M., Alaparthi J., Kodali E. (2016) çalışmalarında, sosyal mühendisliğin sadece kurumlar için değil artık normal kullanıcılar içinde çok büyük bir tehlike oluşturduğuna dikkat çekmektedirler. Sosyal mühendisliğin diğer teknik tehdit türleriyle aynı önem düzeyinde ele alınması ve önlemler alınması gereken bir tehlike olduğuna özellikle vurgu yapılarak, çalışmada çeşitli teknik ve bilgi detaylarıyla korunma önlemleri sıralanmıştır. Çalışmada özellikle günümüzde artan vishing (telefon), smishing (sms) ve ransomeware (fidye yazılımı) dolandırıcılıklarına dikkat edilmesi gerekliliği vurgulanmaktadır.

Gragg D. (2002) çalışmasında, genel olarak dolandırıcılıkta kullanılan tekniklerin aynılarının sosyal mühendislik için de kullanıldığının altını çiziyor. Ayrıca büyük şirketlerin çok azının sosyal mühendislik için endişe duyduğundan bahsedilerek aslında tüm firmaların bu konudan endişe duyması gerektiği belirtiliyor. Çünkü çok az bir çaba ile çok güvenli sistemlere erişim sağlanabildiği bilinen fakat önlem alınması tarafının hep geciktirildiği bir gerçektir. Yerine geçme saldırılarının etkisinden ve başarısından ayrı bir başlıkta bahsedilmiştir. İşletmelerin çok katmanlı yapı ve yetki sınırlamalarıyla en azından bir düzeye kadar sosyal mühendislik saldırılarına önlem alabileceği belirtilmiştir.

image 7 - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2

Lieu C. D. (2002) çalışmasında, sosyal mühendislik saldırılarının çoğunun sıkı güvenlik önlemleri ve iyi oluşturulmuş güvenlik politikalarıyla kolaylıkla engellenebileceğinden bahsetmiştir. Basit görünen ve oldukça basit işleten sosyal mühendislik saldırılarını başarıyla savuşturabilmek için kullanıcıları bu tür saldırı vektörlerine karşı olabildiğince fazla örnekle eğitmek gerekliliği vurgulanmıştır. Çalışmada dikkat çekilmek istenen bir başka konuysa hackerlerin sistemleri hacklediği, sosyal mühendislerin ise önce insanları sonra sistemleri hacklediği gerçeğidir. Sonuç bölümünde ise şirketlerin, çalışanlarının eğitimlerine daha fazla önem vermesi gerektiği vurgulanıyor. 

Irmak H., Baz F. Ç. (2019) çalışmalarında, önceki çalışmalardaki gibi sosyal mühendisliğin veri ve sistem güvenliği açısından önemli bir sorun olduğundan ve alınabilecek önlemlerden detaylarıyla bahsetmişlerdir. Çalışmada bu konuda en önemli tedbirlerden birinin yedekleme ve felaket kurtarma politikaları olduğunun altı çizilmiştir. Ayrıca her kurumun mutlaka kendi bilgi güvenliği yönetim sistemini kurması gerektiği ve politikalarını sosyal mühendislik saldırılarına göre güncel tutması gerektiği vurgulanmıştır. 

Irmak H., Reis Z. (2018) çalışmalarında, Kemp, Morrison ve Ross öğretim modelleri baz alınarak sosyal mühendislik farkındalığı oluşturma amaçlı web tabanlı bir eğitim uygulaması hazırlamışlardır. Yapılan bu çalışma ile kişilerde bilinç oluşturma ve karşılaşılacak bir sosyal mühendislik saldırısında nasıl davranması gerektiği hakkında farkındalık yaratılmaya çalışılmıştır.

Rusch J. J. (2003) çalışmasında, geçen yıllara oranla her yıl sosyal mühendislik suçlarındaki artışın bir önceki yıla oranla artmaya devam etmesini bu alanın sonsuz açık kaynaklarına bağlamaktadır. Ayrıca çalışmada dolandırıcılıkla sosyal mühendislik yöntemleri arasında bağ kurulmuştur. Çalışmada sosyal mühendislik, “bir bilgisayar korsanının, başkalarında bulunan ve kendisine yarar sağlayacağına inandığı gizli bilgileri çeşitli yöntemler kullanarak elde etmesi, ifşa ettirmesi durumu” olarak tanımlanmaktadır.

image 6 - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2

Aldawood H., Skinner G. (2017) çalışmalarında, sosyal mühendislik tehditlerinin, bir kurumun karşılaştığı en tehlikeli tehditler olup gizli verilerin, mali kaynakların, fikri mülkiyetin ve tüketici güvenilirliğinin kaybına yol açabileceği işlemişlerdir. Bu konuda çeşitli çağdaş eğitim veren ve farkındalık çözümleri sunan (sanal simülasyon, oyunlaştırma, video eğitim v.b.) eğitim kanalları incelenmiş ve kurumsal kullanım için tavsiyeler verilmiştir. Sosyal mühendislikten korunmanın siber güvenlik farkındalığından geçtiği ve bu iki alanın birbirini desteklemesi gerektiği ise ayrıca belirtilmiştir.

Butavicius M., Parsons K., Pattinson M., Mccormac A. (2015) çalışmalarında, bir grup üniversite öğrencisine yaptıkları phishing (kimlik avı) testlerinde katılımcıların %45’inin mailde bulunan linke tıklayıp sayfayı açtıklarını gözlemlemişlerdir. Bu durum günümüzde halen güncel bir tehdit olan phishing saldırılarının ne derece etkili olduğunu kanıtlamaktadır. Ayrıca çalışmada kişilere gönderilecek maillerin, kişilerin ilgilisini çekecek şekilde (hobi, üst mevkiden bir kişi bilgisi v.b.) süslenerek gönderilmesinin saldırının başarı şansını büyük ölçüde artırdığı vurgulanmıştır.

Fire M., Goldschmidt R., Elovici Y. (2014) çalışmalarında, çevirim içi sosyal ağ kullanıcılarının, sosyal mühendislerin kolay elde edebilecekleri şekilde, özel bilgilerini (doğum tarihi, e-posta, okul adı, telefon, ev adresi v.b.) paylaşmalarının sakıncalarından detaylıca ve örneklerle bahsetmektedirler. Ayrıca nasıl gizlilik sağlanabileceği ve farkındalık oluşturulabileceğiyle ilgili önerilere çalışmada yer verilmiştir.

Zukurnain A., Hamidy A., Husain A., Chizari H. (2015) çalışmalarında, günümüzde teknolojik gelişmelerin hızla artmakta olduğundan bahsederek gerek donanım gerekse yazılım tarafında saldırılara karşı sistemsel önlemlerin artık basitçe alınabildiğini ifade etmekteler. Bu konuda haksız olmadıkları otoritelerin görüşleriyle örtüştüğünden onaylanmaktadır. Sistemlere yetkisiz girişin bu denli zorlaştığı bir ortamda tabi ki geriye en kolay ve bulunması zor saldırı çeşidi kalıyor, sosyal mühendislik. Çalışmalarından sosyal mühendisliği engellemenin temel yolunun insanlardan geçtiği vurgulanmaktadır. Burada dikkat çekilen nokta kuruluşlarda geliştirilen politikaların, prosedürlerin ve standartların etkin bir şekilde kullanılabilmesi için çalışan eğitiminin son derece önemli olduğu vurgulamıştır.

image 9 - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -2

Thornburg T. (2005)çalışmasında, sistemlerdeki en önemli noktanın kişilere verilen erişim yetkileri olduğuna dikkat çekmektedir. Erişim yetkilerinin sınırlarının çok iyi ayarlanması gerekliliği hayati önem arz etmektedir. Çünkü sınırlar arasında bırakılacak küçük bir boşluk bile sosyal mühendisler için yetki yükseltmesinde kullanılacak bir alan olacaktır. Bu nedenle gerek fiziksel gerekse sistemler üzerinden erişimin kontrol altına (log) alınıp sürekli izlenerek geliştirilmesi gerektiği vurgulanmıştır.

Daha önce yapılan birçok çalışmada görüleceği üzere sosyal mühendislik saldırılarını engellemenin en önemli ve ilk sıradaki önlemi eğitimdir. Eğitim alan, bilgilenen ve olay örnekleriyle beslenen personelin farkındalık seviyesinin artmakta olduğu gözlenmektedir. Bu nedenle çalışmada insanlara yeni bilgiler kazandırmak ve farkındalık düzeylerini artıracak örnekler verilerek farkındalık seviyelerinin artırılması amaçlanmıştır. Farkındalık düzeyini artıracak tüm güncel sosyal mühendislik tekniklerine detayları ve örnekleriyle çalışmanın ilerleyen bölümlerinde değinilmiştir.

İlerleyen yazılarda bu çalışmalara atıfta bulunarak sosyal mühendislerin özellikleri ve kullandıkları yöntem, teknik v.b. detaylara değineceğiz…