Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -3

Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -3

12/07/2020 Kapalı Yazar: emrecaglaryildiz

Sosyal Mühendisler ve Amaçları  

ABD Federal Araştırma Bürosu olan FBI’ın en çok arananlar listesinde bulundurduğu, uzmanlık alanı bilgisayar korsanlığı olan Kevin Mitnick, sosyal mühendislik kavramını şu şekilde tanımlamıştır; “İnsanların saflığını kullanarak kişileri etkileyerek ikna ederek veya manipüle ederek kritik önem düzeyine sahip bilgilerin ele geçirilmesi”. Ayrıca Kevin Mitnick’in “Güvenlik bir teknoloji sorunu değildir. Bir insan ve yönetim sorunudur.ˮ tanımlaması güvenlik anlayışının insan odaklı olması gerektiğini iki cümle ile açıklamaktadır. Mitnick’in sosyal mühendislik ile ilgili bir başka tanımlaması şu şekildedir. Sosyal mühendisler, “normalde insanların tanımadıkları birileri için yapmayacakları şeyleri yapmalarını sağlayan kişilerdir”. Özetle sosyal mühendisler güvenlik zincirinin en zayıf halkası olan insanları kullanarak amaçlarına ulaşan birer sanatçıdır. (Aydaner G., 2019)

Sosyal mühendis olmak insan psikolojisini en iyi şekilde anlayıp en iyi şekilde yönetebilmek demektir. Bir başka ifadeyle insanları en iyi şekilde etkilemenin yollarını bilerek risk almadan ve çok fazla zaman kaybetmeden en güvenilir şekilde bilgisayar sistemlerine sızabilme kabiliyetidir. (Aydaner G., 2019)

Sosyal mühendislik aynı zamanda bilim, sanat ve psikolojinin bir karışımıdır. Şaşırtıcı ve karmaşık gibi görünse de hedefe ulaşmak, sistemlere erişim sağlamak sanıldığından çok daha basit olabilir. Bu nedenle sosyal mühendisler, sistemler yerine öncelikli olarak insanları hackler. (Tosun A., 2015)

Uluslararası veri şirketi Digital Guardian sosyal mühendisliği şöyle tanımlamıştır. “Sosyal Mühendislik, insanları kandırmaya yönelik standart güvenlik uygulamalarını kullanan teknik olmayan bir stratejidir. (Barışkan M. A., 2017)

Sosyal mühendislik, bir bilişim korsanının ilgilendiği bilgisayar sistemini kullanan veya yöneten meşru kullanıcılar üzerinde psikolojik ve sosyal numaralar kullanarak, sisteme erişmek için gerekli bilgiyi elde etme tekniklerine verilen genel ad” olarak da tanımlanmaktadır. (Keskin D., Gözenman S., 2019)

Sosyal mühendis, yetkin bir araştırma bilgisine sahip istihbaratçı, toplumsal olayları ve eğilimleri irdeleyecek bir sosyolog, yaptığı işi sonuna kadar savunacak bir avukat, bankacılık sistemlerini ve süreçleri bilen iyi bir bankacı rolüne bürünebilir ya da karşısındaki kişinin hal ve hareketlerini inceleyen farklı tekniklerle karşısındaki ile etkin bir iletişim kuran bir psikolog, teknolojiyi çok iyi kullanan bilgisayar kullanım beceresi, teknik bilgisi üst düzeyde bir bilgisayar mühendisi, yazılımcı, satacağı ürünü en iyi şekilde sunan ve sizi almaya ikna eden usta bir pazarlamacı, etkin konuşma yetisine sahip bir çağrı merkezi çalışanı ve  en önemli özelliği hangi rol verilirse verilsin, verilen rolle bütünleşen usta bir oyuncudur. (Keskin D., Gözenman S., 2019)

Sosyal mühendislik, insan tutum ve davranışlarındaki önyargılar üzerine kurgulanan; etkileme, zorlama, aldatıcı ilişkiler geliştirme, sorumluluğu, etik değerleri, dürüstlüğü ya da bağlılığı azaltma amacını güden yöntemler kullanarak kişileri gizli bilgi vermeleri veya erişim sağlamaları için aldatma sürecidir. (Bağcı H., 2009)

Sosyal mühendislerin amaçları ise çeşitli şekillerde karşımıza çıkmaktadır. Saldırı amacı kişisel kin, nefret, keyfi olabileceği gibi gelir sağlama amaçlıda olabilir.

hacker s - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -3

Sosyal mühendislerin başlıca saldırı amaçları şu şekilde sıralanabilir; bir ağı çökertip ağı ve içindeki donanımları kullanılmaz hale getirmek, kullanılan teknolojilerle ilgili bilgi sızdırmak, çalışanların bilgilerini ele geçirmek, müşteri bilgilerini ele geçirmek, yönetim kadrosunun özel bilgilerini ele geçirmek, sistemdeki şifre ve gizli dosyalara erişim sağlamak, sistemde bulunan sınırlı kaynakları (bant genişliği, işlemci, ram, disk kapasite v.b.) belirlemek, sistemdeki sınırlı kaynakların kullanılamaz hale getirmek, sistemdeki tüm bilgileri ele geçirmek, sistemdeki tüm bilgileri silmek, şantaj yapmak, firma bilgilerini ele geçirip satmak, bilgilere erişimi (şifreleyerek, hizmeti kapatarak v.b.) engellemek, firma itibarını zedelemek, firma güvenini sarsmak v.b. şekilde uzayarak devam edecektir.

Sosyal Mühendislerin Ortak Özellikleri

Sosyal mühendislerin geneli incelendiğinde öne çıkan ilk özellikleri, internet ve telefon kullanımlarının diğer insanlara göre fazla olmasıdır. Ayrıca sosyal mühendisler kişisel bakımlarına, giyimine dikkat ederler. Sürekli insanlara yardımsever ve sempatik görünmeye çalışırlar. Sosyal mühendislerin başarılarının altında yatan bir diğer sırrın ise ikna kabiliyetlerinin yüksek olması ve yalan söylemedeki ustalıkları olduğu bilinmektedir. Kurban ile konuşmaları esnasında ses tonlarını ve ses renklerini ayarlamada ustadırlar. Bu özellikleri ile kurbanı çeşitli ruh hallerine sokabilir ve etkileyebilirler. Kurbanlarının insani zafiyetlerinden (korku, suçluluk, açgözlülük v.b.) yararlanırlar.

2Q== - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -3

İnsanları etkilemedeki üstün yetkinlikleri sayesinde insanlar üzerinde psikolojik baskı kurarak kararlarını değiştirmede ve manipülasyon yapmada başarılıdırlar. Sosyal mühendislerin bazılarının teknik bilgi ve yeterlilikleri olmayabilir fakat bunu çok güzel kamufle eder ve bilgili gibi görünmeyi başarırlar. Başarılı sosyal mühendislerin en güçlü yönlerinden bir diğeri ise araştırmaya büyük önem vermeleridir. Bir kurbana saldırı gerçekleştirmeden önceki en uzun ve en yorucu safha araştırma safhasıdır. (Keskin D., Gözenman S., 2019)

Sosyal mühendisler harekete geçmeden önce tüm adımlarını şekildeki gibi titizlikle belirler ve planlar. Bu planın adımlarından ayrılmazlar ve her adımı sırasıyla ve sabırla devreye sokarlar. Bu noktada belirtilen sabırlı davranışları karşı tarafta güven hissi uyandırmaktadır. Güven hissi duyan ve artan kurban ise sosyal mühendis açısından daha rahat bir hedef haline gelecektir.

Sosyal mühendisler, kurbanlarında bu güven ve samimiyet duygularını kullanarak kurbana çeşitli sorular sorarak kilit bilgiler elde ederler. Kurban masum görünen soruları cevaplarken fark etmeden sırlarını sosyal mühendise kaptırmış olacaktır. Bu nedenle özellikle siber ortamda tanınan kişilere çok fazla bilgi paylaşılmaması ve özel konularla ilgili detayların aktarılmaması güvenliğin tehlikeye atılmaması için uygun olacaktır.

resim - Sosyal Mühendislik Saldırıları ve Farkındalık Eğitimleri -3
Sosyal mühendis çalışma döngüsü

Sosyal mühendislerin sadece siber ortamdan gelmeyeceği ve gerçek hayatta da kurbanlarla yakın ilişkiler kurup arkadaş olabileceği ise akıldan çıkartılmaması gereken bir diğer unsurdur. (Özkaya E., Sarıca R., Durmaz Ş., 2019)

Uzmanlara göre yeni tanıştığınız ya da henüz tam detaylarıyla ne için sizinle iletişim kurduğundan emin olmadığınız kişilerle fazla samimiyet kurulmaması güvenlik düzeyinizin korunması açısından önemlidir. Aksi taktirde siber ortamda elde edilemeyen bilgiler gerçek hayatta çeşitli tekniklerle elde edilerek sosyal mühendisler tarafından kullanılabilecektir.