Sosyal Mühendislik Nedir ve Nasıl Korunulur?

0
234

Günümüzde filmlere konu, büyük şirketlerin korkulur rüyası, bilgisayar korsanlarının vazgeçilmezi olan sosyal mühendislik nedir ve sosyal mühendislik saldırılarından nasıl korunulur?

Sosyal mühendislik denince bazılarımızın aklına Who Am I filmi gelmiştir illaki. Bu filmin de konusu sosyal mühendislik üzerinde kuruluydu. İzlemeyenler için kısaca FBI’ı kandıran ve sırra kadem basan bir hacker grubunun hikayesi. “Sadece filmlerde böyle şeyler olur” dememek lazım zira günlük hayatta bile karşımıza çıkabilecek sosyal mühendislik örnekleri vardır ve aynı zamanda bir suçtur.

Sosyal Mühendislik (SM) Nedir?

Wikipedia SM’yi şöyle tanımlıyor: “İnsanları eylemlerde bulunmaları ya da gizli bilgiyi açıklamaları için maniple etme edimidir. Güven aldatmacası ya da basit bir dolandırıcılığa benzerken, terim tipik olarak bilgi toplamak, dolandırmak ya da bilgisayar sistemine erişim sağlamak amacıyla kandırmayı ya da aldatmayı kapsar; birçok durumda, saldırgan kurbanla hiç yüz yüze gelmez.”

Ya da daha basit bir tanımla: İnsanları maniple ederek güven kazanma yoluyla kişisel/kurumsal bilgileri ele geçirme.

Şunu da belirtmek gerek ki; sosyal mühendislik çok eski tarihlerden beri toplumları yönetmekte kullanılmaktadır. Yani sosyal mühendisliğin geçmişi çok uzundur ama bilgilerin toplanması ve gerekli araştırmaların yapılması son yüzyılda gerçekleşmiştir. Henüz yeni yeni sosyal mühendisliğin üstüne düşülmesinin nedeni ise İnternetin 1960’lardan sonra ortaya çıkmasıdır.

social-1024x600

Sosyal mühendislik medyada genellikle ‘bedava pizza’, ‘bedava kahve’, ‘kız tavlama yöntemleri’ gibi örneklemelerde kötü nam sahibi olsa da aslında doğru kullanıldığında karşıdaki kişiye çok büyük zararlar açabilecek yöntemler barındırır. Kısaca bir sosyal mühendisin izleyeceği yol ve önemli hususlar şunlardır:

-Bilgi Toplama

-Bilgi İfşa Ettirme

-Bir Kimliğe Bürünme

-Akıl Oyunları

-İkna Etme

Örnek vermek gerekirse; hedef kişi bilgilerini elde etmek istediğimiz şirketin CEO’su olsun. Elimizi kolumuzu sallayarak bilgisayarına erişemeyiz; dolayısıyla bilgisayarına uzaktan erişim sağlamamız gerekmekte. Şimdi hedef kişi hakkında bir araştırma yaptığımızı varsayalım ve birkaç veri elde ettik. Bunlardan biri de CEO’nun avlanmaya fazlasıyla meraklı oluşu olsun. Kaliteli av malzemelerini ucuza satan bir site hazırlayıp, sahte bir mail ile birlikte hedef kişiye gönderebiliriz. Daha sonra ise CEO’nun maildeki kötü niyetli içerik barındıran linke tıklamasını bekleyeceğiz. Eğer şansımız yaver giderse CEO’nun bilgisayarına erişim sağlayabiliriz.Tarihte bu gibi örnekler çoktur. Merak ettiyseniz Kevin Mitnick adında ünü kötü yayılmış sosyal mühendisin vakalarını okuyabilirsiniz.

kevin

Kevin Mitnick. Ünlü bilgisayar korsanı. Bilgisayar sistemlerinden uzaklaştırma ve 5 yıl hapis cezasının ardından günümüzde beyaz şapkalı bir bilgisayar korsanı olarak güvenlik danışmanlığı yapmaktadır.

Bir sosyal mühendis sadece insanları kandıracak eylemlerle yetinmeyebilir. Siz de şifrelerinizin güvenli olduğunu düşünüyorsunuz değil mi? Ama bir sosyal mühendis sizin doğum tarihiniz gibi şifre olabilecek verileri topladıktan sonra bu verileri farklı dizilişlerde gerçekleştirip şifrenizi bulmaya çalışan bir program kullanabilir. Ve en kötüsü de bu verileri sizin zaten internete yayıyor olmanız.

İnternet, sosyal mühendis için sınırsız bilgi kaynağıdır. Hatta sizin bilgilerinizi özel olarak depolayan kötü niyetli programlar bunları parayla satabilir. Siz fark etmeseniz de böyle uygulamalar mevcut. Önreğin telefonunuza uygulama indirirken uygulamanın istediği izinleri çoğumuz okuyup geçebiliyoruz ama bu izinler bizim için tehlike teşkil edebilir. Basit bir flaş ışığı uygulaması bile rehbere erişim izni istiyorsa bilinmelidir ki ya uygulama rehberle bağlantılı ya da bu uygulama sizin ve kişilerinizin telefon numaralarını kendi sunucularına kopyalıyor.

Sosyal Mühendislikten Nasıl Korunurum

Açıkça belirtmek gerekirse eğer önemli bir şirket sahibi değilseniz veya toplumca tanımış biri değilseniz risk çok büyük değil. Kendinizi bu konuda tehlikede hissediyorsanız bu işi daha profesyonel yapan kişilerden yardım almanız gerekir. Bu konuya ilişkin seminerler ve eğitimler düzenleniyor.

Sosyal mühendisliği önlemenin ve hafifletmenin ilk adımı, saldırılar hakkında bilgi edinmektir. Bu saldırılara, kötü niyetli PDF dosyalarını nasıl yeniden yaratacağınızı ya da nasıl mükemmel bir dolandırıcı olunacağını öğrenecek kadar derinlemesine dalmanız gerekmez. Ama kötü niyetli bir PDF’e tıkladığınızda ne olduğunu anlamak ya da birisinin sizi kandırmaya çalışıp çalışmadığını belirlemek için hangi işaretlere bakmanız gerektiğini bilmek, kendinizi korumanızda yardımcı olabilir. Yanın sonuç şu ki; eğer tam manasıyla korunmak istiyorsanız siz de bir sosyal mühendis olmalısınız. Buradaki kasıt uzman olmak değil kendinizi koruyabilecek kadar bilgi sahibi olmanızdır.

Ben kendimi basitçe güvene almak istiyorum diyorsanız da çok basit öneriler var.

-Sosyal medya üzerinden bilgi paylaşımı yaparken çok daha dikkatli olmalısınız. Sizden istenen bilgilerin değerinin farkında olun. Bir sosyal mühendislik yarışmasından elde edilen verilere göre bilgi değersiz ya da çok az değerli olarak algılandığında, onu korumak için çok az çaba sarf edilir. Karşınızdaki sosyal mühendis alması gereken verinin değerini size küçük göstermeye çalışabilir. Bu taktiğin farkında olmalısınız.

-Şifrelerinizde değişik karakterler kullanmalısınız. Araştırmalara göre sadece harflerden oluşan bir şifreye sayı da eklenince bu şifreyi kırmak kat be kat daha fazla zorlaşıyor.

-Sosyal hesaplarınızın doğrulama aşamalarını dikkatlice tamamlamalısınız. Bir hesabı oluştururken ‘doğrulama sorusu’ vb. gibi soruları dikkatlice seçmeli ve diğer kişilerin tahmin edemeyeceği türden cevaplar vermelisiniz.

-Dosyalarınızı güvenilir kaynaklardan ve mümkünse doğrulanmış yapımcılardan indirmelisiniz.

-Bilgisayarınızda düzenli olarak virüs taraması yapmalısınız.

Aslında bu tavsiyelerin de ötesinde sizlere sosyal mühendislikle alakalı kitaplar okumayı öneriyorum. Özellikle Christopher Hadnagy’nin “Sosyal Mühendislik: İnsan Kandırma Sanatı” adlı kitabı kullanılan yöntemleri ve nasıl yapıldığını detaylıca açıklıyor. Yani bu kitaptan sonra kendinizi koruyabilecek seviyede olabilirsiniz. Sosyal mühendislik, temeli filmlere dayanan bir bilim kurgu değil, her yaştan insan için tehlike yaratabilecek bir sistemdir.