Siber saldırıların yeni kıskacı: Sosyal Mühendislik

Murat YILDIZ

Güvenlik duvarları, antivirüs yazılımları ya da siber saldırıları anında sezen yazılımlar kullansanız bile güvende değilsiniz. Aldığınız önlemler ne kadar çok olursa olsun, şirketteki kullanıcıların yapacağı yanlış bir hareket tüm bu önlemleri bir anda anlamsız hale getirebilir.

- Sosyal mühendislik nedir?

David Allegretti ve arkadaşı Sean, bir sosyal deney yapmaya karar veriyorlar. Hemen bir spor mağazasından genelde görevlilerin giydiği sarı ve turuncu renkte yelekler satın alıyorlar. İkili bu yeni üniformaları ile stadyumlar, konserler, müzeler ve hayvanat bahçesi gibi kamusal alanlara ellerini kollarını sallayarak girmeyi başarıyorlar. Herhangi bir görevliymiş gibi, kendilerinden emin bir şekilde turnikelerin üzerinden atlıyor, güvenlik görevlilerinin yanından geçiyor ve mekanlara ücretsiz olarak girmeyi başarıyorlar. David Allegretti ve arkadaşının hikayesi aslında sosyal mühendislik hakkında bize büyük bir ipucu veriyor. Kısa bir tanım yapacak olursak, sosyal mühendislik insan psikolojisini kullanarak binalara, sistemlere veya veri üreten ve korunması gereken cihazlara kolayca girebilme sanatı. Günümüzde bu sanat bilgisayar korsanları tarafından sıkça kullanılmaya başlandı.

Yazılım açığı aramaya son

Sosyal mühendislik sayesinde saldırganlar yazılımların ya da ağların açıklarını aramak ile uğraşmıyor. Bunun yerine işletmenin dinamiklerini ve iş yapış biçimlerini öğrenmek yeterli. Hatta bazen bunları bile öğrenmeye gerek yok. Özellikle büyük kurumlarda iç iletişimin ve süreçlerin yeterince kurumsal hale getirilmemiş olması sosyal mühendislik saldırıları için elverişli bir ortamın oluşmasına neden oluyor.

- Nasıl mı? Örnek verelim:

Muhasebe biriminden herhangi bir kişiyi dışarıdan arayan saldırgan, kendisini bilgi işlem departmanında yeni işe başlayan tekniker olarak tanıtıyor. Saldırgan gayet ikna edici bir ses tonuyla, tüm bilgisayarlarda güncelleme yapıldığını, tarayıcıyı açarak belirli bir adrese gitmesini istiyor. Zararlı yazılım barındıran siteden ilgili yazılım kolayca kuruluyor ve teşekkür edilip telefon kapatılıyor. Peki tüm işler bu kadar basit mi? Aslında geçmişte Türkiye’de de gerçekleşen birçok hacker saldırısına baktığımızda, bu kadar basit bir sosyal mühendislik kullanıldığını görüyoruz. Çoğu saldırgan herhangi bir teknolojik bilgiye ve donanıma sahip olmadan yalnızca ikna edici birkaç telefon görüşmesi yaparak domain isimlerini başka yerlere yönlendirmeyi başarmıştı.

Günümüzde sosyal mühendislik için elverişli çok daha fazla araç ve platform var. Eskiden yalnızca telefon açarak yapılabilecek bir saldırı artık kolayca sosyal medya üzerinden yapılabiliyor. İş arkadaşınızın yeni bir sosyal medya profili açtığını ve size arkadaşlık gönderdiğini sanıyorsunuz. Halbuki birebir kopyalanan bir hesap üzerinden size gönderilen mesajda, kişisel bilgileriniz isteniyor. Telefon numaranıza gelen bir SMS’e olumlu cevap verdiğinizde aslında mobil ödeme yapmış oluyorsunuz ve saldırganlar bu yolla binlerce kişiden para toplayabiliyor.

- Korunmak için ne yapmak lazım?

Sosyal mühendislik tabanlı saldırılardan korunmak için yapılacak işlerin başında bir kurumsal güvenlik kültürü oluşturmak ve çalışanları sürekli farklı örnekler üzerinden eğitmek gerekiyor. Yalnızca sistemler ve güvenlik yazılımları ile değil, çalışanların kendilerine de hem kurum içi hem de özel yaşamlarında bir güvenlik bilinci oluşturmak ve alınması gereken tedbirleri sürekli anlatmak şart. Bunun kadar önemli bir başka husus ise, kurum içerisindeki tüm iş süreçlerinde sosyal güvenlik saldırılarına karşı önlemler almak gerekiyor. Örneğin kapı güvenliğine gelen, herhangi bir markaya ait tekniker görünümlü kişiler hangi prosedürler ile içeri alınabilir? Ya da kurumdaki bilgisayarlara yapılacak olan müdahaleler veya telefon üzerinden uzaktan desteklerde ne gibi güvenlik prosedürleri oluşturulabilir? İşletmeler kendi iş süreçlerindeki açıkları bulabilmek için danışmanlık şirketlerinden sosyal mühendislik deneyleri uygulamalarını talep ederek açıklarını daha kolay tespit edebilirler.

4 dolarlık tişört ile saldırı

Sosyal mühendisliğin kurumlarda ne gibi sıkıntılara yol açabileceğine ilişkin en başarılı deneylerden biri ABD’de yapıldı. Lares isimli güvenlik danışmanlık şirketinin kurucusu Chris Nickerson, 4 dolara satın aldığı bir Cisco tişörtü ile binaya kolayca giriş yaptı. Resepsiyondaki görevliler onu Cisco’nun bir teknik elemanı sandılar. İçeriye girdikten sonra USB bellek ile getirdiği birçok yazılımı network cihazlarına kurmayı başardı. Chris Nickerson’a göre insanların ilk eğilimi sizi sorgulamak değil, güvenmek üzerine oluyor.