Tolga MATARACIOĞLU  Türkiye’de Sosyal Mühendislik Saldırıları Çözümlemesi

 Giriş  •  Donanım, yazılım, veri ve kurum çalışanları zarar görebilir.  “En emniyetli bilgisayar, kapalı olandır.” şeklinde klişeleşmiş  Saldırı Teknikleri
          bir laf vardır. Peki, art niyetli bir kişinin ofise gidip bilgisayarı
 Günümüzde oldukça popüler halde olan sosyal mühendislik  •  Önemli veriye zamanında erişememe sorunları ortaya  açması için birini ikna edebileceğini hiç düşündük mü? Artık  Bu bölümde, sosyal mühendislerin (beyaz şapkalılar) ya da
 saldırılarından korunabilmek amacıyla öncelikle saldırı  çıkabilir.  günümüz bilgi güvenliğine bakış açımızın bu tür durumları da  sosyal mühendislik tekniklerini kullanan kötü niyetli kişilerin
 tekniklerini ve sonra da korunma yöntemlerini bilmek artık  içerecek biçimde genişlemesi gerekiyor.  (siyah şapkalılar) kullandıkları saldırı tekniklerini inceleyeceğiz
 bir zorunluluk halini almış durumda. TÜBİTAK UEKAE Bilişim  •  Parasal kayıplar meydana gelebilir (görece olarak  [2][3][5].
 Sistemleri Güvenliği Bölümü olarak kamu kurumlarına “Bilgi  bakıldığında en hafif durum).
 Güvenliği Testleri” çatısı altında sosyal mühendislik saldırıları  •  Vakit kayıpları kaçınılmaz olur.  1. Zararsız Gibi Görünen Bilgiler
 gerçekleştirmekteyiz. Bu yazıda gerçekleştirdiğimiz sosyal           Bir kurumun güvenliğinin aşılması, genellikle kötü adamın
 mühendislik testlerinin bir çözümlemesini (analizini) yapacağız.  •  Hatta can kaybı bile meydana gelebilir.  kurumdaki pek çok insanın korunması ve sınıflandırılması için
 “Sosyal Mühendislik” terimi bu yazıda, bireylerin davranışlarını    bir neden görmediği, son derece masum, günlük ve önemsiz
 etkileyen "Toplumsal Mühendislik" anlamında kullanılmakta  Şekil 1’de 2001-2009 yılları arasında Amerika Birleşik  USB bellekli saat Donanımsal keylogger USB bellekli çakmak  Kameralı araba anahtarı
                          (59.99$)
                                       (39.99$)
                                                      (59.99$)
              (19.99$)
 olup, geniş kitleleri yönlendirmeyi hedefleyen "Toplumsal  Devletleri’nde meydana gelmiş bilgisayar olaylarının türlerine  görünen bir bilgiyi ya da bir belgeyi elde etmesiyle başlar. Çoğu
 Mühendislik" ya da diğer deyişle, "Toplum Mühendisliği"  göre dağılımı gösterilmektedir [1]. Grafiğe baktığımızda çalınmış  sosyal mühendis, bir kurum için zararsız gibi görünen bilgileri
 kavramıyla karıştırılmamalıdır.  dizüstü bilgisayarların %21’lik bir oranla birinci sırada yer  el üstünde tutar; çünkü bu bilgiler kendilerini daha inandırıcı
 aldığı görülür. Sosyal mühendislik tekniklerini kullanarak  SD kartı saklayıcısı  Kameralı kalem  Kameralı gözlük  kılabilmelerinde can alıcı bir rol oynayabilir.
                (20.99$)      (79.99$)          (79.99$)
 Hepimizin bildiği üzere bilgi güvenliğinin sadece küçük bir  yapılan saldırıları “Bilgisayar Korsanlığı (Hack)” ve “Hile”
 yüzdesi teknik güvenlik önlemleri ile sağlanmakta olup büyük  başlıkları altında toplayacak olursak, bu olaylar %24’lük bir  Şekil 2.  Sosyal mühendislik saldırılarında  2. Doğrudan Saldırı: Yalnızca İsteyivermek
 yüzdesi ise kullanıcıya bağlı durumdadır. Kurumda bilgi  oranla suçların önemli bir bölümünü oluşturmaktadır.  kullanılabilecek bazı donanımlar.  Çoğu sosyal mühendislik saldırısı karmaşıktır. Fakat bazı
 güvenliğinden sorumlu olan kişiler kimler peki? Başta bilginin      saldırganlar amacına basit ve lafı dolandırmadan ulaşabilirler.
 sahibi ve bilgi işlem personeli olmak üzere tüm kurum personeli  Biraz da sosyal mühendislik hakkında bilgi verelim: Sosyal  Bilgiyi doğrudan istemek bazı durumlarda yeterli olabilir.
 aslında bilgi güvenliğinden sorumludur. Bilgi güvenliğinin  mühendislik etkileme ve ikna yöntemlerinden yararlanarak,
 düzeyini belirlemek için en zayıf halkaya bakılır. En zayıf halka  normal koşullarda insanların vermemeleri, paylaşmamaları  Sosyal mühendislik saldırılarında kullanılabilecek bazı  3. Güven Uyandırmak
 da çoğu durumda maalesef insan olmaktadır.  gereken bir bilgiyi ele geçirme sanatı olarak tanımlanabilir.  donanımlar, fiyatlarıyla birlikte Şekil 2'de görülmektedir. Bu
 Çoğu insan, kandırılma olasılığının çok düşük olduğunu  tür ucuz donanımların temininin çok kolay olabileceği ortadadır.  Sosyal mühendislerin başarılarının sırrı insanların aldatılmaya
 Peki kurumunuzda bir bilgi güvenliği zafiyeti oluştuğunda  düşünür. Bu ortak inancın bilincinde olan saldırgan isteğini o  Bu durum da kurumunuzda sosyal mühendislik saldırılarının  fazlasıyla açık olmasıdır. Çünkü insanlar belli şekillerde
 kurumunuzun başına neler gelebilir?  kadar akıllıca sunar ki, hiç kuşku uyandırmaz ve kurbanın  yönlendirilirlerse yanlış şeylere güven duyabilirler. İyi bir sosyal
 güvenini sömürür [4][6].  gerçekleştirilme olasılığını ciddi oranda arttırmaktadır.  mühendis, kurbanın sorabileceği soruları önceden tahmin eder
 •  Bilgileriniz başkalarının eline geçebilir.
                                                                     ve bu sorulara karşı hazırlıklı olur.
 •  Kurumun onuru, toplumdaki imajı zarar görebilir (ki en
 kötü durum).                                                         4. “Size Yardımcı Olabilirim”
                                                                      Bir sorununuz var ve size yardım etmek isteyen birisi var. Bu
 Posta - 4%  E-posta - 4%                                            yardımı reddeder miydiniz? Kabul etmekle kalmaz, saldırgana
 Elden Çıkarılan Doküman - 5%  Bilinmeyen - 4%                       minnet bile duyardınız. Sorunun kaynağının da büyük ihtimalle
 Kayıp Ortam - 3%                                                    saldırgan olduğundan şüpheniz olmasın.
 Çalınmış Bilgisayar - 7%  Kayıp Doküman - 3%
                                                                      5. “Bana Yardımcı Olabilir misiniz?”
 Kayıp Band - 2%
                                                                      Saldırgan kendini acındırarak kurbandan yardım ister. Zor
 Kayıp Doküman - 2%
                                                                     durumda olan insanlara hep acımışızdır. Sonuç: Hep başarı!
 Kayıp Sürücü - 1%
 Hile - 8%  Çalınmış Band - 1%
 Çalınmış Ortam - 1%                                                  6. Düzmece Siteler ve Tehlikeli Ekler
 Kayıp Laptop - 1%
 Virüs - 1%                                                           Bedava indirilebilen yazılımlar! Neden bu yazılımları indirmek
 Diğer - 1%                                                          bedava diye hiç düşündünüz mü? Bu türden olup da art niyet
                                                                     içermeyen pek çok yazılım da mevcut tabii, onları ayrı
                                                                     tutuyorum. Saldırganlar insanların bedava şeylere duydukları
                                                                     hevesten faydalanıyorlar ya da içeriği cazip gelen e-posta
 Web - 13%
                                                                     eklerinden. Örneğin, “zamlı maaşınızı öğrenmek için lütfen
                                                                     ekteki dosyaya tıklayın” konulu bir e-posta alıyorsanız eğer,
 Çalınmış Laptop - 21%                                               ekini açmadan önce bir kez daha düşünün.


 Bilgisayar Korsanlığı (Hack) - 16%


 Şekil 1.  ABD’deki bilgisayar olaylarının türlere göre dağılımı.


 90  Sayı 04   Eylül-Aralık 2010  http://www.uekae.tubitak.gov.tr/  91
 ·