Tolga MATARACIOĞLU  Türkiye’de Sosyal Mühendislik Saldırıları Çözümlemesi

 7. Acındırma, Suçluluk Duygusu ve Sindirme Tekniğini  klavyelerin altına ya da monitörlere yapıştırılmış not kağıtlarına  Şekil 3’te sosyal mühendislik saldırısı süreci gösterilmiştir.  Test sonunda şifreleri ele geçirilen kullanıcılara, bilgi işlem
 Kullanmak  bakarak pek çok şifre elde edilebilir. Daha da vahimi, kullanıcısı  Sürecin ilk evresinde araştırma yer almaktadır. Bu aşamada  personeli tarafından ulaşılmakta, şifrelerini değiştirmeleri
 başında bulunmayan, ekranı kilitlenmemiş ve şifreli ekran  saldırı gerçekleştirilecek kişi ya da kurum hakkında edinilebildiği  yönünde bilgi verilmektedir. Böylelikle ele geçirilen şifrelerin
 Hem kendimiz hem de başkaları adına zor durumlardan  kadar bilgi elde edilir. Daha sonra dostluk ve güven uyandırma
 kaçınma eğilimindeyiz. Bu olumlu dürtüden yola çıkarak  koruyucusu bulunmayan bilgisayarlardır.  aşamasına geçilir. Sosyal mühendis, bir önceki evrede edindiği  hassasiyet ya da kritiklik derecesi sıfırlanmış olur.
 saldırgan, kişinin acıma duygusuyla oynayabilir, onun kendini  10. Teknolojiyi ve Sosyal Mühendisliği Birlikte Kullanmak  bilgileri kullanarak kurbanın güvenini kazanmaya çalışır. Eğer  Senaryo 1:
 suçlu hissetmesini sağlayabilir ya da silah olarak sindirmeyi  başarılı olursa bir sonraki aşamaya geçilir ve güven kötüye  Bu senaryoda kullanılan veri tamamen kurum dışından
 kullanabilir.  Başarılı sosyal mühendisler sadece telefonu ya da insanların  (Facebook, Google, MSN vb.) elde edilir. Saldırgan kurumla ilgili
 zafiyetlerini kullanmanın yanı sıra teknolojiyi de kullanarak  kullanılır. Elde edilen hassas bilgiler değerlendirilir. Eğer bu
 8. Ters Dalavere  saldırıyı daha etkin hale getirirler. Bu kapsamda şifre kırma  bilgi yeterli ise saldırı sonlandırılır. Edinilen bilgi yetersiz ise  telefon bilgilerini internetten topladıktan sonra bu numaraları
                                                                     arayarak kendisinin bilgi işlem departmanında yeni işe
 programları, klavyeden girilen tüm bilgiyi kaydeden casus  tekrar araştırma evresine dönülür ve döngü sosyal mühendis
 Geleneksel sosyal mühendisler belli bir yol izlerler. Bazı  tarafından bir kez daha yinelenir.  başladığını ve aktif dizinde bir güncelleme yapmak amacıyla
 durumlarda ise oyun ters yönde oynanır. Buna da ters dalavere  yazılımlar ve zararlı kod içeren dosyalar hazırlamaya yarayan  kullanıcı adı ve şifreye ihtiyacı olduğunu söyler.
 denir. Bu yöntemde kurban, yardım için saldırganı arar.  programlar örnek olarak verilebilir.  Senaryo 2:
 Kurbanın saldırganı aramasının altında yatan durum,  11. İşe Yeni Girenlere Yapılan Saldırılar  DOSTLUK VE  GÜVENİ  BİLGİ  Bu senaryoda kullanılan veri tamamen kurum içinden (bilgi
                         GÜVEN
                                      KÖTÜYE
 saldırganın, kurbanın direkt etkileneceği bir sorun çıkartması  ARAŞTIRMA  UYANDIRMA  KULLANMA  KULLANMA  işlem departmanından alınan telefon listeleri, kritik personelin
 ve bir şekilde önce kurbana telefondan ulaşması ve telefon  Başarılı bir sosyal mühendis çoğunlukla kurum içi yetki  listesi vb.) elde edilir. Saldırgan ilgili telefon numaralarını
 numarasını bırakarak kurbanın kendisini aramasını  sıralamasında alt düzeylerde olan çalışanları, özellikle de yeni  arayarak kendisinin bilgi işlem departmanında yeni işe
 beklemesinden kaynaklanmaktadır.  işe başlayanları hedef alır. Peki neden işe yeni başlayanlar?
 Çoğu zaman kurum bilgilerinin ya da bazı hareketlerinin olası       başladığını ve aktif dizinde bir güncelleme yapmak amacıyla
                                   GERİ                              kullanıcı adı ve şifreye ihtiyacı olduğunu söyler.
 9. İçeriye Girmek  sonuçlarının farkında olmamaları ve kolayca etki  BESLEME
 altınagirebilmeleri bu soruya yanıt olarak verilebilir.              Senaryo 3:
 Dışarıdan birinin kurum çalışanı kimliğine bürünmesi
 tekniğidir. En basitinden, içeriye bir kez girdikten sonra  Şekil 3.  Sosyal mühendislik döngüsü.  Saldırgan kendini, denetçi olarak tanıtır ve şu an kurum
                                                                     başkanının yanında olduğunu söyleyerek devam eder. Başkanın
                                                                     emriyle bir inceleme yapmak için kullanıcı adı ve şifreye ihtiyacı
           Sosyal Mühendislik ve Türkiye
                                                                     olduğunu söyler.
           TÜBİTAK UEKAE Bilişim Sistemleri Güvenliği Bölümü          Senaryo 4:
          olarak yaklaşık 1,5 yıldır kamu kurumlarına sosyal mühendislik  Bu senaryoda kullanılan veri tamamen kurum dışından (ör.
          saldırıları gerçekleştirmekteyiz. Bu kapsamda bugüne kadar  Google) elde edilir. Saldırgan kurumun santralini arayarak
 10       toplam 5 kamu kurumunda bu testi gerçekleştirdik. Bu       muhasebe departmanından birisiyle görüşmek istediğini söyler.
          kapsamda toplam 48 kullanıcı ile telefon görüşmesi yapıldı ve  Amaç, öncelikle bir isim ve dahili numara elde etmektir. Bu
 9        30’una ait şifre elde edildi. Kurum A’da 10 kullanıcı ile görüşülüp  bilgiyi aldıktan sonra ilgili kişiyi arayarak kullanıcı adı ve
          8’inin hassas bilgisi elde edildi. Kurum B ve E’de ise 10 kullanıcı  şifresini almaya çalışır.

 8        ile görüşülüp 5’inin şifresi elde edildi. Kurum C’de 10, Kurum  Senaryo 5:
          D’de 8 kurum çalışanı ile görüşülüp 6’sının şifresi elde edildi.  Eğer kurumda var olan kritik yazılımlardan herhangi biri
 7        (Şekil 4) Kurum A’da başarı oranı (şifresi elde edilen katılımcı  dışarıdan bir kurumun işletimi altındaysa, saldırgan kendisini
          sayısı/katılımcı sayısı) %80 iken, Kurum B ve E’de bu oran %50,
 Katılımcı Sayısı  Kurum C’de %60 ve Kurum D’de %75 olmuştur ki bu oranlar  o kurumdan bir yetkili olarak tanıtıp, bir güncelleme yapmak
 6                                                                   için kullanıcı adı ve şifre almaya çalışır.
          ciddi derecede yüksek oranlardır. Aslında burada kurum bazında
 Şifresi Elde Edilen  başarı oranına bakmak pek de doğru olmayabilir; çünkü siz  Senaryo 6:
 5  Katılımcı Sayısı  saldırgan olarak kurumdan sadece bir kişinin bile hassas bilgisini  Çeşitli yazılımlar yardımıyla ekinde zararlı yazılım bulunan

 4        ele geçirseniz, bu hassas bilgiyle pek çok bilgiye ulaşabilmeniz  ve içeriği kullanıcılara çok cazip gelecek e-posta hazırlanır ve
          mümkün olabilir. Sonuçlar çözümlendiğinde, maalesef kamu   tüm kullanıcılara gönderilir.

 3        kurumlarımızdaki personelde bilgi güvenliği bilincinin pek  Örnek 1: Maaşlara yapılan son zammı görmek için ekteki
          oturmamış olduğu gözükmektedir.                            dokümana tıklayınız.
 2         Sosyal Mühendislik Testleri                                Örnek 2: Ben aaa firmasında teknik destek grubu çalışanıyım.
                                                                     Firmamızın bbb yazılımında meydana gelen kritik bir açıklığın
 1         Yaklaşık 1,5 yıldır kamu kurumlarına gerçekleştirdiğimiz  bir an önce kapatılması için lütfen ekteki yamayı bilgisayarınıza
          sosyal mühendislik saldırılarında kullandığımız bazı senaryoları  kurunuz.
 0        aşağıda bulabilirsiniz. Bu testi gerçekleştirmeden önce kurum
 Kurum A  Kurum B  Kurum C  Kurum D  Kurum E
          yetkilisinden izin alınmakta ve test boyunca bir bilgi işlem
          personeli testi gerçekleştiren personele refakat etmektedir.
 Şekil 4.  Kamu kurumlarında gerçekleştirilen sosyal mühendislik sonuçları.


 92  Sayı 04   Eylül-Aralık 2010  http://www.uekae.tubitak.gov.tr/  93
 ·