Sosyal Mühendislik Nedir? Nasıl Yapılır?

Sosyal Mühendislik Nedir?

Sosyal mühendislik, insanların açıklarını kullanarak hedef belirlenen sisteme sızmak için gereken gizli bilgi(ler)i elde etmekte kullanılan yöntemlerin genel adıdır. İnsanların beynini hacklemek diye de tanımlanır. Sosyal mühendislikte ustalaşmış kişiler insan ilişkilerinde, güven kazanma ve ikna etme gibi konularda oldukça iyidirler.

Sosyal Mühendislikte Amaç Nedir?

Sosyal mühendislikte amaç hedefe ulaşmak için teknik yöntemlerin yetersiz kaldığı durumlarda insanı baz alan farklı yöntemler yardımıyla yine hedefe ulaşmaktır.

Sosyal Mühendislik Nasıl Yapılır?

Sosyal mühendislik saldırılarında insanların zaaf ve dikkatsizlikleri koz olarak kullanılır. Hedef sistem/bilgiye ulaşmak için farklı bir kişiliğe bürünüp kurbanla iletişim sağlanılır. Birçok saldırı yöntemi mevcuttur fakat kişiler kendilerine özgü yöntemler de geliştirebilirler. Saldırı yöntemleri saldırganın hayal gücüyle orantılıdır.

En bilindik yöntemlere göz atalım:

1) Sanalda Sosyal Mühendislik

Bu yöntemde saldırgan ile kurban arasındaki iletişim yazışmalar ve maillerden ibarettir. Yüzyüze veya sesli görüşme olmadığından pot kırma olaslığı daha düşüktür. En basit yöntemdir. Ayrıca phishinge zemin hazırladığı için onu da bu başlık altında tutabiliriz.

1.1) Phishing:

Phishing yani dilimizde Oltalama anlamına gelen yöntem, kurbanların kritik bilgilerini elde etme amacıyla yapılan ataklardan biridir. Saldırgan, izleyeceği yola göre herhangi bir kimliğe bürünerek hedefi online bir yazışmada veya gönderdiği bir mail aracılığıyla kendisinin hazırladığı tuzak sayfaya yönlendirir. Kurbanın yönlendirildiği bu sayfa genelde güvenilir bir kuruma ait sitenin kopyasıdır ve inandırıcı olması için adresleri orjinaline benzerdir.(Facebook-Faqebook.com, gmail-qmail gibi) Kurban, tuzak sitenin gerçek olduğunu zannederek istenilen bilgileri şüphe duymadan sayfaya girer. Bu bilgiler saldırganın paneline düşer ve atak sonuç vermiş olur. Bu saldırı tipini sosyal medya hesaplarını çalma işleminde sıkça görürsünüz. Örneğin aşağıdaki Twitter giriş sayfası kopyalanarak twitter.com ‘ a benzer bir adreste kullanılabilir.

1.2) Mail Yoluyla Phishing:

Yukarıda bahsettiğim gibi saldırgan, kurbanı tuzak sayfaya mail yoluyla da yönlendirebiliyor. Bu mailler sayfada hangi kurum-kuruluş taklit edildiyse yine onun mailleri taklit edilerek düzenleniyor. Aşağıda Twitter için hazırlanmış bir sahte e-posta iletisi görüyorsunuz.

 

2) Telefon Görüşmelerinde Sosyal Mühendislik

Ülkemizde adını sıkça duyuran bir yöntemdir. Saldırgan seçtiği kurbanı arayıp yetkili kişi gibi davranabilir, güven verme ve ikna teknikleriyle istediği bilgiyi kolayca elde edebilir. Gerçek bir insanın sesini duymak insanlarda internetteki görüşmelerden daha fazla güven uyandırmaktadır. Telefon görüşmelerinde kurbanı aceleye getirmek çoğu zaman kurbanın sağlıklı karar almasının önüne geçmektedir.

3) Yüz Yüze Diyaloglarda Sosyal Mühendislik

Emek verildiği takdirde etkilidir. Saldırganın akıcı ve etkili konuşma yeteneğine sahip olması gerekir. ‘Who Am I’ filmini iyi bir örnek olarak gösterebiliriz.

Bir Sosyal Mühendis Hangi Adımları İzler?

Bir sosyal mühendis sonuca ulaşmadan önce birkaç adımlık bir yoldan geçer.

1) Bilgi Toplama: İlk olarak hedef hakkında daha sonra kullanılmak üzere detaylı bilgi toplanır. Bu bilgilerden yola çıkarak hedef kişinin karakter analizi de yapılır.

2) Planlama: Elde edilen bilgiler değerlendirilerek saldırıda hangi yöntemlerin kullanılacağı, nasıl bir yol izleneceği belirlenir. Sahte bir kimlik ve senaryonun oluşturulması işlemini de planlama kısmına dahil edebiliriz.

2.1) Sahte Kimlik Oluşturma: Kendi kimliğinizi kullanamayacağınız için kurban ile iletişim sırasında bürünebileceğiniz sahte bir kişilik yaratmaya ihtiyaç duyacaksınız. Kendiniz bir kişilik oluşturmak yerine var olan birininkini de çalabilirsiniz, bu sizin tercihinize ve olaya göre değişiklik gösterebilir. Oluşturacağınız bir kimliğin kurbanın ilgi noktalarına uygun olması dikkat etmeniz gereken hususlardan biridir. Durumun inandırıcılığı gereğince yarattığınız kimliği iyice ezberlemeli hatta ta kendisi olmalısınız.

2.2) Senaryo Oluşturma: Sosyal mühendislik için her türlü sonuca hazırlıklı olmak gerekir. Böyle bir durumda doğaçlama yapmak doğru olmaz. İşte bu yüzden internetten, telefondan veya yüz yüze yapacağınız bir saldırıda sahte kimliğin yanı sıra iyi bir senaryo da oluşturmanız gerek.

3) Saldırı: Kurban ile iletişim kurma ve sonrasında kullanılacak güven uyandırma ve ikna kabiliyeti kullanılarak planlama aşamasında belirlenen yöntemler bir bir uygulanır. Sonuç istenildiği gibi gitmediğinde ikincil ve üçüncül planlar devreye sokulabilir. Zaten bir sosyal mühendis hedefi iyi araştırıp sağlam bir senaryo planladığı için yaptığı ve yapacağı ataklarda her sonuca hazırlıklı bulunur.

Sosyal mühendislik yapan kişilerde bulunan özellikler genel olarak aşağıdaki gibidir: 

•Hedefe ulaşmak için her türlü yolu denemekten çekinmezler.

•Güven verme ve ikna kabiliyetleri yüksektir.

•Hayal güçleri oldukça zengindir.

•Psikolojik baskılama konusunda etkilidirler.

Sosyal Mühendislikten Nasıl korunuruz?

•Kendilerini herhangi bir kurum-kuruluş gibi tanıtan ve şifreniz gibi önemli bilgileri isteyen kişilere itibar etmeyin. Bu tür oluşumlar sizin bilgilerinize ihtiyaç duymazlar.

•Girdiğiniz sayfaların adreslerinde dikkat edin. En ufak dalgınlıkta bilgilerinizi kötü ellere teslim edebilirsiniz.

•Sosyal medyadan paylaştığınız bilgilere dikkat etmelisiniz. Sosyal medya oturduğunuz yer, nereli olduğunuz, tuttuğunuz takım, annenizin kızlık soyadı, okulunuz, işyeriniz, ilgi alanlarınız ve daha nicesini halka açık hale paylaşmanızı sağlayan platformlardır.

•Hesaplarınızda iki adımlı doğrulama ve doğrulama sorusu özelliklerini kullanın.

•Güvenilirliğinden emin olmadığınız kaynaklardan dosya indirmeyin.



Kitap Önerileri

Bu noktada sizlere ‘Sosyal Mühendislik’ hakkında en çok bilinen kitaplardan üç tanesini önereceğim.

Kevin Mitnick - Aldatma Sanatı & Sızma Sanatı

Christopher Hadnagy - Sosyal Mühendislik: İnsan Kandırma Sanatı