Bilgi güvenliği bağlamında, kişilerin psikolojik olarak manipüle edilmesi ile bir takım eylemleri gerçekleştirme veya gizli bilgileri açığa çıkartma sanatına Sosyal Mühendislik denmektedir. Geçmişten günümüze doğru bakılacak olursa sosyal mühendislik dolandırıcılığı daha çok bilgi güvenliği konusunda yeterli bilgiye sahip olmayan kişiler üzerinde uygulanılmaya çalışılmıştır. Ancak günümüzde bireylerin bilgi güvenliği konusunda bilinçlendirilmesi ile eski sosyal mühendislik yöntemleri de işe yaramayarak yerini yeni sosyal mühendislik yöntemlerine bırakmaktadır.

Yeni Nesil Sosyal Mühendislik Dolandırıcılığı ve Alınması Gereken Önlemler

1- Sahipsiz USB Bellekler

Herhangi bir yerde (şirket otoparkı, apartman girişi vb.) bulduğunuz usb bellekler gayet masum gözükebilir. İnsanın doğası gereği çoğumuz bulduğumuz bir usb belleğin içerisinde ne olduğunu merak ederiz. Veya gayet iyi niyetli bir yaklaşım ile usb belleğin içerisine bakarak bilgilerden kime ait olduğunu bulup sahibine ulaştırmak isteyebilirsiniz. Peki bu usb bellek casus bir usb bellek ise ? BadUSB veya U3 özellikli bir usb belleği sisteminize taktığınız anda farkında bile olmadan sisteminiz ele geçirilmiş olabilir. Tabi ki sisteminizin bağlı olduğu networkte tehdit altında olacaktır. 1Bu yöntemin ilk uygulanmaya başlandığı zamanlarda başarı oranı oldukça yüksek olduğu biliniyor.

Çözüm olarak bu tür sahipsiz usb bellekleri sisteminize kesinlikle takmamanız gerekir. Gerçekten iyi niyetli yaklaşıp kime ait olduğunu bulmak için içerisine bakmak istiyorsanızda bu konularda bilgili bir IT personeline danışmanızda fayda var.

2- Phishing (Oltalama/Kimlik Avı) Epostaları

Oldukça yaygın olan bu yöntem ile saldırganlar bir banka veya resmi kurumdan gönderilmiş gibi oluşturdukları epostaları kurbanlarına gönderirler. Eposta içeriğinde “ödeme yapmak için tıklayınız”  veya “kullanıcı girişi” gibi adresler olur.  Bu adresler gerçeği ile benzer yapıda oluşturulmuş kullanıcı/kredi kartı bilgilerinizin istendiği sahte ekranlardır. Ayrıca son zamanlarda meşhur olan CryptoLocker virüsüde benzer şekilde eposta içeriğinde bulunan ekleri indirip açmanızla sisteminizi ele geçirebilecek türden bir virüstür.

Çözüm olarak bu tür epostalar da ki linklere tıklamak yerine örneğin ödeme yapacağınız banka hesabınıza giriş yapacaksanız bankanızın internet adresini kendiniz adres çubuğuna yazarak erişim sağlayınız. CryptoLocker virüsü için ise çeşitli çözüm yolları olmakla birlikte son kullanıcıların bu konularda kesinlikle bilgi sahibi bir IT personelinden yardım istemelerinde fayda olacaktır.

Örnek bir cryptolocker virüsü içeren eposta;

cryptolocker_örnek

3- Telefon Görüşmeleri

Tanımadığınız biriyle yaptığınız görüşmelerde size veya şirletinize ait bir takım özel bilgilere ulaşmak için sorular yöneltiliyorsa şüphelenmeye başlayabilirsiniz. Tabi bu soruları sormadan önce sosyal medya gibi ortamlardan size ait edindiği bilgiler ile sizin güveninizi kazanmadıysa. Bu tür durumlarla karşılaştığınızda karşıdaki kişinin doğru/güvenilir kişi olduğunu anlamak için telefonu kapatarak siz onu geri arayabilirsiniz. Zira başka bir numaradanmış gibi görünerek arama yapmak voip teknolojisi ile oldukça basit. Örneğin 12voip uygulaması ile bu şekilde aramalar basitçe gerçekleştirilebiliyor.

Yaptığınız telefon görüşmelerinde asla kimseyle parola bilgisi paylaşmayın. Ayrıca hiçbir devlet kurumu veya kuruluş sizden telefon ile para istemez/para dolu paketi bir yere bıraktırmaz. (tabi gerçekten bir yerlere borcunuz varsa bunu size bildirmeleri normaldir.). 155, 156 gibi kolluk kuvvetlerine ait telefonlar sadece aranmak içindir. O numaralardan arama yapılmaz. Sizi 155 veya 156 gibi bir numara arıyorsa bilin ki bir sosyal mühendislik dolandırıcılığı ile karşı karşıyasınız.

4- Eposta Hesap Güvenliği 

Eposta hesabınız ele geçirildiği zaman ne tür bilgilerinizin saldırganların elinde olabileceğini tahmin edebilirsiniz. Durum böyle iken güvenli bir eposta parolası belirlemek bile yetersiz olabilir. Eposta hesabınızın parolasını unuttuğunuzda kullanmak için belirlediğiniz şifre sıfırlama soruları! Sosyal mühendislik dolandırıcılarının sıkça kullandığı bir yöntemde budur. Yine size ait bilgileri internet üzerinden toplayarak belirlediğiniz şifre sıfırlama sorularının yanıtlarını tahmin edebilirler. Ayrıca şifre kurtarma için belirlediğiniz 2. eposta adresiniz varsa bu eposta adresinize de erişebilir olmanız gerekmektedir. (2. eposta adresi/kurtarma epostası olarak belirlenen eposta adreslerinin henüz kayıt edilmemiş bir eposta adresi olduğu durumlara çokça şahit olunmaktadır.)

Çözüm olarak eposta hesapları için mümkünse gsm ile doğrulama seçeneğini aktif etmenizde fayda var. Şifre sıfırlama için belirlediğiniz 2.eposta hesabınız içinde aynı güvenlik prosedürlerini uygulamanız gerekmektedir. Aksi takdirde birincil eposta adres güvenliği herhangi bir anlam ifade etmeyecektir. 2.eposta adresinizin güvenlik sorusunu bulan biri bu eposta hesabınıza eriştikten sonra birincil eposta hesabınıza da kolayca erişebilir.

5- Fiziksel Ofis Güvenliği

Abartılı ve zor gibi dursada iyi bir sosyal mühendisin ofis güvenliğinizin zaafiyetlerinden faydalanarak bilgi güvenliğinizi tehdit edebilir. Kendilerini ilaçlama şirketi, sağlık personeli vb. gibi tanıtarak şirket içerine girdikten sonra bilgi hırsızlığı yapanlar yok mu? Peki ya drone ‘lar. Artık drone ‘lar avuç içine bile sığabilen boyutu ulaştıkları ve oyuncak kategorisinde satışa sunuldukları için sosyal mühendislik saldırılarında da kullanılabilir hale geldi. Bu masum oyuncuklar artık “spy drone” olarak adlandırılmıyor değiller.

Çözüm için güvenli geçiş noktaları oluşturulmalı ve ilgili kişilerin sadece kendi alanlarına erişebilmesi sağlanmalı. Ayrıca büyük şirketlerde çalışanların kendilerini tanıtan bir kimliği görünebilir şekilde takmaları faydalı olacaktır. Drone ‘lar ile yapılabilecek olan saldırılara karşı en basitinden ekranlarınızı pencerelere ter dönük şekilde konumlandırmanızda fayda var.

6- Sahte Windows Teknik Destek Çağrısı

Yaygın olarak rastlanılan bir senaryo. Dolandırılar kendilerini Windows destek ekibinden arıyormuş gibi tanıtarak bir güvenlik araştırması (malware, trojan gibi afili kelimeler sarfederek) için kendilerine uzak masaüstü erişimi gibi bir takım izinler istiyorlar. Muhtemelen kullanıyor olduğunuz antivirüs uygulaması varsa buradan aradığını belirtenlerde olabilir.

Çözüm oldukça basit. Microsoft’un böyle bir araştırma için kullanıcılarını arayarak uzaktan bağlanıp inceleme yapma gibi bir hizmeti olmadığı için böyle bir çağrı aldığınızda çağrıyı sonlandırabilirsiniz. Ayrıca bu durumu polise bildirmenizde de fayda var.

 

Aldanmamak için aldatma sanatının inceliklerini öğrenmelisiniz. (Kewin D. Mitnick)

2Sonuç olarak günümüzde çok önemli olan bilgi güvenliğini en üst düzeyde tutmanız gerekmektedir. Aksi takdirde size veya şirketinize çok kötü sonuçları olan ağır bedeller ile karşı karşıya kalabilirsiniz.

Bu konularda hiçbir bilgi sahibi değilseniz sizi şöyle alalım. http://www.bilgimikoruyorum.org.tr/

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Post Navigation