Siber saldırıların en zarif hali…
Kendilerine ait olmayan özel veya gizli bir bilgi, para veya başka değerli metaları teknolojinin sağladığı imkanları kullanarak insanları psikolojik olarak etki altına alıp kandırmak suretiyle haksız yere elde edenleri sosyal mühendisler olarak ele alacağız.
Hak etmediklerini akıl oyunlarıyla ele geçirdikleri felsefesinden hareketle, sosyal mühendis olarak isimlendirdiğimiz şahısların özünde klasik bir hırsızdan pek bir farkları yoktur.
Ha gecenin bir yarısında evinize girip altınlarınızı çalan hırsız ha bilgisayarınıza zararlı bir yazılımı uzaktan yükleyerek size özel bilgileri çalan bir sosyal mühendis. Her ikisi de özünde hile ile hak etmedikleri, başkalarına ait bir varlığı çalıyor.
Eve giren hırsız kapıyı açmak için maymuncuk, altınlarınızı bulmak için el feneri, parmak izi bırakmamak için eldiven veya tanınmamak için maske kullanıyor. Sosyal mühendisler ise gizlice bilişim cihazlarına sızmak ve en azından faaliyetleri esnasında fark edilmemek için teknolojinin sağladığı imkân ve kabiliyetleri kullanıyorlar. Kapımıza penceremize sağlam bir kilit takmayarak hırsızlara davetiye çıkarırken, bilişim sistemlerimizdeki yetersiz güvenlik önlemleri ve duygusal zafiyetlerimizle sosyal mühendislere davetiye çıkarıyoruz.
Bize göre sosyal mühendislik hırsızlığın veya dolandırıcılığın çağın gereklerine göre güncellenmiş versiyonundan başka bir şey değil. Çağın gereklerine göre yapılan güncelleme neticesinde, maymuncuk, el feneri ve maske yerine sahte e-postalar, cep telefonları, SMS’ler, sosyal medya, zararlı yazılımlar, sızılmış veya orijinaline uygun tasarlanmış sahte web siteleri kullanılıyor.
Sosyal mühendislik kapsamında kullanılan araç, taktik ve teknikleri biraz daha detaylarına inerek incelemeye başladığımızda aşağıdaki tanımlamalar karşımıza çıkıyor.
- Yemleme (phishing),
- Hedefli yemleme (spear phishing),
- Balina avı (whaling),
- SMS yemleme (Smishing),
- Telefon dolandırıcılığı (phone phishing-Vishing),
- Sosyal medya dolandırıcılığı (social media phishing)
- Başkasının yerine geçme (impersonating)
- Sahte senaryolar uydurma (pretexting)
- Aldatmaca (spoofing)
Yukarıda maddeler halinde saydığımız araç, taktik ve tekniklerin biri veya birkaçı aynı anda kullanılarak teknolojik dolandırıcılık veya modern hırsızlık dediğimiz sosyal mühendislik saldırıları gerçekleştiriliyor.
Örneğin, sahte bir adresten (spoofing) e-postanın gönderildiği yemleme (phishing) tekniğinde, e-posta içerisine MS Office dosyası görünümünde zararlı bir yazılım (malware) ekleniyor ve kullanıcının açması bekleniyor ya da bir telefon numarası taklit edilerek (spoofing) yapılan aramada otorite sahibi başka birinin yerine geçerek (impersonating) sahte senaryolar uydurulup (pretexting) telefon dolandırıcılığı (Vishing) yapılıyor.
Bu yazı dizisinde, gelin teknolojik dolandırıcılık veya hırsızlık için sosyal mühendislerin kullandığı araç, taktik ve teknikleri sahte e-postaların kullanıldığı yemleme (phishing) tekniğinden başlayarak teker teker incelemeye çalışalım.
Yemleme (Phishing)
Gönderilen sahte bir e-posta başlayan ve siber saldırganlar veya sosyal mühendisler tarafından kullanılan yemleme tekniği, en eski yöntemlerden biri olmasına karşın hala çok etkilidir. Bir işletme veya kişi hakkında hileli bir şekilde hassas bilgi toplama veya saldırı düzenleme tekniği olarak tanımlayabileceğimiz yemleme, sosyal mühendislik saldırısının bilgi toplama aşamasının yanı sıra diğer safhalarında da kullanılabilir.
Bu teknik sosyal mühendisin veya saldırganın güvenilen bir yeri taklit ederek gönderdiği sahte e-posta ile başlar. Teknolojik dolandırıcılar olan sosyal mühendisler bu e-postalarda, cezaya kalacak bir fatura ödemesi, bir sipariş veya ücretsiz bir çekiliş gibi konularla hedefte tehdit, korku, heyecan, açgözlülük gibi duyguları tetiklemeye çalışırlar.
Ardından MS Office dosyaları veya resim gibi gerçek görünümlü dosyalar şeklindeki e-posta eklentisi içine gizledikleri zararlı yazılımları hedefin bilgisayarına bulaştırırlar ya da hedefin kendileri tarafından taklit edilmiş sahte bir siteye yönlendirecek bir linke tıklamasını sağlarlar.
Kurbanın bilgisayarına yükleyecekleri zararlı yazılımlarla veya taklit edilmiş web sayfalarına kurbanlar tarafından girilecek bilgilerle, sosyal mühendisler hedef şahıs ya da işletmeler hakkında banka hesap detaylarından, kimlik veya oturum açma bilgilerine (login credentials) kadar birçok hassas bilgiyi toplarlar.
COVID-19 salgınıyla uğraştığımız bugünlerde eve hapsolmuş saldırganlardan gelen bu tür yemleme e-postalarında aşırı artışlar olduğunu hatırlatıp, güvenmediğiniz veya bilmediğiniz kişilerden gelen e-postalara karşı dikkatli olmanızı, e-posta eklentilerini açmadan veya e-postalar içinde yer alan linkleri tıklamadan önce bir kez daha düşünmenizi tavsiye ederek üzerimize düşen görevi yerine getirelim.
Hedefli Yemleme (Spear phishing)
Hedefli Yemleme tekniğinde normal yemlemede olduğu gibi e-posta kullanılır, ancak rastgele şekilde çok fazla hedefe e-posta göndermekten ziyade önceden hedef olarak belirlenmiş bir kullanıcıya veya kullanıcı grubuna e-posta gönderilir. Takip edeceği hedefi belirlemek ve kısmen tanımak için kapsamlı bir ön çalışma gerektirdiğinden hedefli yemleme daha yorucu bir faaliyettir.
Hedef hakkında toplanan ön bilgilerin ardından saldırgan hedefin ilgisini çekebilecek özenle hazırlanmış bir e-posta gönderir ve yemleme (phishing) tekniğinde anlatıldığı şekilde e-posta eklentisi şeklindeki zararlı yazılımı bilgisayarınıza yükler veya hedefini kendi oluşturduğu sahte siteye yönlendirir. İstatistiksel olarak, yemleme saldırısının başarı oranı %3 iken, hedefli yemleme saldırısının başarı oranı %70 civarındadır.
Balina Avı (Whaling)
Balina avı hedefli yemlemenin (spear phishing) bir üst kategorisidir. Bu teknikte de bilinçli olarak seçilmiş hedeflere yönelik özel çalışma ve hazırlıklar yapılır, ancak burada hedefler şirketin en üstündeki yönetici grubudur. Sizin anlayacağınız küçük balıklardan ziyade balina avlanmaya çalışılır.
Balina avına çıkan sosyal mühendisler hedefteki kurum veya şirkete ait parayı ve hassas bilgileri çalmak amacıyla iki taktik kullanabilir. Birincisi konumları gereği genellikle sorgulanamayan üst düzey bir yöneticinin hesabını taklit ederek onun yerine geçip talimatlar göndermek, ikincisi ise direk olarak üst düzey yöneticiyi hedef tahtasına koyup saldırıyı onun üzerinde gerçekleştirmektir.
SMS Yemleme (Smishing)
İsminden de anlaşılacağı üzere SMS yemleme cep telefonlarımızda kullandığımız kısa mesaj hizmetinin araç olarak kullanıldığı bir sosyal mühendislik saldırısıdır. Genellikle insanlar teknolojik dolandırıcılarda telefon numaralarının olabileceği gerçeğini göz ardı ettiklerinden cep telefonlarına gelen SMS’leri özellikle kendilerine gelmiş bir mesaj olarak kabul edip, e-postalardan daha fazla güveniyorlar.
Aslına bakılırsa birine ait telefon numarasını bulmak e-posta adresini bulmaktan daha kolaydır. Gartner tarafından yayımlanan bir rapora göre insanların %98’i cep telefonlarına gelen SMS’leri okuyor ve %45’i ise yanıtlıyor. Aynı raporda e-maillere verilen cevap ise sadece %6. COVID-19 ile gözümüzün korkutulduğu günümüzde insanları rahatlıkla ikna edebilecek gibi görünen güncel bir SMS yemleme mesajı aşağıdaki resimde sunulmuştur.
Sosyal mühendis veya siber saldırgan SMS ile göndereceği linke tıklamanız neticesinde, sizi zararlı bir yazılımın olduğu sahte web sitesine yönlendirebilir, o, sitede size sunulacak formu doldurmanızı sağlayabilir, direk olarak zararlı bir yazılımı yükleyebilir ya da SMS içerisinde göndereceği sözde müşteri hizmetlerine ait numarayı aramanızı sağlayarak şahsi bilgilerinizi veya kredi kartı detaylarınızı sizi ikna ederek almak suretiyle bilgi hırsızlığı yapabilir.
Sözü fazla uzatmamak adına diğer sosyal mühendislik tekniklerini yazı dizimizin devamında ele almak üzere burada bir es verelim. Alanlarında sayılı uzmanlardan olan Erdal OZKAYA ve Şükrü DURMAZ’la beraber yakında yayınlamayı düşündüğümüz Sosyal Mühendislik kitabımızda, konunun bütün yönleriyle ve gerçek hayattan alınmış birçok örnekle beraber ele alındığını belirtmek istiyorum.
Yazı dizimizin devamında görüşmek dileğiyle sağlıcakla kalın.
