SOSYAL MÜHENDİSLİK İÇİN ZEMİN HAZIRLAMA VE İNCELEME

Sosyal mühendislik başlı başına öğrenilmesi gereken konuların başında gelmektedir. Algı, zihin manipülasyonu, zekâ kuramı ve beden dilinin en fazla kullanıldığı alan sosyal mühendislik, hedef olan makinanın değil kişinin siber saldırıya...

Abone Ol

Sosyal mühendislik

başlı başına öğrenilmesi gereken konuların başında gelmektedir. Algı, zihin manipülasyonu, zekâ kuramı ve beden dilinin en fazla kullanıldığı alan sosyal mühendislik, hedef olan makinanın değil kişinin siber saldırıya uğraması ile meydana gelir. Buna insanın hack edilmesi diyebiliriz, nasıl ki bir makinanın ya da bir internet sitesinin güvenlik zafiyeti ile sistemine erişim sağlanabiliyorsa hedefte olan bir insanın da sosyal mühendislik yöntemi ile hacklenmesi mümkün. Bizim olaya yaklaşım tartımız oldukça farklı ve Sosyal Mühendisliği bir yöntem olarak ele almak istemiyoruz. Sosyal Mühendislik bizce hack edebilmenin temeli ve öğrenilmesi gereken konuların başında gelen bir eğitim programıdır. Sadece saldırı amaçlı değil güvenlik amaçlıda bu programın bir parçası olmanız gerekmekte. Konuyu örnekler üzerinden parçalamak gerekirse;

A Firmasının Sistemleri İçin Personeller İnceleniyor

A Firmasında yüzü aşkın personel bulunmakta, orta ve genç yaşta olan bu insanlar işini güzel bir şekilde icra edip patronlarının yüzünü güldürmeyi başarabiliyorlar. Sigorta, kasko hizmeti veren bu firma piyasada da oldukça söz sahibi. Oyuncumuz Mert firmanın internet sitesinde güvenlik zafiyeti testleri yapsa da bir sonuca henüz ulaşamadı ve bu durum onun canını sıkmayı başardı. Mert bildiği yöntemleri denedikten sonra bir sonuca ulaşamadığını anladığı için olayı reel bir faaliyete dönüştürme kararı aldı. Bir şehir uzağında olan firmanın bulunduğu konuma gidip gözlemlemelerde bulundu ve personel giriş çıkış saatlerini dikkatle izledi. İlk gün normal bir şekilde geçen gözlem sadece alıştırma amaçlıydı. İkinci gün mert firmanın bulunduğu yere daha çok yaklaştı ve personellerin çıkmasını bekledi, personeller mesai sonrasında çıkarken karşılıklı olarak iyi akşamlar, iyi günler selamlarını verip dağıldıklarını gördü. Birçok personel yaka kartları ile çıkmış ve uzaklaşırken boyunlarından çıkarıp çantalarına koymaları Mert’in dikkatini çekmeyi başarmıştı.

Mert sonraki gün kamufle olabilecek bir kıyafet giyip çıkış kapısına daha çok yaklaşmıştı, mesai bitiminde çıkan personellerin yaka kartlarını yakından inceleyip isimlerini hafızasında tutmaya çalıştı özellikle dış görünüm üzerinden yola çıkarak isimleri ezberleyen Mert burada tamamen hisleri üzerine yoğunlaştı. Mert bu hareketi ile dikkatleri üzerine çekmedi ve oldukça sıradan bir gün havası katarak birçok isim öğrendi, yaptığı gözlem sayesinde insanların görünüşü üzerinden de kişilik analizi yapabildi. Yaptığı bu analiz kesin doğru olmamakla birlikte kendisini hiçbir sonuca ulaştırmayacaktır, yaptığı şey sadece sonraki hamlesi için kendisine zemin hazırlamaktı. Mert şuana kadar konum incelemesi, personel incelemesi yapabildi ve öğrendiği personel isimleri üzerinden bir şeyler yapma kararı aldı. Bu kararı zaten mesai çıkışında vermişti, personelleri izlerken yaka kartları sayesinde bazılarının isimlerini öğrenmiş ve davranışlarına göre şekillendirip hafızasında tutmuştu. Eve gelip bir liste oluşturan Mert, internet üzerinden bu isimleri araştırmaya koyuldu, sosyal medya, bloglar ve forum sitelerinden gün boyu araştırma yapan Mert’in elinde sadece üç isim kalmıştı. Bu isimlerden sadece birinin sosyal medyada hesabı aktif bir şekilde çalışıyordu.

Sosyal Medya Hesaplarının İncelenmesi

Mert elinde kalan son isim P.T üzerinden yaptığı araştırmalar sonucunda bazı önemli bilgilere ulaşabildi. P.T isimli personelin maddi durumunun gayet iyi olduğunu ve genellikle tüm birikimi ile seyahat eden birisi olduğunu gözlemledi. Bu bilgiler ışığında Mert’in sonraki hamlesi sosyal medya üzerinden P.T isimli personelin arkadaşlarını incelemek olacaktı ve zaman kaybetmeden araştırmaya başladı, P.T isimli şahısın gece hayatına önem verdiği, arkadaşları ile beraber saatlerce vakit geçirdiğini öğrendi. Mert önce kendisine bir yol haritası belirledi bu yol haritası sırası ile şu şekilde oldu;

1-

P.T isimli personelin sosyal medya hesaplarında kayıtlı olan konum ( Evi ) gözlemlenecek ve P.T takip edilecekti.

2-

Gittiği mekânlara kadar izlenen P.T içeride gözlemlenecek ve yeni bir adım için zemin hazırlanacaktı.

Mert sosyal medya hesaplarında yer alan konuma geldiğinde P.T isimli personelin evine ulaştı ve gözlemlemelerine devam etti. Mesai saatinin bitmesine yakın, P.T isimli personelin iş çıkışında eve gidip gitmediğini inceledi. P.T kendi aracına binip evinin bulunduğu yöne doğru ilerledi. Mert P.T’nin yaşadığı evin yakınlarına geldiğinde P.T’nin aracından inip evine geçtiğini gördü ve beklemeye başladı. P.T birkaç saat sonra evden çıkıp aracına binerek uzaklaştı, fazla dikkat çekmeden takip etmeye çalışan Mert dikkatle P.T’yi izleyerek bir mekâna geldi. Mekâna giren P.T arkadaşları ile bir araya gelip eğlenceli dakikalar yaşadı, alkollü bir yer de bulunan P.T ve arkadaşları gecenin geç saatlerine kadar mekânda bulunup daha sonra evlerine doğru yola koyuldular.

Şimdiye kadar elde dilen her hangi bir veri bulunmamakla beraber, P.T isimli personelin günlük yaşamı incelendi. P.T isimli personele yaklaşıp sosyal medya hesabı üzerinden oltalama tekniği kullanılarak bilgileri ele geçirilebilir ve kullandığı cihazlara solucan olarak isimlendirilen bir virüs bulaştırılabilir. Bu sayede P.T isimli personelin tüm bilgileri ele geçirilerek, çalıştığı ve aynı zamanda Mert’in de hedefi olan şirketin içerisine sızma işlemi gerçekleştirilebilirdi. Bu durumda savunma olarak sosyal medya hesaplarının her türlü bilgiyi barındırmaması oldukça önemli. Böyle bir saldırıdan P.T isimli personel şunları yaparak kurtulabilir.

1-

Sosyal medya hesabında kişisel bilgilere çok fazla yer vermeden bilinçli bir kullanıcı olarak kullanım sağlarsa saldırgan bu durumda farklı bir yol izleyecektir.

2-

Kullanmakta olduğu bilgisayarda yer alan uygulamaları gözden geçirerek farklı bir uygulama türü olup olmadığı gözlemlenebilir. Bu sayede illegal işlem yapan bir uygulama fark edilerek pasif hale getirilir.

3-

İş yerinden çıkınca yaka kartını çıkarması bu durumların yaşanmasını büyük ölçüde engelleyecekti.

4-

Tüm çalışanların Bilgi Güvenliği eğitimi olsaydı bu tarz bir tehdit hiç yaşanmayacak ve saldırgan farklı yöntemler deneyerek çalışmasına devam edecekti.