Sosyal mühendislik nedir ilk başta onu öğrenelim. Sosyal mühendisliğin İngilizce karşıtı Social Engineering olmaktadır. Kevin Mitnick (Condor) isimli bilgisayar programcısı keşfetmiştir sosyal mühendisliği. USA’Nın Federal Telefon Hattına Sosyal Mühendislik Yoluyla Sızmıştı. Yani gerçekten güzel bir plan veya ile sosyal mühendislik sayesinde büyük hackler yapabilirsiniz. Ama herkezde yapamaz bu işi, ikna etme etkileme çabanızın kuvvetli ve anlamlı olması lazımdır.
Bir kaç google sayesinde araştırdığım ikna teknikleri şöyledir;
Karşınızdakine düşüncelerinizi anlatırken ya da onu ikna etmeye çalışırken zorlanıyorsanız doğru yöntemleri kullanmıyorsunuz demektir. Aslında ihtiyacınız olan tek şey: Doğru kelimeyi kullanmak. Peki, bu kelimeyi nasıl seçeceksiniz?
* Öncelikle alışılmış sözcükleri doğru ve uygun anlamda kullanmaya dikkat edin. Sözlüğün ücra köşelerinde zaten var ve kabul görmüş bir kelimenin eşanlamlısını kullanmak sizi ilginç yapmaz, anlaşılmaz yaptığı gibi komik görünmenizi de sağlar.
* Argo kullanmamaya özen gösterin. Özellikle teknik terimlere ve mesleki dile günlük konuşmanızda kesinlikle yer vermeyin. Bunlar karşınızdakine? Ben anlatıyorum, anlayamamak senin problemin? Demek anlamına gelir.
* Konuşurken negatif önermelere yer vermeyin. Pozitif olun. Hani şu bardağın yarısının dolu ya da boş olması gibi. Doluyu kullanın.
* Belirsizliklere yer vermeyin. Kesin konuşun ki anlattığınızdan emin olduğunuz anlaşılsın. Böylece karşınızdakinin sizi can kulağıyla dinlemesini sağlarsınız.
* Karmaşaya yer vermeyin. Anlattığınız şeyi en az sayıda sözcük kullanarak ve yalın anlatın. Boş yere kafa karıştırmayın
* Cümlelerinizi uzun tutmayın. Bu anlatmaya çalıştığınız noktadan karşınızdakinin uzaklaşmasını sağlar.
* Düşük cümle kurmayın. İmla kurallarına uyduğunuz sürece düzgün anlatım yaparsınız.
* Bir şey anlatırken karşınızdakini de konuya ortak etmek istiyorsanız onu da anlattıklarınıza katın. Arada sırada onaylama alın ki, tepkisine göre konuşmanıza yön verebilin.
Sosyal mühendislik etki ve ikna sayesinde yapılabilen bir hack yöntemidir.
Pekâlâ, Sosyal Mühendislikten Nasıl Korunuruz Nasıl Kandırılmayız;
Kullanıcılarınızı Eğitin: Sosyal Mühendisliğe karşı alınacak en iyi tedbir, kullanıcıları eğitmekten geçer. Bu eğitime en alt kademedeki kullanıcıdan, en üst kademedeki kullanıcıya kadar herkes katılmalıdır.
Hacker’lerin kullandığı bu yöntem her yönüyle anlatılmalı, örnekler verilmeli ve kullanıcılar bilinçlendirilmelidir. Telefonda arayan hiç kimseye karşıdaki kişiyi tam olarak tanımadıkça şifrelerin ve önemli bilgilerin verilmeyeceği belirtilmelidir. Büyük şirketlerde "help des" denilen bölümler vardır. Bu bölümleri arayıp bazı bilgileri öğrenmek amacıyla sözde yardım isteyen kişilere gerekli sorular sorulmalı, kimlik tespiti işlemi tam olarak gerçekleştirilmelidir.
Sosyal Mühendislik; Çoğunuzun mail kutusuna her gün onlarca tanımadığınız insandan değişik taleplerde bulunan mailler geliyordur. Mesela "Çekilişte 100$ kazandınız, Kampanyamızdan bedava tatil kazandınız... Vs" bunlar acaba gerçekmi yoksa sadece basit bir oyunun kâğıtlarımı?
Sosyal mühendislik zaten burada başlar. Kısaca insanları aldatarak kişisel bilgilerine veya direk şifrelerine ulaşma yöntemidir. Çok basit bir yöntem olmasına rağmen en etkili ve en çok kullanılan yöntemlerden biridir.
Sosyal Mühendislik yapacağınız kişi ile konuşurken amacınızı belli ettiğiniz an başarısızlılığa yol açabilirsiniz. Mesela bir siteyi hackliyeceksiniz o sitede admin olursanız kolayca bir şekilde direk index atabilirsiniz bunu sosyal mühendislik yapacağınız kişiye direk söylemek yerine sohbet sırasında isteklerinizi ufaktan konuya serpiştirin. Bu hedefinizin aklına istemsiz şekilde yerleşir, bilinçaltına işlenir. İsteğinizi hedefe parçalara bölerek anlatın. Böyle devam ettikten bir süre sonra hedefteki kişi sorduklarınıza cevap verme veya isteklerinizi yapmak konusunda ister istemez sorumlu hissedecektir. Bir kaç anlamlı merkezi kelime sayesinde beyin daha önce parçaladığınız konuları birleştirip size bilgi verecektir veya istediklerinizi yapacaktır.
Sosyal mühendislik yaparken karşınızdaki kişiyle (hedefle) sürekli olarak aynı konuları konuşmayın. Ara konular ve sohbette çok önemlidir. Ortak konulardan konuşun ya da başınıza geçen bir olayı anlatın eğerki başınızdan geçen bir olay yoksa bir hikâye oluşturup anlatın. Bu dediğim şekilde konuşma yaparsanız hedefinizin konulara dalması ve sohbetinizi sağlamlaştırır ve sürekliliği korur ki samimiyetinizinde derecesini belirler. Yine dediğim konuları konuşurken merkez konuya yani mesela bir şifreyi alacaksanız o konuyla ilgili göndermeler yapın.
Asla unutmamanız gereken bir şey daha var İnsan psikolojisi çok kolay bir şekilde yönetilebilir.
Şimdide yasalarda sosyal mühendisliğe nasıl yer veriliyor oraya gelelim ;
1 -) Bu Suç Ne Olarak Adlandırılıyor
Bu suçun tam tanımı maalesef hem eski yasamızda hem de yeni yasamızda tam tanımlanmamış. Bu sebeple ancak yorum yoluyla bir sonuca varılabiliyor. Ama ceza hukukunda yorum ancak çok dar bir şekilde yapılabildiği için bu suçun bilişim suçu olarak değerlendirilmesi zordur. Ama bu suça Yeni TCK’de Madde:158/f nin uygulanabilir.
2-) Bu gibi suçlar da korunan hukuki menfaat nedir
Fake(Sahte) mailler ile işlenen bu gibi suçlarda korunan hukuki menfaat kişilerin malvarlığı haklarıdır.
3-) Başvuru yolları nelerdir?
Böyle bir eyleme maruz kalan kişi derhal bankasını bilgilendirmeli ve ardından TCK’n un dolandırıcılık hükümlerine göre savcılığa dilekçe ile başvurmalıdır. Burada hem mağdura hem savcıya hem de güvenlik güçlerine düşen görev hayati önemdeki birkaç delilin en kısa zamanda toplanmasını sağlamaktır.
4-) Uluslar Arası Hukukta Bu Olay Ne Boyutlardadır Uluslar Arası Hukuk Bunu Ne Olarak Görüyor
Dünya bu eyleme hazırlıksız yakalandı ve bu sebeple bunu açıkça suç olarak düzenleyen bir yasa maddesi yok. Ancak ABD’li hukukçuların “The Anti – Phishing Act” olarak adlandırdıkları ve Senatör Patrick Leahy tarafından sunulan yasa tasarısı ile ABD’de büyük finansal kayıplara yol açan sahte elektronik posta eylemleri ve bilişim suçları önlenmek isteniyor. Diğer ülkelerin genel eğilimi ceza yasalarındaki bilişim suçlarını düzenleyen hükümlerden faydalanmak yönünde
Sosyal Mühendislikte Kullanılabilecek Bazı Teknikler;
Bir kaç google sayesinde araştırdığım ikna teknikleri şöyledir;
Karşınızdakine düşüncelerinizi anlatırken ya da onu ikna etmeye çalışırken zorlanıyorsanız doğru yöntemleri kullanmıyorsunuz demektir. Aslında ihtiyacınız olan tek şey: Doğru kelimeyi kullanmak. Peki, bu kelimeyi nasıl seçeceksiniz?
* Öncelikle alışılmış sözcükleri doğru ve uygun anlamda kullanmaya dikkat edin. Sözlüğün ücra köşelerinde zaten var ve kabul görmüş bir kelimenin eşanlamlısını kullanmak sizi ilginç yapmaz, anlaşılmaz yaptığı gibi komik görünmenizi de sağlar.
* Argo kullanmamaya özen gösterin. Özellikle teknik terimlere ve mesleki dile günlük konuşmanızda kesinlikle yer vermeyin. Bunlar karşınızdakine? Ben anlatıyorum, anlayamamak senin problemin? Demek anlamına gelir.
* Konuşurken negatif önermelere yer vermeyin. Pozitif olun. Hani şu bardağın yarısının dolu ya da boş olması gibi. Doluyu kullanın.
* Belirsizliklere yer vermeyin. Kesin konuşun ki anlattığınızdan emin olduğunuz anlaşılsın. Böylece karşınızdakinin sizi can kulağıyla dinlemesini sağlarsınız.
* Karmaşaya yer vermeyin. Anlattığınız şeyi en az sayıda sözcük kullanarak ve yalın anlatın. Boş yere kafa karıştırmayın
* Cümlelerinizi uzun tutmayın. Bu anlatmaya çalıştığınız noktadan karşınızdakinin uzaklaşmasını sağlar.
* Düşük cümle kurmayın. İmla kurallarına uyduğunuz sürece düzgün anlatım yaparsınız.
* Bir şey anlatırken karşınızdakini de konuya ortak etmek istiyorsanız onu da anlattıklarınıza katın. Arada sırada onaylama alın ki, tepkisine göre konuşmanıza yön verebilin.
Sosyal mühendislik etki ve ikna sayesinde yapılabilen bir hack yöntemidir.
Pekâlâ, Sosyal Mühendislikten Nasıl Korunuruz Nasıl Kandırılmayız;
Kullanıcılarınızı Eğitin: Sosyal Mühendisliğe karşı alınacak en iyi tedbir, kullanıcıları eğitmekten geçer. Bu eğitime en alt kademedeki kullanıcıdan, en üst kademedeki kullanıcıya kadar herkes katılmalıdır.
Hacker’lerin kullandığı bu yöntem her yönüyle anlatılmalı, örnekler verilmeli ve kullanıcılar bilinçlendirilmelidir. Telefonda arayan hiç kimseye karşıdaki kişiyi tam olarak tanımadıkça şifrelerin ve önemli bilgilerin verilmeyeceği belirtilmelidir. Büyük şirketlerde "help des" denilen bölümler vardır. Bu bölümleri arayıp bazı bilgileri öğrenmek amacıyla sözde yardım isteyen kişilere gerekli sorular sorulmalı, kimlik tespiti işlemi tam olarak gerçekleştirilmelidir.
Sosyal Mühendislik; Çoğunuzun mail kutusuna her gün onlarca tanımadığınız insandan değişik taleplerde bulunan mailler geliyordur. Mesela "Çekilişte 100$ kazandınız, Kampanyamızdan bedava tatil kazandınız... Vs" bunlar acaba gerçekmi yoksa sadece basit bir oyunun kâğıtlarımı?
Sosyal mühendislik zaten burada başlar. Kısaca insanları aldatarak kişisel bilgilerine veya direk şifrelerine ulaşma yöntemidir. Çok basit bir yöntem olmasına rağmen en etkili ve en çok kullanılan yöntemlerden biridir.
Sosyal Mühendislik yapacağınız kişi ile konuşurken amacınızı belli ettiğiniz an başarısızlılığa yol açabilirsiniz. Mesela bir siteyi hackliyeceksiniz o sitede admin olursanız kolayca bir şekilde direk index atabilirsiniz bunu sosyal mühendislik yapacağınız kişiye direk söylemek yerine sohbet sırasında isteklerinizi ufaktan konuya serpiştirin. Bu hedefinizin aklına istemsiz şekilde yerleşir, bilinçaltına işlenir. İsteğinizi hedefe parçalara bölerek anlatın. Böyle devam ettikten bir süre sonra hedefteki kişi sorduklarınıza cevap verme veya isteklerinizi yapmak konusunda ister istemez sorumlu hissedecektir. Bir kaç anlamlı merkezi kelime sayesinde beyin daha önce parçaladığınız konuları birleştirip size bilgi verecektir veya istediklerinizi yapacaktır.
Sosyal mühendislik yaparken karşınızdaki kişiyle (hedefle) sürekli olarak aynı konuları konuşmayın. Ara konular ve sohbette çok önemlidir. Ortak konulardan konuşun ya da başınıza geçen bir olayı anlatın eğerki başınızdan geçen bir olay yoksa bir hikâye oluşturup anlatın. Bu dediğim şekilde konuşma yaparsanız hedefinizin konulara dalması ve sohbetinizi sağlamlaştırır ve sürekliliği korur ki samimiyetinizinde derecesini belirler. Yine dediğim konuları konuşurken merkez konuya yani mesela bir şifreyi alacaksanız o konuyla ilgili göndermeler yapın.
Asla unutmamanız gereken bir şey daha var İnsan psikolojisi çok kolay bir şekilde yönetilebilir.
Şimdide yasalarda sosyal mühendisliğe nasıl yer veriliyor oraya gelelim ;
1 -) Bu Suç Ne Olarak Adlandırılıyor
Bu suçun tam tanımı maalesef hem eski yasamızda hem de yeni yasamızda tam tanımlanmamış. Bu sebeple ancak yorum yoluyla bir sonuca varılabiliyor. Ama ceza hukukunda yorum ancak çok dar bir şekilde yapılabildiği için bu suçun bilişim suçu olarak değerlendirilmesi zordur. Ama bu suça Yeni TCK’de Madde:158/f nin uygulanabilir.
2-) Bu gibi suçlar da korunan hukuki menfaat nedir
Fake(Sahte) mailler ile işlenen bu gibi suçlarda korunan hukuki menfaat kişilerin malvarlığı haklarıdır.
3-) Başvuru yolları nelerdir?
Böyle bir eyleme maruz kalan kişi derhal bankasını bilgilendirmeli ve ardından TCK’n un dolandırıcılık hükümlerine göre savcılığa dilekçe ile başvurmalıdır. Burada hem mağdura hem savcıya hem de güvenlik güçlerine düşen görev hayati önemdeki birkaç delilin en kısa zamanda toplanmasını sağlamaktır.
4-) Uluslar Arası Hukukta Bu Olay Ne Boyutlardadır Uluslar Arası Hukuk Bunu Ne Olarak Görüyor
Dünya bu eyleme hazırlıksız yakalandı ve bu sebeple bunu açıkça suç olarak düzenleyen bir yasa maddesi yok. Ancak ABD’li hukukçuların “The Anti – Phishing Act” olarak adlandırdıkları ve Senatör Patrick Leahy tarafından sunulan yasa tasarısı ile ABD’de büyük finansal kayıplara yol açan sahte elektronik posta eylemleri ve bilişim suçları önlenmek isteniyor. Diğer ülkelerin genel eğilimi ceza yasalarındaki bilişim suçlarını düzenleyen hükümlerden faydalanmak yönünde
Sosyal Mühendislikte Kullanılabilecek Bazı Teknikler;
Ön Senaryo Hazırlığı (Pretexting)
Yemleme (Phising)
Çöp kutusu karıştırma (Dumpster diving)
Sesli Yanıt Sistemi / Telefon ile yemleme (IVR/Phone Phishing)
Truva Atı (Trojan Horse)
Omuz Sörfü (Shoulder Surfing)
Birkaç İp Ucu…
Çalışan herkesin birinci önceliği eldeki işi bitirmektir. Böyle bir baskı altında, güvenlik uygulamaları sık sık ikinci sıraya düşer veva gözden kaçar. Toplum mühendisleri, işlerini yaparken buna güvenirler.
Kuruluştaki herkes, şahsen tanımadığı biriyle görüştüğü zamanlarda özellikle de bu kişi bir bilgisayara ya da ağa nasıl erişileceğini soruyorsa makul düzeyde şüpheci ve dikkatli olmak konusunda eğitilmelidir.
Başkalarına inanmayı istemek, insan yaratılışında vardır ama Japonların dediği gibi, iş dünyası bir savaş alanıdır. İşiniz savunmadaki bir boşluktan büyük zarar görebilir.
Şirket güvenlik kuralları uygun olan ve olmayan davranışları açıkça tanımlamalıdır.
Güvenliğin herkese uygun tek bir kalıbı yoktur. Çalışanların çoğunlukla farklı görevleri ve sorumlulukları, her şirket içi konumun da kendine özgü açık noktaları vardır. Şirketteki herkesin tamamlamakla yükümlü olduğu bir temel eğitim olmalıdır. Daha sonra insanlar sorunun bir parçası olma olasılıklarını düşürecek belirli süreçlere bağlı kalabilmeleri için iş profillerine göre de eğitim görmelidirler. Hassas bilgileri kullanan ya da sorumluk gerektiren konumlardaki kişilere ayrıca özel eğitim verilmelidir
Güvenlik eğitimlerinde aktarılması gereken bir nokta:
Telefonla arayan birinin ya da bir ziyaretçinin, şirketteki bazı kişilerin adlarını ya da şirket içi terimleri ya da süreçleri biliyor olması, onun iddia ettiği kişi olduğunu göstermez. Ve bu onu kesinlikle ticari bilgilerin ve bilgisayar sistemine ya da ağına erişim hakkının verilebileceği, yetkili biri durumuna da getirmez.
Sosyal Mühendislik saldırıları çok çeşitlidir. Bu yazıda sık karşılaşılan saldırı ve savunma tekniklerine yer verilmiştir.
Sosyal Mühendislik saldırıları çok çeşitlidir. Bu yazıda sık karşılaşılan saldırı ve savunma tekniklerine yer verilmiştir.
Sosyal Mühendisliklere Karşı Savunmayı Arttırma;
Davetsiz misafirler ya da sistem kırıcılar (hacker) sürekli olarak değişik taktikleri de kullanarak bilgisayar sistemlerine yönelik yasal olmayan şekilde erişmeye çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network) korumak için daha fazla zaman ve para harcarlar. Daha çok, yapılan harcamalar teknolojik güvenlik önlemleridir; sistem yükseltmeleri, güvenlik sistem paketleri, en son teknoloji kripto sistemleri gibi. Fakat yeni bir yol olan sosyal mühendislik bu önlemleri önemsemeden yasal olmayan uygulamalarına devam etmektedir. Bu tip saldırılara karşı kurumların savunmaları için iyi politikalara sahip olmaları gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir. Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele içerisinde, son teknolojik değişimlere ayak uyduran ama bunun her zaman sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir adım önünde yapan kişilerdir. Yayınlanan güvenlik bültenlerinde güvenlik açıkları, yeni zayıf noktalara yönelik bilgilendirmeleri, yeni yamaları, onarımları, yeni güvenlik ürünlerini, güvenlik uzmanları takip etse de yeni standart, ürünlerin standartlını sağlama açısından takip etme çok fazla zaman ve imkân gerektirmektedir. Sosyal mühendisler, güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına farklı yollardan giderler.
Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze almasın. Bunun anlamı güvenlik zayıflıkları programların, platformun, ağın (network) ya da donanımların bağımsızlığı ile ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir. İnsan aracı üzerine odaklanan bir sistem içinde hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe karşı bağışıklığı temin edilemez. Sosyal mühendislerin hangi sömürü metotlarını kullandıkları, nasıl çeşitli şekilde kişilik özelliklerini değiştirerek başarılı bir sosyal mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu metotlar kullanılarak kişisel özellikleri de artırmak mümkündür, böylelikle daha başka yeni metotlarda geliştirilebilecektir.
