Bir sosyal mühendisin temel özelliği, basit fakat genelde amacına ulaşan donanımlar ve teknikler kullanarak saldırı yapmasıdır.
Sosyal mühendislerden sahip oldukları bu yetenekleri ve teknikleri
iyi yönde kullananlar beyaz şapkalılar;
kötü niyetle kullanmak isteyenler ise siyah şapkalılar olarak
adlandırılır.
Sosyal Mühendislik Donanimlari:
Sosyal mühendislik saldırılarında kullanılan donanımlar basit ve etkili olmasının yanı sıra son derece kolay temin edilebilmektedir. Bu durum, saldırıların yapılma olasılığını ciddi oranda arttırır.
Aşağıdaki resimde saldırı amacı ile kullanılabilen bazı sosyal mühendislik donanımları vardır.
Zararsız görünen bilgiler / Zararlı olabilir mi?:
Çoğu sosyal mühendis, zararsız gibi görünen günlük ve masum bilgileri el üstünde tutar, genellikle ilk olarak bu tarz bilgi ve belge elde etmeye çalışır çünkü bu bilgileri kullanarak daha inandırıcı olur ve daha kritik bilgilere ulaşabilirler.
Hangisi daha inandırıcı?
"Ben bilgi işlemde yeni çalışmaya başladım. Biriminizde yürütülen projeler hakkında bir kaç sorum olacaktı."
"Ben bilgi işlemde yeni çalışmaya başladım, ____ Bey şu anda ____ Bey ile bir toplantıda fakat toplantıya girerken tamamlamamı istediği bir rapor oldu. Bu rapora eklemem gereken ve biriminizde yürütülen projeler konusunda sizin bana yardımcı olabileceğinizi söyledi."
Yukarıdaki görüldüğü gibi boşluk olarak gösterilen yerlerde kullanılabilecek gerçek kişi isimleri ifadeyi daha inandırıcı kılıyor. Bu bilgiler yardımcı olmak adına paylaşılmış masum ve zararsız bilgiler olabilir.
Örneğin bir kişi yanlış numara çevirmiş gibi sizi arayıp bilgisayarı ile ilgili bir problemi danışabilir ve daha sonra da sizi rahatsız ettiği için özür dileyip bilgi işlemde kimi ya da kimleri araması gerektiğini sorabilir. Sizden öğrendiği bu masum bilgi ile de yukarıdaki gibi ifadelerle başka bir birimdeki kişiyi daha kritik bilgileri almak için ikna ediyor olabilir
Doğrudan saldırı: Sadece sormak! / Farkedilmeyebilir mi?:
Çoğu sosyal mühendislik saldırısını fark etmezsiniz bile. Hatta öyle ki bazı durumlarda hedeflenen bilgi doğrudan istendiği halde bile fark edilmeyebilir.
Bu gibi durumlar ancak sonradan analiz edildiğinde, sürecin göründüğünden son derece karmaşık olduğu anlaşılır.
Örneğin bir çok örnek uygulamada kişisel parolaların dahi bir telefon görüşmesinde karşı tarafın kim olduğundan emin olunmadan paylaşıldığı bir gerçektir.
Güven uyandırmak / Bu kadar kolay mı?:
Sosyal mühendislerin başarılarının sırrı insanların aldatılmaya fazlasıyla açık olmasıdır. Çünkü insanlar belli şekillerde yönlendirildiklerinde yanlış şeylere güven duyabilirler.
Başarılı bir sosyal mühendis, kurbanın sorabileceği soruları önceden tahmin eder ve bu sorulara karşı daima hazırlıklı olur.
Size yardımcı olabilirim / Hızır gibi mi yetişti yoksa başka birşey mi var?:
Bir sorununuz var ve size yardım etmek isteyen birisi var. Bu yardım teklifini reddeder miydiniz?
İşin doğrusu; reddetmekle kalmaz, saldırgana minnettar bile kalabilirsiniz. Oysa sorunun kaynağı saldırgan da olabilir.
Önce problem yaratıp, sonra da yardımcı olmayı teklif etmek sosyal mühendislerin sıklıkla uyguladıkları bir yöntemdir.
Bana yardımcı olabilir misiniz? / Özellikle de basit bir yardımı esirgeyebilir misiniz?:
Saldırganlar bazen kendini acındırarak kurbandan yardım ister. Yardım talebini reddetmek ne zordur değil mi? Sonuç ise "hep başarı"!
Genellikle zor durumda olan insanlara yönelik taşıdığımız bu acıma duygusu, sosyal mühendisler için son derece cazip olabilmektedir.
Düzmece Siteler ve Tehlikeli Ekler / Ne kadar cazip veya merak uyandırıcı olabilir?:
Bedava indirilebilen yazılımlar! Son derece cazip değil mi? Sosyal mühendisler insanları cezbedebilecek teklifler sunmayı çok severler.
Çok ucuz veya bedava şeylere duyulan heves gibi içeriği cazip gelen, merak uyandıran e-posta ekleri de sosyal mühendislerce kullanılmaktadır.
Örneğin, zamlı maaşınızı öğrenmek için lütfen ekteki dosyaya tıklayın konulu bir e-posta alıyorsanız eğer, ekini açmadan önce bir kez daha düşünmekte fayda var!
Tehtitler Ve Korunma Yöntemleri:
Çoğu kişi, kandırılma olasılığının çok düşük olduğunu düşünür ve genellikle güvenlik gündeme geldiğinde teknik tedbirlerden bahseder. Oysa, bilgi güvenliği sağlanırken insan faktörünün payı teknik önlemlerden çok daha büyüktür!
Bu yanlış inancın farkında olan saldırganlar, isteklerini o kadar akıllıca sunar ki hiç kuşku uyandırmadan, kurbanın güvenini kazanıp, kolaylıkla istedikleri bilgiye ulaşabilirler.
Güvenlik Seviyesi ve İnsan Faktörü
(resim: Güvenlikte en zayıf halka. İnsan faktörü) Bir kurumdaki güvenlik seviyesini belirlemek için en zayıf halkaya bakılır. Bilgi güvenliği konusunda en zayıf halka ise insan faktörüdür.
Teknik olarak ne kadar önlem alınırsa alınsın, bilinçsiz bir kullanıcının bulunduğu bir ortamda güvenlik sağlamak pek kolay olmayacaktır.
İnsan faktörünü kullanan saldırı tekniklerinden ya da kişiyi etkileme ve ikna yöntemlerinden faydalanarak normal koşullarda bireylerin gizlemeleri / paylaşmamaları gereken bilgileri bir şekilde ele geçirme sanatı Sosyal mühendislik olarak ifade edilir.
Kurumsal alanlarda bilgi güvenliğini sağlamak kurum açısından çok daha önemlidir ve başta bilginin sahibi ve bilgi işlem personeli olmak üzere tüm kurum personeli bilgi güvenliğinden sorumludur.
Sosyal Mühendislik Saldırısı Örnekleri:
Çoğu kişi sosyal mühendislik saldırıları ile karşı karşıya kalıyor. Çevrenizde benzer olaylar gerçekleştiği halde farketmiyor olabilir misiniz?
Ne yazık ki bilinçsiz bireyler bu saldırılara daha çok maruz kalıyor ve çeşitli zararlar görebiliyor.
e-Posta ile yapılan bir sosyal mühendislik saldırısı:
Tarih: 10 Kasım 2010, Çarşamba, 11:41
Gönderen: [email protected]
Alıcı: [email protected]
Konu: yakın akraba
Sevgili Arkadaşım,
Ben Ali Gücen, Singapurda ve deneyimli bir muhasebe uzmanı olarak Bahraid Bankasında çalışmaktayım. Bu fırsatı size haber vermek ve sunmaktan büyük bir mutluluk duyuyorum; sizinle aynı soyadı taşıyan eski bir müşterimi geçtiğimiz pazar günü (07.11.2010) kalp krizi nedeniyle kaybettik. 26 Aralık 2004te Sumatra yakınlarında gerçekleşen tsunami nedeniyle müşterim bütün yakınlarını, yani bütün varislerini kaybetmişti. Müşterimin hesabında bulunan 3.7 milyon dolar para için herhangi bir yakın akraba bulunamadı.
Müşterimin yaşayan hiçbir yakın akrabasının kalmadığından emin olduktan sonra, tek soyadı tutan kişi olarak, yakın akrabalık konusunda sizinle temasa geçmemin uygun olduğunda karar verdim. Ölen müşterimin tek varisi olarak kalan kaynağın size aktarılmasını planlayabilirim. Bu konuda herhangi bir çekinceniz olmaması için gerekli yasal bilgi ve belgelerin sizin adınıza düzenleneceğinizi belirtirim.
Mirasın sizin adınıza devriyle ilgili son tarihi kaçırmamak için ivedi olarak sizden bu konuda işbirliği ve anlayış konusundaki cevabınızı bekliyorum. Bu konuyla ilgileniyorsanız ve benimle işbirliği yapmayı kabul ediyorsanız, benimle hemen irtibata geçiniz. Size konuyla ilgili bilgi ve belgelerle birlikte, sizden ödeme için istenen dokümanlar konusunda en kısa zamanda iletişime geçeceğim. Bu süreçte hukuki işlemler için gerekli olan harcamaların %35i sizin tarafınızdan, %65i benim tarafımdan karşılanacaktır.
Saygılarımla,
Ahmet Akın,
[email protected]
Türkiye'de bir bankaya yapılan sosyal mühendislik saldırısı:
Bir bilgi güvenliği danışmanlık firması, bir bankanın bilgi güvenliğinden sorumlu müdürünü ziyaret eder ve bankaya bilgi güvenliği testi yapmayı teklif eder. Müdür itiraz eder. Güvenlik firması danışmanı ile arasında şöyle bir konuşma geçer; tuzak
- Bizim böyle bir teste ihtiyacımız yok. Yeterince güvenliyiz. En iyi yazılım ve donanımları satın aldık ve piyasadaki en iyi personel bizde.
- O zaman biz size bir test yapalım, eğer bir açıklık bulursak ücretimizi alırız, eğer herhangi bir açıklık bulamazsak ücret talep etmeyiz.
Bu arada danışmanlık firmasından bir personel lavaboya gitmek üzere toplantıdan ayrılır ve o sırada sekreterin, bilgisayarında film sitelerini incelediğini görür. Hemen yanına yaklaşır ve filmlerle ilgili konuşmaya başlar:
- Bu aktörün son filmini seyrettiniz mi? Eğer seyretmediyseniz sizin için DVD'ye çekip gönderebilirim.
- Çok memnun olurum. Tabii sizin için zahmet olmayacaksa.
O günkü toplantıdan sonra danışman ofise döner. Zararlı bir yazılım ile birlikte filmi DVD'ye çeker ve kargoyla sekretere gönderir. Zararlı yazılımın sekreterin evdeki değil de ofisteki bilgisayarında çalışmasının garanti etmek için telefon eder.
- Size kargoyla gönderdiğim DVD'yi bir bilgisayarınızda dener misiniz? Bazen kaydederken hata olabiliyor.
Sekreter de denemek amacı ile DVD'yi çalıştırır ve filmin çalıştığını söyler, teşekkür eder ve telefonu kapatır.
Zararlı yazılım ofiste etkin hale gelmiştir ve yaptığı iş bilgi güvenliği müdürünün bilgisayarında, masaüstüne "Sisteminizi ele geçirdik, geçmiş olsun
" yazan bir not bırakmaktır.
Akılalmaz sanal dolandırıcılık:
İstanbul'daki bir endüstri meslek lisesinde bilgisayar öğretmenliği yapan Murat GÜR , 3.5 yıl boyunca maaşından büyük zorluklarla biriktirdiği 21bin YTL'sinin 19 bin YTL'si akıllara durgunluk veren bir yöntemle soyuldu.
Bankadaki işlemlerini internet bankacılığı ile ve bir başkasının üzerine kayıtlı Avea hattı üzerinden gelen akıllı SMS'lerle yapan M.G, telefon hattının çekmediğini fark etti. Ancak normaldir diyerek pek önemsemedi. Bir iki saat içinde bir çok mekan değiştiren M.G, telefonunun yine çekmediğini görünce yanında bulunan arkadaşının telinden kendi numarasını aradı ve "aradığınız numara kullanılmamaktadır" uyarısı ile karşılaştı.
Durumu düzeltmek için telefon firmasının müşteri hizmetlerini arayan M.G, geçmişte banka müşterilerinin telefon numaralarının bloke edilerek hesaplarının boşaltıldığı yönündeki endişelerini iletti. Ve akıllı SMS'lerin geldiği numarayı değiştirmek istediğini ifade etti. Müşteri hizmetleri ise kendisine akıllı SMS'lerin bir başka numaraya yönlendirilemeyeceğini bunun için rahat olmasını istedi. Yetkili akıllı SMSin geldiği cep telefonunun internet bankacılığından değiştirilip ATMden onaylanması gerektiğini kendisinin değişiklik yapamayacağını da sözlerine ekledi.
KİŞİSEL BİLGİLERİ BİLEN BİRİ YAPMIŞ OLABİLİR Mİ?
Kullandığı Avea hattını açtırmak için hattın üzerine kayıtlı olduğu arkadaşının annesini arayarak kızlık soyadı ve benzeri bilgileri alan M.G, hattını açtırmak için yeniden müşteri hizmetlerini aradı. Müşteri hizmetlerindeki yetkili, 15.42 de hattın çalıntı kayıp bildirimi ile kapatıldığını söyledi. Hattı kullandığını ve sim kartının kendisinde olduğunu aktaran M.Gye yetkili, Kişisel bilgilerinizi bilen biri yapmış olabilir mi diye sordu,
KENDİ ŞİFRESİYLE İNTERNET BANKACILIĞINA GİREMEDİ
İnternet bankacığı işlemlerini yaptığı kullanıcı adı ve şifresiyle hesaplarını kontrol etmek isteyen M.G, bu sefer de Kullanıcı adı veya şifre 4 den fazla girilmiştir aktif ettirmek için banka müşteri hizmetlerini arayınız uyarısıyla karşılaştı. Bankanın müşteri hizmetlerini aradığında ise 5 Temmuz 2008de hesabından 19 bin YTLnin Garanti Bankası Beylikdüzü şubesine Özlem Yavaş isimli şahsa arsa peşinatı olarak EFT yapıldığını öğrendi.
M.G, Şişli Cumhuriyet Savcılığına 10 Temmuz 2008de suç duyurusunda bulundu. M.G, adı geçen bankanın gerekli güvenlik tedbirlerini almadığını öne sürdü.
BANKADAKİ KAYITLI TELEFON NUMARAMI TESPİT ETMELERİ MÜMKÜN DEĞİL
Konuyla ilgili Stara açıklama yapan M.G, Benim kullanıcı adı ve şifremi ele geçiren birisi istese de bankada kayıtlı olan telefon numaramı göremez. Hatta bırakın görmeyi hangi GSM operatörüne bağlı olduğunu bile anlayamaz. Bunu görebilmesi bankanın inanılmaz bir güvenlik açığı olduğunu gösterir bu bir skandaldır dedi. M.G sözlerini şöyle sürdürdü:
Şahıs benim üzerime kayıtlı olmayan akıllı SMSin geldiği cep telefonu numarasını nereden ve nasıl bulacak, üstüne gidecek arkadaşımın kimliği olmadan Aveadan yeni sim kart çıkartacak bu mümkün değil. Abone merkezleri hattın sahibinin kimliği yanınızda olsa bile kimlik sahibi olmadığı sürece işlem yapmıyor sim yenilemiyor. Ayrıca şu da çok ilginç para 14.15 ve 14:29 da olmak üzere iki defada transfer ediyor, bunu yapanlar saat 15: 42 de Aveayı arayıp hattı kayıp çalıntı bildirimi ile kapatıyor. Bunu yapmak için kimlik bilgilerinin yanı sıra anne kızlık soyadı gibi bir bilgiye de ihtiyaç var. Tüm bu bilgiler ışığında benim fikrim yapı kredi ve aveadan bu bilgileri sızdıracak adamları olan çok organize bir çete.
REKLAM KADAR GÜVENLİĞE ÖNEM VERİLSİN ÇAĞRISI
İnternet üzerinde yapılan dolandırıcılıklara karşı faaliyetler yürüten Bilişim Suçları Mücadele ve Mağdurları Koruma Derneği Başkanı Yavuz Koçoğlu, yaptığı açıklamada, bankaların çoğunun internet bankacılığında, standart pazarlama şirketlerinin web sitesinin güvenliğine dahi sahip olmadığını kaydetti. Koçoğlu, bir tek telefonla hatta ankesörlü telefonlarla bile internet şifresi alındığına dikkat çekerek, "Oysa sizin belirlediğiniz en fazla üç adet telefon numarası ile telefon bankacılığı yapılabilmeli. Örneğin ev, iş, cep telefonu. Banka bu numaraları gördükten sonra size işlem yetkisi verebilmeli" önerisinde bulundu.
Koçoğlu, bankaların tanıtım için büyük bütçeler ayırdığını ancak gittikçe yaygınlaşan internet bankacılığının güvenliği ve müşterinin eğitimi konusunda herhangi bir tedbir geliştirmediğini de belirtirken, "Bankalar tanıtımları için verdikleri reklâmlar kadar müşterilerini bilinçlendirmek amacıyla güvenliğe ve eğitime önem verselerdi bu tür olaylar yaşanmazdı" dedi. Koçoğlu, şöyle dedi:
BANKALAR MEVDUATLARI SİGORTALAMALI
"Ayrıca bankalarda başka bir evrak sormadan, sadece sahte kimlik belgeleri ve sahte muhtar çıktıları ile mevduat hesabı açılıp, çalınan paralar bu kimlikle açılan hesaplara aktarılıp çekiliyor. Bankaya, neden başka evrak istemedin' diye sorulduğunda; Bu bizi ilgilendirmez. Kredi mi istedi, çek defteri mi, kredi kartı mı? Annesine para göndereceğini söyledi, biz de açtık hesabı' diyebiliyor. Ayrıca, bankaların mevduatları sigortalamaları gerekiyor."
Akıllı SMS: internet bankacılığında EFT, havale gibi işlemler yapmak için güvenlik amaçlı kullanıcının cep telefonuna gönderilen işlem şifresi. İnternet bankacılığına kullanıcı adı ve şifre ile giriş yaptıktan sonra EFT veya havale yapabilmek için cep telefonunuza gelen işlem şifresini ekrana girmeniz gerekir.
Sosyal mühendislerden sahip oldukları bu yetenekleri ve teknikleri
iyi yönde kullananlar beyaz şapkalılar;
kötü niyetle kullanmak isteyenler ise siyah şapkalılar olarak
adlandırılır.
Sosyal Mühendislik Donanimlari:
Sosyal mühendislik saldırılarında kullanılan donanımlar basit ve etkili olmasının yanı sıra son derece kolay temin edilebilmektedir. Bu durum, saldırıların yapılma olasılığını ciddi oranda arttırır.
Aşağıdaki resimde saldırı amacı ile kullanılabilen bazı sosyal mühendislik donanımları vardır.
Zararsız görünen bilgiler / Zararlı olabilir mi?:
Çoğu sosyal mühendis, zararsız gibi görünen günlük ve masum bilgileri el üstünde tutar, genellikle ilk olarak bu tarz bilgi ve belge elde etmeye çalışır çünkü bu bilgileri kullanarak daha inandırıcı olur ve daha kritik bilgilere ulaşabilirler.
Hangisi daha inandırıcı?
"Ben bilgi işlemde yeni çalışmaya başladım. Biriminizde yürütülen projeler hakkında bir kaç sorum olacaktı."
"Ben bilgi işlemde yeni çalışmaya başladım, ____ Bey şu anda ____ Bey ile bir toplantıda fakat toplantıya girerken tamamlamamı istediği bir rapor oldu. Bu rapora eklemem gereken ve biriminizde yürütülen projeler konusunda sizin bana yardımcı olabileceğinizi söyledi."
Yukarıdaki görüldüğü gibi boşluk olarak gösterilen yerlerde kullanılabilecek gerçek kişi isimleri ifadeyi daha inandırıcı kılıyor. Bu bilgiler yardımcı olmak adına paylaşılmış masum ve zararsız bilgiler olabilir.
Örneğin bir kişi yanlış numara çevirmiş gibi sizi arayıp bilgisayarı ile ilgili bir problemi danışabilir ve daha sonra da sizi rahatsız ettiği için özür dileyip bilgi işlemde kimi ya da kimleri araması gerektiğini sorabilir. Sizden öğrendiği bu masum bilgi ile de yukarıdaki gibi ifadelerle başka bir birimdeki kişiyi daha kritik bilgileri almak için ikna ediyor olabilir
Doğrudan saldırı: Sadece sormak! / Farkedilmeyebilir mi?:
Çoğu sosyal mühendislik saldırısını fark etmezsiniz bile. Hatta öyle ki bazı durumlarda hedeflenen bilgi doğrudan istendiği halde bile fark edilmeyebilir.
Bu gibi durumlar ancak sonradan analiz edildiğinde, sürecin göründüğünden son derece karmaşık olduğu anlaşılır.
Örneğin bir çok örnek uygulamada kişisel parolaların dahi bir telefon görüşmesinde karşı tarafın kim olduğundan emin olunmadan paylaşıldığı bir gerçektir.
Güven uyandırmak / Bu kadar kolay mı?:
Sosyal mühendislerin başarılarının sırrı insanların aldatılmaya fazlasıyla açık olmasıdır. Çünkü insanlar belli şekillerde yönlendirildiklerinde yanlış şeylere güven duyabilirler.
Başarılı bir sosyal mühendis, kurbanın sorabileceği soruları önceden tahmin eder ve bu sorulara karşı daima hazırlıklı olur.
Size yardımcı olabilirim / Hızır gibi mi yetişti yoksa başka birşey mi var?:
Bir sorununuz var ve size yardım etmek isteyen birisi var. Bu yardım teklifini reddeder miydiniz?
İşin doğrusu; reddetmekle kalmaz, saldırgana minnettar bile kalabilirsiniz. Oysa sorunun kaynağı saldırgan da olabilir.
Önce problem yaratıp, sonra da yardımcı olmayı teklif etmek sosyal mühendislerin sıklıkla uyguladıkları bir yöntemdir.
Bana yardımcı olabilir misiniz? / Özellikle de basit bir yardımı esirgeyebilir misiniz?:
Saldırganlar bazen kendini acındırarak kurbandan yardım ister. Yardım talebini reddetmek ne zordur değil mi? Sonuç ise "hep başarı"!
Genellikle zor durumda olan insanlara yönelik taşıdığımız bu acıma duygusu, sosyal mühendisler için son derece cazip olabilmektedir.
Düzmece Siteler ve Tehlikeli Ekler / Ne kadar cazip veya merak uyandırıcı olabilir?:
Bedava indirilebilen yazılımlar! Son derece cazip değil mi? Sosyal mühendisler insanları cezbedebilecek teklifler sunmayı çok severler.
Çok ucuz veya bedava şeylere duyulan heves gibi içeriği cazip gelen, merak uyandıran e-posta ekleri de sosyal mühendislerce kullanılmaktadır.
Örneğin, zamlı maaşınızı öğrenmek için lütfen ekteki dosyaya tıklayın konulu bir e-posta alıyorsanız eğer, ekini açmadan önce bir kez daha düşünmekte fayda var!
Tehtitler Ve Korunma Yöntemleri:
Çoğu kişi, kandırılma olasılığının çok düşük olduğunu düşünür ve genellikle güvenlik gündeme geldiğinde teknik tedbirlerden bahseder. Oysa, bilgi güvenliği sağlanırken insan faktörünün payı teknik önlemlerden çok daha büyüktür!
Bu yanlış inancın farkında olan saldırganlar, isteklerini o kadar akıllıca sunar ki hiç kuşku uyandırmadan, kurbanın güvenini kazanıp, kolaylıkla istedikleri bilgiye ulaşabilirler.
Güvenlik Seviyesi ve İnsan Faktörü
(resim: Güvenlikte en zayıf halka. İnsan faktörü) Bir kurumdaki güvenlik seviyesini belirlemek için en zayıf halkaya bakılır. Bilgi güvenliği konusunda en zayıf halka ise insan faktörüdür.
Teknik olarak ne kadar önlem alınırsa alınsın, bilinçsiz bir kullanıcının bulunduğu bir ortamda güvenlik sağlamak pek kolay olmayacaktır.
İnsan faktörünü kullanan saldırı tekniklerinden ya da kişiyi etkileme ve ikna yöntemlerinden faydalanarak normal koşullarda bireylerin gizlemeleri / paylaşmamaları gereken bilgileri bir şekilde ele geçirme sanatı Sosyal mühendislik olarak ifade edilir.
Kurumsal alanlarda bilgi güvenliğini sağlamak kurum açısından çok daha önemlidir ve başta bilginin sahibi ve bilgi işlem personeli olmak üzere tüm kurum personeli bilgi güvenliğinden sorumludur.
Sosyal Mühendislik Saldırısı Örnekleri:
Çoğu kişi sosyal mühendislik saldırıları ile karşı karşıya kalıyor. Çevrenizde benzer olaylar gerçekleştiği halde farketmiyor olabilir misiniz?
Ne yazık ki bilinçsiz bireyler bu saldırılara daha çok maruz kalıyor ve çeşitli zararlar görebiliyor.
e-Posta ile yapılan bir sosyal mühendislik saldırısı:
Tarih: 10 Kasım 2010, Çarşamba, 11:41
Gönderen: [email protected]
Alıcı: [email protected]
Konu: yakın akraba
Sevgili Arkadaşım,
Ben Ali Gücen, Singapurda ve deneyimli bir muhasebe uzmanı olarak Bahraid Bankasında çalışmaktayım. Bu fırsatı size haber vermek ve sunmaktan büyük bir mutluluk duyuyorum; sizinle aynı soyadı taşıyan eski bir müşterimi geçtiğimiz pazar günü (07.11.2010) kalp krizi nedeniyle kaybettik. 26 Aralık 2004te Sumatra yakınlarında gerçekleşen tsunami nedeniyle müşterim bütün yakınlarını, yani bütün varislerini kaybetmişti. Müşterimin hesabında bulunan 3.7 milyon dolar para için herhangi bir yakın akraba bulunamadı.
Müşterimin yaşayan hiçbir yakın akrabasının kalmadığından emin olduktan sonra, tek soyadı tutan kişi olarak, yakın akrabalık konusunda sizinle temasa geçmemin uygun olduğunda karar verdim. Ölen müşterimin tek varisi olarak kalan kaynağın size aktarılmasını planlayabilirim. Bu konuda herhangi bir çekinceniz olmaması için gerekli yasal bilgi ve belgelerin sizin adınıza düzenleneceğinizi belirtirim.
Mirasın sizin adınıza devriyle ilgili son tarihi kaçırmamak için ivedi olarak sizden bu konuda işbirliği ve anlayış konusundaki cevabınızı bekliyorum. Bu konuyla ilgileniyorsanız ve benimle işbirliği yapmayı kabul ediyorsanız, benimle hemen irtibata geçiniz. Size konuyla ilgili bilgi ve belgelerle birlikte, sizden ödeme için istenen dokümanlar konusunda en kısa zamanda iletişime geçeceğim. Bu süreçte hukuki işlemler için gerekli olan harcamaların %35i sizin tarafınızdan, %65i benim tarafımdan karşılanacaktır.
Saygılarımla,
Ahmet Akın,
[email protected]
Türkiye'de bir bankaya yapılan sosyal mühendislik saldırısı:
Bir bilgi güvenliği danışmanlık firması, bir bankanın bilgi güvenliğinden sorumlu müdürünü ziyaret eder ve bankaya bilgi güvenliği testi yapmayı teklif eder. Müdür itiraz eder. Güvenlik firması danışmanı ile arasında şöyle bir konuşma geçer; tuzak
- Bizim böyle bir teste ihtiyacımız yok. Yeterince güvenliyiz. En iyi yazılım ve donanımları satın aldık ve piyasadaki en iyi personel bizde.
- O zaman biz size bir test yapalım, eğer bir açıklık bulursak ücretimizi alırız, eğer herhangi bir açıklık bulamazsak ücret talep etmeyiz.
Bu arada danışmanlık firmasından bir personel lavaboya gitmek üzere toplantıdan ayrılır ve o sırada sekreterin, bilgisayarında film sitelerini incelediğini görür. Hemen yanına yaklaşır ve filmlerle ilgili konuşmaya başlar:
- Bu aktörün son filmini seyrettiniz mi? Eğer seyretmediyseniz sizin için DVD'ye çekip gönderebilirim.
- Çok memnun olurum. Tabii sizin için zahmet olmayacaksa.
O günkü toplantıdan sonra danışman ofise döner. Zararlı bir yazılım ile birlikte filmi DVD'ye çeker ve kargoyla sekretere gönderir. Zararlı yazılımın sekreterin evdeki değil de ofisteki bilgisayarında çalışmasının garanti etmek için telefon eder.
- Size kargoyla gönderdiğim DVD'yi bir bilgisayarınızda dener misiniz? Bazen kaydederken hata olabiliyor.
Sekreter de denemek amacı ile DVD'yi çalıştırır ve filmin çalıştığını söyler, teşekkür eder ve telefonu kapatır.
Zararlı yazılım ofiste etkin hale gelmiştir ve yaptığı iş bilgi güvenliği müdürünün bilgisayarında, masaüstüne "Sisteminizi ele geçirdik, geçmiş olsun
" yazan bir not bırakmaktır.Akılalmaz sanal dolandırıcılık:
İstanbul'daki bir endüstri meslek lisesinde bilgisayar öğretmenliği yapan Murat GÜR , 3.5 yıl boyunca maaşından büyük zorluklarla biriktirdiği 21bin YTL'sinin 19 bin YTL'si akıllara durgunluk veren bir yöntemle soyuldu.
Bankadaki işlemlerini internet bankacılığı ile ve bir başkasının üzerine kayıtlı Avea hattı üzerinden gelen akıllı SMS'lerle yapan M.G, telefon hattının çekmediğini fark etti. Ancak normaldir diyerek pek önemsemedi. Bir iki saat içinde bir çok mekan değiştiren M.G, telefonunun yine çekmediğini görünce yanında bulunan arkadaşının telinden kendi numarasını aradı ve "aradığınız numara kullanılmamaktadır" uyarısı ile karşılaştı.
Durumu düzeltmek için telefon firmasının müşteri hizmetlerini arayan M.G, geçmişte banka müşterilerinin telefon numaralarının bloke edilerek hesaplarının boşaltıldığı yönündeki endişelerini iletti. Ve akıllı SMS'lerin geldiği numarayı değiştirmek istediğini ifade etti. Müşteri hizmetleri ise kendisine akıllı SMS'lerin bir başka numaraya yönlendirilemeyeceğini bunun için rahat olmasını istedi. Yetkili akıllı SMSin geldiği cep telefonunun internet bankacılığından değiştirilip ATMden onaylanması gerektiğini kendisinin değişiklik yapamayacağını da sözlerine ekledi.
KİŞİSEL BİLGİLERİ BİLEN BİRİ YAPMIŞ OLABİLİR Mİ?
Kullandığı Avea hattını açtırmak için hattın üzerine kayıtlı olduğu arkadaşının annesini arayarak kızlık soyadı ve benzeri bilgileri alan M.G, hattını açtırmak için yeniden müşteri hizmetlerini aradı. Müşteri hizmetlerindeki yetkili, 15.42 de hattın çalıntı kayıp bildirimi ile kapatıldığını söyledi. Hattı kullandığını ve sim kartının kendisinde olduğunu aktaran M.Gye yetkili, Kişisel bilgilerinizi bilen biri yapmış olabilir mi diye sordu,
KENDİ ŞİFRESİYLE İNTERNET BANKACILIĞINA GİREMEDİ
İnternet bankacığı işlemlerini yaptığı kullanıcı adı ve şifresiyle hesaplarını kontrol etmek isteyen M.G, bu sefer de Kullanıcı adı veya şifre 4 den fazla girilmiştir aktif ettirmek için banka müşteri hizmetlerini arayınız uyarısıyla karşılaştı. Bankanın müşteri hizmetlerini aradığında ise 5 Temmuz 2008de hesabından 19 bin YTLnin Garanti Bankası Beylikdüzü şubesine Özlem Yavaş isimli şahsa arsa peşinatı olarak EFT yapıldığını öğrendi.
M.G, Şişli Cumhuriyet Savcılığına 10 Temmuz 2008de suç duyurusunda bulundu. M.G, adı geçen bankanın gerekli güvenlik tedbirlerini almadığını öne sürdü.
BANKADAKİ KAYITLI TELEFON NUMARAMI TESPİT ETMELERİ MÜMKÜN DEĞİL
Konuyla ilgili Stara açıklama yapan M.G, Benim kullanıcı adı ve şifremi ele geçiren birisi istese de bankada kayıtlı olan telefon numaramı göremez. Hatta bırakın görmeyi hangi GSM operatörüne bağlı olduğunu bile anlayamaz. Bunu görebilmesi bankanın inanılmaz bir güvenlik açığı olduğunu gösterir bu bir skandaldır dedi. M.G sözlerini şöyle sürdürdü:
Şahıs benim üzerime kayıtlı olmayan akıllı SMSin geldiği cep telefonu numarasını nereden ve nasıl bulacak, üstüne gidecek arkadaşımın kimliği olmadan Aveadan yeni sim kart çıkartacak bu mümkün değil. Abone merkezleri hattın sahibinin kimliği yanınızda olsa bile kimlik sahibi olmadığı sürece işlem yapmıyor sim yenilemiyor. Ayrıca şu da çok ilginç para 14.15 ve 14:29 da olmak üzere iki defada transfer ediyor, bunu yapanlar saat 15: 42 de Aveayı arayıp hattı kayıp çalıntı bildirimi ile kapatıyor. Bunu yapmak için kimlik bilgilerinin yanı sıra anne kızlık soyadı gibi bir bilgiye de ihtiyaç var. Tüm bu bilgiler ışığında benim fikrim yapı kredi ve aveadan bu bilgileri sızdıracak adamları olan çok organize bir çete.
REKLAM KADAR GÜVENLİĞE ÖNEM VERİLSİN ÇAĞRISI
İnternet üzerinde yapılan dolandırıcılıklara karşı faaliyetler yürüten Bilişim Suçları Mücadele ve Mağdurları Koruma Derneği Başkanı Yavuz Koçoğlu, yaptığı açıklamada, bankaların çoğunun internet bankacılığında, standart pazarlama şirketlerinin web sitesinin güvenliğine dahi sahip olmadığını kaydetti. Koçoğlu, bir tek telefonla hatta ankesörlü telefonlarla bile internet şifresi alındığına dikkat çekerek, "Oysa sizin belirlediğiniz en fazla üç adet telefon numarası ile telefon bankacılığı yapılabilmeli. Örneğin ev, iş, cep telefonu. Banka bu numaraları gördükten sonra size işlem yetkisi verebilmeli" önerisinde bulundu.
Koçoğlu, bankaların tanıtım için büyük bütçeler ayırdığını ancak gittikçe yaygınlaşan internet bankacılığının güvenliği ve müşterinin eğitimi konusunda herhangi bir tedbir geliştirmediğini de belirtirken, "Bankalar tanıtımları için verdikleri reklâmlar kadar müşterilerini bilinçlendirmek amacıyla güvenliğe ve eğitime önem verselerdi bu tür olaylar yaşanmazdı" dedi. Koçoğlu, şöyle dedi:
BANKALAR MEVDUATLARI SİGORTALAMALI
"Ayrıca bankalarda başka bir evrak sormadan, sadece sahte kimlik belgeleri ve sahte muhtar çıktıları ile mevduat hesabı açılıp, çalınan paralar bu kimlikle açılan hesaplara aktarılıp çekiliyor. Bankaya, neden başka evrak istemedin' diye sorulduğunda; Bu bizi ilgilendirmez. Kredi mi istedi, çek defteri mi, kredi kartı mı? Annesine para göndereceğini söyledi, biz de açtık hesabı' diyebiliyor. Ayrıca, bankaların mevduatları sigortalamaları gerekiyor."
Akıllı SMS: internet bankacılığında EFT, havale gibi işlemler yapmak için güvenlik amaçlı kullanıcının cep telefonuna gönderilen işlem şifresi. İnternet bankacılığına kullanıcı adı ve şifre ile giriş yaptıktan sonra EFT veya havale yapabilmek için cep telefonunuza gelen işlem şifresini ekrana girmeniz gerekir.
