50 Muhteşem Excel Formülünü Sizinle Paylaşabilirim… ( Sosyal Mühendislik ve Linkedin )

Sosyal mühendislik , ingilizce tanımı “Social Engineering” olarak isimlendirilen en temel hacking yöntemlerinden biridir…Sosyal mühendislik temel olarak insan ilişkilerini veya insanların dikkatsizliklerini kullanarak hedef kişi yada kurum hakkında bilgi toplamak ve gereken yönergelerle kullanmak olarak tanımlanabilir. Bu olayda amaç hedef kurum veya kişi yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri , şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.

Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, hedef kişiyle dost olmak , olmadığı halde kendini bayan gibi gösterip kişilerin zaaflarından yararlanmak bilinen en iyi örnekleridir.

Sosyal mühendislik aslında hack’in atası olarak bilinir. Sosyal mühendisliğin mucidi olarak Kevin Mitnick bilinir ve bu alanda yazdığı kitapta sosyal mühendislikten bahsetmiştir. Hayatını incelediğimiz kadarı ile girdiği sistemlerin %80 nine sosyal mühendislik yöntemleriyle ulaştığını gördük. Kevin Mitnick zamanında FBI tarafından 1. sırada aranan bilişim suçlusu haline gelmiştir ve yakalanmasında başrol oynayan ünlü güvenlik uzmanı Tsutomu Shimomura Kevin ile girdiği mücadeleyi anlattığı Takedown adlı kitabında özellikle bu yönteme değinmiştir.

Sosyal mühendislik üzerine yapılan araştırmalarda kadın sesinin erkek sesinden daha şanslı Olduğunu göstermiştir. Kısaca Sosyal Mühendislik kişileri kandırarak elindeli gizli bilgileri sorularla veya farklı yollarla fark ettirmeden elinden almaktır…

Kısa seyahatlerimde toplu taşıma ve uzun seyahatlerimde de mümkün ise otobüs tercih eden birisi olarak bu yolculuklardaki en önemli gözlemlerimden biri yan yana oturduğumuz kişi ile kısa zaman içinde en derin sohbetlere girdiğimizdir. Bu yolculuklarda bazen insanların ailelerinden birine bile açıklayamayacakları konuları bir saat yan yana oturdukları tanımadıkları birisine rahatlıkla açıkladıklarına defalarca şahit oldum.

Linkedin gibi pek çok bilginin açıkça verildiği bir alanda Sosyal Mühendislik çabalarının olmasını beklememek de saflık olurdu açıkçası.

Hangi bilgileriniz mevcut bu alanda;  mail adresimiz, telefonumuz , mezun olduğumuz okullar, iş yerimiz ve bağlantılarımız. ( Diyebilirsiniz ki bunları yazma ya da görünür hale getirme. Size katılıyorum fakat profilleri biraz incelerseniz bu bilgilerin çoğu kullanıcıda genele açık olduğunu görebilirsiniz)  , hatta eğer denerseniz pek çok kullanıcının facebook , instagram gibi hesaplarının da bir fitreye sahip olmadığını siz de tespit edebilirsiniz.

Bir Sosyal Mühendis temelde genellikle büyük balık ile ilgilenir. Bu Linkedin özelinde sizden ziyade çalıştığınız şirketin tehlikede olduğu anlamına gelir. Amaç daha çok sizin vasıtanız ile önce çalışma bilgisayarınıza erişimi ardından da şirket bilgilerine erişimi içeren bir silsiledir. Bunun teknik detaylarına burada girmek gereksiz fakat geçmişte çalıştığım bir şirkette bilgi güvenliği konusunu test etmek için katılımcılara kendi oluşturduğumuz bir spam maili gönderip bazı anlamsız bilgileri istediğimizde giden maillerimizin % 10 ‘undan fazlasında cevaplar girilmişti. Eminim ki daha gerçek görünen bir form tasarlasaydık ve özel bilgiler de isteseydik buna da yanıtlar gelecekti.

Şimdi Linkedin’deki Sosyal Mühendislerin bu kadar becerikli bilgisayar dahileri olmadığını var sayalım ve sadece size saldırmak ve sizin özel bilgilerinizi,paranızı, kontörünüzü vb. almak istediğini var sayalım. Bunun için çok uzağa gitmenize gerek yok . Her gün karşınıza çıkan ” 50 inanılmaz excel formülünü isteyenler ile paylaşabilirim ” ” İş bulma sürecimde oturdum performans değerlendirme sistemi geliştirdim size de gönderebilirim” ” 3000 İK uzmanının şirket ve iletişim bilgilerini aldım size de vereyim ” türünden bir mesaj ile karşılaşabilirsiniz. Burada bir iyi bir de kötü haberim var. insanlar sosyal mühendislik nedir bilmeseler bile şirket mailleri yerine hotmail ya da gmail uzantılı maillerini paylaşıyor genellikle. Diğer yandan böyle bir paylaşı yapıldıktan sonra genellikle 500- 600 civarı maili altında toplaması bir günden daha uzun sürmüyor.  Bunda ne zarar var insanlar birbirine iyilik yapıyor diye düşünüyorsanız bu düşünce beni şaşırtır açıkçası.Gelin biraz bu tip bir akışı inceleyelim.

Örneğin birisi bize illa bir iyilik yapmak istiyor ise bunun için maillerimizi almasına gerek yok. Dosyayı bir linke koyması ve linki paylaşması yeterli. İsteyen bu linkten dosyayı indirir. ( Tavsiye etmem ama özgür irade tabi ki )

Bu tip paylaşımların altına tepkilerini görmek için genellikle link koyun türünden mesajlar yazmama rağmen hiçbir cevap gelmezken dosya bana ulaşmadı türünden bir mesaj atınca karşı taraf direkt olarak dönüş yapıyor. Çünkü böylece sosyal mühendisliğin ilk kilidi olan iletişim kapısını açmış oluyorum. Zaten genellikle dosya ya gönderilmeyerek ya da hatalı / açılmayacak şekilde gönderilerek bu kanal açılmaya çalışılıyor.

Bu andan sonrasını bir senaryo ile kurgulayalım ( biraz komplo teorisi gibi gelebilir metin size ama çok olası olduğunu atlamayalım )

* Kurban : Dosyayı açamıyorum.

*Sosyal Mühendis : Ev bilgisayarında mı , iş bilgisayarında mı açmaya çalışıyorsunuz ?

* Kurban : Kişisel bilgisayarımda açmaya çalışıyorum.

* Sosyal Mühendis : Belki işletim sisteminizin sürümü ile ilgilidir. Bu arada Linkedin de Marmara Üniversitesi 2000 mezunu olduğunuzu gördüm, benim kardeşim de oradan mezun İpek ( Kadın ismi vererek sohbet etmek veya sosyal mühendisin kadın kimliğinde olması güveni arttırmakta. Bu sebeple mutlaka kadın ismi bu görüşmelerde geçiyor. ) . İpeği tanır mısınız ?

* Kurban : Yok tanıyamadım.

* Sosyal Mühendis : Siz 79’lu musunuz ? İpek 79 ‘lu ( 2000 de üniversiteden mezun olduğunuz görünüyorsa hesabınızada ve eğer hazırlık okumamışsanız 21 yaşında mezun olma ihtimaliniz yüksek 2000- 21 =1979 . Şimdi bu oltaya düşüp doğum yılınızı verirseniz, bir iki adım sonrasında önce burcunuzu , buradan doğum ayınızı bilen dolandırıcıya gününüzü verme ihtimaliniz de yüksek)

* Kurban : Ben 78 ‘liyim.

* Sosyal Mühendis : Ha ok muhtemelen sizden bir sınıf altta olabilir İpek. Neyse dosya işini nasıl yapsak acaba , daha önce gönderdiğim herkes açıp teşekkür etti. Sizde de açılsa çok iyi olurdu. İsterseniz ben uzaktan erişip açabilirim dosyayı. Bana ıp adresini verseniz yeter.

* Kurban : ıp adresim 198397635 ( Gerçi çoğu kullanıcı IP adresi nedir ve nereden görünür bilmiyor ama olsun burada da hizmette sınır yok. Size adım adım yerini buldurmak konusunda destek verecektir bu arkadaşlar. )

* Sosyal Mühendis : Ben de açamadım ya neden acaba en iyisi ben size bir daha atayım dosyayı farklı bir mailiniz var mı ? ( Belki iş mailinizi de verirsiniz , umut fakirin ekmeği ) o adrese attığım mail geldi mi ? şimdi dosya yüklensin diye ok tuşuna basar mısınız? ( Hayırlı olsun artık kıytırık bir excel dosyası ile beraber nur topu gibi bir virüsünüz de oldu . Bu saatten sonra klavye hareketlerinizi mi kayda alırlar , banka hesaplarınıza girerken ekran görüntülerinizi mi alırlar orası onların insafına kalmış. Bu arada eski bir bankacı olarak büyük bir çoğunluğun hala cep şifrematik, IP sınırlama, sanal kart kullanma gibi güvenlik önlemlerinden haberi bile olmadığının farkındayım. )

Bu diyaloğu çok uzatmaya gerek yok burada uzun uzun yazdığım metin aslında 2 dk bile sürmeyen bir konuşma. Sohbet derinleştikçe daha özel bilgileri siz anlamadan almaları mümkün. Örneğin memleketiniz üzerinden kimlerdensiniz diye sorarlarsa muhtemelen iki dedenizin de soyadını vereceksiniz ki bunlardan birisi bankalar tarafından kutsal bilgi sayılan Anne Kızlık Soyadınız olacak. Doğum Tarihiniz var , AKS bilgisini verdiniz , telefonunuz var , mail adresiniz mevcut.  Tam bunları yazarken aklıma bir türkü geldi ” Ne duruyorsun helva yapsana , helva yapsana ”

Önlemler
Kendinizi Eğitin: Sosyal Mühendisliğe karşı alınacak en iyi tedbir, kendinizi ve şirketinizdeki kullanıcıları eğitmekten geçer. Bu eğitime en alt kademedeki kullanıcıdan, en üst kademedeki kullanıcıya kadar herkes katılmalıdır.
Hacker’ların kullandığı bu yöntem her yönüyle anlatılmalı, örnekler verilmeli ve kullanıcılar bilinçlendirilmelidir. Telefonda arayan hiç kimseye şifrelerin ve önemli bilgilerin verilmeyeceği belirtilmelidir.

Son olarak vaat edilen dosyaların hepsi internette mevcut zaten, hatta youtube ‘da görsel olarak nasıl yapabileceğiniz de anlatılıyor. Kimseye bilgilerinizi vermenize gerek yok 😉 Unutmayın BİLGİ GÜÇTÜR

Kaynak: https://www.linkedin.com/pulse/50-muhte%C5%9Fem-excel-form%C3%BCl%C3%BCn%C3%BC-sizinle-payla%C5%9Fabilirim-sosyal-sand%C4%B1k%C3%A7%C4%B1

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s