Sosyal Mühendislik saldırıları ve bu saldırılara karşı alınması gereken önlemler günümüzde aktif olarak gündemde olan konular. Bunun nedeni teknolojinin ve iletişim araçlarının gelişmesiyle birlikte sosyal mühendislik saldırılarının herhangi bir sınır tanımadan kolay şekilde gerçekleştirilebiliyor olması. Fakat sosyal mühendislik saldırıları yeni ortaya çıkan bir konu değil, tarih boyunca hep vardı ve farklı araçlar kullanılarak gerçekleştirildi. Özellikle gerçekleştirilme yöntemlerine dikkat çekmek istediğimiz önemli sosyal mühendislik saldırılarını bilgilerinize sunarız.

 

Truva Atı

10 yıllık bir kuşatmadan sonra Yunanların geri çekiliyormuş gibi yapması ve içinde yunan askerleri bulunan bir tahta atı savaş meydanında bırakmasıyla Troyalılar  zaferi kutlamak için atı Truva surlarından içeri sokarak düşmana bir arka kapı vermişlerdir ve sonrasında ise Truva’nın düşmesine neden olmuşlardır. Gerçek olduğunu gösteren pek bir kanıt yok, fakat adını tüm bir zararlı yazılım sınıfına verecek kadar önemsenmiş bir sosyal mühendislik saldırısı örneğidir.

  • Zarar: Savaş ve Güvenlik araçları ve disipliniyle 10 yıl korunan şehir bir gecede düşmana teslim edilmiştir.
  • Kullanılan Yöntem: Hedefi yeterli seviyede güvenlik önlemi aldığına inandırarak bir anlamda uyutmak.
  • Çıkarılması gereken Ders: İnsan psikolojisi üzerine oynanan sosyal mühendislik oyunları büyük yatırımlar yaparak oluşturduğunuz güvenlik önlemlerini bir anda devre dışı bırakabilir.

 

RSA SecurID Sızıntısı

Siber saldırıların farklı amaçları olabilir. Her siber saldırıda direk olarak maddi kazanç hedeflenmez, hedefteki kurumun dolaylı yolla maddi zarara veya itibar kaybına uğraması da hedeflenebilir. RSA SecurID sızıntısı bunlardan biridir. 2011 yılında gerçekleşen veri sızıntısının detayları RSA tarafından tam olarak açıklanmasa da SecurID iki faktörlü kimlik doğrulama sistemi ile ilgili bazı bilgilerin çalındığı belirtilmektedir.

  • Zarar: Saldırgan bu saldırıdan direk olarak maddi kazanç elde edememekle birlikte  RSA’in ana şirketi olan EMC bu veri sızıntısı olayını kapatmak için 66 milyon $ harcamıştır.
  • Kullanılan Yöntem: Saldırı RSA içerisindeki bazı çalışan gruplarına hedefli oltalama e-postası gönderilerek başlatılmıştır.  Saldırının başarılı olmasının nedeni e-posta’ların ikna edici şekilde tasarlanmış olması ve adı “2011 İşe alım Planı” olan ilgili çekici bir dosya içermesidir.
  • Çıkarılması gereken Ders: İnsan ve İnsan psikolojisi güvenlik çemberinin en zayıf halkasıdır. Siber saldırganlar ise sürekli yeni yöntemler deneyerek bu zayıf halkayı kırmaya çalışıyorlar. Bu zayıf halkanın güçlendirilmesi ancak ve ancak farkındalığın oluşturulması ile mümkündür.

 

ABN Amro Pırlanta soygunu

2007 yılında Belçika’da ABN Amro bankdan 28 milyon $ değerinde pırlanta çalındı. Soygun mesai saatlerinde, herhangi bir silah kullanılmadan gerçekleştirilmişti.

  • Zarar: Bu soygunun toplam zararı 28 milyon $ olarak açıklandı.
  • Kullanılan Yöntem: Soygunu gerçekleştirilen kişi bankanın son 1 yılda müşterisi idi. Soyguncunun kullandığı yöntem banka personelini iyi iletişimi ve kişisel özellikleriyle etkilemesiydi. Bu sayede banka personelinin güvenini kazanan soyguncu pırlantaların bulunduğu kasa anahtarını elde ederek kopyasını oluşturabilmişti.
  • Çıkarılması gereken Ders: Personelin karşısındaki kim olursa olsun ve kişisel ilişkileri hangi düzeyde olursa olsun yetki ve izinler dışında hiç kimseye herhangi bir konuda ayrıcalık tanımaması ve bu konuda uygulamalı olarak eğitilmesi gerekir. Unutulmamalıdır ki iyi iletişim, kişisel cazibe gibi sosyal araçlar sosyal mühendislik saldırılarında sıkça kullanılmaktadır.

 

Associated Press Twitter Hesabının ele geçirilmesi

2013 yılında Associated Press Twitter hesabı Suriye Elektronik Ordusu tarafından ele geçirildi ve ele geçirildikten sonra “Beyaz Evde patlama gerçekleşti ve Barack Obama yaralandı” haberini paylaştı.

  • Zarar: Twitter hesabının ele geçirilmesi ve sonrasında paylaşılan haber Amerikan borsası Dow Jones’da 3 dakika içinde %1 düşüşe neden oldu.
  • Kullanılan Yöntem: Bu saldırıyı bizim için ilgi çekici hale getiren ve sosyal mühendislik saldırıları başlığı altında incelememize neden olan özellik Twitter hesabının ele geçirilmiş olması veya nasıl ele geçirildiği değil, yetkili bir ağızdan duyulan tek bir cümle ile farklı organizasyonların ne kadar zarar görebileceğidir.
  • Çıkarılması gereken Ders: Kurumunuzu hedef alan iyi tasarlanmış oltalama saldırıları sadece bilgi içerse bile kurumunuza ciddi zararlar verebilir.

 

Nigerian Scam ve Öncesi

Nigerian Scam herkesin bildiği ve hemen hemen herkesin karşılaştığı bir sosyal mühendislik yöntemidir. Fakat bu saldırı yönteminin geçmişi çok eskiye, 16. Yüzyıla dayanır. 16. Yüzyılda yardım isteyen şahıs Nijeryalı zengin işadamı değil , İspanyol bir Mahkumdu. Senaryo ise benzer şekildeydi: İspanya’da yanlışlıkla hapsedilen zengin bir işadamının kefaletle serbest bırakılması için belirli bir miktar para gerekiyordu ve karşılığında İspanyol zengin serbest kaldıktan sonra kendisine yardım eden şahısa bir servet vaadediyordu.

  • Zarar: 2013 yılı verilerine göre Nigerian Scam yönteminin tüm dünyada hesaplanan toplam zararı 12.7 milyar $. Daha kötü bir zarar örneği ise 2007 yılında Amerikada bir bölgenin 4 milyon dolarlık bütçesinin 1.25 milyon dolarının hazinedar tarafından Nigerian Scam saldırısına kaptırılmasıdır.
  • Kullanılan Yöntem: Bireylerdeki kolay yoldan kazanç veya avantaj elde etme arzusunun hedef alınması.
  • Çıkarılması gereken Ders:  Bireylerin/Çalışanların bu tarz saldırı yöntemlerine karşı oltalama simülasyonları ile eğitilmesi gerekir. Nijeryalı zengin işadamı genel olarak bilinen bir saldırı yöntemi ve bireylerin bu tuzağa düşmeyeceklerini varsayabiliriz. Fakat unutulmamalıdır ki bu saldırı yöntemi 16. Yüzyıldan beri şekil değiştirerek devam ediyor ve karşımıza farklı şekillerde çıkabilir. Ayrıca bireyin benzer bir durumda kendi kaynağını mı, şirket kaynağını veya yetkisini mi kullanacağından da emin olamayız.

 

Target Veri Sızıntısı

2013 yılında perakende mega zinciri Target’in sistemlerinden 40 milyon kredi kartı bilgisi çalındı.

  • Zarar: Bu veri sızıntısının Target’a toplam zararının 280 milyon $ olduğu belirtiliyor.
  • Kullanılan Yöntem: Bu veri sızıntısı olayını bizim için önemli hale getiren  saldırının ve sonuçlarının büyüklüğüyle birlikte saldırı için kullanılan yöntemdir. Saldırganlar Target ağına Target’a havalandırma ve ısıtma konularında hizmet veren bir servis şirketinden phishing yöntemiyle elde ettikleri erişim bilgileri(kullanıcı adı,şifre gibi) ile sızabilmişlerdi.
  • Çıkarılması gereken Ders: Kurumların karşılıklı iş ilişkisinde bulunulan farklı kurum ve organizasyonlarla ilgili erişim ve güvenlik politikalarının belirlenmesi ve kesin olarak uygulanması gerekir. İş ortağınıza güvenebilirsiniz, fakat iş ortağınızın bilgisayarlarını kimin kontrol ettiğini bilemezsiniz.

 

Kaynak : Darkreading