Sosyal mühendislik, internette insanların zaafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır.
Güvenlik önlemleriniz ne kadar ileri düzeyde olursa olsun, güvenliğin en zayıf halkası olan “insan” bileşeni kolaylıkla istismar edilebilir. Becerikli bir sosyal mühendislik saldırısı, kendinizi savunmanın neredeyse imkânsız olduğu bir silahtır.
Önceden bilgisayar sistemleri genelde uygulama seviyesinde kaba kuvvet saldırılarıyla ele geçirilirdi. Fakat günümüzde daha karmaşık yöntemlerle, insan psikolojisinden yararlanılarak daha hızlı ve daha kesin bilgilerle ele geçirilmektedirler. Bu yöntem ile kullanılan platform her ne olursa olsun saldırganlar erişim elde edebilirler. Sosyal mühendislik saldırılarında saldırgan hareketlerinden meşru bir iş yaptığı izlemini verir. Bu yüzden de saldırı anında yöntemlerin doğal işleyişi özel durumlara göre farklılaşabilir. Günümüzde büyük oranda başarıya ulaşmış sosyal mühendislik saldırı teknikleri; omuz sörfü, çöp karıştırma, truva atı, rol yapma, oltalama ve tersine sosyal mühendislik olarak ortaya çıkmaktadır.
1. Omuz Sörfü (Shoulder Surfing)
Parola yazılırken ya da erişim kısıtlı sistemlere erişilirken kurbanın izlenmesidir. Dürbün veya diğer görme artırıcı cihazlar kullanılarak yakın mesafenin aksine uzun bir mesafeden de yapılabilir. Omuz sörfüne maruz kalabilecek olası yerler;

  • Havaalanları, kafeler, oteller, halkın ortak kullanım alanları
  • Yan masanızda oturan iş arkadaşınız
  • Bankamatikler
  • Kredi kartıyla ödeme yapılan her yer vb.

Kısacası omuz sörfü ile günlük hayatın her anında karşılaşmak mümkündür. Bunun için de gizli bilgi, parola gibi kişisel verilerin kullanılacağı ortamlarda dikkat olabildiğince yüksek seviyede tutulmalı ve herhangi bir kişi veya cihaz tarafından izleme yapılıp yapılmadığına emin olunduktan sonra bu veriler ile işlem yapılmalıdır.
2. Çöp Karıştırma (Dumpster diving)
Çoğu insanın önemsiz olarak gördüğü bilgiler sosyal mühendisler için çok önemli olabilmektedir. Çünkü sosyal mühendisler önemsiz gibi görünen bilgileri birleştirip kurbanı inandırıcı senaryolar hazırlayarak önemli bilgiye ulaşma yolunu tercih ederler. Bunun için de çöp karıştırma tekniği en az risk içeren tekniktir. Fakat bunun yanında getirisi hiç de küçümsenmeyecek kadar büyüktür. Kurbanın çöpünde bulunabilecek başlıca veriler;

  • Önemsiz olarak görülen belgeler, kredi kartı slipleri, küçük kâğıtlara alınan notlar ve telefon numaraları, imla hatasından atılan raporlar
  • Çöpe atılmış disket, CD, post-it gibi hassas veri içerebilecek materyaller
  • Özellikle büyük organizasyonlarda sık sık değişen şirket telefon rehberi, sistem el kitapçıkları, organizasyon şemaları, şirket politika kılavuzları, toplantı takvimleri, kullanıcı adı ve parola bilgilerinin dökümleri

Sonuç olarak çöp karıştırma kulağa çok hoş gelmese de saldırganların vazgeçemeyeceği bir tekniktir. Bunun için de kritik veriler derecelerine göre sınıflandırılmalı ve derecesine göre imha teknikleri uygulanmalıdır. Kırpıcılar aktif bir şekilde kullanılmalı hatta kurum dışındaki büyük çöp bidonları kilitlenmelidir.
3. Rol Yapma (Role playing)
Sosyal mühendislerin en önemli silahlarından biridir. Genellikle telefonla iletişim üzerinden gerçekleşen bir yöntemdir. Saldırganın amacına ulaşmak için sahte bir senaryo oluşturması ve bu senaryonun satırları arasından kurbanın erişimindeki hassas bilgiye (bir sonraki adımda kullanmak üzere kişisel bilgiler ya da şifreler, güvenlik politikaları gibi erişim bilgileri) ulaşması şeklinde gelişir. Telefondaki işlemlerde yetkilendirme için ihtiyaç duyulan bilgiler genellikle başka kanallardan erişilebilir bilgiler (kimlik numarası, doğum tarihi vb.) olduğu için sahte senaryolar uydurmak ve istenen bilgileri elde etmek çoğunlukla uygulanabilir bir saldırı yöntemi olmaya devam etmektedir. Saldırganın senaryonun ana hattı dışına çıkabilecek durumları da göz önüne alıp hazırlık yapması, başarı oranını artıran bir etkendir.
Sosyal medyadan elde edilen gerçek bilgilerle hazırlanan senaryonun güçlü ikna yeteneği ile yıldırma, korkutma, pes ettirme taktiği kullanılarak uygulanması genellikle başarıyla sonuçlanmaktadır.
Rol yapma tekniği ile telefonda hassas bilgi istenilmesi durumunda öncelikle yapılması gerekenler;

  • Doğrulama için geri arama yapılmalı
  • Bilgi isteyen kişiden kimlik bilgisi istenmeli (sicil no, banka kartı personel numarası)
  • Diğer taraftan kimlik bilgisinin doğrulanması için sorgulama yapılmalı
  • Kayıtlarda anahtar kelimeler tutulmalı ve bunlar sorgulanmalı
  • Tuzak sorularla kimlik doğrulama yapılmalı
  • Aceleci davranmadan soğukkanlı, bir şeylerden emin olarak bilgi verilmeli Her kurum kendi özelinde bu tür durumlara karşı yönergesini işletmelidir.

4. Oltalama (Phishing)
E-posta ile iletişim üzerinden gerçekleşen bir saldırı yöntemidir. Toplu halde onlarca yüzlerce kişiye yönelik yapılabildiğinden, daha sık olarak bu teknik kullanılır. Telefonda konuşma daha çok ilgi ve merak isteyen, heyecana kapılmadan yapmakla ilgilidir, ancak e-posta saldırıları o dili bilmeyen kişilerce de yapılabilir. Ayrıca teknik açıklıklarla birleştirildiğinde son kullanıcının farkına bile varamayacağı kalitede sahte sayfalar hazırlanabilir.
Saldırgan, amacına ulaşmak için kurbanı güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırır. Örneğin saldırgan yolladığı iletinin bir bankanın bilgi işlem bölümünden geldiğine ikna etmek isterse, aynı bankanın önceden yolladığı iletilerdeki biçemi şablon olarak alabilir ve iletiden dışarıya giden bağlantıları kötü niyetli bir sayfaya yönlendirebilir. Saldırganın hedefleri arasında hassas bilgi vermeye zorlamak, ya da kullanıcıyı hatalı bir hareket yapmaya (sahte web sayfasına tıklamak, virüslü yazılım kurmak vb.) yönlendirmektir.
Farklı nedenler ile oltalama siteleri hazırlanabilir;

  • Parola çalma
  • Uzaktan kod çalıştırma
  • Köle (Zombi) bilgisayar oluşturma

Herhangi bir e-postadan şüphe edildiğinde başlık bilgilerine bakıp oltalama olup olmadığına emin olunduktan sonra açılmalıdır. Tanınmayan kişilerden gelen e-postalar ve ekleri herhangi bir kontrol yapılmadan açılmamalıdır.
5. Truva Atı (Trojan horse)
Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir.
Bir de “Road Apple” (yol elması) diye adlandırılan truva atları vardır. Bu tür truva atları, e-posta, web gibi elektronik ortamların açıklıklarıyla yayılmak yerine, fiziksel olarak yayılırlar. Örneğin saldırgan, üzerinde merak uyandıracak bir etiket bulunan bir disket, CD ya da flash disk oluşturur ve kurbanın tesadüfen görebileceği bir yere (çöp kutusu, koridor kenarı, tuvalet) atılmış gibi yerleştirir. Aslında zararlı yazılım içeren bu ortam, kurbanın dikkatini çeker ve kullanırsa, zararlı yazılım bilgisayarda çalışarak saldırıyı gerçekleştirir.
6. Tersine Sosyal Mühendislik (Reverse Social Engineering)
Rol yapma tekniğine benzer bir saldırı yöntemidir. Fakat bu kez yardımı kurbanın kendisi istemektedir. Sabotaj, pazarlama ve destek adımlarından oluşan bir saldırı tekniğidir.
Sabotaj adımında; saldırgan bir şekilde kurbanın kullandığı sisteme basit erişimler elde eder. Böylece sistemi bozar ya da bozulmuş görüntüsü verir. Durumu fark eden kurban sistemin düzeltilmesi için yardım aramaya başlar.
Pazarlama adımında; kurbanı takip etmekte olan saldırgan yardım talebini gördüğü anda bozulan sistemi sadece kendisinin onarabileceğine dair söylemlerde bulunur ve bir şekilde kurbanı ikna edip güvenini kazanır.
Destek adımında; artık kurban sorunun çözülmesi için saldırgana istediği her bilgiyi vermeye başlar ve böylece kritik bilgilere erişim sağlanmış olur.
Bu saldırıya karşı tek etkili savunma; çalışanları eğitmek, bilgilendirmek, bir sosyal mühendisi tanımak için gerekli altyapıyı sağlamaktır. Kurumlarda herkesin tamamlamakla yükümlü olduğu temel bir eğitim alınması sağlanmalıdır.