Bu yazıda TÜBİTAK UEKAE Bilişim Sistemleri Güvenliği Bölümü olarak kamu kurumlarına bilgi güvenliği testleri çatısı altında gerçekleştirdiğimiz sosyal mühendislik saldırılarının bir analizi yapılmıştır.
Hepimizin bildiği üzere bilgi güvenliğinin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanmakta. Büyük yüzdesi ise kullanıcıya bağlı. Kurumda bilgi güvenliğinden sorumlu olan kişiler kimler peki? Başta bilginin sahibi ve bilgi işlem personeli olmak üzere tüm kurum personeli aslında bilgi güvenliğinden sorumludurlar. Bilgi güvenliğinin seviyesini belirlemek için en zayıf halkaya bakılır. En zayıf halka da çoğu durumda maalesef insan olmaktadır.
Peki kurumunuzda bir bilgi güvenliği zafiyeti oluştuğunda kurumunuzun başına neler gelebilir?
- Bilginiz başkalarının eline geçebilir
- Kurumun onuru, toplumdaki imajı zarar görebilir (ki en kötü durum)
- Donanım, yazılım, veri ve kurum çalışanları zarar görebilir
- Önemli veriye zamanında erişememe sorunları ortaya çıkabilir
- Parasal kayıplar meydana gelebilir (görece olarak bakıldığında en hafif durum)
- Vakit kayıpları kaçınılmaz olur
- Hatta can kaybı bile meydana gelebilir
Aşağıda Amerika Birleşik Devletleri’nde meydana gelmiş bilgisayar olaylarının türlerine göre dağılımı bulunmakta.
Grafik analiz edildiğinde çalınmış dizüstü bilgisayarlar %21’lik bir oranla birinci sırada yer alıyor. Sosyal mühendislik tekniklerini kullanarak yapılan saldırıları Hack ve Hile başlıkları altında toplarsak yanlış olmaz sanırım. Bu da %24’lük bir oran teşkil etmektedir ki gerçekten yüksek bir oran.
Biraz da sosyal mühendislik hakkında bilgi verelim. Sosyal mühendisler teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanıp, en çok etkileme ve ikna yöntemlerini kullanırlar. Sosyal mühendisliği ise normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatı olarak tanımlayabiliriz.
Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür. Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki hiç kuşku uyandırmaz ve kurbanın güvenini sömürür.
“En emniyetli bilgisayar, kapalı olandır” şeklinde klişeleşmiş bir laf vardır. Peki şunu hiç düşündük mü? Art niyetli bir kişi ofise gidip bilgisayarı açması için birini ikna edebilir. Artık günümüz bilgi güvenliğine bakış açımızın bu tür durumları da içerecek şekilde genişlemesi gerekiyor.
TÜBİTAK UEKAE Bilişim Sistemleri Güvenliği Bölümü olarak yaklaşık 1,5 yıldır kamu kurumlarına sosyal mühendislik saldırıları gerçekleştirmekteyiz. bu kapsamda bugüne kadar toplam 5 kamu kurumunda bu testi gerçekleştirdik. Bu kapsamda toplam 48 kullanıcı ile telefon görüşmesi yapıldı ve 30’una ait şifre elde edildi. Aslında burada kurum bazında başarı oranına bakmak pek de doğru olmayabilir. Çünkü siz saldırgan olarak kurumdan sadece bir kişinin bile şifresini ele geçirseniz, bu şifreyle pek çok bilgiye ulaşabilmeniz mümkün olur. Sonuçlar analiz edildiğinde maalesef kamu kurumlarımızdaki personelde bilgi güvenliği bilinci pek oturmamış gözüküyor. İlgili grafiğe aşağıdan ulaşabilirsiniz.
Şekil-2 Kamuda bilgi güvenliği bilinci analizi grafiği
Bu saldırılarda kullandığımız bazı senaryoları aşağıda bulabilirsiniz:
SENARYO 1:
Bu senaryoda kullanılan veri tamamen kurum dışından (Facebook, Google, MSN, vs.) elde edilir. Saldırgan kurumla ilgili telefon bilgilerini internetten topladıktan sonra bu numaraları arayarak kendisinin bilgi işlem departmanında yeni işe başladığını ve aktif dizinde bir güncelleme yapmak amacıyla kullanıcı adı ve şifreye ihtiyacı olduğunu söyler.
SENARYO 2:
Bu senaryoda kullanılan veri tamamen kurum içinden (bilgi işlem departmanından alınan telefon listeleri, kritik personelin listesi, vs.) elde edilir. Saldırgan ilgili telefon numaralarını arayarak kendisinin bilgi işlem departmanında yeni işe başladığını ve aktif dizinde bir güncelleme yapmak amacıyla kullanıcı adı ve şifreye ihtiyacı olduğunu söyler.
SENARYO 3:
Saldırgan kendini, denetçi olarak tanıtır ve şu an kurum başkanının yanında olduğunu söyleyerek devam eder. Başkanın emriyle bir inceleme yapmak için kullanıcı adı ve şifreye ihtiyacı olduğunu söyler.
SENARYO 4:
Bu senaryoda kullanılan veri tamamen kurum dışından (Google) elde edilir. Saldırgan kurumun santralini arayarak muhasebe departmanından birisiyle görüşmek istediğini söyler. Amaç öncelikle bir isim ve dahili numarası elde etmektir. Bu bilgiyi aldıktan sonra ilgili kişiyi arayarak kullanıcı adı ve şifresini almaya çalışır.
SENARYO 5:
Eğer kurumda var olan kritik yazılımlardan herhangi birisi dışarıdan bir kurumun işletimi dahilindeyse saldırgan kendisini o kurumdan bir yetkili olarak tanıtıp, bir güncelleme yapmak için kullanıcı adı ve şifre almaya çalışır.
SENARYO 6:
Çeşitli yazılımlar yardımıyla ekinde zararlı yazılım bulunan ve içeriği kullanıcılara çok cazip gelecek e-posta hazırlanır ve tüm kullanıcılara gönderilir.
Örnek 1: Maaşlara yapılan son zammı görmek için ekteki dokümana tıklayınız.
Örnek 2: Ben aaa firmasında teknik destek grubu çalışanıyım. Firmamızın bbb yazılımında meydana gelen kritik bir açıklığın bir an önce kapatılması için lütfen ekteki yamayı bilgisayarınıza kurunuz.
Bu tip saldırılara karşı alınabilecek bazı önlemleri vurgulamakta fayda var. Tehlike hiç ummadığınız bir anda, hiç ummadığınız bir yerden gelebilir. Tanımadığınız kişilerden gelen isteklere karşı temkinli davranın ve size özel bilginizi (örneğin şifreniz) sistem yöneticisi, mesai arkadaşınız, hatta yöneticileriniz dahil, kimseyle paylaşmayın. Kurumdaki tüm personele periyodik olarak bilgi güvenliği bilinçlendirme eğitimleri verin. Ve son olarak da kurumunuzda periyodik olarak, sosyal mühendislik saldırı testini de içeren, bilgi güvenliği testleri gerçekleştirin.
Tolga MATARACIOĞLU, TÜBİTAK-UEKAE
gerçekten çok açıklayici şekilde yazmıssınız. bilgileriniz için teşekkürler.
Çalınmış Leptop %21 Masa Üstü Pek İşlerine Yaramıyor 😀