Sosyal Mühendislik nedir?

4 Ekim 2017
312 Görüntüleme

Bankalararası Kart Merkezi, BT Uyumluluğu Bilgi Güvenliği Mimarı Umut Dinçkol, siber güvenlik için oldukça önemli bir konu başlığı olan Sosyal Mühendislik ile alakalı bir makale kaleme aldı. Bu makaleyi FinTech girişimlerinin de dikkate alması gerektiğini düşünerek paylaşıyoruz.

Sosyal Mühendislik nedir ?

Sosyal mühendislik, insanları aldatma sanatıdır. Sosyal mühendislik siber suçluların kirli ellerini paranıza bulaştırmak için kullandığı popüler bir araçtır. Çoğu kişi, kandırılma olasılığının çok düşük olduğunu düşünür ve genellikle bilgi güvenliği gündeme geldiğinde teknik tedbirlerden bahseder. Oysa, bilgi güvenliği sağlanırken insan faktörünün payı teknik önlemlerden çok daha büyüktür!

Aşağıdaki gibi taleplerle sizlere ulaşabilir, merak uyandıran ve inanması zor tekliflerle zarar verme niyetinde olabilirler.

Hesabınızdan/kartınızdan işlem gerçekleştirilmiş. İşlemi iptal etmek/iade almak için şifrenizi söyleyiniz/tuşlayınız.

  • Hesaplarınıza Rusya’dan siber saldırı gerçekleştiriliyor. Hesaplarınıza bloke koymak için şifrenizi söyleyiniz/tuşlayınız.
  • Geriye dönük kredi/kredi kartı ücretlerini iade edeceğiz. İşlemi gerçekleştirmek için şifrenizi söyleyiniz/tuşlayınız.
  • Sigorta primlerinizi iptal edeceğiz. İşlemi gerçekleştirmek için şifrenizi söyleyiniz/tuşlayınız.

Günümüzün kar odaklı dünyasında, siber suçlular artık sadece kötü şöhretin değil, aynı zamanda paranızın da peşindeler. En hızlı yayılan kötü amaçlı yazılımlardan daha kötü olan sosyal mühendislik tehditlerinden korunmak daha da zordur. Neden mi? Çünkü yalnızca sisteminizi değil, sizi de hedef alırlar. Kendinizi bu tehditlere karşı korumanın en etkili yolu, bilgi sahibi olup, farkındalığınızın yüksek olmasıdır. En önemlisi ise gerekli düzeyde “Şüphe”yi barındırıyor olmanızdır.

“Bazen çocuk gibi basit düşünmek gerek” deyip, “niye ki”, “neden” gibi sorular sormayı unutmayalım.

Sosyal Mühendislik Yöntemleri

1. Sahte Ürün ve Hizmet Lansmanları

Bu yöntemde e-postanıza bir mesaj gelir ve bu mesajda bir bağlantıya tıklayıp kişisel bilgilerinizden bazılarını iletmeniz durumunda bir hediye kazanacağınız söylenir.
“Önemli bir haber sizin için kurgulanmış olabilir.”

Gündemde olan bir konu, insanların ilgisi ve algısı ile oynayarak yönlendirimiştir. Bu davranışların onları tuzağa doğru yönlendirilen bir yalandan ibaret olduğunu bilmezler ya da önemsemezler.

Unutulmaması gereken konu : “ Gördüklerinizin her zaman daha farklı olarak size gösterilmek istenebileceğidir.

2. Sahte Haber Siteleri veya Sayfaları

Ülkede meydana gelen önemli bir olaydan sonra kullanıcılar doğal olarak bir araştırma içerisine girecekler bu araştırma sonucunda konu ile alakalı ilk gördükleri bağlantıya tıklamak isteyeceklerdir.Bu tıklama sonucunda ise zararlı yazılımlar anında bilgisayarlarına bulaşır ve tüm kişisel bilgileri ele geçirilir.

Bir örnek vermek gerekirse, Japonya’da 11 Mart tarihinde gerçekleşen tsunami felaketinden dakikalar sonra, sahte virüsten koruma yazılımlarını barındıran sahte haber siteleri, bu yazılımları en güncel haberleri arayan kullanıcıların sistemlerine bulaştırdı.

3. Telefon İle Sosyal Mühendislik

En etkili sosyal mühendislik ataklarından biri de telefon aracılığı ile yapılır. Bir hacker sizi arayabilir ve yetkili biri gibi davranabilir ve yavaş yavaş kullanıcı bilgilerinizi öğrenebilir. Özellikle yardım masaları bu tarz ataklara yatkındır.

4. Çöpleri Boşaltma (Dumpster Diving)

Çöpleri boşaltmak, çer çöpü temizlemek olarak ta bilinir ve başka bir sosyal mühendislik metodudur. Bilgilerin büyük bir çoğunluğu, şirketin çöplerinden toplanmıştır. The LAN Times, çöpünüzde bulunan potansiyel güvenlik tehlikelerini şöyle sıralamaktadır: “şirket telefon rehberi, kısa notlar, şirketin idari politika bilgileri, olaylar ve tatil izinleri, sistem işleyiş şekilleri, hassas veriler yada giriş isim ve şifreleri çıktıları, kaynak kod çıktıları, diskler ve bantlar, şirket mektupları ve kısa formlarve eskimiş donanımlar”

Bu kaynaklar hacker lar için zengin bilgi damarlarıdır. Telefon rehberleri hackerlara canlandırılacak yada hedefteki insanların telefon numaralarını ve isimlerini verir. Organizasyon grafikleri organizasyonda ki yetkili pozisyondaki kişiler hakkında bilgiler içerir. Küçük notlar giriş oluşturmak için cazip ve ilginç ufak bilgiler verir. Takvimler çok önemlidir,hangi işçinin ne zaman işyeri dışında olacağını belirtir. Sistem el kitapları, hassas bilgiler ve diğer teknik bilgi kaynakları; hackerlara ağa izinsiz girebilmek için gerekli bilgileri verebilir. Son olarak, eski donanımlar özellikle hard diskler yeniden onarılıp tüm kullanışlı bilgiler elde edilebilir.

5. İkna Etme

Hackerlar kendi kendilerine sosyal mühendislik atakları ile nasıl mükemmel bir psikolojik etki oluşturabileceklerini çalışırlar. İkna edebilmenin basit yolları: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadaş olarak görünebilmektir. Her şeye rağmen bu metotların kullanımının ana konusu insanların gizlice bilgilerini öğrenebilmek için inandırıcı olmaktır.

6. Truva Atları

Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda, veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir.

Sosyal Mühendislikte Alınabilecek Önlemler

1. Fiziksel Güvenlik

Sistem güvenliği gözden geçirilirken, genellikle yerel ya da konsoldan erişim sonucunda oluşabilecek güvenlik açıklıkları, etkisinden ve riskinden bağımsız olarak olma olasılığı düşük olarak değerlendirilmektedir.

2. Etkili Güvenlik Politikaları

Kurumun oluşturduğu güvenlik politikaları açık, anlaşılır, mantığa uygun, uygulanabilir, erişilebilir ve kapsayıcı olmalıdır. Erişilebilirliği eksik, anlaşılır olmayan ya da uygulanması çok zahmetli politikalar, genellikle uygulanmamaya ya da ihmal edilmeye mahkumdurlar.

3. Eğitim ve Yaptırımlar

Çalışanlar politikalar hakkında ne kadar bilgiliyse, güvenlik politikaları o kadar değerlidir. Bu yüzden sürekli ve güncel eğitim ve bilgilendirme çalışmaları, çalışanları konu hakkında bilgilendirmek ve bilinçlendirmek açısından hayati öneme sahiptir.
Bu kapsamda aşağıdaki önlemlerin uygulanması riskin en aza indirgenmesi için önemlidir.

Kullandığımız bilgisayarın Güvenlik duvarı korumaları, anti virüsler, casus yazılımlara karşı korumalar kullanmalısınız.

  • SSL sertifikalı mail sunucular tercih edilmeli.
  • Kullanıcı adı – parola gibi kişisel verilerin kullanılması gereken durumlarda daha dikkatli davranılmalıdır.
  • Herkese açık olan blog ve tartışma forumları gibi sosyal medya ortamlarında kurumsal kimlik kullanımından kaçınılmalıdır.
  • Web sitelerinin URL’lerine dikkat edilmelidir. Sahte web siteleri genellikle gerçek bir siteyle aynı görünür fakat URL yazımı veya alan adı (domain) farklıdır.
  • Kişisel ve finansal bilgiler e-posta ile paylaşılmamalıdır. Bu bilgileri isteyen e-postalara da itibar edilmemelidir.
  • Eğer girdiğiniz sistemde varsa sanal klavye kullanılmalıdır.
  • Hassas veri içeren kişisel baskılar, notlar, belgeler kullanım sonrası imha edilmeli, çöp kutuları dâhil olmak üzere okunur şekilde atılmamalıdır.
  • Mutlaka güçlü şifreler kullanılmalı ve kesinlikle bir yerlere yazılmamalı ya da başkalarıyla paylaşılmamalıdır. İçerisinde bir büyük harf bir küçük harf ve özel karakter ve rakamlar içeren şifreler tercih edilmelidir.
  • Sosyal medya üzerinden kişisel veriler sınırlandırılmalı, gizlilik ayarları yapılmalı.
  • Fotoğraf veya videolar paylaşılmadan önce fotoğrafta yer alanlardan mutlaka izin alınmalıdır.
  • Yer bildiriminde bulunurken aslında bulunulan adresin ve konumun paylaşıldığı unutulmamalıdır.
  • Ekranlarda görülen her bilginin doğruluğu mutlaka sorgulanmalı ona göre hareket edilmelidir.
  • Twitter ve Facebook gibi sosyal ağlarda gezinirken kaynağı belirtilmeyen aldatıcı linkler tıklanmamalı
  • Bilgisayarınızda başkalarının usb taşınabilir belleklerini zararlı yazılım kontrolü yapmadan açmamalısınız.
  • Kaynağına güvenmediğiniz web sitelerinden dosya indirme işlemi yapmamalısınız.
  • Düzenli aralıklarla bilgisayarınızı güncel anti-virüs ile casus yazılımlara karşı taramalısınız.
  • Tanınmayan kişilerden gelen e-postalar ve ekleri herhangi bir kontrol yapılmadan açılmamalıdır.
  • Kampanya söylemimiz: “Eğer size arayan bankanızsa, şifre, hesap ve kart bilgilerinizi söyleyin veya tuşlayın demez.”

Bunu dikate alarak, bilgi verilirken, şifre, hesap ve kart bilgilerinizi kesinlikle paylaşmayın!

Bu yazı Bankalararası Kart Merkezi, BT Uyumluluğu Bilgi Güvenliği Mimarı Umut Dinçkol tarafından yazılmış olup kendisini Linkedin, Twitter ve Medium hesaplarından takip edebilirsiniz.

Bunlar da İlginizi Çekebilir

Akbank “Akıllı İnteraktif Programatik TV” ile bir ilke imza attı
Bankacılık
48 görüntüleme
Bankacılık
48 görüntüleme

Akbank “Akıllı İnteraktif Programatik TV” ile bir ilke imza attı

Yazar 03 - 18 Kasım 2017

Akbank tarafından tamamlanan bu projeyle müşteriler televizyonlarından kredi notlarını öğrenebilmesinin yanında kredi başvurusu da yapabilecek. Akbank Direkt Bankacılıktan Sorumlu Genel…

Kripto Paralar, Bitcoin ve Blockchain
Bitcoin
200 görüntüleme
Bitcoin
200 görüntüleme

Kripto Paralar, Bitcoin ve Blockchain

Yazar 03 - 18 Kasım 2017

Kadir Has Üniversitesinde öğretim görevlisi ve NTV'de ekonomi danışmanlığı ve yorumculuk görevlerini sürdüren deneyimli hocalamız Mahfi Eğilmez, internet sitesinde kripto…

Chris Skinner finans sektörü dinamiklerini anlattı
Haber
156 görüntüleme
Haber
156 görüntüleme

Chris Skinner finans sektörü dinamiklerini anlattı

Yazar 03 - 17 Kasım 2017

Wall Street Journal Financial News tarafından finans teknolojileri alanında en güçlü kişileri arasında yer alan  Chris Skinner, Türkiye Sermaye Piyasaları…

Bir Yorum Yazın