Sosyal Mühendislik nedir?

4 Ekim 2017
832 Görüntüleme

Bankalararası Kart Merkezi, BT Uyumluluğu Bilgi Güvenliği Mimarı Umut Dinçkol, siber güvenlik için oldukça önemli bir konu başlığı olan Sosyal Mühendislik ile alakalı bir makale kaleme aldı. Bu makaleyi FinTech girişimlerinin de dikkate alması gerektiğini düşünerek paylaşıyoruz.

Sosyal Mühendislik nedir ?

Sosyal mühendislik, insanları aldatma sanatıdır. Sosyal mühendislik siber suçluların kirli ellerini paranıza bulaştırmak için kullandığı popüler bir araçtır. Çoğu kişi, kandırılma olasılığının çok düşük olduğunu düşünür ve genellikle bilgi güvenliği gündeme geldiğinde teknik tedbirlerden bahseder. Oysa, bilgi güvenliği sağlanırken insan faktörünün payı teknik önlemlerden çok daha büyüktür!

Aşağıdaki gibi taleplerle sizlere ulaşabilir, merak uyandıran ve inanması zor tekliflerle zarar verme niyetinde olabilirler.

Hesabınızdan/kartınızdan işlem gerçekleştirilmiş. İşlemi iptal etmek/iade almak için şifrenizi söyleyiniz/tuşlayınız.

  • Hesaplarınıza Rusya’dan siber saldırı gerçekleştiriliyor. Hesaplarınıza bloke koymak için şifrenizi söyleyiniz/tuşlayınız.
  • Geriye dönük kredi/kredi kartı ücretlerini iade edeceğiz. İşlemi gerçekleştirmek için şifrenizi söyleyiniz/tuşlayınız.
  • Sigorta primlerinizi iptal edeceğiz. İşlemi gerçekleştirmek için şifrenizi söyleyiniz/tuşlayınız.

Günümüzün kar odaklı dünyasında, siber suçlular artık sadece kötü şöhretin değil, aynı zamanda paranızın da peşindeler. En hızlı yayılan kötü amaçlı yazılımlardan daha kötü olan sosyal mühendislik tehditlerinden korunmak daha da zordur. Neden mi? Çünkü yalnızca sisteminizi değil, sizi de hedef alırlar. Kendinizi bu tehditlere karşı korumanın en etkili yolu, bilgi sahibi olup, farkındalığınızın yüksek olmasıdır. En önemlisi ise gerekli düzeyde “Şüphe”yi barındırıyor olmanızdır.

“Bazen çocuk gibi basit düşünmek gerek” deyip, “niye ki”, “neden” gibi sorular sormayı unutmayalım.

Sosyal Mühendislik Yöntemleri

1. Sahte Ürün ve Hizmet Lansmanları

Bu yöntemde e-postanıza bir mesaj gelir ve bu mesajda bir bağlantıya tıklayıp kişisel bilgilerinizden bazılarını iletmeniz durumunda bir hediye kazanacağınız söylenir.
“Önemli bir haber sizin için kurgulanmış olabilir.”

Gündemde olan bir konu, insanların ilgisi ve algısı ile oynayarak yönlendirimiştir. Bu davranışların onları tuzağa doğru yönlendirilen bir yalandan ibaret olduğunu bilmezler ya da önemsemezler.

Unutulmaması gereken konu : “ Gördüklerinizin her zaman daha farklı olarak size gösterilmek istenebileceğidir.

2. Sahte Haber Siteleri veya Sayfaları

Ülkede meydana gelen önemli bir olaydan sonra kullanıcılar doğal olarak bir araştırma içerisine girecekler bu araştırma sonucunda konu ile alakalı ilk gördükleri bağlantıya tıklamak isteyeceklerdir.Bu tıklama sonucunda ise zararlı yazılımlar anında bilgisayarlarına bulaşır ve tüm kişisel bilgileri ele geçirilir.

Bir örnek vermek gerekirse, Japonya’da 11 Mart tarihinde gerçekleşen tsunami felaketinden dakikalar sonra, sahte virüsten koruma yazılımlarını barındıran sahte haber siteleri, bu yazılımları en güncel haberleri arayan kullanıcıların sistemlerine bulaştırdı.

3. Telefon İle Sosyal Mühendislik

En etkili sosyal mühendislik ataklarından biri de telefon aracılığı ile yapılır. Bir hacker sizi arayabilir ve yetkili biri gibi davranabilir ve yavaş yavaş kullanıcı bilgilerinizi öğrenebilir. Özellikle yardım masaları bu tarz ataklara yatkındır.

4. Çöpleri Boşaltma (Dumpster Diving)

Çöpleri boşaltmak, çer çöpü temizlemek olarak ta bilinir ve başka bir sosyal mühendislik metodudur. Bilgilerin büyük bir çoğunluğu, şirketin çöplerinden toplanmıştır. The LAN Times, çöpünüzde bulunan potansiyel güvenlik tehlikelerini şöyle sıralamaktadır: “şirket telefon rehberi, kısa notlar, şirketin idari politika bilgileri, olaylar ve tatil izinleri, sistem işleyiş şekilleri, hassas veriler yada giriş isim ve şifreleri çıktıları, kaynak kod çıktıları, diskler ve bantlar, şirket mektupları ve kısa formlarve eskimiş donanımlar”

Bu kaynaklar hacker lar için zengin bilgi damarlarıdır. Telefon rehberleri hackerlara canlandırılacak yada hedefteki insanların telefon numaralarını ve isimlerini verir. Organizasyon grafikleri organizasyonda ki yetkili pozisyondaki kişiler hakkında bilgiler içerir. Küçük notlar giriş oluşturmak için cazip ve ilginç ufak bilgiler verir. Takvimler çok önemlidir,hangi işçinin ne zaman işyeri dışında olacağını belirtir. Sistem el kitapları, hassas bilgiler ve diğer teknik bilgi kaynakları; hackerlara ağa izinsiz girebilmek için gerekli bilgileri verebilir. Son olarak, eski donanımlar özellikle hard diskler yeniden onarılıp tüm kullanışlı bilgiler elde edilebilir.

5. İkna Etme

Hackerlar kendi kendilerine sosyal mühendislik atakları ile nasıl mükemmel bir psikolojik etki oluşturabileceklerini çalışırlar. İkna edebilmenin basit yolları: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadaş olarak görünebilmektir. Her şeye rağmen bu metotların kullanımının ana konusu insanların gizlice bilgilerini öğrenebilmek için inandırıcı olmaktır.

6. Truva Atları

Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda, veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir.

Sosyal Mühendislikte Alınabilecek Önlemler

1. Fiziksel Güvenlik

Sistem güvenliği gözden geçirilirken, genellikle yerel ya da konsoldan erişim sonucunda oluşabilecek güvenlik açıklıkları, etkisinden ve riskinden bağımsız olarak olma olasılığı düşük olarak değerlendirilmektedir.

2. Etkili Güvenlik Politikaları

Kurumun oluşturduğu güvenlik politikaları açık, anlaşılır, mantığa uygun, uygulanabilir, erişilebilir ve kapsayıcı olmalıdır. Erişilebilirliği eksik, anlaşılır olmayan ya da uygulanması çok zahmetli politikalar, genellikle uygulanmamaya ya da ihmal edilmeye mahkumdurlar.

3. Eğitim ve Yaptırımlar

Çalışanlar politikalar hakkında ne kadar bilgiliyse, güvenlik politikaları o kadar değerlidir. Bu yüzden sürekli ve güncel eğitim ve bilgilendirme çalışmaları, çalışanları konu hakkında bilgilendirmek ve bilinçlendirmek açısından hayati öneme sahiptir.
Bu kapsamda aşağıdaki önlemlerin uygulanması riskin en aza indirgenmesi için önemlidir.

Kullandığımız bilgisayarın Güvenlik duvarı korumaları, anti virüsler, casus yazılımlara karşı korumalar kullanmalısınız.

  • SSL sertifikalı mail sunucular tercih edilmeli.
  • Kullanıcı adı – parola gibi kişisel verilerin kullanılması gereken durumlarda daha dikkatli davranılmalıdır.
  • Herkese açık olan blog ve tartışma forumları gibi sosyal medya ortamlarında kurumsal kimlik kullanımından kaçınılmalıdır.
  • Web sitelerinin URL’lerine dikkat edilmelidir. Sahte web siteleri genellikle gerçek bir siteyle aynı görünür fakat URL yazımı veya alan adı (domain) farklıdır.
  • Kişisel ve finansal bilgiler e-posta ile paylaşılmamalıdır. Bu bilgileri isteyen e-postalara da itibar edilmemelidir.
  • Eğer girdiğiniz sistemde varsa sanal klavye kullanılmalıdır.
  • Hassas veri içeren kişisel baskılar, notlar, belgeler kullanım sonrası imha edilmeli, çöp kutuları dâhil olmak üzere okunur şekilde atılmamalıdır.
  • Mutlaka güçlü şifreler kullanılmalı ve kesinlikle bir yerlere yazılmamalı ya da başkalarıyla paylaşılmamalıdır. İçerisinde bir büyük harf bir küçük harf ve özel karakter ve rakamlar içeren şifreler tercih edilmelidir.
  • Sosyal medya üzerinden kişisel veriler sınırlandırılmalı, gizlilik ayarları yapılmalı.
  • Fotoğraf veya videolar paylaşılmadan önce fotoğrafta yer alanlardan mutlaka izin alınmalıdır.
  • Yer bildiriminde bulunurken aslında bulunulan adresin ve konumun paylaşıldığı unutulmamalıdır.
  • Ekranlarda görülen her bilginin doğruluğu mutlaka sorgulanmalı ona göre hareket edilmelidir.
  • Twitter ve Facebook gibi sosyal ağlarda gezinirken kaynağı belirtilmeyen aldatıcı linkler tıklanmamalı
  • Bilgisayarınızda başkalarının usb taşınabilir belleklerini zararlı yazılım kontrolü yapmadan açmamalısınız.
  • Kaynağına güvenmediğiniz web sitelerinden dosya indirme işlemi yapmamalısınız.
  • Düzenli aralıklarla bilgisayarınızı güncel anti-virüs ile casus yazılımlara karşı taramalısınız.
  • Tanınmayan kişilerden gelen e-postalar ve ekleri herhangi bir kontrol yapılmadan açılmamalıdır.
  • Kampanya söylemimiz: “Eğer size arayan bankanızsa, şifre, hesap ve kart bilgilerinizi söyleyin veya tuşlayın demez.”

Bunu dikate alarak, bilgi verilirken, şifre, hesap ve kart bilgilerinizi kesinlikle paylaşmayın!

Bu yazı Bankalararası Kart Merkezi, BT Uyumluluğu Bilgi Güvenliği Mimarı Umut Dinçkol tarafından yazılmış olup kendisini Linkedin, Twitter ve Medium hesaplarından takip edebilirsiniz.

Bunlar da İlginizi Çekebilir

Citi ve HighRadius ortaklığı yapay zekaya odaklanıyor
Bankacılık
81 görüntüleme
Bankacılık
81 görüntüleme

Citi ve HighRadius ortaklığı yapay zekaya odaklanıyor

Erhan Kahraman - 15 Temmuz 2018

Citi’nin hazine ve ticari çözümler birimi, HighRadius’un yapay zeka ve makine öğrenme teknolojilerini kullanarak hizmet portföyünü genişletiyor. Citi, hafta içinde…

Index Ventures teknolojiye 1,65 milyar dolar yatıracak
FinTech
123 görüntüleme
FinTech
123 görüntüleme

Index Ventures teknolojiye 1,65 milyar dolar yatıracak

Erhan Kahraman - 14 Temmuz 2018

Teknoloji girişimlerini destekleyen firmalar arasına katılan Londra merkezli Index Ventures, FinTech girişimlerinin de faydalanacağı 1,65 milyar dolarlık yatırım bütçesi açıkladı.…

Nordnet, yapay zeka Amelia’yı “işten çıkardı”
Bankacılık
145 görüntüleme
Bankacılık
145 görüntüleme

Nordnet, yapay zeka Amelia’yı “işten çıkardı”

Erhan Kahraman - 14 Temmuz 2018

Nordnet'in IPSoft iş birliğiyle geçtiğimiz yıl müşteri ilişkileri süreçlerine dahil ettiği Amelia adlı yapay zeka bekleneni veremeyince işsiz kaldı. İsveç…

Bir Yorum Yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.