Anlatımlar / İpuçları
MoonWaLker
11-04-2016, 18:59
0
Sosyal mühendisliği anlamak ve bundan kaçınmak
Konu bilgisayar güvenliği tehditlerine geldiğinde, son on-on beş yıl içinde saldırı noktasının sistemin kendisinden sistemi yönetenlere yönelmiş olması büyük bir ihtimal. Nihayetinde antivirüslerden kaçınmak zor ve sürekli olarak güvenlik yamaları uygulanıyor fakat bilgisayarın başındaki kişinin kandırılması her zamanki gibi daha kolay. İstediğini elde etmek için sistemde bilgisayarın kendisi yerine insan faktörünü hedef alan her saldırıda “sosyal mühendislik kullanılmış demektir. Bunun anlamı, teknik boşluklara saldırmak yerine, insanların güvenine ve kendilerine yardım edildiğine inanmaktaki isteklerini hedef almak sonuç veriyor.
Sosyal mühendisliğin örnekleri güvenlik nedenleriyle sizi şifrelerinizi açık etmek için kandırmaya çalışan art niyetli pop-up internet sitelerinden, gizli bilgilerinizi gerektiren anket postalarına kadar her şeyi kapsıyor. Sizin bilgisayarınızda bu olmuyor olabilir, fakat her nerede gerçekleşiyorsa saldırganların ihtiyacı olan bilgileri elde etmek için insanların güven duygularını kullanıyor.
Bu saldırı biçimi oldukça popüler çünkü bilgisayar sistemleri internet sitelerini kara listeye almak adına anında tekrar şekillendirilebilir, e-postalar filtrelenebilir ve dosya biçimleri bloklanabilir ancak, bir tehdit yaygın hale geldiğinde insanları eğitmek yıllar alır.
Büyük ölçekli ve göründüğü kadarıyla başarı elde edilmiş Microsoft Teknik Yardım aramaları dolandırıcılığı bu duruma iyi bir örnek: bir çözüm bulunduğunda saniyeler içinde kapatılabilecek bir güvenlik açığını kendi çıkarları için kullanmak yerine, bu dolandırma insanları manuel olarak kötü amaçlı bir program yüklemeleri için kandırmak suretiyle çalışıyor. Bu dolandırıcılık biçimi ortaya çıkarıldıktan yıllar sonra da yok olmamasına neden olacak kadar sonuç vermeye devam ediyor.
Fidye yazılım tehditlerinin yükselişi de sosyal mühendisliğin hackerlar için ne kadar başarılı olduğuna başka bir örnek. İlk dönem virüslerin yaptığı gibi kredi kartı bilgileri için mekanik arama yapmaya dayanmak yerine ya da sisteminizde saklanıp gerekli bilgi için beklemeye koyulan gizli bir tuş kaydedici kullanmak yerine, fidye yazılım kullanıcının önüne çıkıp “şimdi öde yoksa tüm verilerin sonsuza kadar yok olacak” diyerek, parayı almak için kullanıcının korkuları ve tedirginlikleri üzerinde oynuyor. Eğer sosyal mühendislik giderek kötüleşen bir problemse, bundan kaçınmak için neler yapmanız gerekiyor? Yapılacak şeylerden biri hangi saldırı biçimlerinin yaygın olduğunu ve bunlarla nasıl savaşılacağını öğrenmek.
Mali saldırılar
Belki de kaçınmanın en kolay olduğu saldırı tipi-oldukça kazançlı olduğundan da popüler bir tip-; bir kişi sizinle iletişime geçer ve doğrudan para talep eder. Bu saldırı, çok daha fazlasına erişim sağlayabilmeniz için sizden para istenmesi -fakat artarak bu talepler tanıdığınız birinden gelmeye başlıyor- ünlü “419 dolandırıcılığı” biçimiyle bilinebilir. Bir kişinin yerine geçme durumu birinin sizin iletişim bilgilerinizi çalması yahut ele geçirmesi ya da bir arkadaşınızın hesabına hileli bir erişim sağlamalarının sonucu olabilir.
Bunlardan en basiti “solucan” biçiminde bir link -tıklamaya davet edildiğiniz ve reklam olduğu ya da daha kötüsü kötü amaçlı program sağlayan bir site olduğu ortaya çıkan bir şey. Bu linke bir kere tıkladığınızda profiliniz ve/veya kişisel bilgileriniz ele geçirilebilir duruma gelebilir, en kötü durumda güvenliğinizi anlık olarak aşıp sizin arkadaş listenizi de aynı biçimde spamler. Bu biçimdeki saldırıdan kaçınmak için, yapmanız gereken tetikte olmak: özellikle eşlik eden bir metin yoksa, linke tıklamayın. Açıklama istemek her zaman talep etmeye değerdir çünkü eğer arkadaşınız size bir link göndermeyi planlamadıysa, durumun farkına varıp size bunu söyler, eğer size linki bilerek gönderdilerse de, linkin gerçek olduğuna dair bir güvence elde etmiş olursunuz.
Daha karışık durumlarda, saldırı bir arkadaşınız sizden yardım istemesini kapsıyor olabilir. Herhangi bir yerde kaldıklarından ve paralarının bittiğinden bahisle sizden kendisine para göndermenizi isteyebilirler. Yurtdışında bir hapishanede olduklarını ve çıkabilmek için rüşvet yahut kefalet parasına ihtiyaçları olduğunu iddia edebilirler. Eğer biraz daha kurnazlarsa, bir hayır kampanyasına ya da başkaca bir iyiniyetli çalışmaya para bağışlamanızı isteyebilirler.
Bu durumlarda önemli olan şüpheli görünen yahut size tanıdık gelmeyen hiçbir servis üzerinden para göndermemeniz. Ortada para göndermek yahut almak için fazlasıyla bilinen servis mevcut ve eğer samimi olarak talebin gerçek olup olmadığından emin değilseniz, koruması olduğunu bildiğiniz ve araştırdığınız bir servis önerin. Eğer tek bir siteyi kullanmak konusunda katılarsa, bunun bir dolandırıcılık olma ihtimali yüksektir.
Şifre Hırsızlığı Şifre hırsızlığı e-mail dolandırıcılığına çok benzer biçimde, paranız yerine şifrelerinizi yahut kişisel bilgilerinizi çalmak adına e-posta kullanmayı, direkt olarak mesaj göndermeyi ve diğer iletişim biçimlerini kullanmayı dener. Şifre hırsızlığı terimi esas olarak telefon üzerinden uygulanmış bir dolandırıcılık olup, internetin gelişimiyle çabucak e-postalar ve anında mesajlaşma yazılımları üzerinden yayıldı.
Sosyal medya sitelerinden dönem dönem gönderilen e-postalar üzerine hiçbirimiz kafa yormayız dolayısıyla, bu biçimde gelen ve bir bilgilendirme yahut buna benzer bir e-postaya güvenmek kolaydır. Dolandırıcılar sosyal medya sitelerinden ve online organizasyonlardan gelen e-postaları taklit ederek ve daha sonra arkadaş olarak eklendiğinizi veya etiketlendiğinizi ya da daha da ileri giderek hesabınızın gizliliğinin ihlal edildiğini bildiren sahte e-posta atarak bu güveni kendi yararlarına kullanır. Çoğunlukla bu mesajı panikle yapılacak bir eylemi önlemek için “Bu kişinin senin hakkında ne söylediğini gördün mü?” yahut “acilen harekete geçmelisin” gibi bir mesaj takip eder -bunun altında yatan fikir, o anki panikle tıklamayı önce yapıp, durumu daha sonra düşüneceğinizdir.
Linke tıkladığınızda, muhtemelen bilgilerinizi çalıp bunları spam mesajlar göndermenize, yahut bağlantılarınızı geri getirmenize ve hatta kendi hesabınıza girememenize neden olacak giriş sayfasına yönlendirileceksiniz. Bazı durumlar, sizin mesajınızı içeren bir eki indirmeniz konusunda teşvik eder ve aslında ek, 3. kişilerin bilgisayarınızı kontrol etmesini sağlayan Trojanı taşıyan bir zip dosyasıdır.
Herhangi bir şüphe yaşamamanın en basit yolu tüm e-mail bildirilerini kapatmaktır. Bu yolla dolandırma maksatlı gibi görünen bir e-mail geldiğinde, bu e-mailin gerçek olmadığını bileceksiniz ve tamamıyla göz ardı edebileceksiniz. Fakat eğer tüm bildirimleri kapatmayı geçerli bir seçenek kılacak kadar yoğun biçimde internet sitelerini ziyaret etmiyorsanız, yahut bildirimlerin gelmesini istiyorsanız, alternatifiniz herhangi bir şeye tıklamadan önce dikkatli olmak. Standart hırsızlık protokolünü takip edin: tıkladığınız linkin hedefini kontrol edin ve eğer şüphe içindeyseniz, gelen mailin hakiki olduğuna inanmak yerine, internet sitesini manuel olarak ziyaret edin ve mesajın orda olup olmadığına bakın.
Dolandırıldıysanız fakat halen hesabınızın kontrolü elinizdeyse, şifrenizi değiştirmek yeterli olacaktır. Eğer hesabınıza giremiyorsanız, güvenlik sorularını yanıtlayarak hesap kurtarmayı deneyebilirsiniz ancak, hesabınızı kontrol eden kişinin soruları otomatik olarak değiştirmiş olma ihtimali söz konusu. Eğer durum buysa, destek ekibiyle bağlantıya geçin ve durumu açıklayın, ekip size hesabınızın kontrolünü sağlamayı başaracaktır.
Mobil Saldırılar
Mobil güvenlik özellikle mobil cihazlar geleneksel bilgisayar platformlarından tamamen farklı çalıştıklarından, nispeten yeni bir alan. Muhtemelen spam aramalara alıştınız fakat, öyle ya da böyle kötü niyetli yazılımlar telefonunuza gelecek ve bunun nedeni sizin erişime izin vermiş olmanız olacak. Nihayetinde, bugüne kadarki ilk mobil virüs -Cabir solucanı- kullanıcıların, solucanı telefonlarına transferi manuel olarak kabul etmelerini gerektiriyordu fakat bu burada kalmadı. Kullanıcılar kaynağı bilinmeyen gelen Bluetooth uygulaması transferini memnuniyetle kabul etti ve ardından gelen bu yazılımı çalıştırdı. Kötü niyetli mobil yazılımların geleceği neredeyse tamamen kullanıcıların cihazlarını enfekte etmekte belli bir rol oynamasını gerektirecek. Enfekte edilmiş bir mobil cihaz istismar edilecek yeni yollar getiriyor. Herhangi bir reklamcının üzerine salyalarını akıtacağı reklam sunmak ve internet sitelerinin verilerini takip etmek gibi -modern mobil cihazlar dakikada kalbinizin kaç defa attığından, kaç saat uyuduğunuza hangi sitelere girdiğinize kadar her şeyi takip ediyor- basit taktikler ortadan kalktı. NFC ve cüzdan kaynaklı ödeme sistemleri sayesinde, direkt olarak yapılan hırsızlık da artık daha kolay. Gelecekte kötüniyetli yazılımların telefonunuzu kullanarak onayınız dışında ödeme yapması gerçeklikten uzak bir ihtimal değil. En kötü ihtimalde, cep telefonunuz gerçek dünya hırsızlığına suç ortaklığı yapar hale bile gelebilir. Sizin evde olduğunuzu anlayabilen bir akıllı telefona GPS lokasyonunuzu terk ettiğinizde 3. bir kişiye binanın boş ve müsait olduğunu haber veren bir alarm eklemek için yalnızca basit bir erişim yeterli olacaktır. Bu sizin esasen normal olan davranışınızın savunmanızı indirdiğiniz anda size karşı silah olarak kullanılması noktasında sosyal mühendisliğin ekstrem seviyesidir.
Sosyal Mühendislik Saldırılarından Nasıl Kaçınılır?
1. Sakin Olun
Sosyal mühendislik sizi düşünmeye dahi şansınız olmadan hareket etmenize sürüklemek biçiminde çalışır. Eğer bir mesaj acil olduğu iddiasındaysa yahut size yanıt vermeniz için bir süre limiti koyuyorsa, siz bunun kötü bir fikir olduğunu anlamadan sizin bir şeye tıklamanızı sağlamaya çalışıyor yahut birtakım bilgiler talep ediyor olma ihtimalleri yüksektir.
2. Araştırın
İddia ettikleri ne olursa olsun, rızanız dışında gönderilen mesajlara şüpheli yaklaşmak her zaman faydalıdır. Bir e-mail belirli bir şirketten geldiği izlenimi taşıyorsa, yalnızca mesaj içindeki linki takip etmeyin. İnternet sitelerine girin ve hesabınıza manuel olarak girdiğinizde iddia ettikleri örtüşüyor mu görün. Eğer mesajın gerçek olduğundan emin değilseniz, e-mail adresini veya şirketi "dolandırıcılık" kelimesiyle birlikte aratın ve başkalarının da benzer mailler alıp almadığını görün.
3. Kişisel Bilgilerinizi Paylaşmayın
Bu durum internet üzerinde olduğu gibi gerçek dünyada da geçerli. Eğer birisi sizden şifrenizi yahut banka bilgilerinizi ya da onlar için araştırmanız gereken bir bilgiyi istiyorsa, durumdan şüphelenmelisiniz. Telefon dolandırıcıları sizi arayıp bankanız olduğu iddiasıyla, size temel güvenlik soruları sormaya heveslidirler. Açıkça arayan herhangi biri olabileceği için, isim ve numara alın, kendilerini arayacağınızı söyleyin ve ardından Google’ da araştırıp, yasal olup olmadıklarını görmeden aramayın.
4. Yardım Tekliflerini Reddedin
Teknik yardım telefon dolandırıcılığı işe yarar, çünkü iki aşamalıdır: size bir problem olduğunu söylerler ve ardından bunu düzeltebileceklerini söylerler. Onlar sizinle iletişime geçmeden önce herhangi bir problem olduğunu fark etmediyseniz, muhtemelen bu bir problem olmadığını gösterir ancak, eğer onların talimatlarını dinlerseniz bir problem meydana gelecektir. Gerçek şirketler muhtemelen size yardım edecektir ancak, bu yardım ancak siz onlardan isterseniz gerçekleşir. Sizin talebiniz olmadan gelen yardım talepleri çoğunlukla dolandırma amaçlıdır bu yüzden dikkatli olun. Yine, eğer emin değilseniz sizi aradıklarında söyledikleri kişi/şirket olduklarına inanmak yerine, şirketin internet sitesinden iletişim bilgilerini alın ve onları arayın.
Not: Makale alıntıdır.