SOSYAL MÜHENDİSLİK Uz. ErİNÇ ERÇAĞ.

... konulu sunumlar: "SOSYAL MÜHENDİSLİK Uz. ErİNÇ ERÇAĞ."— Sunum transkripti:

1 SOSYAL MÜHENDİSLİK Uz. ErİNÇ ERÇAĞ

2 Sosyal Mühendislik Ne demektir ?
İnsan faktörünü kullanan saldırı tekniklerinden ya da kişiyi etkileme ve ikna yöntemlerinden faydalanarak normal koşullarda bireylerin gizlemeleri / paylaşmamaları gereken bilgileri bir şekilde ele geçirme sanatı “Sosyal mühendislik” olarak ifade edilir.

3 Güvenlik Seviyesi ve İnsan Faktörü
Çoğu kişi, kandırılma olasılığının çok düşük olduğunu düşünür ve genellikle güvenlik gündeme geldiğinde teknik tedbirlerden bahseder. Oysa, bilgi güvenliği sağlanırken insan faktörünün payı teknik önlemlerden çok daha büyüktür. Bu yanlış inancın farkında olan saldırganlar, isteklerini o kadar akıllıca sunar ki hiç kuşku uyandırmadan, kurbanın güvenini kazanıp, kolaylıkla istedikleri bilgiye ulaşabilirler.

4 Güvenlik Seviyesi ve İnsan Faktörü
Bir kurumdaki güvenlik seviyesini belirlemek için en zayıf halkaya bakılır. Bilgi güvenliği konusunda en zayıf halka ise insan faktörüdür. Teknik olarak ne kadar önlem alınırsa alınsın, bilinçsiz bir kullanıcının bulunduğu bir ortamda güvenliği sağlamak pek kolay olmayacaktır. Kurumsal alanlarda bilgi güvenliğini sağlamak kurum açısından çok daha önemlidir ve başda bilginin sahibi ve bilgi işlem personeli olmak üzere tüm kurum personeli bilgi güvenliğinden sorumludur.

5 Sosyal Mühendislik: Saldırı Yöntem ve Donanımları
Sosyal mühendislerden sahip oldukları bu yetenekleri ve teknikleri İyi yönde kullananlar beyaz şapkalılar; Kötü niyetle kullanmak isteyenler ise siyah şapkalılar olarak adlandırılır.

6 Sosyal Mühendislik Donanımları
Sosyal mühendislik saldırılarında kullanılan donanımlar basit ve etkili olmasının yanı sıra son derece kolay temin edilebilmektedir. Bu durum, saldırıların yapılma olasılığını ciddi oranda arttırır. Bu donanımlar :

7

8 Zararsız görünen bilgiler / Zararlı olabilir mi?
Çoğu sosyal mühendis, zararsız gibi görünen günlük ve masum bilgileri el üstünde tutar, genellikle ilk olarak bu tarz bilgi ve belge elde etmeye çalışır çünkü bu bilgileri kullanarak daha inandırıcı olur ve daha kritik bilgilere ulaşabilirler.

9 Hangisi daha inandırıcı?
"Ben bilgi işlemde yeni çalışmaya başladım. Biriminizde yürütülen projeler hakkında bir kaç sorum olacaktı." "Ben bilgi işlemde yeni çalışmaya başladım, ____ Bey şu anda ____ Bey ile bir toplantıda fakat toplantıya girerken tamamlamamı istediği bir rapor oldu. Bu rapora eklemem gereken ve biriminizde yürütülen projeler konusunda sizin bana yardımcı olabileceğinizi söyledi.« Yukarıda görüldüğü gibi boşluk olarak gösterilen yerlerde kullanılabilecek gerçek kişi isimleri ifadeyi daha inandırıcı kılıyor. Bu bilgiler yardımcı olmak adına paylaşılmış masum ve zararsız bilgiler olabilir. Örneğin bir kişi yanlış numara çevirmiş gibi sizi arayıp bilgisayarı ile ilgili bir problemi danışabilir ve daha sonra da sizi rahatsız ettiği için özür dileyip bilgi işlemde kimi ya da kimleri araması gerektiğini sorabilir. Sizden öğrendiği bu masum bilgi ile de yukarıdaki gibi ifadelerle başka bir birimdeki kişiyi daha kritik bilgileri almak için ikna ediyor olabilir.

10 Doğrudan saldırı: “Sadece sormak!” / Farkedilmeyebilir mi?
Çoğu sosyal mühendislik saldırısını fark etmezsiniz bile. Hatta öyle ki bazı durumlarda hedeflenen bilgi doğrudan istendiği halde bile fark edilmeyebilir. Bu gibi durumlar ancak sonradan analiz edildiğinde, sürecin göründüğünden son derece karmaşık olduğu anlaşılır. Örneğin bir çok örnek uygulamada kişisel parolaların dahi bir telefon görüşmesinde karşı tarafın kim olduğundan emin olunmadan paylaşıldığı bir gerçektir.

11 Güven uyandırmak / Bu kadar kolay mı?
Sosyal mühendislerin başarılarının sırrı insanların aldatılmaya fazlasıyla açık olmasıdır. Çünkü, insanlar belli şekillerde yönlendirildiklerinde yanlış şeylere güven duyabilirler. Başarılı bir sosyal mühendis, kurbanın sorabileceği soruları önceden tahmin eder ve bu sorulara karşı daima hazırlıklı olur.

12 Size yardımcı olabilirim / Hızır gibi mi yetişti yoksa başka birşey mi var?
Bir sorununuz var ve size yardım etmek isteyen birisi var. Bu yardım teklifini reddeder miydiniz? İşin doğrusu; teklifini reddetmeyerek, saldırgana minnettar bile kalabilirsiniz. Oysa sorunun kaynağı saldırgan da olabilir. Önce problem yaratıp, sonra da yardımcı olmayı teklif etmek sosyal mühendislerin sıklıkla uyguladıkları bir yöntemdir.

13 Bana yardımcı olabilir misiniz
Bana yardımcı olabilir misiniz? / Özellikle de basit bir yardımı esirgeyebilir misiniz? Saldırganlar bazen kendini acındırarak kurbandan yardım ister. Yardım talebini reddetmek ne zordur değil mi? Sonuç ise "hep başarı"! Genellikle zor durumda olan insanlara yönelik taşıdığımız bu acıma duygusu, sosyal mühendisler için son derece cazip olabilmektedir.

14 Düzmece Siteler ve Tehlikeli Ekler / Ne kadar cazip veya merak uyandırıcı olabilir?
Bedava indirilebilen yazılımlar! Son derece cazip değil mi? Sosyal mühendisler insanları cezbedebilecek teklifler sunmayı çok severler. Çok ucuz veya bedava şeylere duyulan heves gibi içeriği cazip gelen, merak uyandıran e-posta ekleri de sosyal mühendislerce kullanılmaktadır. Örneğin, “zamlı maaşınızı öğrenmek için lütfen ekteki dosyaya tıklayın” konulu bir e-posta alıyorsanız eğer, ekini açmadan önce bir kez daha düşünmekte fayda var!

15

16 Sosyal Mühendislik Saldırısı Örnekleri
E-posta ile yapılan bir sosyal mühendislik saldırısı E-postanın zayıf yanları “Gönderen” (mesajın kimden geldiğini belirten) kısmında farklı bir isim yazıyor. “Kime” (mesajın kime geldiğini belirten) kısmında farklı bir isim yazıyor. Mesajın içeriğinde kişinin ismi ile imza kısmındaki isim tutmuyor. İmza kısmındaki e-posta adresi farklı. Saldırganın kullandığı bazı noktalar Kurbanın bir şekilde dahil olmasını sağlayan sahte bir senaryo uydurmak Kurbanı para kazanacağına inandırmak Kendisi hakkında güven kazanmak amacıyla çeşitli sahte kimlikler hazırlamak E-posta, SMS ve telefon açma yöntemlerinin üçünü bir arada kullanmak

17 Sosyal Mühendislik Saldırısı Örnekleri
E-posta ile yapılan bir sosyal mühendislik saldırısı

18 Sosyal Mühendislik Saldırısı Örnekleri
Türkiye'de bir bankaya yapılan sosyal mühendislik saldırısı Bir bilgi güvenliği danışmanlık firması, bir bankanın bilgi güvenliğinden sorumlu müdürünü ziyaret eder ve bankaya bilgi güvenliği testi yapmayı teklif eder. Müdür itiraz eder. Güvenlik firması danışmanı ile arasında şöyle bir konuşma geçer; - Bizim böyle bir teste ihtiyacımız yok. Yeterince güvenliyiz. En iyi yazılım ve donanımları satın aldık ve piyasadaki en iyi personel bizde. - O zaman biz size bir test yapalım, eğer bir açıklık bulursak ücretimizi alırız, eğer herhangi bir açıklık bulamazsak ücret talep etmeyiz. Bu arada danışmanlık firmasından bir personel lavaboya gitmek üzere toplantıdan ayrılır ve o sırada sekreterin, bilgisayarında film sitelerini incelediğini görür. Hemen yanına yaklaşır ve filmlerle ilgili konuşmaya başlar: - Bu aktörün son filmini seyrettiniz mi? Eğer seyretmediyseniz sizin için DVD'ye çekip gönderebilirim. - Çok memnun olurum. Tabii sizin için zahmet olmayacaksa. O günkü toplantıdan sonra danışman ofise döner. Zararlı bir yazılım ile birlikte filmi DVD'ye çeker ve kargoyla sekretere gönderir. Zararlı yazılımın sekreterin evdeki değil de ofisteki bilgisayarında çalışmasının garanti etmek için telefon eder. - Size kargoyla gönderdiğim DVD'yi bir bilgisayarınızda dener misiniz? Bazen kaydederken hata olabiliyor. Sekreter de denemek amacı ile DVD'yi çalıştırır ve filmin çalıştığını söyler, teşekkür eder ve telefonu kapatır. Zararlı yazılım ofiste etkin hale gelmiştir ve yaptığı iş bilgi güvenliği müdürünün bilgisayarında, masaüstüne "Sisteminizi ele geçirdik, geçmiş olsun :)" yazan bir not bırakmaktır. Kaynak:

19 Sosyal Mühendislik Saldırısı Örnekleri
Akılalmaz sanal dolandırıcılık Akılalmaz sanal dolandırıcılık! Telefonu bir müddet çekmedi. Bankasını aradığındaysa iş işten geçmişti. İşte bir dolandırıcılık hikayesi; İstanbul'daki bir endüstri meslek lisesinde bilgisayar öğretmenliği yapan Murat GÜR , 3.5 yıl boyunca maaşından büyük zorluklarla biriktirdiği 21bin YTL'sinin 19 bin YTL'si akıllara durgunluk veren bir yöntemle soyuldu. Bankadaki işlemlerini internet bankacılığı ile ve bir başkasının üzerine kayıtlı Avea hattı üzerinden gelen akıllı SMS'lerle yapan M.G, telefon hattının çekmediğini fark etti. Ancak normaldir diyerek pek önemsemedi. Bir iki saat içinde bir çok mekan değiştiren M.G, telefonunun yine çekmediğini görünce yanında bulunan arkadaşının telinden kendi numarasını aradı ve "aradığınız numara kullanılmamaktadır" uyarısı ile karşılaştı. Durumu düzeltmek için telefon firmasının müşteri hizmetlerini arayan M.G, geçmişte banka müşterilerinin telefon numaralarının bloke edilerek hesaplarının boşaltıldığı yönündeki endişelerini iletti. Ve akıllı SMS'lerin geldiği numarayı değiştirmek istediğini ifade etti. Müşteri hizmetleri ise kendisine akıllı SMS'lerin bir başka numaraya yönlendirilemeyeceğini bunun için rahat olmasını istedi. Yetkili akıllı SMS’in geldiği cep telefonunun internet bankacılığından değiştirilip ATM’den onaylanması gerektiğini kendisinin değişiklik yapamayacağını da sözlerine ekledi. KİŞİSEL BİLGİLERİ BİLEN BİRİ YAPMIŞ OLABİLİR Mİ? Kullandığı Avea hattını açtırmak için hattın üzerine kayıtlı olduğu arkadaşının annesini arayarak kızlık soyadı ve benzeri bilgileri alan M.G, hattını açtırmak için yeniden müşteri hizmetlerini aradı. Müşteri hizmetlerindeki yetkili, de hattın çalıntı kayıp bildirimi ile kapatıldığını söyledi. Hattı kullandığını ve sim kartının kendisinde olduğunu aktaran M.G’ye yetkili, “Kişisel bilgilerinizi bilen biri yapmış olabilir mi” diye sordu, KENDİ ŞİFRESİYLE İNTERNET BANKACILIĞINA GİREMEDİ İnternet bankacığı işlemlerini yaptığı kullanıcı adı ve şifresiyle hesaplarını kontrol etmek isteyen M.G, bu sefer de “Kullanıcı adı veya şifre 4 den fazla girilmiştir aktif ettirmek için banka müşteri hizmetlerini arayınız” uyarısıyla karşılaştı. Bankanın müşteri hizmetlerini aradığında ise 5 Temmuz 2008’de hesabından 19 bin YTL’nin Garanti Bankası Beylikdüzü şubesine Özlem Yavaş isimli şahsa arsa peşinatı olarak EFT yapıldığını öğrendi. M.G, Şişli Cumhuriyet Savcılığı’na 10 Temmuz 2008’de suç duyurusunda bulundu. M.G, adı geçen bankanın gerekli güvenlik tedbirlerini almadığını öne sürdü. BANKADAKİ KAYITLI TELEFON NUMARAMI TESPİT ETMELERİ MÜMKÜN DEĞİL Konuyla ilgili Star’a açıklama yapan M.G, “Benim kullanıcı adı ve şifremi ele geçiren birisi istese de bankada kayıtlı olan telefon numaramı göremez. Hatta bırakın görmeyi hangi GSM operatörüne bağlı olduğunu bile anlayamaz.

20 Sosyal Mühendislik Saldırısı Örnekleri
BANKADAKİ KAYITLI TELEFON NUMARAMI TESPİT ETMELERİ MÜMKÜN DEĞİL Konuyla ilgili Star’a açıklama yapan M.G, “Benim kullanıcı adı ve şifremi ele geçiren birisi istese de bankada kayıtlı olan telefon numaramı göremez. Hatta bırakın görmeyi hangi GSM operatörüne bağlı olduğunu bile anlayamaz. Bunu görebilmesi bankanın inanılmaz bir güvenlik açığı olduğunu gösterir bu bir skandaldır” dedi. M.G sözlerini şöyle sürdürdü: “Şahıs benim üzerime kayıtlı olmayan akıllı SMS’in geldiği cep telefonu numarasını nereden ve nasıl bulacak, üstüne gidecek arkadaşımın kimliği olmadan Avea’dan yeni sim kart çıkartacak bu mümkün değil. Abone merkezleri hattın sahibinin kimliği yanınızda olsa bile kimlik sahibi olmadığı sürece işlem yapmıyor sim yenilemiyor. Ayrıca şu da çok ilginç para ve 14:29 da olmak üzere iki defada transfer ediyor, bunu yapanlar saat 15: 42 de Avea’yı arayıp hattı kayıp çalıntı bildirimi ile kapatıyor. Bunu yapmak için kimlik bilgilerinin yanı sıra anne kızlık soyadı gibi bir bilgiye de ihtiyaç var. Tüm bu bilgiler ışığında benim fikrim yapı kredi ve aveadan bu bilgileri sızdıracak adamları olan çok organize bir çete.” REKLAM KADAR GÜVENLİĞE ÖNEM VERİLSİN ÇAĞRISI İnternet üzerinde yapılan dolandırıcılıklara karşı faaliyetler yürüten Bilişim Suçları Mücadele ve Mağdurları Koruma Derneği Başkanı Yavuz Koçoğlu, yaptığı açıklamada, bankaların çoğunun internet bankacılığında, standart pazarlama şirketlerinin web sitesinin güvenliğine dahi sahip olmadığını kaydetti. Koçoğlu, bir tek telefonla hatta ankesörlü telefonlarla bile internet şifresi alındığına dikkat çekerek, "Oysa sizin belirlediğiniz en fazla üç adet telefon numarası ile telefon bankacılığı yapılabilmeli. Örneğin ev, iş, cep telefonu. Banka bu numaraları gördükten sonra size işlem yetkisi verebilmeli" önerisinde bulundu. Koçoğlu, bankaların tanıtım için büyük bütçeler ayırdığını ancak gittikçe yaygınlaşan internet bankacılığının güvenliği ve müşterinin eğitimi konusunda herhangi bir tedbir geliştirmediğini de belirtirken, "Bankalar tanıtımları için verdikleri reklâmlar kadar müşterilerini bilinçlendirmek amacıyla güvenliğe ve eğitime önem verselerdi bu tür olaylar yaşanmazdı" dedi. Koçoğlu, şöyle dedi: BANKALAR MEVDUATLARI SİGORTALAMALI "Ayrıca bankalarda başka bir evrak sormadan, sadece sahte kimlik belgeleri ve sahte muhtar çıktıları ile mevduat hesabı açılıp, çalınan paralar bu kimlikle açılan hesaplara aktarılıp çekiliyor. Bankaya, ‘neden başka evrak istemedin' diye sorulduğunda; ‘Bu bizi ilgilendirmez. Kredi mi istedi, çek defteri mi, kredi kartı mı? Annesine para göndereceğini söyledi, biz de açtık hesabı' diyebiliyor. Ayrıca, bankaların mevduatları sigortalamaları gerekiyor." Akıllı SMS: internet bankacılığında EFT, havale gibi işlemler yapmak için güvenlik amaçlı kullanıcının cep telefonuna gönderilen işlem şifresi. İnternet bankacılığına kullanıcı adı ve şifre ile giriş yaptıktan sonra EFT veya havale yapabilmek için cep telefonunuza gelen işlem şifresini ekrana girmeniz gerekir. Kaynak :

21 Sosyal Mühendislik Saldırısına Uğradığınızı Anlama Yolları
Tanımadığınız bir kişiyle yaptığınız görüşme esnasında karşılaşacağınız aşağıdaki gibi durumlar sosyal mühendislik saldırısına uğrama olasılığınızı aklınıza getirmelidir: Kontrol amacı ile karşı tarafa sizin ulaşabileceğiniz bilgileri vermekten kaçınınız. Örneğin; Telefon ile arandıysanız, karşı tarafın telefon numaranızı istediğini, Yüzyüze görüşme ise, adres ya da telefon bilgisi istendiğinde, İsteğin yerine getirilmemesi durumunda kötü sonuçlar doğacağının vurgulanması, Sıra dışı taleplerde bulunulması, Soru sorduğunuzda rahatsız olunması, Yetkili olduğunun öne sürülmesi, Bildiğiniz konu ile ilgili isimlerin ardarda sıralanması, Aciliyetin üzerine vurgu yapılması, İltifat edilmesi veya kur yapılması vs.

22 İnternet Bağımlılığı

23

24 İnternet Bağımlılığı

25 İnternet Bağımlılığı

26 İnternet Bağımlılığı

27 İNTERNET BAĞIMLILIĞI İnternet Bağımlığı Nedir?
İş yerlerinden evlere kadar, internet hemen her yerde, günlük hayatımızın bir parçası hâline gelmiş durumdadır. Aslında teknolojik bir nimet olan internet, insanlar için büyük imkânlar sunmasına, birçok güzelliğe vesile olmasına rağmen, bazı kötü neticelere de yol açabilmektedir. Bugün hemen her yaştan birçok insan, internet bağımlısı olmuş durumdadır. Uzmanlar, interneti şuursuzca kullanan veya kötü niyet ve maksatlarına âlet eden kişilerin durumunu patolojik bir problem olarak değerlendirmiş ve bu durumu “internet bağımlılığı” (internet addiction) şeklinde isimlendirmişlerdir ’de Ivan Goldberg, bu bozukluğu ilk kez dile getirdiğinde, rahatsızlığın bu derece ilerleyeceği tahmin edilememişti.

28 İNTERNET BAĞIMLILIĞI İnternet Bağımlılık Belirtileri
Bilgisayar nedeniyle eşler arasında anlaşmazlık ve sorun çıkması, İnternet dışı uğraşlara ilginin kaybolması, Sosyal faaliyetlerde azalma, İş verimliliğinin düşmesi, Sürekli uykusuz kalma ve yorgunluk, Online alışverişte artış, Spor faaliyetlerinden uzaklaşma ve kondisyon kaybı, Aile bağlarının zayıflaması, Dostları tarafından anlaşılamama duygusu,

29 İNTERNET BAĞIMLILIĞI İnternet Bağımlılık Belirtileri
Günlük yaşamdaki diğer iş ve kişilerin online yaşama engel olduğu düşüncesi, İnternette geçirilen zamanın artması, Yanlış olduğunu bildiği halde kendini durduramamak, Giderek harcanan zamanın artması, Boşluk hissi, depresyon, bilgisayar başında olmayınca huzursuzluk veya sinirlilik, Yaptıkları konusunda yalan söyleme, Bilgisayar başında kendini iyi hissetme, İnternete bağlı olmadığı zamanlarda kişinin sosyal yaşamdan geri çekilmesi veya içine kapanması, İnternet kullanımı yüzünden eğitim, iş veya kariyer fırsatını riske atması, İnternet erişimi için harcanan olağandışı ücretlere rağmen kullanıma devam edilmesi, İnternete bağlı değilken bile internet hakkında olan düşünceler, Tekrarlanan, internet kullanımını azaltma denemeleri,

30 İNTERNET BAĞIMLILIĞI İnternet Bağımlığından Kurtulma Yolları - Tedavi Yöntemi Kişinin kendi durumunun farkına varması bu problemin giderilmesinde en önemli adımdır. Eğer kişi farkına varmadan böyle bir duruma düşmüş ve bunu fark etmiyorsa, düzelmesi daha uzun süre alacaktır. İnternette geçirilen zamanın artışı en önemli bağımlılık sinyalidir. Tedavide dereceli olarak internet kullanımının azaltılması hedeflenmelidir. İkinci olarak, kişinin hayatında bir psikolojik problemin veya herhangi bir stres faktörünün olup olmadığı araştırılmalıdır. Kişi bazı gerçeklerden kaçıyorsa, internette daha fazla zaman harcar. Onu günlük hayattan koparıp bilgisayar önüne iten sebepleri araştırmak da önemlidir. Kişinin ruhsal dünyasını, iş verimini, akademik gidişatını, ailesiyle olan münasebetini tekrar gözden geçirmesinde fayda vardır. Önemli meşguliyet ve hedefleri olan kişilerin gereksiz konulara zaman ayırması tabii ki mümkün olmaz. Dolayısıyla, kişinin kendi dünyasındaki boşlukların farkına varmak için iradî bir cehd ortaya koyması da insanlığının gereğidir.

31 İNTERNET BAĞIMLILIĞI İnternet Bağımlığından Kurtulma Yolları - Tedavi Yöntemi Bunun yanı sıra; Bilgisayarınızı daha az vakit geçirdiğiniz farklı bir mekana taşıyın, Başında olmadığınız zamanlarda bilgisayarınızı tümüyle kapatın, İnternete hangi saatlerde bağlanacağınızı ve e-postalarınızı ne zaman alacağınızı gösteren bir plan yapın ve bu planı uygulayın. Ancak bu tedavi yöntemleri kişide hiçbir şekilde değişim yapmıyorsa mutlaka bir psikoloğa başvurarak klinik tedavisi alması gerekmektedir.

32 İnternet Bağımlılık Testi

33 İnternet Bağımlılığı

34 Teşekkürler