“insan aptallığına yama yazamazsınız” deyimi
bilgi güvenliği alanında oldukça popülerdir. Sistemdeki açıkları yama denilen
küçük eklentiler ile kapamak mümkün olurken bilinçsiz veya dikkatsiz bir
kullanıcının sistem güvenliğini tehlikeye atmasını engellemek çok daha zordur.
Sosyal mühendislik kavramı hedef sistemle etkileşim halinde olan kullanıcıları
hedef alır.
Sadece sosyal mühendislik saldırıları için
değil, internet kaynaklı bütün tehditler hakkında aklıda tutulması gereken
başlıca nokta saldırganın sahip olduğunuz şeylere sizden farklı değerler
veriyor olmasıdır. Örneğin sizin için sıradan bir bilgi olan dahili telefon
numaranız veya şirket içerisinde kullandığınız jargon saldırganın sizden
biriymiş gibi davranmasını kolaylaştıran önemli bilgilerdir. Sosyal mühendislik
saldırıları sırasında ilk öğrenilen şey hiç bir bilginin önemsiz olmadığıdır.
Hedef sistem kullanıcıları genellikle bilgiye daha az değer verirler.
Sosyal mühendislik saldırıları genelde bir
senaryo üzerine oturtulur. Hedef olarak seçilen kişiyle ihtiyacınız olan
bilgiyi almanızı haklı gösterecek bahaneler senaryonun parçalarıdır. Çokça
anlatılan ve hedefi “iyi günler, şirketinizin Bilgi İşlem Bölümünden arıyorum,
kontrol etmek için kullanıcı adınıza ve parolanıza ihtiyacım var” şeklinde
telefonla arayarak bu bilgileri ele geçirildiği anekdot bile senaryo
içermektedir.
Teknik sızmalardaki gibi kesin bir süreç
olmasa da sosyal mühendislik saldırılarının bileşenlerini inceleyerek bu
saldırılar hakkında bilgi edinebiliriz.
Sosyal mühendislik saldırıları temel olarak
Rober Cialdini tarafından tanımlanan “insanların altı eğilimi” üzerine kurulur.
Altı
Eğilim
Otorite
Genel olarak insanlar otorite pozisyonunda
olanların sözünü dinleme veya talimatlarını yerine getirme eğilimi gösterir.
Saldırgan kendini kolayca otorite sahibi birisi gibi gösterebilir, fiziksel
olarak bunu yapması belli araç ve gereçler (üniforma veya görev yazısı gibi)
gerektirirken telefonda bunu yapmak daha kolaydır.
Hoşlanmak
Birinden hoşlanmak o kişiden gelen istekleri
daha kolay yerine getirmemize neden olur. Hedefin saldırgandan hoşlanması için
çekici bir fiziğe sahip olması gerekmez ortak bir ilgi alanına sahip olduğuna
veya hemşerilik gibi daha soyut kavramlar kullanılarak da hedefin sizden
hoşlanmasını sağlayabilirsiniz.
Karşılık vermek
Bize yapılan en küçük iyiliği bile karşılık
bırakmayız, bu özelliğimiz ise saldırganlar tarafından kolayca kullanılabilir.
Tutarlılık
Verdiğimiz kararlardan caymak zayıf veya
güvenilmez görünmemize neden olabilir. En azından insan olarak bu şekilde
düşünürüz. Vietnam savaşında bu yöntem Amerikalı savaş esirleri üzerinde bolca
kullanılmıştır. Yakalanan askerin önce basit bir konuda Vietnamlı sorgu subayına
hak vermesini sağlayıp daha sonra diledikleri sözlü açıklamaları
yaptırabildiler. Komünist düzenin işsizliği ortadan kaldırabileceği gibi basit
bir konuyu kabul ettikten sonra bir askeri Vietnam savaşının haksız olduğunu ve
Amerika'nın Vietnam'dan çekilmesi gerektiğini söyletmek sorgu subayları için
çok kolay olmuştur.
Saldırgan ise size önce basit bir konuda
“evet” dedirtip adım adım sizi istediği yere çekebilecektir.
Toplumdan kabul
görme
Başka insanların veya toplum genelinin
yaptığı, söylediği, düşündüğü şeylere uyum sağlamaya çalışırız. Bu sayede
kendimizi güvende hissederiz ve toplum içerisinde uyumlu görünürüz. Bu zafiyetten
faydalanmak için saldırgan size başka insanların aynı talebe olumlu cevap
verdiğini söyleyebilir. “Şirket genelinde bir araştırma yapıyoruz” veya
Facebook sayesinde sizinle aynı Üniversitede okumuş bir arkadaşınızın adını
bulup “Adınızı Ali Veli Bey’den aldık, kendisi bize yardımcı olabileceğinizi
söyledi” benzeri söylemlerle sizi başka insanların bu talebi onayladığına inandırabilir.
Kıtlık
Az bulunduğuna inandığımız şeyleri fırsat
olarak görme eğilimi içerisine gireriz. Kısa sürede biteceğine inandığımız bir
“indirim” veya “kampanya” bizi aslında ihtiyacımız olmayan bir şeyi almaya veya
normal şartlarda kabul etmeyeceğimiz bir talebi kabul etmemize neden olabilir.
Saldırgan “kayıt yaptıran ilk 250 kişiye özel fırsat” konulu bir e-posta
gönderip hedefin bir siteye üye olmasını sağlayabilir, kullanıcıların önemli
bir bölümünün her durumda aynı parolayı kullandığını düşünürsek bu sayede
hedefin işle ilgili kullanıyor olabileceği parolayı da ele geçirmiş olur.
Temel
Dürtüler
Bu altı eğilime ek olarak insanları hareket
geçirmeye iten üç temel dürtü olduğunu hatırlamakta fayda var: Açgözlülük,
korku ve cinsellik. Açgözlülük için en güzel örnek “Nijeryalı dolabı” olarak da
bilinen e-postaların yıllardır hala belli bir başarı düzeyi yakalıyor olmasının
nedeni insanların açgözlülüğüdür. Nijeryalı/Libyalı/Angolalı/Suriyeli bir
general/subay kızı/prenses/bakan yardımcısı olduğunu iddia eden kişi sizden
parasını/altınlarını/elmaslarını ülke dışına çıkartabilmek için yardım
istemektedir. Genelde sadece bir banka hesap numarası vermenin karşılığında
birkaç milyon dolar kazanacağınızı söyler. Daha sonra banka
masrafları/rüşvet/avans gibi bahanelerle hedeften para sızdırır.
Korkuyu kullanan ve ülkemizde çok popüler olan
bir yöntem var. MİT/Adliye/Emniyet Genel Müdürlüğü/Jitem gibi yerlerden
aradığını söyleyen saldırgan ergenekon/PKK ile bağlantınızın tespit edildiğini
ve kontör/para vermeniz karşılığında sizi “kurtarabileceklerini” iddia eder.
Yöntem o kadar etkilidir ki Emniyet Müdürlüğü vatandaşı uyarmak için SMSler
göndermeye başlamıştır.
Cinsellikle ilgili ufak da olsa bir tebessümle
hatırladığımız “Bulgar kadın dümeni” ilk aklımıza gelendir. Bulgaristan'dan
arayan bir kadın aradığı hedeften çok etkilendiğini ve onunla tanışmak
istediğini söyler. Bunun üzerine hedef Bulgaristan'a çekinmeden para gönderir.
Bu şekilde anlatılınca “bu kadar da olmaz” dedirtse de bu yöntem saldırganlar
açısından oldukça verimlidir.
Saldırganların yukarıda gördüğümüz dürtülerden
faydalanmak için kullanabilecekleri yüzlerce yöntem vardır. Bunların arasında
önemli olduğunu düşündüğüm iki tanesine yer vermek istiyorum.
Yemleme
Yemleme saldırganın hedefe istediğini
söyletmek için kullanabileceği en etkili yöntemdir. Yemleme konusunda başarılı
olmak için aşağıdaki teknikler kullanılabilir.
Egoya oynamak
İnsanlar övülmeyi ve önemli hissedilmeyi
sever. Egoyu hedef alan saldırılar özellikle kendini beğenme eğiliminde olan
bir hedefe yönlendirildiğinde beklenenin üzerinde iyi sonuçlar vermektedir.
Orta kademe yöneticiler, kendini bir konuda “uzman” olarak tanıtan ve sonradan zengin
olmuş kişilerden bu yöntemler bilgi sızdırmak oldukça kolaydır.
Ortak yönleri kullanmak
Ortak bir ilgi alanı sayesinde saldırgan
hedefle kurduğu ilişkiyi meşrulaştırabilir ve aynı zamanda bunu bir yemleme
yöntemi olarak kullanıp bilgi sızdırabilir. Balıkçılık gibi bir merakı olan
hedefle bu konuda ilişki kurulduğunu düşünelim. Saldırgan “balık avlama
videosu” bahanesiyle bir dosya gönderip bilgisayarına veya cep telefonuna
dilediği yazılımı yükleyebilir. Bu sayede hedefin kamerasını izlemek,
yazdıklarını görmek gibi temel istihbarat görevlerini başlatabilir. Buna ek
olarak saldırı fiziksel bir sızma gerektiriyorsa laf arasında bile “bizim
şirket güvenlik kamerası/hareket sensörü/kapı geçiş sistemi almak istiyor,
sizin orada ne kullanılıyor? Memnun musunuz?” gibi normalde tehlike çanlarını
çaldıracak bir soru “balıkçı bir arkadaş” tarafından sorulduğunda rahatlıkla
cevaplanacaktır.
Bilerek yanlışlık
yapmak
Bilgi almak istediği bir konuda saldırgan
bilerek hatalı bir cümle kurarak hedefin kendisini düzelterek doğru bilgiyi
vermesini sağlayabilir. Örneğin “sizin gibi eski işletim sistemi kullanan
yerler...” cümlesi büyük ihtimalle “ne eskisi? Sene başında son sürüme geçtik,
Haziran ayında da güncellememizi yaptık!” tepkisini getirir. Hedefin bir suçu
yok, insan doğası gereği karşısındakinden daha bilgili olduğunu göstermek
ister. Bunun onu daha güçlü bir pozisyona getireceği içgüdüsüyle yaptığı bu
atılım ne yazık ki saldırganın asıl istediği işletim sistemi bilgisine kolaylık
ulaşmasını sağlamıştır.
Konu hakkında
bilgi sahibiymiş gibi davranmak
Bir konu hakkında bir miktar bilgisi olan
biriyle o konu hakkında konuşmanın kabul edilebilir olduğunu düşünürüz.
Saldırganlar ise bunu bir konuda sahip oldukları az miktarda bilgiye daha
fazlasını eklemek için kullanır.
Soru sormak
Saldırgan hedefe gidip “uzaktan erişim için
kullandığınız parolaları öğrenebilir miyim?” diye soramaz tabii ki ama akıllıca
sorularla hedefi istediği yere yönlendirebilir. “Dünkü maçta Fenerbahçe iyi
oynadı değil mi?” sorusu “evet”, “yaa” veya “her zamanki gibi” gibi konuşmayı tıkayabilecek
cevaplara yol açar. Bu nedenle saldırganlar mümkün olduğunca ucu açık sorular
sorar, aynı örneği ele alırsak soru “dünkü maçta Fener sence nasıl oynadı?”
şeklinde değişecektir. Cevabın evet veya hayır ile sınırlı kalmayacağı sorular
saldırganın işine yarar. Saldırgan soruları hedefi yönlendirmek için de
kullanabilir. Görgü tanıklığı konusunda
dünyanın önde gelen uzmanlarından Elizabeth Loftus tarafından yapılan basit bir
deney soruların insanları yönlendirmek için nasıl kullanılabileceğini açıkça
gösterir. Bu deneyde deneklere için ayıcık olmayan bir çocuk odası fotoğrafı
gösterilir. İki gruba ayrılan deneklerin bir kısmına “resimdeki ayıcığı
gördünüz mü?” diye sorulurken diğer gruba “resimde ayıcık gördünüz mü?” diye
sorulur. Çocuk odasıyla ayıcık olguları hepimizin kafasında birleştiği için
“resimdeki ayıcığı gördünüz mü?” diye sorulan grup çoğunlukla gördüğünü
belirtirken diye grubun çoğunluğu ayıcığı görmediğini söylemiş.
Bahane
Sosyal mühendislik saldırılarında kullanılan
bahaneler hedefi yanıltmak ve istenileni elde etmek için kullanılan her şeyi
kapsar. Saldırganın hedefle meşru şekilde iletişim kurmasını açıklayan bir
hikayeden saldırganın kullanacağı ses tonu, kıyafet, aksesuar gibi diğer her şey
de bahaneyi oluşturur. Saldırgan tarafından kullanılacak bahanenin başarısı
büyük ölçüde aşağıdaki noktalara bağlıdır.
Araştırma yapmak
Yeterli miktarda araştırma yapmak saldırganın
bahanesini daha inandırıcı hale getirir. Hedef hakkında öğrendiği teknik
bilgiler, personel isimleri ve hatta eski personel isimleri bile bahanenin
inandırıcı olmasına büyük ölçüde katkı sağlar.
Şahsen
ilgilendiğiniz konuları bahaneye dahil etmek
Sosyal mühendislik saldırılarında hedefin
saldırgana güvenmesi önemlidir. Bu nedenle saldırgan bilgi sahibi olduğu veya
ilgisini çeken bir konuyu bahaneye ekleyerek bu konuda konuşurken kendine daha
çok güvenmesini sağlar. Saldırganın o konudaki bilgisine duyduğu güven karşı
tarafa yansıyacaktır. Ayrıca konu hakkında sahip olduğu bilgi miktarının
artması saldırganın konuyu dilediği gibi uzatmasına ve böylece hedefle
konuşmayı gerçekte istediği yöne çekebilmesini sağlar.
Bahanenin basit
olması
Bahanenin basit olması saldırganın detaylara
hakim olmasını sağlar. Bahaneler zorlaştıkça detayları hatırlamak zorlaşır ve
bu saldırganın hata yapmasına neden olur. Hem kendi hikayesinin detaylarını
hatırlamaya çalışmak, hem hedefi yönlendirmek için doğru sözleri söylemek hem
de hedeften gelen tepkileri ve cevapları doğru algılamak saldırganı
zorlayacaktır. Bu nedenle bahanenin basit olması saldırının başarısı için
hayati önem taşır.
Son dakika haberi
Her şeyin o anda gelişiyormuş gibi görünmesi
hedefin saldırgana inanması ve güvenmesi için gereklidir. Kağıttan okuduğu
belli olan cümlelerle hedefi bir konuda acil eylem alması gerektiğine
inandırması çok zordur. Saldırgan konuyu dağıtmamak veya bahanesinin önemli
kısımları hatırlamak için ana hatları liste halinde yazabilir ancak çok detaylı
yazmaması duruma daha hızlı uyum sağlamasına imkan verecektir. Bahaneye
duyguları katmaya çalışmak iyi bir fikir gibi görünse de saldırgan açısından
risklidir. Katmaya çalıştığı duygunun yanında korku veya tedirginlik de
katabileceği gibi hedefi son derece rahatsız edecek aşırı heyecan da ses tonuna
yansıyacaktır.
Devamını unutmamak
Teknik sızmalar gibi sosyal mühendislik
saldırılarında da hedefle tekrar iletişim kurabilmek önemlidir. Bu nedenle
saldırgan almak istediği bilgiyi alır almaz telefonu hedefin suratına kapatamaz
veya odadan bir anda koşarak çıkamaz. Örneğin teknik servis bahanesiyle girdiği
bir yerden çıkarken hedef personeline inandırıcı bilgiler vermesi saldırgana oraya
aynı bahane ile dönebilme imkanı verir.