Sosyal mühendislik

“insan aptallığına yama yazamazsınız” deyimi bilgi güvenliği alanında oldukça popülerdir. Sistemdeki açıkları yama denilen küçük eklentiler ile kapamak mümkün olurken bilinçsiz veya dikkatsiz bir kullanıcının sistem güvenliğini tehlikeye atmasını engellemek çok daha zordur. Sosyal mühendislik kavramı hedef sistemle etkileşim halinde olan kullanıcıları hedef alır.

Sadece sosyal mühendislik saldırıları için değil, internet kaynaklı bütün tehditler hakkında aklıda tutulması gereken başlıca nokta saldırganın sahip olduğunuz şeylere sizden farklı değerler veriyor olmasıdır. Örneğin sizin için sıradan bir bilgi olan dahili telefon numaranız veya şirket içerisinde kullandığınız jargon saldırganın sizden biriymiş gibi davranmasını kolaylaştıran önemli bilgilerdir. Sosyal mühendislik saldırıları sırasında ilk öğrenilen şey hiç bir bilginin önemsiz olmadığıdır. Hedef sistem kullanıcıları genellikle bilgiye daha az değer verirler.

Sosyal mühendislik saldırıları genelde bir senaryo üzerine oturtulur. Hedef olarak seçilen kişiyle ihtiyacınız olan bilgiyi almanızı haklı gösterecek bahaneler senaryonun parçalarıdır. Çokça anlatılan ve hedefi “iyi günler, şirketinizin Bilgi İşlem Bölümünden arıyorum, kontrol etmek için kullanıcı adınıza ve parolanıza ihtiyacım var” şeklinde telefonla arayarak bu bilgileri ele geçirildiği anekdot bile senaryo içermektedir.

Teknik sızmalardaki gibi kesin bir süreç olmasa da sosyal mühendislik saldırılarının bileşenlerini inceleyerek bu saldırılar hakkında bilgi edinebiliriz.

Sosyal mühendislik saldırıları temel olarak Rober Cialdini tarafından tanımlanan “insanların altı eğilimi” üzerine kurulur.

Altı Eğilim

Otorite

Genel olarak insanlar otorite pozisyonunda olanların sözünü dinleme veya talimatlarını yerine getirme eğilimi gösterir. Saldırgan kendini kolayca otorite sahibi birisi gibi gösterebilir, fiziksel olarak bunu yapması belli araç ve gereçler (üniforma veya görev yazısı gibi) gerektirirken telefonda bunu yapmak daha kolaydır.

Hoşlanmak

Birinden hoşlanmak o kişiden gelen istekleri daha kolay yerine getirmemize neden olur. Hedefin saldırgandan hoşlanması için çekici bir fiziğe sahip olması gerekmez ortak bir ilgi alanına sahip olduğuna veya hemşerilik gibi daha soyut kavramlar kullanılarak da hedefin sizden hoşlanmasını sağlayabilirsiniz.

Karşılık vermek

Bize yapılan en küçük iyiliği bile karşılık bırakmayız, bu özelliğimiz ise saldırganlar tarafından kolayca kullanılabilir.

Tutarlılık

Verdiğimiz kararlardan caymak zayıf veya güvenilmez görünmemize neden olabilir. En azından insan olarak bu şekilde düşünürüz. Vietnam savaşında bu yöntem Amerikalı savaş esirleri üzerinde bolca kullanılmıştır. Yakalanan askerin önce basit bir konuda Vietnamlı sorgu subayına hak vermesini sağlayıp daha sonra diledikleri sözlü açıklamaları yaptırabildiler. Komünist düzenin işsizliği ortadan kaldırabileceği gibi basit bir konuyu kabul ettikten sonra bir askeri Vietnam savaşının haksız olduğunu ve Amerika'nın Vietnam'dan çekilmesi gerektiğini söyletmek sorgu subayları için çok kolay olmuştur.

Saldırgan ise size önce basit bir konuda “evet” dedirtip adım adım sizi istediği yere çekebilecektir.

Toplumdan kabul görme

Başka insanların veya toplum genelinin yaptığı, söylediği, düşündüğü şeylere uyum sağlamaya çalışırız. Bu sayede kendimizi güvende hissederiz ve toplum içerisinde uyumlu görünürüz. Bu zafiyetten faydalanmak için saldırgan size başka insanların aynı talebe olumlu cevap verdiğini söyleyebilir. “Şirket genelinde bir araştırma yapıyoruz” veya Facebook sayesinde sizinle aynı Üniversitede okumuş bir arkadaşınızın adını bulup “Adınızı Ali Veli Bey’den aldık, kendisi bize yardımcı olabileceğinizi söyledi” benzeri söylemlerle sizi başka insanların bu talebi onayladığına inandırabilir.

Kıtlık

Az bulunduğuna inandığımız şeyleri fırsat olarak görme eğilimi içerisine gireriz. Kısa sürede biteceğine inandığımız bir “indirim” veya “kampanya” bizi aslında ihtiyacımız olmayan bir şeyi almaya veya normal şartlarda kabul etmeyeceğimiz bir talebi kabul etmemize neden olabilir. Saldırgan “kayıt yaptıran ilk 250 kişiye özel fırsat” konulu bir e-posta gönderip hedefin bir siteye üye olmasını sağlayabilir, kullanıcıların önemli bir bölümünün her durumda aynı parolayı kullandığını düşünürsek bu sayede hedefin işle ilgili kullanıyor olabileceği parolayı da ele geçirmiş olur.

Temel Dürtüler

Bu altı eğilime ek olarak insanları hareket geçirmeye iten üç temel dürtü olduğunu hatırlamakta fayda var: Açgözlülük, korku ve cinsellik. Açgözlülük için en güzel örnek “Nijeryalı dolabı” olarak da bilinen e-postaların yıllardır hala belli bir başarı düzeyi yakalıyor olmasının nedeni insanların açgözlülüğüdür. Nijeryalı/Libyalı/Angolalı/Suriyeli bir general/subay kızı/prenses/bakan yardımcısı olduğunu iddia eden kişi sizden parasını/altınlarını/elmaslarını ülke dışına çıkartabilmek için yardım istemektedir. Genelde sadece bir banka hesap numarası vermenin karşılığında birkaç milyon dolar kazanacağınızı söyler. Daha sonra banka masrafları/rüşvet/avans gibi bahanelerle hedeften para sızdırır.  

Korkuyu kullanan ve ülkemizde çok popüler olan bir yöntem var. MİT/Adliye/Emniyet Genel Müdürlüğü/Jitem gibi yerlerden aradığını söyleyen saldırgan ergenekon/PKK ile bağlantınızın tespit edildiğini ve kontör/para vermeniz karşılığında sizi “kurtarabileceklerini” iddia eder. Yöntem o kadar etkilidir ki Emniyet Müdürlüğü vatandaşı uyarmak için SMSler göndermeye başlamıştır.

Cinsellikle ilgili ufak da olsa bir tebessümle hatırladığımız “Bulgar kadın dümeni” ilk aklımıza gelendir. Bulgaristan'dan arayan bir kadın aradığı hedeften çok etkilendiğini ve onunla tanışmak istediğini söyler. Bunun üzerine hedef Bulgaristan'a çekinmeden para gönderir. Bu şekilde anlatılınca “bu kadar da olmaz” dedirtse de bu yöntem saldırganlar açısından oldukça verimlidir.

Saldırganların yukarıda gördüğümüz dürtülerden faydalanmak için kullanabilecekleri yüzlerce yöntem vardır. Bunların arasında önemli olduğunu düşündüğüm iki tanesine yer vermek istiyorum.

Yemleme

Yemleme saldırganın hedefe istediğini söyletmek için kullanabileceği en etkili yöntemdir. Yemleme konusunda başarılı olmak için aşağıdaki teknikler kullanılabilir.

Egoya oynamak

İnsanlar övülmeyi ve önemli hissedilmeyi sever. Egoyu hedef alan saldırılar özellikle kendini beğenme eğiliminde olan bir hedefe yönlendirildiğinde beklenenin üzerinde iyi sonuçlar vermektedir. Orta kademe yöneticiler, kendini bir konuda “uzman” olarak tanıtan ve sonradan zengin olmuş kişilerden bu yöntemler bilgi sızdırmak oldukça kolaydır.

Ortak yönleri kullanmak

Ortak bir ilgi alanı sayesinde saldırgan hedefle kurduğu ilişkiyi meşrulaştırabilir ve aynı zamanda bunu bir yemleme yöntemi olarak kullanıp bilgi sızdırabilir. Balıkçılık gibi bir merakı olan hedefle bu konuda ilişki kurulduğunu düşünelim. Saldırgan “balık avlama videosu” bahanesiyle bir dosya gönderip bilgisayarına veya cep telefonuna dilediği yazılımı yükleyebilir. Bu sayede hedefin kamerasını izlemek, yazdıklarını görmek gibi temel istihbarat görevlerini başlatabilir. Buna ek olarak saldırı fiziksel bir sızma gerektiriyorsa laf arasında bile “bizim şirket güvenlik kamerası/hareket sensörü/kapı geçiş sistemi almak istiyor, sizin orada ne kullanılıyor? Memnun musunuz?” gibi normalde tehlike çanlarını çaldıracak bir soru “balıkçı bir arkadaş” tarafından sorulduğunda rahatlıkla cevaplanacaktır.

Bilerek yanlışlık yapmak

Bilgi almak istediği bir konuda saldırgan bilerek hatalı bir cümle kurarak hedefin kendisini düzelterek doğru bilgiyi vermesini sağlayabilir. Örneğin “sizin gibi eski işletim sistemi kullanan yerler...” cümlesi büyük ihtimalle “ne eskisi? Sene başında son sürüme geçtik, Haziran ayında da güncellememizi yaptık!” tepkisini getirir. Hedefin bir suçu yok, insan doğası gereği karşısındakinden daha bilgili olduğunu göstermek ister. Bunun onu daha güçlü bir pozisyona getireceği içgüdüsüyle yaptığı bu atılım ne yazık ki saldırganın asıl istediği işletim sistemi bilgisine kolaylık ulaşmasını sağlamıştır.

Konu hakkında bilgi sahibiymiş gibi davranmak

Bir konu hakkında bir miktar bilgisi olan biriyle o konu hakkında konuşmanın kabul edilebilir olduğunu düşünürüz. Saldırganlar ise bunu bir konuda sahip oldukları az miktarda bilgiye daha fazlasını eklemek için kullanır.

Soru sormak

Saldırgan hedefe gidip “uzaktan erişim için kullandığınız parolaları öğrenebilir miyim?” diye soramaz tabii ki ama akıllıca sorularla hedefi istediği yere yönlendirebilir. “Dünkü maçta Fenerbahçe iyi oynadı değil mi?” sorusu “evet”, “yaa” veya “her zamanki gibi” gibi konuşmayı tıkayabilecek cevaplara yol açar. Bu nedenle saldırganlar mümkün olduğunca ucu açık sorular sorar, aynı örneği ele alırsak soru “dünkü maçta Fener sence nasıl oynadı?” şeklinde değişecektir. Cevabın evet veya hayır ile sınırlı kalmayacağı sorular saldırganın işine yarar. Saldırgan soruları hedefi yönlendirmek için de kullanabilir.  Görgü tanıklığı konusunda dünyanın önde gelen uzmanlarından Elizabeth Loftus tarafından yapılan basit bir deney soruların insanları yönlendirmek için nasıl kullanılabileceğini açıkça gösterir. Bu deneyde deneklere için ayıcık olmayan bir çocuk odası fotoğrafı gösterilir. İki gruba ayrılan deneklerin bir kısmına “resimdeki ayıcığı gördünüz mü?” diye sorulurken diğer gruba “resimde ayıcık gördünüz mü?” diye sorulur. Çocuk odasıyla ayıcık olguları hepimizin kafasında birleştiği için “resimdeki ayıcığı gördünüz mü?” diye sorulan grup çoğunlukla gördüğünü belirtirken diye grubun çoğunluğu ayıcığı görmediğini söylemiş.

Bahane

Sosyal mühendislik saldırılarında kullanılan bahaneler hedefi yanıltmak ve istenileni elde etmek için kullanılan her şeyi kapsar. Saldırganın hedefle meşru şekilde iletişim kurmasını açıklayan bir hikayeden saldırganın kullanacağı ses tonu, kıyafet, aksesuar gibi diğer her şey de bahaneyi oluşturur. Saldırgan tarafından kullanılacak bahanenin başarısı büyük ölçüde aşağıdaki noktalara bağlıdır.

Araştırma yapmak

Yeterli miktarda araştırma yapmak saldırganın bahanesini daha inandırıcı hale getirir. Hedef hakkında öğrendiği teknik bilgiler, personel isimleri ve hatta eski personel isimleri bile bahanenin inandırıcı olmasına büyük ölçüde katkı sağlar.

Şahsen ilgilendiğiniz konuları bahaneye dahil etmek

Sosyal mühendislik saldırılarında hedefin saldırgana güvenmesi önemlidir. Bu nedenle saldırgan bilgi sahibi olduğu veya ilgisini çeken bir konuyu bahaneye ekleyerek bu konuda konuşurken kendine daha çok güvenmesini sağlar. Saldırganın o konudaki bilgisine duyduğu güven karşı tarafa yansıyacaktır. Ayrıca konu hakkında sahip olduğu bilgi miktarının artması saldırganın konuyu dilediği gibi uzatmasına ve böylece hedefle konuşmayı gerçekte istediği yöne çekebilmesini sağlar.

Bahanenin basit olması

Bahanenin basit olması saldırganın detaylara hakim olmasını sağlar. Bahaneler zorlaştıkça detayları hatırlamak zorlaşır ve bu saldırganın hata yapmasına neden olur. Hem kendi hikayesinin detaylarını hatırlamaya çalışmak, hem hedefi yönlendirmek için doğru sözleri söylemek hem de hedeften gelen tepkileri ve cevapları doğru algılamak saldırganı zorlayacaktır. Bu nedenle bahanenin basit olması saldırının başarısı için hayati önem taşır.

Son dakika haberi

Her şeyin o anda gelişiyormuş gibi görünmesi hedefin saldırgana inanması ve güvenmesi için gereklidir. Kağıttan okuduğu belli olan cümlelerle hedefi bir konuda acil eylem alması gerektiğine inandırması çok zordur. Saldırgan konuyu dağıtmamak veya bahanesinin önemli kısımları hatırlamak için ana hatları liste halinde yazabilir ancak çok detaylı yazmaması duruma daha hızlı uyum sağlamasına imkan verecektir. Bahaneye duyguları katmaya çalışmak iyi bir fikir gibi görünse de saldırgan açısından risklidir. Katmaya çalıştığı duygunun yanında korku veya tedirginlik de katabileceği gibi hedefi son derece rahatsız edecek aşırı heyecan da ses tonuna yansıyacaktır.

Devamını unutmamak

Teknik sızmalar gibi sosyal mühendislik saldırılarında da hedefle tekrar iletişim kurabilmek önemlidir. Bu nedenle saldırgan almak istediği bilgiyi alır almaz telefonu hedefin suratına kapatamaz veya odadan bir anda koşarak çıkamaz. Örneğin teknik servis bahanesiyle girdiği bir yerden çıkarken hedef personeline inandırıcı bilgiler vermesi saldırgana oraya aynı bahane ile dönebilme imkanı verir.