Sosyal Mühendislik Hakkında
Öncelikle aşağıdaki senaryoları inceleyelim.
1. Seneryo:
Hacker: Alo, iyi günler. Ben bilgi işlem bölümünden arıyorum. Sizin bilgisayarınızda bir sorun olduğu görünüyor. Sorunu çözmek için de yardımınıza ihtiyacımız var..
Kullanıcı: Aaa öylemi? Peki nasıl yardımcı olabilirim?
Hacker: Lütfen kullanıcı isminizi ve şifrenizi söyler misiniz?
Kullanıcı: Tabii, kullanıcı ismim X, şifrem de 12345.
2. Seneryo:
Hacker: İyi günler. Ben X internet hizmetlerinden (Superonline, Turk.net, E-kolay.net...) arıyorum. Bilgi işlem yetkilisiyle görüşebilir miyim?
Yetkili: Ben bilgi işlem şefi X X, Buyurun...
Hacker: X Bey bildiğiniz gibi son zamanlarda hızla artan virusler internet ve ağ güvenliğini ciddi bir şekilde tehdit eder hale geldi. Biz de bu tehlikeden hem kendimizi hem de siz müşterilerimizi korumak istiyoruz. Bu amaçla e-posta yoluyla gelen virüslere karşı bir önlem olarak, tüm müşterilerimizin e-postalarını taramak istiyoruz. Kesinlikle e-postaların içeriğine bakılmayacak ve bu hizmet için ekstra ücret istenmeyecektir. Bu konuda sizin fikrinizi almak istiyoruz.
Yetkili: Gerçekten çok güzel bir olay. Tabii ki biz de bu hizmetten yararlanmak isteriz..
Hacker: Güzel, X Bey öncelikle bizdeki bilgilerinizi doğrulamak için lütfen şu sorulara cevap veriniz. Doğum yeriniz, doğum tarihiniz ve annenizin kızlık soyadı?
Yetkili: X, XX.XX.XXXX, X
Hacker: Tamam, kullanıcı isminiz ve şifreniz?
Yetkili: X, X.
3. Senaryo:
Hacker: Alo, iyi günler. Ben şirketin reklam bölümünde bugün işe başladım. Bilgisayara girebilmem için bir kullanıcı ismine ve şifreye ihtiyacım var. Bana yardımcı olabilirmisiniz?
Yetkili: Tabii, adınızı söyler misiniz?
Hacker: X X.
Yetkili: Peki X Hanım, kullanıcı isminiz X, şifrenizde X
Yukarıda anlatılan hayali senaryolar, aslında günlük hayatta sıkça karşılaşılan Sosyal Mühendislik yöntemlerini göstermektedir. Sosyal Mühendislik hacker'lar arasında sıkça kullanılan bir terimdir. Genellikle
telefon görüşmesi vasıtasıyla, kullanıcının zafiyetinden yararlanarak şifreleri, kullanıcı isimlerini ya da önemli bilgileri almak için kullanılan bir yöntemdir.
Sosyal Mühendislik yöntemi, çabuk sonuca götürmesi, hızlı ve basit olması nedeniyle hacker'lar tarafından sıkça kullanılır. Gelmiş geçmiş en iyi ve en ünlü hacker'lardan biri olarak kabul edilen Kevin Mitnick'in
de bir Sosyal Mühendislik dehası olduğu söylenir. Hatta Mitnick'in girdiği sistemlerin % 85'ine Sosyal Mühendislik yöntemleriyle ulaştığı bilinir. Mitnick'in yakalanmasında başrol oynayan ünlü güvenlik
uzmanı Tsutomu Shimomura, Kevin Mitnick ile girdiği mücadeleyi anlattığı "Takedown" adlı eserinde Mitnick'in bu yönüne işaret etmektedir. (http://www.takedown.com/). Mitnick, hapisten çıktıktan
sonra yazdığı "The Art of Deception: Controlling the Human Element of Security" adlı kitabında, Sosyal Mühendisliğin sırlarını anlatmış ve yazdığı pek çok hayali senaryolarla güvenlikte insan faktörünün ne denli önemli olduğunu vurgulamıştır.
Hacker Sosyal Mühendislik yöntemine başvurmadan önce şirket hakkında kısa bir araştırma yapmak zorundadır. Şirketin ne üzerine çalıştığını, bölümlerini ve yapısını bilmelidir. Aksi halde hiç reklam bölümü
olmayan bir şirketi arayıp, "Bugün reklam bölümünde işe başladım, bilgisayara girmek için kullanıcı ismine ve şifreye ihtiyacım var." derse, başaramayacağı ve üstüne hakaretler yiyeceği de kesindir.
Sosyal Mühendislik yöntemleri üzerine yapılan araştırmalar, bu konuda kadın sesinin her zaman erkek sesinden daha şanslı olduğunu ve karşıdaki kişininde daha çabuk etkilendiğini göstermiştir. Bu yüzden Sosyal Mühendislik yöntemini kullanacak olan hacker, genellikle kız arkadaşlarından yardım alır (tabii kendisi kız değilse). Bu konuda kimseden yardım almak istemeyenler ise kendi seslerini "voice changer" denilen cihaz ve programlarla kadın sesine dönüştürürler. Nitekim bu ses dönüştürme işi, iyi bir ses kartı, hoparlör ve bir mikrofonla kolaylıkla yapılabilir.
Önlemler
Kullanıcılarınızı Eğitin: Sosyal Mühendisliğe karşı alınacak en iyi tedbir, kullanıcıları eğitmekten geçer. Bu eğitime en alt kademedeki kullanıcıdan, en üst kademedeki kullanıcıya kadar herkes katılmalıdır.
Hacker'ların kullandığı bu yöntem her yönüyle anlatılmalı, örnekler verilmeli ve kullanıcılar bilinçlendirilmelidir. Telefonda arayan hiç kimseye karşıdaki kişiyi tam olarak tanımadıkça şifrelerin ve önemli bilgilerin verilmeyeceği belirtilmelidir. Büyük şirketlerde "help des" denilen bölümler vardır. Bu bölümleri arayıp bazı bilgileri öğrenmek amacıyla sözde yardım isteyen kişilere gerekli sorular sorulmalı, kimlik tespiti işlemi tam olarak gerçekleştirilmelidir.