SOSYAL MÜHENDİSLİK
DİLEK KARAKAYA
BİLGİ GÜVENLİĞİ
BİRİMİ
Güvenliğin sadece küçük bir
kısmı % 20 teknik güvenlik
önlemleri ile sağlanıyor.
Büyük kısım ise % 80
kullanıcıya bağlı.
Sosyal Mühendislik Kavramı
•Sosyal Mühendislik: Normalde insanların
tanımadıkları biri için yapmayacakları şeyleri
yapmalarını sağlama sanatıdır.
•Teknoloji kullanımından çok insanların hile
ile kandırılarak bilgi elde edilmesidir.
Sosyal Mühendislik Kavramı
•Sosyal mühendisler:Teknolojiyi kullanarak ya
da kullanmadan bilgi edinmek için
insanlardan faydalanırlar.
•Etkileme ve ikna yöntemlerini kullanırlar.
Hırsız ile Sosyal Mühendis arasındaki fark:
Çoğu insan, kandırılma olasılığının çok düşük
olduğunu düşünür.
Bu ortak inancın bilincinde olan saldırgan,
isteğini o kadar akıllıca sunar ki hiç kuşku
uyandırmaz ve kurbanın güvenini sömürür.
Sosyal Mühendislik Kavramı
•Çoğu zaman basit dolandırıcılığa çok benzese bile, bu terim genelde
bilgi sızdırmak veya bir bilgisayar sistemine sızmak üzere yapılan
numaralar için kullanılır.
•Bu durumların büyük çoğunluğunda saldırgan, kurban ile yüz yüze
gelmez.
•Kullandığı en büyük silahı, insan zaafiyetleridir.
Sosyal Mühendislik Kavramı
•Güvenliğin en zayıf halkası İNSAN!!!
•Güvenlik bir ürün değil, bir süreçtir.
•Güvenlik bir teknoloji sorunu değildir.İnsan ve
yönetim sorunudur.
SOSYAL MÜHENDİSLİK SALDIRI TEKNİKLERİ
OMUZ SÖRFÜ
ÇÖP KARIŞTIRMA
ROL YAPMA
TRUVA ATLARI
TERSİNE SOSYAL MÜHENDİSLİK
Omuz Sörfü
Saldırıya Uğranabilecek Olası Yerler
•Havaalanları, kafeler, oteller, halkın ortak
kullanım alanları
•Yan masanızda oturan iş arkadaşınız
•Bankamatikler
•Kredi kartıyla ödeme yapılan her yer
•...
Çöp Karıştırma
•CD
•Post-it
•Küçük kağıtlara alınmış notlar
Çöp Karıştırma
•Tehlike hemen hemen sıfır, kazanç çok büyüktür!!!
•Çöpünüz düşmanınızın hazinesi olabilir!!!
•İmla hatasından dolayı atılan raporlar
•Şifreler
•‘Seni xxx aradı’ şeklinde notlar
•Çalışan bilgileri vs.
Rol Yapma
•Sosyal Mühendisin en önemli silahlarından biridir...
•E-posta, telefon
•Sahte senaryolar
•Sosyal medya ile elde edilen gerçek bilgiler
•Soğukkanlı, güçlü ikna yeteneği ve güven
•Yıldırma, korkutma ve pes ettirme
Rol Yapma
Telefonla Hassas Bilgi İstenilmesinde
•Doğrulama için geri arama yapılması
•Bilgi isteyen kişiden kimlik bilgisi istenmeli (sicil no, banka kartı personel numarası)
•Diğer taraftan kimlik bilgisinin doğrulanması için sorgulama yapılması
•Kayıtlarda anahtar kelimeler tutulması ve bunların sorgulanması
•Tuzak sorularla kimlik doğrulama yapılması
•Aceleci davranmadan soğuk kanlı, bir şeylerden emin olarak bilgi verilmesi
•Her kurumun kendi özelinde bu tür durumlara karşı yönergesini işletmesi
Truva Atları
Truva Atları
•Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir.
•E-posta eklerinden
•Güvensiz kaynaklardan
•Bilinen bir program görüntüsünde indirilen programlardan
•Bilgisayar virüsleri ile doğrudan
Tersine Sosyal Mühendislik
•Rol Yapma tekniğine benzer fakat bu kez
yardımı kurban kendisi istemektedir.
Sabotaj
Pazarlama
Destek
Truva Atı & Tersine Sosyal Mühendislik
•Saldırgan, kurbanı aslında var olmayan bir sorunu
olduğuna inandırarak ağına düşürebilir.
•Kurban, saldırgana kendi isteği ile erişiyor!!!
•Yüklenen program sizce nedir??
Saldırı Örneği – Bilgi Toplama
Bilgi Toplama
Bilgi toplama evresi her saldırı için tamamen farklı düşünülmesi
gereken, saldırının yapılacağı etki alanıyla ilgili bir konudur.
Kullanılan kaynaklar;
•google
•linkedin
•facebook
•Kurum web siteleri ve internette rastgele yapılan araştırmalar vs…
•Her saldırı için kaynaklar aynı, odaklanacak noktalar farklıdır.
Bilgi Toplama
Yoğunlaşılması Gereken Asıl Bilgiler;
Kurumlarda;
•İsim –soyisim
•Çalışılan pozisyon
•Çalışılan birim
•E-posta adresleri
•Telefon numaraları
Oldukça önemli bilgilerdir.
Oltalama Sitesi
Saldırganlar farklı nedenler ile oltalama siteleri hazırlarlar;
•Parola çalma,
•Uzaktan kod çalıştırma,
•Köle bilgisayar oluşturmak,
Saldırı Örneği- Parola Çalma
Oluşabilecek Zararlar
•Bilgileriniz başkalarının eline geçebilir.
•Kurumun onuru, toplumdaki imajı zarar görebilir.
(en kötü durum)
•Donanım, yazılım, veri ve kurum çalışanları zarar
görebilir.
Oluşabilecek Zararlar
•Önemli veriye zamanında erişememek
•Parasal kayıplar
•Vakit kayıpları
•Can Kayıpları!!!
YANLIŞ DÜŞÜNCELER
YANLIŞ DÜŞÜNCELER
•Antivirüs yazılımımız var,
güvendeyiz BİZ!!!
•Bilgimin yedeğini alıyorum,
güvenlikten bana ne!!!
YANLIŞ DÜŞÜNCELER
•Güvenlikten bilgi işlem sorumludur!!!
•Kurumumuz güvenlik duvarı (firewall) kullanıyor,
dolayısıyla güvendeyiz!
•Dikkat!!! Bir çok güvenlik saldırısı kurum dışından
gelmektedir!!!
Bir Sınırı Var mıdır?
İçinde insan olan her süreç bir
şekilde istismar edilebilir!!
İnsan Davranışları
İnsan Davranışları
Her Sosyal Mühendis
maksimum bilgiye
ulaşabilmek için kurbanın belli
davranış özelliklerine kilitlenir.
Zafer Heyecanı
PARA,HEDİYE VAADİ
Korku
TERÖR,YASA DIŞI İŞLER.
Yardımseverlik
ZOR DURUMDA OLMA HİKAYESİ.
TUBİTAK TARAFINDAN KAMU KURUMLARINA YAPILAN SOSYAL
MÜHENDİSLİK TESTİ
Yapılan testler
sonucunda
kullanıcıların
yaklaşık %65’inin
şifresini ele
geçirilmiş.
Sosyal Mühendislik Saldırılarının Tespit Edilmesi
Sosyal Mühendislik Saldırılarının Tespit Edilmesi
Günümüzde popüler olan sosyal mühendislik davranışları;
•Kurum çalışanı gibi davranmak(bilgi işlem)
•Ortak iş yürütülen bir şirketin çalışanı gibi davranmak
•Yetkili biri gibi davranmak
•Yardıma ihtiyacı olan, işe yeni girmiş biri gibi davranmak
•Bir sistem yaması yükletmek için çalışan bir sistem üreticisi gibi davranmak
•Önce sorun yaratmak, sonra sorunu çözmeye çalışmak
•E-posta ekinde zararlı yazılım göndermek
•Kurum içi terimleri kullanmak
Sosyal Mühendislik Saldırılarının Tespit Edilmesi
Bir Saldırının Uyarı Sinyalleri;
•Bir geri arama numarası vermekten kaçınılması
•Sıradışı taleplerde bulunulması
•Yetkili olduğunun öne sürülmesi
•Aciliyetin üzerine vurgu yapılması
•İsteğin yerine getirilmemesi durumunda kötü sonuçlar doğacağının söylenmesi
•Soru sorulduğunda rahatsız olunması
•Bilinen adların sıralanması
•İltifat edilmesi ve kur yapılması
Sosyal Mühendislik Saldırılarının Tespit Edilmesi
Saldırılara En Sık Maruz Kalan Hedefler;
•Bilginin değerinden habersiz olanlar
•Danışma görevlileri, santral memurları, güvenlik görevlileri, vs
•Özel ayrıcalıklara sahip olanlar
•Yardım masası, sistem yöneticileri, bilgisayar işletmenleri, vs
•Üretici/satıcı firmalar
•Bilgisayar donanımı, yazılımı üreticileri, vs
•Belli bölümler
•Muhasebe, insan kaynakları, vs
Sosyal Mühendislik Saldırılarının Tespit Edilmesi
Kurumları Saldırılara Açık Duruma Getiren Bazı Unsurlar;
•Çok sayıda çalışan
•Birden fazla tesis
•Güvenlik eğitimlerinin yetersizliği
•Veri sınıflandırma sisteminin bulunmaması
•Bilgi güvenliği ihlal bildirim sisteminin bulunmaması
•....
SOSYAL MÜHENDİSLİK
SALDIRILARINDAN KORUNMA
YÖNTEMLERİ
Sosyal Mühendislik Saldırılarına Karşı Korunma
Sosyal Mühendislik saldırılarına
karşı kusursuz bir koruma sağlamak
imkansızdır. Alınacak bütün
önlemler aşılabilir, çünkü insan
faktörü her zaman iş başındadır.
Sosyal Mühendislik Saldırılarına Karşı Korunma
Ancak saldırıların başarı
ihtimalleri bazı yöntemler ile
düşürülebilir.
Sosyal Mühendislik Saldırılarına Karşı Korunma
Güvenlik bilincini arttırma eğitimleri
İçerik doğrulama
Fiziksel Güvenlik
Sınırlı veri paylaşımı
Kurum içi sosyal mühendislik testleri
Veri sınıflandırma politikası
İçerik Doğrulama
•Kurum çalışanıymış gibi görünme
•Sadece kurum çalışanları değil iletişimde
olunan bütün kurumlar, çalışılan bütün
firmalar
Fiziksel Güvenlik
Sadece yetkili kişilerin kurum
içersindeki sınırlı bölümlere erişim
izni olduğundan emin olmak için
uygun erişim kontrol
mekanizmaları olması gerekir.
Sınırlı Veri Paylaşımı
•İnternette kurum ile ilgili
paylaşılan bilgilere son
derece dikkat edilmeli ve bu
sürekli izlenmelidir.
Kurum İçi Sosyal Mühendislik Testleri
Veri Sınıflandırma Politikası
•’Bilmesi Gerektiği Kadar’ prensibine göre
hareket edilmelidir.
•Veri sınıflandırma her seviye için farklı
görüntüleme, düzenleme ve paylaşma
kurallarını içerir.
Güvenlik Bilincini Arttırma Eğitimleri
Güvenlik bilincini arttırmak
Sosyal Mühendislik
saldırılarını önlemek için basit
ve etkili bir çözümdür.
Güvenlik Bilincini Arttırma Eğitimleri
İçermesi gereken bazı önemli maddeler;
•Kurum her an saldırıya maruz kalabilir
•Sorun sadece teknoloji sorunu değildir
•Tüm kurum çalışanları bilgi güvenliğinin bir parçasıdır
•Eğitimler periyodik olarak düzenlenmeli
•Prosedürlerin ve uygulamasının önemi
•Örneğin, şifre oluşturma prosedürü
Güvenlik Bilincini Arttırma Eğitimleri
•Virüsten korunma
•İnternet erişim güvenliği
•5651 sayılı kanun
•E-posta güvenliği
•Yedekleme
•Bilgisayar güvenlik olayları ihbarı
•Sosyal mühendislik
Güvenlik Bilincini Arttırma Eğitimleri
•Bilgisayara giriş ve şifre güvenliği
•Bilgisayarda donanım ve yazılım değişiklikleri yapma
•Dizüstü bilgisayar kullanımı
•Dosya erişim ve paylaşımı
•Yazıcı kullanımı
•Taşınabilir medya kullanımı
Kurum Güvenlik Politikası İçin Önemli Tavsiyeler
•Çalışan kimliği tespit süreci oluşturulmalıdır.
•Tüm çalışanlar personel kimlik kartlarını yakalarına takmalıdır.
•Kurumda bilgi güvenliği şubesi kurulmalıdır.
•Kurumda bilgi güvenliği ihlal bildirim sistemi kurulmalıdır.
Kurum Güvenlik Politikası İçin Önemli Tavsiyeler
•Şifre korumalı ekran koruyucular kullanılmalıdır.
•İşten ayrılan çalışanların uyması gereken prosedürler
hazırlanmalıdır.
•Kuruma ziyaretçi olarak gelen kişilerden kimlik alınmalı,
kurum içerisinden bir çalışan bu kişiye refakat etmelidir.
Güvenlik Bilincini Arttırma Eğitimleri
Güvenlik bilincini sürekli hale getirmek için;
•Kurumun iç sayfasına bilgi güvenliğiyle ilgili karikatürler,
ipuçları koyulabilir.
•Çeşitli bilgi güvenliği posterleri asılabilir.
•Bülten panolarına duyurular asılabilir.
•Hatırlatma amaçlı e-postalar atılabilir.
Güvenlik Bilincini Arttırma Örnekleri
•Broşürler dağıtılabilir.
•Sesli mesaj sistemi aracılığıyla güvenliği hatırlatan
duyurular yapılabilir.
•Güvenlikle ilişkili ekran koruyucular ve arka plan
resimleri kullanılabilir.
Kurum Güvenlik Politikası İçin Önemli Tavsiyeler
•Kurumda mutlaka ve mutlaka güçlü şifreler kullanılmalı ve kesinlikle
bir yerlere yazılmamalı ya da başkalarıyla paylaşılmamalıdır.
•En az sekiz karakterli olmalıdır.
•Rakam ve özel karakterler (?, !, @, ...) içermelidir.
•Büyük ve küçük harf karakteri kullanılmalıdır.
C-POLİTİKALAR
SON OLARAK
C.1- İnsan Kaynakları ve Zafiyetleri Yönetimi
 Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dolap
anahtarları kolay ulaşılabilir bir yerde olmamalıdır.
 Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir.
 ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında(izin kağıdı gibi) ekranda bulunan
kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir.
 Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili
bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir.
 İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kağıt
kesme makinasında imha edilmelidir.
 Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde
bulundurmalıdır.
 Görevden ayrılan personel, zimmetinde bulunan malzemeleri teslim etmelidir.
 Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki bilgi
ve belgeleri teslim etmelidir.
 Görevden ayrılan personelin kimlik kartı alınmalı ve yazıyla idareye iade
edilmelidir.
TEŞEKKÜR EDERİM
DİLEK KARAKAYA
BİLGİ GÜVENLİĞİ BİRİMİ
[email protected]
Download

Sosyal Mühendislik