Dr. Nazif Burca

Araştırmalara göre, siber saldırıların büyük bir kısmı (%91, 2016 Phishing Susceptibility and Resiliency Report) sosyal mühendislik (social engineering) yöntemleriyle başlatılıyor. Siber saldırganların artan şekilde güvenliğin en zayıf noktası olan insanlara yönelmesi, siber güvenlikte insan faktörünün başarısını (etkinliğini) çok kritik hale getirdi. Saldırganlar, daha hızlı ve başarılı sonuç alabildikleri için, sistemsel engelleri aşmaya çalışmak yerine, bu yöntemleri tercih ediyorlar. Bir siber saldırıya maruz kalınması organizasyonlarımızın iç kontrollerindeki zaafiyete işaret eder. Sistem ve süreçlerimizi ne kadar sağlamlaştırsak da, kendimizi yeterince güçlendirmedikçe siber saldırılara karşı başarı olasılığımız çok zayıf. Kontrol görevimizi etkin bir şekilde yerine getirebilmemiz, bilgi ve farkındalığımızın gücüne; aldığımız bilgi ve farkındalık eğitimlerinin başarısına bağlı.

Sosyal mühendisliği; saldırganların güven, yardımcı olma, merak, hırs gibi duygularımızdan faydalanarak, bizleri yanıltmak suretiyle şifre, kullanıcı adı, kredi kartı gibi hassas bilgilerimizi öğrenmeleri ve bu bilgileri adımıza para çekme, sistemlere yetkisiz erişim gibi kötü amaçlarla kullanmaları şeklinde tanımlayabiliriz. Yunanlı askerlerin armağan süsü vererek Truva’ya gönderdiği, Çanakkale ilimizde temsili heykeli bulunan, “truva atı”meşhur sosyal mühendislik örneklerinden biri olarak gösterilmektedir.

Başlıca sosyal mühendislik yöntemlerini şöyle:

• Phishing (oltalama): En yaygın olarak kullanılan yöntemdir. Bu yöntemte iki şekilde gizli bilgilerimiz elde edilmeye çalışılır: 1) Bize gönderilen iletilerin (e-posta SMS, sosyal medya mesajları) ekindeki kötü amaçlı yazılım içeren dosyayı (genellikle xsl, zip. uzantılı) açmamız halinde zararlı yazılımı bulaştırılarak. 2) Bize gönderilen iletide belirtilen sahte siteye giderek bizden istenen hassas bilgilerimizi girmemiz durumunda. Bu yöntemde daha çok korku, acelecilik ve güven gibi duygularımız istismar edilmeye çalışılır. Bizleri yanıltabilmek için, gönderilen iletilere bildiğimiz ve güvendiğimiz bir kurumdan (banka, alış veriş siteleri, emniyet, vergi dairesi, internet hizmet sağlayıcı vb) gönderilmiş süsü verilmektedir. Phishing kullanılan yönteme göre değişik adlarla adlandırılmaktadır: Standart phishing’de hedef genelken,  spear phishing’de (hedefe yönelik pishing) hedef belirli organizasyonda çalışan kişilerdir. Eğer hedef üst düzey yönetici ise,  bu tür phishin’e “whaling” deniliyor. Bize ileti gönderilerek, tutarsızlık vb gerekçelerle iletide belirtilen ve aramamız istenilen numarayı aradığımızda, hassas bilgilerimizin istenilmesi şeklindeki phishing’e “vishing” deniliyor. Hizmet aldığımız bir kuruluşun fatura göndermesi, şifremizin süresi dolduğu ve yenilememiz gerektiğini belirten e-postalar, ödül kazandığımız  ve kaçırmamamız gerektiğini veya bankadan hesabımıza para geldiği belirtilerek sahte sitelere yapılan yönlendirmeler sık kullanılan bazı örneklerdir.
• Watering hole (sulama deliği): Saldırganların hedefinde bulunan kişi veya kurumun sık sık ziyaret ettiği web sayfalarına zararlı kod yerleştirilmesi ve hedef kişi sayfayı ziyaret ettiğinde zararlı kodun bulaştırılmasıdır.
• Baiting (cezbetme): Bu yöntem phishing’e benzer, ancak merak uyandıran bilgiler içerdiği veya ücretsiz müzik, program indirme gibi menfaat sağlanacağı belirtilerek, zararlı yazılım içeren dosyaları bilgisayara indirdiğimizde gizli bilgilerimiz elde edilir.  Bazen de mobil bellekler (USB), üzerinde; ücret, performans bilgisi gibi notlarla etrafımızda göreceğimiz yerlere bırakılır ve merak vb duygularla bu bellekleri alarak kullandığımızda, şifre kırıcı programlar çalıştırılarak, gizli bilgilerimize ulaşılmaya çalışılır.
• Pretexting (sahte senaryo): IT personeli, polis, üst yönetici, bankacı, denetçi, araştırmacı gibi kişileri taklit ederek, sahte senaryolarla, genellikle telefonla arayarak, gizli bilgilerimizin öğrenilmeye çalışılmasıdır. Daha inandırıcı olabilmek ve güven duymamızı sağlayabilmek için, sosyal medya kanalları, internet vb kanallardan bizimle ilgili topladıkları bilgileri görüşme sırasında  kullanmaktadırlar. Ayrıca telefon ettikleri numarayı, kullanılan bazı tekniklerle, olduğundan farklı göstererek bizleri yanıltmaya çalışabilmektedirler.
• Tailgating, Piggybacking (yanına takılma): Kötü niyetli kişilerin, kimliğini unuttuğu, yardım isteme vb gerekçelerle; bizimle birlikte veya bizim yardımımızla, kapı veya bariyerleri aşarak yetkisiz olarak kurumlarımıza girmesidir.
• Quid Pro Quo (bir şey için bir şey) : Bu yöntem karşılıklı faydaya dayanır. Örneğin teknik destek vermeye çalışan kişi veya bir araştırmacı gibi bize yaklaşarak yardım etme, para, çikolata, kalem vb menfaatler karşılığında hassas bilgilerimiz elde edilmeye çalışılır. Bating’de karşımızda bir insan bulunmazken, bu yöntemde karşımızda bir insan vardır.
• Sosyal Medya:  Bu kanallar üzerinde, insan kaynakları yetkilisi, IT güvenlik firması personeli gibi sahte profiller oluşturulup, bizlerle iletişim kurularak, hassas bilgilerimizin ele geçirilmeye çalışılmasıdır. Sosyal medya kanallarında paylaştığımız kişisel bilgiler (nerede, ne yapıyor, doğum tarihi, sevdiği hayvan ismi, doğum yeri, hobileri ve mezuniyet tarihi gibi) toplanarak ataklar tasarlanabilmektedir.

Saldırganlar artan teknolojik imkanlardan faydalanarak, her geçen gün yeni ve sofistike yöntemler kullanmaktadırlar. Hedef odaklı olmayan, genele yönelik olarak hazırlanmış, klasik phishing e-postalarını anlama konusunda nispeten daha bilinçli olsak da, profesyonel bir şekilde hedefe yönelik hazırlananları anlamamız çok zor. Ayrıca telefonla veya fiziken icra edilenler, elekronik ortamda hazırlananlara göre anlaşılması daha güç olmaktadır. Güvenlik firması (RSA, 2011) çalışanları bile yanıltılabilmektedir. Bu yöntemlere karşı başarılı olabilmek için, çok profesyonel biçimde hazırlanmış farkındalık programlarına ihtiyacımız var. Aksi halde, faydası olmayan eğitimlere harcanan kaynaklar boşa gittiği gibi, yanıltılma olasılığımız da çok yüksektir. Verizon tarafından yapılan çalışmada; çalışanların %15’inin ikinci kez, %3‘ünün ikiden fazla , %1’inin ise üçden fazla phishing e-postalarını tıkladığı belirtilmektedir.

Organizasyonlarımızda güvenlik farkındalığı çalışmalarının başarısında kritik unsurları dört ana başlık altında toplayabiliriz:

1. Üst yönetim ve tüm birimlerin desteği: Üst yöneticilerimiz güvenlik sorununun sadece teknolojik değil, aynı zamanda insan kaynaklı bir problem olduğunu bilerek; bu programları sahiplenmeli, davranışları, mesajları, katılımları ile çalışmalara destek olmalıdırlar. Ayrıca güvenlik farkındalığı için gerekli bütçe ve personel desteğinin sağlanmasına yardımcı olmalıdırlar. Çalışmalar (Sans Institute, 2017 Security Awareness Report) kurumlarda tam zamanlı güvenlik personeli bulundurmanın ve  farkındalığa ayrılan zamanın kritik olduğunu göstermektedir. Ayrıca, güvenlik farkındalığı sadece güvenlik birimlerimlerinin problemi olmadığı için, tüm birimler çalışmalara katkı sağlamalıdırlar. Bir farkındalık ekibi oluşturularak, her birim uzmanlık alanına göre katkı vermelidir. Örneğin iç iletişim birimi iletişimini üstlenmeli, pazarlama posterleri dizayn etmeli, insan kaynakları riskli personelin davranış kalıplarının belirlenmesi ve eğitimlerin yapılmasına yardımcı olmalıdır. Güvenlik biriminde çalışan personel genellikle teknik geçmişe sahip kişiler olduğu için; iletişim, içerik dizaynı, kültür değişimi, eğitim gibi özel beceri gerektiren (soft skills) hususlarda ilgili uzman birimlerin rol alması kritiktir. Bunun yanında, ikinci savunma hattını oluşturan uyum ve risk gibi gözetim birimleri konuyu yakından takip etmeli, üçüncü savunma hattında yer alan iç denetim birimleri; bu çalışmaları denetim planı kapsamına alarak ve birinci savunma hattını oluşturan yönetim birimlerine destek olmalıdırlar.
2. Yöntem ve kapsamın uygunluğu: Farkındalık programlarında; sınıf içi eğitimler, e-posta duyuruları, videolar, bültenler, posterler gibi yeni, değişik ve sonuç alıcı yöntemler kullanmalıyız. Çalışmalarımız, sadece belli prosedürlere uyumu sağlamaya yönelik genellikle yılda bir defa veya tehditler oluştuğunda yapılan  bilgilendirmelerden ibaret olmamalıdır.  Personelimizin farkındalığını canlı tutmalı, yeni yöntemler hakkında bilgilerini güncellemeliyiz. Bilgilendirmeler yeni işe başlayan personel yanında, pozisyonu değişenleri de kapsamalıdır. Güvenlik açığı bulan, tehditler hakkında ilgili güvenlik birimlerini zamanında haberdar eden vb, farkındalığı yüksek personelimizi ödüllendirmeli, başarılarını diğer personelimizle paylaşmalıyız. Bu çalışmalar kendi personelimiz yanında; sistemlerimize erişim yetkisi ve kurumlarımıza giriş izni verdiğimiz, bizlere mal veya hizmet sağlayan tedarikçiler, dış kaynak personeli, bayi çalışanları gibi 3. parti çalışanlarını da kapsamalıdır. Farkındalık programları güvenlikle ilgili tüm önemli konuları (pasword, internet kullanımı, e-posta vb) kapsamalı, sadece belirli konularla sınırlı kalmamalıdır. Diğer taraftan, saldırganlar hedeflerindeki kişiye göre saldırı yöntemlerini dizany ettiklerinden, herkese tek tip eğitim uygulamak yerine personelin rol ve sorumluluğuna göre eğitimlerin içeriği farklılaştırılmalıdır. Ayrıca her bir sosyal mühendislik yöntemine göre de eğitim içeriği farklılaştırılmalıdır. Bir diğer önemli husus ise; sosyal mühendislik yöntemleri kişilerin duygularını istismara yönelik olarak dizayn edildiği için, özellikle riskli personelin (IT personeli, satınalma, finans gibi) zayıf yönleri (aşırı yardımcı olma, güven duyma vb) zayıf tarafları tespit edilerek, o yönlerinin güçlendirilmesine ilişkin eğitim içerikleri oluşturulmalıdır. Sosyal mühendisliğin bababası olarak kabul edilen Kevin Mitnick;  sosyal mühendisliğe karşı en etkili eğitimin, gerçeğe benzeyen senaryolarla personelin test edilmesi, personele bu durumu yaşatarak farkındalığının artırılması olduğu ifade etmektedir. Bu nedenle, sosyal mühendislik tiplerine ve güvenlik problemlerinin çeşitlerine göre gerekli test senaryoları hazırlanarak, bu duruma düşüldüğünde ne olacağını ve ne yapılması gerektiğini tatbikatlarla personelimize öğretebilmeliyiz. Yöntemle ilgili diğer iki husus ise; kredi kartlarıyla  ilgili PCI standartlarına uyum gibi, bulunduğumuz kurum veya sektöre özel standarlar varsa onlara uygun farkındalık programları düzenlemeliyiz ve farkındalık çalışmalarımızın düzenli bir şekilde dokümante edilmesini sağlamalıyız.
3. İletişim ve personelin sahiplenmesi: Çalışmalar (Sans Institute, 2017) iletişim ve son kullanıcıların (personelin) sahiplenmesinin kritik olduğu belirtmektedir. Personelimize sahiplendirmeyi sağlayacak başarılı iletişim yöntemleri kullanmalıyız. İletişim, bu programların öneminin üst yöneticilerimize ve yönetim kurullarımıza anlatılarak ve onların desteğinin alınması açısından da önemlidir. Başarılı bir iletişim için, iletişim ve güvenlik ekipleri ortak çalışmalıdır. Değişik birim ve lokasyonlardaki tüm çalışanlarımıza etkili bir şekilde ulaşabilmeliyiz. Çalışmalara, tüm personel aktif bir şekilde katılarak, güvenlik farkındalığını kurumlarımızın bir kültürü haline getirebilmeliyiz. Eğitimlere katılımlar zorunlu olmalı ve bunun sağlanması için yakından takip yapılmalıdır. Bu işe gönül veren çalışanlarımızı “gönüllü elçiler”  olarak  görevlendirerek ve onları özel eğitimlerle destekleyerek, kendi birimlerinde farkındalık şampiyonları haline getirebiliriz. Programların sonuçlarının düzenli olarak üst yönetimlerimiz ve yönetim kurullarımızla paylaşmamız; hem gözetim ve takip etmeleri açısından, hem de onların desteğini daha çok alabilmemiz açısından önemlidir.
4. Programların başarısının takibi: Anahtar göstergeler (KPI) belirleyerek programların başarısını takip edebilmemiz de kritik unsurdur. Bu kriterler; hem  bilgilendirme faaliyetlerinin başarısının takibine ilişkin göstergeler (eğitimlere katılım düzeyi, eğitimlerin anlaşılma oranı gibi); hem de, güvenlik operasyonlarımızın başarısını ölçen göstergeler (zararlı e-postaları açma oranı, personelin kendilerine ulaşan zararlı e-postaları ilgili birimlere bildirme oranı, personelin zararlı e-postaları tanıma oranı, zararlı e-postanın tanınması ve gerekli tedbirlerin alınması arasındaki geçen süredeki azalış, zararlı yazılımlara maruz kalma sayısı gibi)  olmalıdır. Belirlenen göstergeler yakından takip edilerek, iyileşme olup olmadığı ölçülmeli ve gereken alanlarda iyileştirmelere gitmeliyiz.

Siz de konuya ilişkin değerli görüş ve yorumlarınızı paylaşırsanız memnun olurum.