Merhaba
Arkadaşlar.
Bu sayıda size ”toplum mühendisi” konusundan
bahsetmek istiyorum. Malum ki, çağımızın bilişimde en çok ses getiren açığı
bilgi güvenliği. Peki, aklınıza hemen, sisteminize özel programlar vb.
teknikler ile giren hacker’lar mı geldi? Bence biraz durun çünkü sadece
telefonu kullanarak bilgilerin nasıl ele geçirildiği hakkında henüz ya bilginiz
yok ya da böyle bir ihtimale inancınız.
Öncelikle bu konuyu yakından ilgilendiren
birkaç terimi size açıklamak istiyorum.
Toplum Mühendisi: Kurbanın
minnettarlığını veya zayıf yönlerini kullanarak karşısındaki kişiyi kendi
isteği gibi yönendiren ve ihtiyaç duyduğu bilgileri elde edebilen kişidir.
Truva Atı: Kurbanın bilgisayarından ve içinde
bulunduğu ağdan bilgi toplamak ya da kurbanın dosyalarına zarar vermek için
tasarlanan, kötü huylu kodlar içeren programlardır.
Çöp Dalışı: Ya kendi başına değerli olan ya da dâhili telefon
numaraları gibi toplum mühendisleri tarafından kullanılabilecek araçları
çöplerden çıkarmak. (Genellikle dışarıdaki çöpler)
Ters Dalavere: Saldırıya uğrayan kişinin saldırgandan yardım istediği
bir dolandırıcılık şekli.
Omuz Gezintisi: Klavyeye bilgi giren
birinin, parolasını vb. bilgilerini görüp çalmak amacıyla seyredilmesi.
Bir düşünün; rutin sorunlarınızdan biriyle
boğuştuğunuz sırada biri sizi arıyor ve yardım etmek istediğini söylüyor ve siz
buna seviniyorsunuz. Sobeee! Toplum
mühendisi bunun farkındadır ve sizden nasıl yararlanacağını da, nasıl sorun
çıkaracağını da iyi bilir fakat siz kaybettiklerinizin farkında bile
olmazsınız. (Üzgünüm ama öyle.)
Toplum
mühendisliği ile ilgilenen arkadaşların Kevin Mitnick – Aldatma Sanatı kitabını
okumalarını tavsiye ederim.
Buraya kadar gelmişken bahsettiğim kitaptan basit
bir örnek yazmak istiyorum. Telefon ile bakın neler yapılabiliyor.
1.gün
- Selam Tom, ben Eddie. Bir bilgisayar ağ
sorununu çözmeye çalışıyoruz, senin bir sorunun var mı?
- Hayır, umarım olmaz. Kulağa hiç hoş
gelmiyor.
- Olursa hemen ara, telefonum: 455 456 455.
- Bir
şey daha var. Ağ kablosunun yanındaki etiketten bana bağlantı numaranı okur
musun?
- Tamam,
elimdeki listede de öyle yazıyor zaten. (Teşekkür eder ve
kapatır.)
2 gün sonra
- Merhaba
ben Bob. Muhasebeden Tom Delay’in ofisindeyim. Bir kablo sorununu çözmeye
çalışıyoruz, 4-67 numaralı bağlantıyı devre dışı bırakır mısınız?
(Sistem sorumlusu birkaç dakika içinde
yapabileceğini fakat işi bittiğinde haber vermesini ister.)
Daha sonra 3.
görüşme
-Yardım
masası Eddie.
-
Eddie, geçen gün sorun olursa aramamı söylemiştin, sanırım bağlantım kesildi.
Ne yapmalıyım şimdi?
(Eddie
kendini ağırdan satar, “İşim var, sonra bakarız” falan demeye başlar.)
-
(İkna olmuş halde bir ses tonuyla, Tom) “Birazdan seni ararım.” (Sistemden 4-67 numaralı bağlantıyı açmasını
rica eder.)
-Hey
Tom, bağlantın nasıl.
-Çok
teşekkürler Eddie, çalışıyor. (Minnettarlığını belli eder.
Sobeee!)
-
Tom aynı sorunu yaşamamam için bir yazılım yüklememiz gerek. (Ona söylediği
siteden bir dosya indirtir.) Tom hemen bunu kur yoksa tam bir çözüm olmayacak.
-(Tom
hemen kurar ama ekrana görüntü gelmez.) Neyse Tom, daha sonra hallederiz. Şimdilik
kolay gelsin. (Ardından program.exe çöp kutusuna)
Evet, minnettar olan
Tom, sistemine truva atını yükledi. Gerisi toplum mühendisine kalmış; artık
bozar mı, çalar mı bilemem.
Şimdi
diyebilirsiniz ki; “Hani yazılım kullanmayacaktık.” Hemen açıklayayım; şirket
bilgisayarlarına izinli olarak yazılım atmak en zor işlerden biridir, en
azından profesyonellik ister. Toplum mühendisi de kendince bir teknik
uygulayarak bunu başardı. İlk olarak, toplum mühendisi, “Tom’un numarasını nereden
buldu?” derseniz, ben şahsen buna ihtimallere dayanarak “ÇÖP DALIŞI” derim.
Şimdi
sizi biri arayıp, “Ben Ahmet, x faturanız ile ilgili telefon hattınız için
kişisel bilgilerinize ihtiyacımız var.” derse ne yaparsınız ya da
telefonlarınızı “Alo, ben Mehmet.” diyerek açar mısınız?
Bu Tuzaklara
Düşmemek İçin DİKKAT
1. Önemli
bilgilerinizi, örneğin; dâhili telefon kodları veya şifre gibi bilgileri
bilgisayarınızın monitörüne veya görünmesi kolay noktalara yapıştırmayın.
2. İşe
yeni başlayan elemanlara sistemi teslim etmeden önce, şifrelerini ve sistem
hakkındaki önemli bilgileri paylaşmamaları hakkında uyarın.
3. Biri
sizi arayıp bir şey isterse, vermeden önce belirttiği bölümle bağlantıya geçip doğrulayın.
Tabii ki tanımıyorsanız.
4. Toplum
mühendisinin illa ki telefon ya da e-posta ile başarmaya çalışacağını düşünmeyin.
Şirkette, elinde Photoshop gibi basit bir programla sizin şirketinizin kartını
taşıyan eleman belirebilir.
5. Omuz
gezintilerine karşı dikkatli olun. İş yeri dışında şirket işlerinizi güvenli
sistemlerden takip edin. İnternet cafeler de omuz gezintisi için idealdir. J
Garantisini verebilirim.
6. Toplum
mühendisi ikna kabiliyetini kullanarak size faks vb. gönderiler yapmanızı isteyebilir.
Sakın ama sakın “tanımıyorsanız” “Evet” demeyin.
7. Önemli
bilgi veya kod içeren dokümanları çöpe öylece atmayın, kullanılamayacak şekle
getirin (Örneğin; makine ile ciddi bir parçalama yapın.) çünkü şirketinizin
temizlikçisine çöp için iyi bir miktar verilebilir veya dışarıdaki çöpler gece
karışabilir.
8. Siz,
siz olun; KİME NE DEDİĞİNİZE, NE VERDİĞİNİZE DİKKAT EDİN.
Kaynaklar:
- KEVIN
MITNICK – Aldatma Sanatı
- Paul
GRAHAM - HACKERS & PAINTERS
