Hepimiz temel önlemleri biliyoruz aslında: güçlü şifreler, iki katmanlı onaylama vb. Fakat son zamanlardaki güvenlik ve mahremiyet ihlali içeren saldırılara baktığımızda, bu saldırıların kötü seçilmiş şifrelerle ilgili değil, daha çok sosyal mühendislike ilgili olduğunu görüyoruz. Şimdi hep birlikte sosyal mühendisliğin ne olduğuna, nasıl gerçekleşebileceğine ve kendinizi nasıl koruyacağınıza bakalım.
Sosyal Mühendislik Nasıl Çalışır?
Sosyal mühendislik, güvenlik sistemlerini – ya da herhangi bir sistemi – aşmayı amaçlayan bir saldırıdır. Bu saldırı, sistemin içindeki sistem zaafiyetlerini kullanarak değil de, sistemin içindeki insanların zaafiyetlerini kullanır. Sistemin içine sızmak ya da şifre kırmak yerine, bir teknoloji destek uzmanını şifreyi değiştirtip size vermesini sağlayarak, veya elinizdeki bilgileri kullanıp onaylı bir kullanıcı gibi davranarak sistemi kandırarak içine girmek gibi.
Sosyal mühendislik, temelinde, bir hacking türüdür. Masum şakalar için kullanılabilmesi mümkün olduğu gibi, kimlik bilgileri çalmak için, insanların mahremiyetlerini ihlal etmek için veya sistemlere zarar vermek için kullanılabilmektedir. Son günlerde de ünlülerin mahrem fotoğraflarının internete sızdırılmış olması da, brute force saldırılarından veya gevşek güvenlik önemlerinden dolayı değil, sosyal mühendislik kullanılarak gerçekleştirilmiştir. Sosyal mühendislik konusunda asıl korkutucu olansa, hedef hakkında biraz araştırma yaparak kolaylıkla bu tür saldırıların gerçekleştirilebilmesidir.
Sosyal mühendisliğin bir kaç çeşidi vardır. Hedef kullanıcıyı ikna ederek ondan bilgi almak kullanılan yöntemlerden biridir. En başarılı olan yöntemse, hedefinizin sizin kim olduğunuzu anlamamasını sağlamaktır.
Sosyal Mühendislik Saldırılarına Neden Dikkat Etmeliyiz?
Sosyal mühendislik saldırılarına karşı korunmada en önce şifre güvenliği gelmektedir. Kolay tahmin edilemeyecek şifre seçimi ve iki katmanlı onayla giriş yapmak çok önemlidir. Şifre güvenliğine önem verilmeli, fakat unutulmaması gereken başka bir mesele de artık hackerların sadece tek bir şifreyle ya da hesapla zaman kaybetmek istemedikleri gerçeği. Bundan dolayı, fazlaca değerli gördükleri hedeflerin hesapları hackerlar için daha cazip görünüyor.
Sosyal Mühendislik Saldırılarından Nasıl Korunuruz?
The Washington Post gazetesinde çıkan bir yazıda, bir kullanıcının iCloud hesabındaki güvenlik sorularının nasıl aşılabileceği ve bunun ne kadar kolay olduğu anlatılıyor. Ünlülerin mahrem fotolarının sızdırıldığı son saldırıda da bu şekilde bir yöntem kullanıldığı düşünülüyor. Hedef hakkında biraz araştırma yapmak bu tür gerekli bilgileri saldırganlara kolayca sağlıyor. Peki bu durumda, bu tür saldırılardan korunmak için neler yapabiliriz?
- Kesinlikle gizli bilgilerinizi başkalarına vermeyin. Sosyal medyada sizi arkadaş olarak ekleyerek bir dostunuzmuş gibi yapan kullanıcılar ile herhangi bir bilginizi paylaşmayın. Tanımadığınız insanların arkadaşlık tekliflerini kabul etmeyin. Sizi bankanızdan aradıklarını söyleyen aramalara güvenmeyin.
- Çalıştığınız kurumun IT departmanından aradıklarını söyleyen veya sisteminizde bir hatayı gidermek üzere görevlendirildiğini söyleyerek sizden herhangi bir bilgi talep eden kişi veya kişilere karşı dikkatli olun ve talep ettikleri bilgiyi asla vermeyin. Unutmayın, gerçek sistem uzmanları asla kişisel bilgileri sormazlar.
- Kendiniz hakkında önemsiz olduğunu düşündüğünüz bilgileri bile koruyun. Özellikle güvenlik soruları, “Anne doğum yeri” veya “ilk evcil hayvan adı” gibi tahmin edilmesi son derece kolay cevaplardan oluşur. Hesap sahibi kullanıcılar da, cevapları kolay hatırlayabilecekleri soruları seçerler, ama bu sorular sadece kendileri için kolay değildir. Eğer güvenlik sorusu kullanacaksanız, en muğlak ve dengeli cevabı vermeye çalışın. Unutacağınızdan korkuyorsanız da bu cevabı kriptolayarak bilgisayarınızda muhafaza edin.
- Güvenlik sorularına yalan cevaplar verin ve bu yalanları devamlı hatırlayın. Doğum yeriniz konusunda, örneğin, Cincinnati yerine Little Rock’da doğduğunuzu yazabilirsiniz. Ya da kendiniz bir cevap uydurabilirsiniz. Bu durumda önemli olan, burada verdiğiniz cevapları daha sonra hatırlayabilmenizdir.
- Her şifre resetleme emailini şüpheyle karşılayın. Güvenli gibi görünen emailleri bile dikkatle inceleyin. Saldırganlar, bir taraftan şifrenizi değiştirmeye çalışırken, bir taraftan da size şifre değiştirme uyarıları gönderildiğinin farkındadırlar. Fakat bu uyarılarda, “Eğer bu talebi siz yapmadıysanız herhangi bir işlem yapmanıza gerek yoktur.” kısmı, sizi hiç bir şey yapmamaya itmesin. En azından kullandığınız servisin müşteri hizmetlerine ulaşmaya çalışarak, hesap şifre işlemlerinin dondurulmasını talep edebilirsiniz.
- Hesabınızı ve hesap hareketlerinizi takip edin. Şifre işlemlerini takip ettiğiniz gibi, hesap işlemlerinizi de kontrol edin. Örneğin, hesabınızın nerelere bağlı olduğunu görmek için Google Dashboard’u inceleyebilirsiniz. Bulut bilişim hizmetleri, sosyal medya hesapları ve email sağlayıcılardaki hesaplarınız için bu kontrolleri gerçekleştirin. Finansal hesaplarınızı da kontrol edin, sadece bankanızın sağladığı sistem girişi ile online bankacılık kullanın.
- Şifrelerinizi, önemli hizmet bilgilerinizi ve güvenlik sorularınızı mutlaka çeşitlendirin. Aynı şifreyi kesinlikle birden fazla platformda kullanmayın. Aynı güvenlik sorularına aynı cevapları vermeyin. Bu durumlarda, tek bir hesabınızı hacklemeyi başaranların, bütün internet hayatınızı bitirebileceğini unutmayın. Bir saldırıya uğrasanız bile, bu saldırının kısıtlı kalması sizin elinizde.
Sosyal mühendisliklere karşı bu gibi durumlar dışında da dikkatli olmak gerekiyor. Online oyun sitelerinde, chat odalarında veya benzeri internet platformlarında mutlaka dikkatli olmak şart. Çünkü sosyal mühendislik, en temel insan zaafiyeti üzerinden ilerliyor, yani, ikna edilebilirlik.