Sosyal Mühendislik: İşletmeniz İçin En Büyük Güvenlik Riski
Bu sizin ağınız değil, bilgisayar korsanlarının kapısı olabilecek kendi iyi niyetli çalışanlarınızdır.
Çoğu işletme, çalışanlarını kimlik avı e-postaları tehdidi konusunda eğitmek için zaman ve para harcamıştır. Birçok girişim beceriksizdir ve hatalar ve yazım hataları ile doludur, bu da herhangi bir zarar vermeden önce onları tespit etmeyi ve silmeyi kolaylaştırır.
Ancak sosyal mühendislik dolandırıcılıkları (siber suçlular üst düzey bir kişiden, tedarikçiden veya iş başvuru sahibinden geliyormuş gibi görünecek şekilde uyarlanmış iletişimlerle belirli departmanları ve kullanıcıları hedeflediğinde) yükseliştedir ve tespit edilmesi çok daha zordur. Bu endişe verici eğilimi ve işletmeler üzerindeki etkisini biraz daha derine inelim.
Sosyal mühendislik? Kulağa kötü geliyor.
Ama Aldous Huxley, Cesur Yeni Dünya tarzında değil. Sözlük tanımı şöyle olabilir: “Dolandırıcılık amacıyla gizli bilgileri elde etme niyetiyle aldatma.” Pratik anlamda, bu genellikle birinin oturum açma kimlik bilgilerinizi paylaşmanız veya kötü amaçlı yazılım yüklemeniz için sizi kandırmaya çalışması anlamına gelir.
Ah, kimlik avı gibi demek istiyorsun. Bu bir tüketici sorunu değil mi?
Kimlik avı, bir sosyal mühendislik hilesidir, ancak tanım, güvene ve aldatmaya dayanan herhangi bir saldırı metodolojisini içerir. Ve bu kesinlikle yalnızca bir tüketici sorunu değil: Imperva araştırmacıları kimlik avı saldırılarını çekmek için bal küpleri kurduklarında, saldırganların %25’inin işle ilgili hedeflere yöneldiği, iş verilerinin çok arandığını gördüler.
Peki ne tür saldırılara dikkat etmemiz gerekiyor?
Hepimiz, scattergun phishing e-postalarına aşinayız, ancak aynı zamanda yüksek oranda hedeflenmiş saldırılara (“spear phishing”) karşı da tetikte olmalısınız; bunları tespit etmek çok daha zor olabilir, çünkü güvenilir bir kaynaktan geliyormuş gibi görünürler ve alıcıya özel bilgiler içerirler.
Sonra Microsoft desteğinden geliyormuş gibi görünen ve aslında bilgisayarınıza uzaktan erişim sağlamak isteyen telefon görüşmeleri var. Ve birinin ofisinize güvenle girmesi, resepsiyon masasının yanından rahatça geçmesi ve BT sistemlerinize fiziksel erişim sağlaması olasılığını da küçümsemeyin.
Elbette pek çok insan bu numaralara düşmez mi?
Sorun şu ki, bir sosyal mühendisin ağlarınıza ve verilerinize erişmek için kuruluşunuzdaki yalnızca bir kişiyi kandırması yeterlidir. Gerçekten de, herhangi bir BT güvenlik uzmanıyla görüşün, size günümüzde çoğu veri ihlalinin bir tür sosyal mühendislik saldırısıyla başladığını söyleyeceklerdir. Bir kişiyi sömürmek, teknik saldırılarla uğraşmaktan genellikle çok daha kolaydır.
Peki çalışanlarımızdan biri sosyal mühendislik saldırısına uğrarsa ne yapmalıyız?
Onları suçlama. Çalışanlar sadece insandır ve çoğu durumda doğru olanı yapmaya çalışırlar. MWR InfoSecurity geçen yıl bazı simüle edilmiş kimlik avı araştırması yaptı ve sözde kuruluşlarının İK departmanından gelen sahte e-postaların, alıcıların yaklaşık dörtte üçünü bir kimlik avı bağlantısını tıklayıp kimlik bilgilerini sağlamaya kandırdığını buldu.
Benzer nedenlerle, sosyal medya, hazır bir güven ağı sağladığı için genellikle bir sosyal mühendislik kanalıdır. Aynı araştırmacılar, bir e-posta (iş adresine gönderilmiş olsa bile) alıcıdan bir sosyal medya kanalı aracılığıyla bağlantı kurmasını istediğinde, kabaca %25’inin dahil edilen bağlantıyı tıkladığını buldu. Bu onları, %54’ünün kimlik bilgilerini verdiği ve %80’inin ardından kötü amaçlı bir yürütülebilir dosya indirdiği sahte bir giriş ekranına yönlendirdi.
Dağıtabileceğimiz teknik bir çözüm var mı?
Ne yazık ki, sosyal mühendislik bilgisayarlar kadar insanları da hedef aldığından, x ürününü kurmak kadar kolay değil. İki faktörlü kimlik doğrulama, parola çalmayı engellemek ve gerekmediği durumlarda dosya ve sunuculara uzaktan erişimi devre dışı bırakmak gibi savunmanızın bir parçası olması gereken teknik çözümler vardır. Ancak, tüm bunların kullanıcı farkındalığı eğitimi ile birlikte uygulanması gerekir.
Kullanıcıları risklerden haberdar etmenin en iyi yolu nedir?
Çoğu zaman olduğu gibi, öğrenmenin en iyi yolu deneyimlemektir. Kullanıcılara nasıl kandırılabileceklerini göstermek ve bu tür durumları gerçek olduklarında fark etmelerine yardımcı olmak için kimlik avı simülasyonları sağlayan birçok kuruluş vardır. Yine de, kandırılırlarsa personeli suçlamayın: bu onları yalnızca güvenlik sürecinden yalıtır ve kendilerine güvendiklerini ve şirket güvenliğine dahil olduklarını hissettiklerinde daha mutlu bir iş gücünden bahsetmiyorum bile daha iyi sonuçlar alırsınız.
Beş klasik sosyal mühendislik hilesi
USB tohumlama, kötü amaçlı yazılım bulaşmış USB çubuklarının hedef binanın dışına bırakıldığı veya hatta resepsiyondaki masalara veya çalışanların uğrak yeri olan yerel bir kafeye bırakıldığı yerdir. Çok sık olarak, meraklı bir bulucu, çubuğu hemen iş bilgisayarına takar ve ağ güvenliğiniz artar.
Benzer bir istismar, sözde ürün demo CD’lerinin bir kuruluştaki bireyleri hedeflemek üzere gönderildiği “İsrail Truva Atı” hilesidir. Birçoğu, ikinci kez düşünmeden CD’yi yerleştirirdi. Bugün tehdit aktörü önceden iletişime geçebilir, bu nedenle alıcı diski veya e-postayı almayı bekler ve bu nedenle ona güvenmeye daha yatkındır.
Kimlik avı saldırıları, sosyal mühendislikle iyi çalışır. Hesap departmanından biri, ayın sonuna doğru yasal görünen bir ACİL FATURA’ e-postası alırsa, özellikle uzantı bir .pdf gibi görünecek şekilde sahteyse, eki tıklatarak zarar verebilirler.
Arayan kimliği sahtekarlığı, alıcıya gerçek bir kişi gibi görünen sahte bir numaradan telefon aramaları yapmayı veya metin mesajları göndermeyi içerir. İletişim hattı zaten güvenilir olduğundan, bu yaklaşım hem incelikli hem de tehlikeli derecede etkilidir.
FBI’a göre işletmelere 2,3 milyar dolara mal olduğu tahmin edilen son bir yaklaşım da CEO dolandırıcılığı. Bu, e-posta veya CEO’nun acil bir para transferini onayladığı iddia edilen başka bir iletişim olabilir. Bu yöntemi kullanan siber suçlular normalde mesajın meşru görünmesini sağlamak için çok çalışır ve dikkatle seçilmiş birkaç çalışana göndererek parayı hızla gönderecek birini hazırlıksız yakalama şansını artırır.
Yazının orijinali için tıklayınız.