Cyber-Warrior.Org \ Doküman \ Social Engineering

Sosyal Mühendislik

1- GERÇEK HIKAYELER:

Adi bilinmeyen bir kisi telefonla aradigi bir bayana,kendisinin yerel bir sirketin müsteri hizmetlerinden oldugunu ve yaptiklari yerel bir hata yüzünden kredi kart bilgilerinin ve sosyal güvenlik numaralarinin silindigini söyler.

Bu kisi sözkonusu kisiden Isim ve soy ismini, adresini, kredi kart numarasini, sosyal güvenlik numarasi gibi bilgilerini alir. Bu olay üzerinden 20 gün gibi bir süre geçtikten sonra o kisiye gelen 2500 dolarlik faturanin detaylari söyledir;

1 diz üstü bilgisayar,3 mp3 çalar ve 2 dvd oynatici.

Elbette ki tüm hackerlarin her zaman bilgisayar basinda ,açiklari bulunan servisleri sömürme yoluyla kredi karti numarasi gibi özel bilgilere ulastiklari söylenemez.

Bazen hackerlar in tüm yaptigi bir insani telefonla arayarak onun aptalligini sömürmektir.

24 farkli güvenlik acentesinde güvenlik test emri bulunan ABD genel hesap ofisi bas teknoloji uzmani Keith A. Rhodes e göre bir sebekeye girebilmek ve sömürebilmek için her zaman mevcut bir yol vardir ya da bulunabilir fakat bazen insanlarin arasina karisarak ve onlari kandirarak onlarin kendi güvenliklerini tehlikeye atmalarini saglamak daha kolaydir.

MCommerce güvenliginde görevli bir güvenlik uzmani olan Kapil Raina tarafindan; Yeni Baslayanin rehberi :

Önceki bir isverenle asil isyeri tecrübesi temelli.

Hikaye söyledir;

Bundan bir kaç yil önce bir sabah bir grup yabanci büyük bir ticaret filosu firmasina yürüyerek girerler ve filonun tüm mali bilgilerini tamamen ele geçirdiler. Bunu nasil yapmislardi ? Firmanin bir kaç farkli çalisaninin numarasiyla azar azar erisimin küçük miktarlarini elde ederek yapmislardi.

Öncelikle sirkete ayak basislarindan 2 gün kadar önce sirket hakkinda ön arastirma yapmislardi.

Örnegin ön kapida sanki anahtarlarini kaybetmis gibi numara yaptilar ve bir adam onlarin içeri girmelerine izin verdi. Daha sonra 3. güvenlikli kapiyi geçmek için gülümseyerek kimlik rozetlerini kaybettiklerine inandirdirdiklari görevliye kapiyi açtirmayi basardilar.

Bu yabancilar CFO sirketinin sehir disinda oldugunu bildiklerinden ofise rahatlikla girerek sirket bilgisayarlarindaki tüm mali veriyi elde ettiler. Çöp karistirircasina tüm faydali dökümanlari aradilar ve buldular. Ve daha sonra bulduklari dökümanlari kapicidan istedikleri çöp kutusunun içine saklayarak tüm veriyi bina disina cikardilar.

Bu yabancilar aslinda CFO sirketi için bir güvenlik denetimi yapmak üzere tüm bunlari tasarlamis olan ve sirket adina çailsan güvenlik uzmanlariydilar ve sirket çalisanlarini sosyal mühendislik sayesinde kandirmayi basarmislardi.

2-TANIM

Sosyal mühendisligin temel amaçlari hakkinda bir çok makale okumus biri olarak hackerlar tarafindan bir çok farkli yollarla kullanilan Sosyal Mühendiligin basitçe tanimini söyle yapabilirim;

Sahtekarlik ve casusluk yapabilmek için direk bir insana karsi bazi ikna özelliklerinin kullanilarak ya da bir sistem ya da sebekeye direk erismek olarak tanimlanabilir.

Hedefler;ticari sirketler,mali ve kültürel kurumlar,hastaneler oalbilirken kimi zamanda basit bir yahoo hesabi olabilir.

3-IKNA VE ETKI TEKNIKLERI

OTORITE:

Sosyal psikoloji edebiyati açisindan bir kisiyi ikna etmek ya da etkileyebilmek için çevresel sartlarinda önemli oldugu bir durumda 6 muhtemel faktör oldugu varsayilir.

3 Midwestern Hastanesinde yapilan bir çalisma göstermistir ki insanlar otoriter konumdaki kisiliklerin sorularina daha kolay ve rahat yanit vermekte otoriter kisiler insanlari daha kolay etkileyebilmektedirler.

Yapilan çalismada 22 ayri hemsirenin bulundugu hastanede kendisini doktor olarak tanitan bir kisi hemsirelere kogusta bulunan özel bir hastaya 20 miligramlik özel bir dozajda günde 2 kez ilaç verilmesini söyler.

Hemsireler daha önce hiç görmedikleri ve konusmadiklari bu kisinin kendisini doktor olarak tanitmasindan dolayi herhangi bir süpheye düsmemislerdir.

Olaylarin %95 inde doktorun belirttigi dozun cok tehlikeli oldugunu bildikleri halde hemsireler kogus ilaç kabininden zorunlu-sözde doktorun-belirttigi ilaç miktarini almaya devam etmislerdir. Tabi daha sonra gözlemciler tarafindan hemsirelere olay açiklanmistir.

KITLIK:

Insanlar bir dönem boyunca az ya da sinirli olan özel bir madde söz konusu oldugunda göstergelere yüksek ölçüde yanit vermektedirler.

Doktor Jack Brehm in Stanford Üniversitesinde yaptigi arastirmaya göre insanlarin özgürlügünü elinden alan ya da kisitlayan bu durumlarda kisinin madde üzerindeki ilgisi daha fazla artmakta ve asiri bil hal almaktadir.

Hatta arastimalar göstermistir ki maddenin kisa süreli tedarik edilmesi sonucunda maddeye olan ihtiyaç ve istek daha da artmaktadir.

BEGENME VE BENZERLIK:

Ayni karakteristik özelliklere sahip yada benzer spor,müzik,sanat egilimleri bulunan ve dogum yerleri ayni olan kisilerin birbirini etkilemesi ve tesvik etmesi daha kolay olmustur.

KARSILIK VERME:

Iyi bir sosyal iletisim kuralinin gerektirdigi gibi herhangi bir kisi bize bir sey verirse biz de kendimizi ona bir sey verme zorunlulugu hissederiz; öyle ki kisi istedigi herhangi bir seyi karsi taraftan istemeden,karsi taraf kendiligiden iyiligi yaparsa kuskusuz yardim edilen kisi-iyiligin karsilikli oldugu kuralina riayet etmek için- iyiligin karsiligini vermekte daha kuvvetli bir yükümlülük hisseder.

TAAHHÜT VE TUTARLILIK:

Kisinin toplum içindeki yerini belirleyen en büyük unsurlardan bir tanesi tutarliliktir. Eger biz,verdigimiz bir sözü tutmaz yada yapacagimizi söyledigimiz bir olayi gerçeklestirmekte basarisiz olursak toplum içinde neredeyse tamamen güvenilmeyen ya da istemenyen bir kisi pozisyonuna düsebiliriz. Iste bu yüzden sözlerimizin arkasinda durabilmek için bu yolda oynayabilmek için büyük acilar çekilecek olsa bile bunlari göze almaliyiz. Aradan uzun zaman geçtiginde tutarlilik adina yaptiklarimizn gerçekten akilsizlik gibi görünse bile.

Sosyal Gelenegin ve pratigin bizleri kisinin tutarliligina inandirdigi yollardan birisi,kisinin -yazma- isini nasil kullandigidir.

Sosyal Psikolog Robert Cialdini’ye göre -aksini ispat eden bir kanit yoksa- insanlar kendilerine söylenen bir cümlenin söyleyen kisinin gerçek görüsü olduguna inanmaya egilimlidirler. Üstelik eger kisi cümlesini kendi kelimeleriyle yazmissa buna ek olarak bu cümlelerini bir mektup,bir e-posta yada yeminli bir ifade seklinde ve kendi inançlari ve görüslerini de ekleyerek yazip yollamissa karsisindakini etkileme sansi daha fazladir.

SOSYAL KANIT:

Bir çok sosyal durum karsisinda neyin uygun olup olmadigini kararlastirmamizda bizim güvendigimiz kisa yollardan biri çevremizdeki insanlari izleyerek onlarin ne yaptiklarini ya da bir durum karsisinda ne diyeceklerini düsünmemizdir. Bu sosyal kanit olarak bilinen olguya göre yapacagimiz üzerinde fazla düsünmeden harekete geçtigmiz için kimi zaman bu hareketler bizim kisisel çikarlarimiza ters düsebilir.

4-HACKER LARIN KULLANDIGI BAZI YÖNTEMLER:

Internet Sahtekarligi Adina Bazi Online Uygulamalar

E-Posta Parolalari Ve Kredi Karti Numaralari

Simdi bu kisimda sizlere açgözlülügün etkilerinden bahsedecegim. Düsünün ki kurban kendisine gelen Mercedes-2003 veya 10 bin dolar teklif eden kendisinin kullanici adini ve parolasini almaya yönelik düzenlenen hatta kimi zaman kredi karti numarasini ya da sosyal güvenlik numarasini talep eden bir e-postayi istenilen bilgileri yazarak cevapliyor.

Bu teknik çogunlukla kullanicilarin kredi kartlarini ya da e-posta bilgilerini hedef alir.

Bir diger bilinen klasik tuzaklardan biri müsterilere bir hata dolayisiyla silinen isim, soyisim, parolalarin, dogum tarihi ve gizli sorunun cevabi kim bilgierin kurbana kayit formu seklinde gönderilerek bu bilgilerin ele geçirilmesi metodudur.

Mutlaka ki hacker in iyi bir html, java ya da php programcisi olmasina saatlerini harcayarak html kodlamasi yapmasina gerek yoktur.

Sadece ihtiyaci olan,kurbani inandirabilecegi ve e-posta yi cevaplatarak bilgileri elde edecegi bu formu olusturabilmektir.

Herseyden önce eminim ki çogunuz bir html formunun nasil çalistigini biliyorsunuz.

Simdi 5 dakikadan az bir sürede nasil html formu yapildigini görelim.

Evet, diyelim ki bir yahoo hesabinin parolasiyla ilgileniyoruz. Hacker öncelikle saldirinin etki biçimini ve otorite etkisini belirlemelidir. Ilk olarak yahoo mail sayfasina girerek kisinin formu kayit formu doldururken neler yazabilecegini düsünür ve bunlari dener.

( http://edit.yahoo.com/config/eval_register?

.v=&.intl=&new=1&.done=&.src=ym&.partner=&.

p=&promo=&.last=so)

yukarida ki formumuz ve ihtiyacimiz olan bir kaç ögeyi degistirmektir.

2.Adimda sayfanin html kaynagini almaktir. Çünkü üzerinde degisiklik yapacagiz. Aldigimizda tek yapmamiz gereken -silmek- olacak.

(<FORM name=IOS onsubmit="return hash(this)"

action=https://edit.yahoo.com/config/register)

Yahoo web script ile veriyi isleme koyduktan sonra bilgileri kendi scriptimizde http adres yerine yazip yolladiktan sonra asagida kalan verileri silecegiz.

<INPUT type=hidden

value=1 name=.save> <INPUT type=hidden value=0 name=.accept> <INPUT type=hidden

name=.demog> <INPUT type=hidden name=.done> <INPUT type=hidden name=.fam> <INPUT

type=hidden name=.i> <INPUT type=hidden name=.last> <INPUT type=hidden value=ym

name=.src> <INPUT type=hidden value=0 name=.regattempts> <INPUT type=hidden

name=.partner> <INPUT type=hidden name=promo> <INPUT type=hidden name=.ignore>

<INPUT type=hidden name=.pwtoken> <INPUT type=hidden value=ets8ig8vfdqbg

name=.u> <INPUT type=hidden value=1 name=.v> <INPUT type=hidden name=.md5>

<INPUT type=password maxLength=32 name=.pw <INPUT type=password maxLength=32 name=.pw2

Evet simdi formu degistirdik ve ihtiyacimiz olan küçük bir php perl scripti olusturmak bunu 2 sekilde yapabiliriz hazir bir perl scripti yükleyerek uygun bir server a yerlestirmek ya da hacker in metin ismini bildigini varsayarak bir arama motoru yoluyla scripti bulmasi olacaktir.

Ve simdi gerekli herseye sahibiz;

Bu hacker in e-posta bilgileridir-verinin dönüs yapacagi yer-

Bu mailin konusu;

Gerçekten çok ihtiyaç olmasa da kurbanin ip adresi ve host ismi;

Bu da kurban formu doldurduktan sonra ag posta metninin yönlenecegi yer;

En önemlisi,kurbanin sifre bilgileri;

<INPUT type=password maxLength=32 name="passwd"

<INPUT type=password maxLength=32 name="passwd2"

Ve son olarak hacker asagidaki gibi bir mesaj ekleyebilir.

Veri tabanimizdaki bir hata yüzünden tüm bilgileriniz silinmistir. Lütfen bir kaç dakikanizi ayirip asagidaki bilgileri doldurunuz.Tesekkürler.

Simdi geri kalan [email protected] ya da [email protected] gibi bir mail adresi almak.

Kurbani etkilemeni bir çok yolu vardir.

Html formu yollamak, Truva atlatiyla etkiledigi sisteme girmek gibi.

Bunun iyi bir örnegi;

Bir hacker konstugu kisiye arabasinin satilik ve oldukça ucuz oldugundan bahseder. Daha sonra kurbana içinde arabanin resminin bulundugu ekli bir mail yollayarak truva atini kurbanin bilgisayarina birakir.

INTERNET ÜZERINDEN YAPILAN AÇIK ARTTIRMALAR;

Yukarida bahsettigimiz 3 psikolojik etkiyi kurban üzerinde olusturup inanmasi saglandiktan sonra üzerinde açik arttirma yapilan malin bedelinin kurbana ödetilmesi saglanir.

5-SOSYAL MÜHENDISLIGI ÇEVIRMEK:

Istenilen bilgiyi kazanmanin son metodu olarak sosyal mühendisligi çevirmeyi gösterebiliriz.

Yine otoriteyi kullanarak hacker insanlarin karsisina öyle bir pozisyonda çikar ki, örnegin bir isyerindeki isçiler herhangi bir is için tüm plan,uygulama ve analiz durumlarini sosyal mühendisten almaya baslarlar.

6-SON:

Sosyal Mühendisligin çok çesitli yollari vardir.

Bunlar e-posta göndererek backdoor olusturarak yapilabilir.

Insanlarin cehalet ve aptalliklari yamanmadigi sürece Sosyal Mühendislik hep etkili olacaktir.