Sosyal mühendislik
Bilgi güvenliği bağlamında sosyal mühendislik, eylemleri gerçekleştirmeye veya gizli bilgileri ifşa etmeye yönelik olarak insanların psikolojik manipülasyonudur. Bu, gizli bilgilerin ifşa edilmesiyle ilgili olmayan sosyal bilimlerdeki toplum mühendisliğinden farklıdır. Bilgi toplama, dolandırıcılık veya sistem erişimi amaçlı bir tür güven hilesi, genellikle daha karmaşık bir dolandırıcılık planındaki birçok adımdan biri olması nedeniyle geleneksel bir hileden farklıdır.[1][2]
Bilgi güvenliği kültürü
Çalışan davranışının bilgi güvenliği üzerinde büyük etkisi vardır. "Örgüt Kültürü ve Bilgi Güvenliği Kültürü Arasındaki İlişkiyi Keşfetmek", bilgi güvenliği kültürünün şu tanımını sağlar: "ISC, her türden bilginin korunmasına katkıda bulunan bir kuruluştaki davranış kalıplarının toplamıdır."[3]
Andersson ve Reimers (2014), çalışanların kendilerini genellikle organizasyonun Bilgi Güvenliği "çabasının" bir parçası olarak görmediklerini ve genellikle organizasyonel bilgi güvenliğinin çıkarlarını göz ardı eden eylemler gerçekleştirdiklerini bulmuştur.[4] Araştırmalar, Bilgi güvenliği kültürünün sürekli olarak geliştirilmesi gerektiğini gösteriyor. Bilgi güvenliği kültürünü yönetmek için beş adım atılması gerektiğini öne sürülür: Ön değerlendirme, stratejik planlama, operasyonel planlama, uygulama ve son değerlendirme.[5]
- Ön Değerlendirme: Çalışanlar arasında bilgi güvenliği farkındalığı düzeyini belirlemek ve mevcut güvenlik politikasını analiz etmek.
- Stratejik Planlama: Daha iyi bir farkındalık programı oluşturmak için net hedefler belirlemek.
- Operatif Planlama: İç iletişim, yönetimin katılımı, güvenlik bilinci ve eğitim programına dayalı iyi bir güvenlik kültürü oluşturmak.[5]
- Uygulama: Bilgi güvenliği kültürünü uygulamak için dört aşama kullanılmalıdır: Yönetimin katılımı, organizasyon üyeleriyle iletişim, tüm organizasyon üyeleri için kurslar ve çalışanların katılımı.
Teknikler ve terimler
Tüm sosyal mühendislik teknikleri, bilişsel önyargılar olarak bilinen insan karar verme sürecinin belirli özelliklerine dayanır.[6] Bazen bu önyargılar, bazıları aşağıda listelenmiş olan saldırı tekniklerini oluşturmak için çeşitli şekillerde kullanılır. Sosyal mühendislikte kullanılan saldırılar, çalışanların gizli bilgilerini çalmak için kullanılabilir. En yaygın sosyal mühendislik türü telefonla gerçekleşir. Sosyal mühendislik saldırılarına diğer bir örnek, şirket sırlarını çalarken fark edilmeyen görevliler olabilir.
Sosyal mühendisliğin bir örneği, şirket bültenine yardım masası numarasının değiştiğini söyleyen resmi görünümlü bir duyuru gönderen kişidir. Bu duyuruyu gören çalışanlar yardım istediğinde, birey onlardan şifrelerini ve kimliklerini sorar ve böylece şirketin özel bilgilerine erişme şansı kazanır. Sosyal mühendisliğin bir başka örneği, bilgisayar korsanının bir sosyal ağ sitesinde hedefle iletişime geçmesi olabilir. Bilgisayar korsanı yavaş yavaş hedefin güvenini kazanır ve ardından bu güveni parola veya banka hesabı ayrıntıları gibi hassas bilgilere erişim için kullanır.[7]
Sosyal mühendislik, büyük ölçüde Robert Cialdini tarafından oluşturulan altı ilkeye dayanır: karşılıklılık, bağlılık ve tutarlılık, sosyal kanıt, otorite, sempati, kıtlık.
Altı temel ilke
- Karşılıklılık - İnsanlar kendisine yapılan bir iyiliğe karşılık verme eğilimindedir, örneğin pazarlamada ücretsiz örneklerin yaygınlığı bu nedenledir. Cialdini konferanslarında, Etiyopya'nın o sırada felç edici bir kıtlık ve iç savaştan muzdarip olmasına rağmen, 1985 depreminden hemen sonra Meksika'ya binlerce dolar insani yardım sağlaması örneğini sık sık kullanıyor. Etiyopya, İtalya'nın 1935'te Etiyopya'yı işgal ettiği sırada Meksika'nın sağladığı diplomatik desteğe karşılık veriyordu. İyi polis / kötü polis stratejisi de bu prensibe dayanmaktadır.
- Bağlılık ve tutarlılık - İnsanlar bir fikre veya hedefe sözlü veya yazılı olarak taahhüt verirlerse, bu bağlılığı yerine getirme olasılıkları daha yüksektir. Cialdini, Çinliler'in Amerikan savaş esirlerinin kendi imajlarını yeniden yazmak ve otomatik olarak zorlanmadan itaat kazanmak için beyinlerini yıkadıklarına dikkat çekiyor. Diğer bir örnek, pazarlamacıların kullanıcıya pop-up ekranı kapatma sırasında "Daha sonra kaydolurum" veya "Hayır teşekkürler, para kazanmamayı tercih ederim" şeklinde seçenekler sunmalarıdır.
- Sosyal kanıt - İnsanlar, diğer insanların yaptığını gördükleri şeyleri yaparlar. Örneğin, bir deneyde, bir veya daha fazla katılımcı gökyüzüne bakar; daha sonra etrafta bulunanlar neyi kaçırdıklarını görmek için gökyüzüne bakarlar. Bkz:Asch deneyi.
- Otorite - İnsanlar, sakıncalı davranışlarda bulunmaları istense bile otorite figürlerine itaat etme eğiliminde olacaktır. Cialdini, 1960'ların başındaki Milgram deneyleri ve My Lai katliamı gibi olayları örnek verir.
- Sempati - İnsanlar sempati duydukları diğer insanlar tarafından kolayca ikna edilir. Cialdini, Tupperware'in artık viral pazarlama olarak adlandırılabilecek olan pazarlamasından bahsediyor. Satan kişiyi beğenen insanların satın alma olasılıkları daha yüksektir.
- Kıtlık - Algılanan kıtlık talep yaratacaktır. Örneğin, tekliflerin "yalnızca sınırlı bir süre için" mevcut olduğunu söylemek satışları teşvik eder.
Karşı Tedbirler
Kuruluşlar, güvenlik risklerini şu yollarla azaltır:
Çalışan Eğitimi Çalışanları, konumlarıyla ilgili güvenlik protokolleri konusunda eğitmek.
Standart Çerçeve Çalışan / personel düzeyinde güven çerçeveleri oluşturmak (yani, hassas bilgilerin ne zaman / nerede / neden / nasıl ele alınacağını belirlemek ve personeli eğitmek)
Bilgilerin İncelenmesi Hangi bilgilerin hassas olduğunu belirleme ve sosyal mühendislik ve güvenlik sistemlerindeki arızalara (bina, bilgisayar sistemi vb.) raruz kalma durumunu değerlendirme.
Güvenlik Protokolleri Hassas bilgilerin işlenmesi için güvenlik protokolleri, politikaları ve prosedürleri oluşturma.
Olay Testi Güvenlik çerçevesi için habersiz, periyodik testlerin gerçekleştirilmesi.
Aşılama İkna girişimlerine benzer veya ilgili girişimlere maruz kalma yoluyla direnç aşılayarak sosyal mühendislik ve diğer hileli hileler veya tuzakları önlemek.[8]
Gözden Geçirme Yukarıdaki adımları düzenli olarak gözden geçirmek: bilgi bütünlüğüne yönelik hiçbir çözüm mükemmel değildir.[9]
Atık Yönetimi Kilitli çöp kutuları bulunan, anahtarları yalnızca atık yönetimi şirketi ve temizlik personeli ile sınırlı bir atık yönetimi hizmeti kullanmak.[10]
Sosyal mühendisliğin yaşam döngüsü
- Bilgi toplama, mağdurun alışkanlıklarını çok sabır ve dikkatle izlemeyi gerektiren ilk ve en önemli adımdır.
- Mağdurla ilişki kurma - Gerekli miktarda bilgiyi topladıktan sonra, saldırgan, mağdurla uygun bir şekilde konuşma açar.
- Saldırı -Bu adım genellikle hedefle uzun bir etkileşim süresinden sonra ortaya çıkar ve bu sırada hedeften sosyal mühendislik kullanılarak, aşamalı olarak bilgi alınır.
- Kapanış etkileşimi - Bu, mağdurda herhangi bir şüphe uyandırmadan saldırgan tarafından iletişimin yavaşça kapatılmasını içeren son adımdır. Mağdur saldırı gerçekleştiğini bile nadiren anlar.[11]
Önleyici tedbirler
Bazı önlemler, sosyal mühendislik dolandırıcılıklarının kurbanı olma riskini azaltır:
- "Gerçek olamayacak kadar iyi" görünen tekliflerin farkında olmak.
- Bilinmeyen kaynaklardan gelen eklere tıklamaktan kaçınmak.
- E-posta, telefon veya kısa mesaj yoluyla kimseye kişisel bilgi vermemek.
- Spam kutusu gibi spam filtre yazılımlarının kullanılması.
- Gerçek hayatta tanınmayan insanlarla sanal ortamda arkadaş olmaktan kaçınmak.
- Çocuklara internet üzerinden zorbalığa (siber zorbalık) maruz kalmaları veya çevrimiçi herhangi bir şey tarafından tehdit altında hissetmeleri durumunda güvendikleri bir yetişkinle iletişime geçmelerini öğretmek.[12]
Popüler kültürde
Sosyal mühendisliğin başarı için belirlenmiş bir reçetesi olmasa ve yazılı olarak resmetmek zor olsa da, sosyal mühendislik kavramları ve uygulamaları televizyon ve filmlerdeki sahnelere uyarlanmıştır. Bu örnekler, böyle bir saldırının nasıl gerçekleştirilebileceğini göstermektedir.
- Ocean's Eleven (1960/2001) filmi, ekip bir kumarhaneyi soymak için sosyal mühendisliği kullanıyor.
- The Thomas Crown Affair (1999) filminde, karakterlerden biri, gardiyanı görevinden uzaklaştırmak için telefonda bir müze bekçisinin amiri gibi davranır.
- Catch Me If You Can (2002) filminde ana karakter, gerçek bir hikayeye dayanan çok çeşitli sosyal mühendislik taktikleri kullanır.
- Live Free or Die Hard (2007) filminde Justin Long, babasının bir On-Star Assist temsilcisinin çalıntı bir arabaya dönüşecek olan şeyi başlatması için kalp krizinden ölmekte olduğunu bahane eder.
- Who Am I (2014) filminde ana karakterler çeşitli sosyal mühendislik teknikleri kullanırken görülüyor.
- Mr.Robot (2015) adlı dizide Darlene, USB flash sürücüleri (kötü amaçlı yazılım içeren) bir hapishane girişinin dışına dağıtır ve meraklı bir gardiyan sürücülerden birini bilgisayar iş istasyonuna taktığında hapishanenin dahili ağını tehlikeye atar.
Kaynakça
- Security engineering: a guide to building dependable distributed systems. 2nd. Indianapolis, IN: Wiley. 2008. s. 1040. ISBN 978-0-470-06852-6.
- "Social Engineering Defined - Security Through Education". Security Through Education (İngilizce). Erişim tarihi: 3 Ekim 2018.
- Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.
- Anderson, D., Reimers, K. and Barretto, C. (March 2014). Post-Secondary Education Network Security: Results of Addressing the End-User Challenge.publication date Mar 11, 2014 publication description INTED2014 (International Technology, Education, and Development Conference)
- Schlienger (2003). "Information security culture-from analysis to change". South African Computer Journal. 31: 46-52.
- Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
- Hatfield (Haziran 2019). "Virtuous human hacking: The ethics of social engineering in penetration-testing". Computers & Security. 83: 354-366. doi:10.1016/j.cose.2019.02.012.
- Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, June 3–4.
- Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
- Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240-241.
- "social engineering – GW Information Security Blog". blogs.gwu.edu. 18 Şubat 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Şubat 2020.
- "What is Social Engineering | Attack Techniques & Prevention Methods | Imperva". Learning Center (İngilizce). 19 Aralık 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Şubat 2020.
Dış bağlantılar
- Sosyal Mühendislik Temelleri - Securityfocus.com . Erişim tarihi: 3 Ağustos 2009.
- "Social Engineering, the USB Way". Light Reading Inc. 7 Haziran 2006. 13 Temmuz 2006 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2014.
- Sosyal Mühendislik Sızma Testinin bir parçası olmalı mı? - Darknet.org.uk . Erişim tarihi: 3 Ağustos 2009.
- "Tüketicilerin Telefon Kayıtlarının Korunması", Elektronik Gizlilik Bilgi Merkezi ABD Ticaret, Bilim ve Ulaşım Komitesi . Erişim tarihi: 8 Şubat 2006.
- Plotkin, Hal. Basına Not: Ön Yazı Zaten Yasadışı . 9 Eylül 2006'da alındı.
- Şifreler için striptiz - MSNBC. MSN.com . 1 Kasım 2007'de alındı.