Sosyal Mühendislik Nedir ve örnek senaryolar
Sosyal mühendislik nedir ? Sosyal mühendis kimdir ? Sosyal mühendislik teknikleri nelerdir ?
Merhabalar arkadaşlar,
Bu yazımda size sosyal mühendis nedir, kimdir, ne iş yapar, nasıl yapar bunlardan bahsetmeye çalışıp birkaç denk geldiğim veya uyguladığım sosyal mühendislik deneyimimi sizlere aktarmaya çalışacağım.
Yazımın sonunda da 5 adet örnekle, taktik, saldırı artık ne ad vermek istiyorsanız öğrenmiş olacaksınız.
Öncelikle günümüzün popüler cümlelerinden olan sosyal mühendisliğin tarihinden başlayalım.
Sosyal mühendislik dediğimizde aklımıza ister istemez gelen ilk isim Kevin Mitnick oluyor. Kendisinin aldatma sanatı adında konuyla ilgili bir kitabı da mevcut.
Tabii ki sosyal mühendislik kavramı Kevin Mitnick ile ortaya çıkmadı, kendisi sosyal mühendisliğin önemini ve kullanımını insanlara hatırlatan değerli bir güvenlikçi.
Biz Kevin Mitnicki boş verip, sosyal mühendislik yolundan ilerleyelim.
Mühendislik denince ülkemizde hemen herkesin aklına ilk etapta bir bölüm, üniversite, diploma geliyor ama bu mühendislik dalının diplomayla işi yok. Biraz kaldırım mühendisi gibi fakat daha ziyadesiyle kaldırım yapma işini kendi yararına yaptıkları söylenebilir.
Sosyal mühendislik basitçe elde edilmek istenen bilgiyi, karşıdaki insanı yanıltarak elde etmektir. Bunun çeşitli yolları mevcut.
Örneğin bir kişinin mailini veya herhangi bir sitedeki oturumunu hacklemek için göndermiş olduğunuz fake* sosyal mühendisliğin basit bir yöntemidir veya mailinize, cep telefonunuza sürekli gelen “müjde x kazandınız” temalı mesajların da temel prensibi sosyal mühendisliktir, sizi aldatmaya yöneliktir.
Bunun neresi aldatma, bunun neresi mühendislik derseniz yanılırsınız.
Hazır yeri gelmişken, size tanıdık bir sosyal mühendislik hikayesinden bahsedeyim. Muhtemelen anlatınca aa böyle durumları hatırlıyorum" diyeceksiniz bu bahsedeceğim durum sayesinde insanlar çok fazla para kazandı/kaybetti temel mantık ile aldatıldı.
Senaryo 1;
2000-2009 yılları arasında bildiğiniz gibi MSN iletişimde devir yaratmıştı. Hala çoğu yer ve kişi tarafından kullanılmakta her ne kadar yerini Skype’a devretmiş olsa da aldatan ve aldatılanlar bu platformu asla unutmayacak.
Hatırlayacağınız gibi MSN’de görüntülü sohbet imkanı mevcuttu. Bu imkanı hepimiz askerdeki oğluyla, gurbetteki anasıyla görüşmek amacıyla kullanmadı. Bir kısmımız “hatun düşürmek” tabiri adı altında karşı cinsle konuşma güdüsüyle kullandı ve sonuçları bazıları için ağır oldu. Buradan yurdum insanlarının cinsel dürtüleri ile ilgili tespit yapmayacağım merak etmeyin.
Bildiğiniz gibi internette kamera üzerinden soyunan bir çok insan evladı var. Bunların kayıtlı görüntüleri de mevcut bir kısmı “role play” olsa da insanlar çoğu zaman gözü dönmüş dürtüler ile bilgisayar kullandığı için bunun farkına varamıyordu.
Hele bir de insanlarımızın internete ve cinselliğe bakış açısını masaya yatırdığımızda ortaya çıkan sonuçlar kimi zaman tüyler ürpertiyor. Bu senaryo da bunlardan biri.
Bu bahsettiğimiz dönem bildiğiniz gibi GSM operatörlerinin bir SMS için yaklaşık 40kr. talep ettikleri dönemdi. Bu yüzden kontör değerliydi. Bir takım insanlar da cinsel dürtüleri bastırılmamış arkadaşlarımızı aldatarak kontör ihtiyacını karşılamaya başladı. Hatta bu tatlı gelince kontörü sadece kendi yararına kullanmayı bırakıp, ayrıca satmaya/pazarlamaya bu alandan para kazanmaya başladı.
Nasıl mı ?
İnternette Fake Webcam, Video2Webcam tarzında onlarca program bulunmakta. Bu programlar yardımıyla ekledikleri yurdum cinselliğine aç gençliğini sahte görüntüler ile kandırdı. Önce biraz kadın/kız gibi sohbet etti. Daha sonra kamera açıldı. Dilerse kamerada soyunabileceğini iletti. Karşı taraf bilgisayarda canlı olarak yazan güzel bir kız görünce bunun sahte olabileceğini aklından bile geçiremedi. Sonuçta o dönemde internet üzerinden birileriyle görüntülü konuşmak bile kimi insanlar için büyük bir hayaldi. Bunun sahtesinin yapılmasını ise ne yazık ki aynı arkadaşlar için hayal edilemez bir durumdu.
Kamerada konuşmaya devam etmek, soyunmak için insanlardan para istemek tehlikeliydi.
Neden ?
Parayı tahsil edebilmek için ya bir banka hesabı ya da postane kullanılabilirdi. Her iki durum da da isim verilmek durumundaydı hepsinden önemlisi yakalanma ihtimali yüksekti. Bu kamerada soyunma olayının kullanılabileceği en basit ve kusursuz yöntem karşıdaki insandan ona kontör almasını rica edip, karttaki numarayı iletmesini istemekti.
Bu sayede sahte bir kamera görüntüsü, yaklaşık 30 dakikalık bir işlem sonucunda 20 TL’lik kontör kazanılıyordu. Bunlar da yine başka insanlara farklı yollarla satılıyordu.
Gördüğünüz gibi basit mantıkla aldatılan ve aldatan var. Burada aldatanın yaptığı işleme sosyal mühendislik deniyor.
Aranızdan bazılarının yuh ya, bunun sosyal mühendislikle ne alakası var dediğini duyar gibiyim. Bu yüzden benzer fakat kabul edilebilir farklı bir sosyal mühendislik numarasıyla devam edicem.
Senaryo 2;
Yöntem yine aynı, MSN üzerinden birilerinin hesapları hackleniyor (Senaryo 3’te bunun ile ilgili bir yöntem anlatıcam) ve akrabalar benzer bir yöntem ile hedefleniyor.
Nasıl mı ?
Mail adresi örneği vereyim [email protected] (umarım birine ait değildir, sallayayım dedim, mail adresi sahibi bilgi verirse maili değiştirebilirim) diye bir mail adresi hacklendi. MSN açılıp, kişi listesine göz atıldığı zaman içinde ayse_karaabdulhamitov@, mehmet_karaabdulhamitov@.. şeklinde bir sürü adres bulunuyor.
Bu adres İbrahimin eş, dost akrabası olduğu için aldatması kolay nasıl mı ? aşağıda basit bir diyalog ile durumu özetlemeye çalışacağım.
SM: Sosyal Mühendis (ibrahim_karaabdulhamitov) VT: Victim (ayse_karaabdulhamitov)
SM: acil bakar mısın :(((( SM: ibrahim_karaabdulhamitov size bir titreşim gönderdi. VT: Buyur ablam. SM: Abla, acil paraya ihtiyacım var ama lütfen kimseye söyleme. Geçen arkadaşımdan borç almıştım. kot pantolon almak için o da şimdi sorun yapıyor. Parayı vermezsem bizimkilere söyleyecek. Lütfen yardım et. (Bakın buraya kadar Ayşe’nin kim olduğunu bile bilmiyoruz. Annesi olabilir, ablası olabilir, kardeşi olabilir teyzesi olabilir. Önemli nokta diyalog sırasında olabildiğince ucu açık çümleler kurmak. bizimkiler, arkadaş vs…) VT: Ne kadar lazım ? gel eve vereyim çabuk. Bir daha da böyle şeyler yapma! neden milletten para alıyorsun ki ? ihtiyacın olduğunda bize söyle! SM: Eve gelemem ya. utanıyorum 40 TL lazım. VT: Eve gelmezsen parayı nasıl vericem sana ? Bırak utanmayı filan, böyle şeyler yaparken utan. SM: Ya, adama zaten daha çok kontör lazım. Para olmasa da olur :( 40 TL’lik kontör alıp, şiresini gönderir misin ? n’olur ben sana veririm sonra. VT: peki.. bekle alıp geliyorum, ama bununla ilgili sonra seninle görüşmemiz gerekiyor!
Gerçek hayatta yaşanan diyaloğun imla kurallarına uymasını bekleyemeyiz ama bu örnekleme olduğu için sıkıntı yok. Gördüğünüz gibi İbrahim’in adından msn’e giren kişi Ayşe isimli kişiden rahatça kontör şifresini aldı. Şifre alındıktan sonra veya balta taşa çarpıldıktan sonra yapılacak en tutarlı işlem ise ilgili kişiyi msn üzerinden engelleyip, listedeki yeni adreslere yol almak.
İki tane yalan üzerine yürüyen sosyal mühendislik hikayesi anlattık. Bitti mi ? Bitmedi tabii ki bunlar hala bir takım arkadaşların gözünde her ne kadar yapılan işlem sosyal mühendislik hikayesi olsa da itiraz edebilir çünkü mühendislik denince insanın aklına daha zekice şeyler gelmiyor değil. (Bunlar da zekice)
O zaman biraz daha gerçek sosyal mühendislik diyebileceğimiz zekice konulara geçelim. Bundan sonraki hikayelerimiz daha çok hedef üzerinden bilgi edinerek gerçek bilgiye erişmek üzerine.
Senaryo 3;
Bildiğiniz gibi günümüzde interaktif hayat fazlasıyla yaşanıyor. İnsanlar birbirinin fotoğraflarını, gittikleri yerleri, sevdikleri şeyleri, izledikleri filmleri internet üzerinden rahatlıkla takip edebiliyor.
Hatta giderek de daha fazla bilgi internette paylaşıyoruz.
Bu güvenli sitelere verdiğimiz bilgileri, aslında vermememiz gerektiği anlamına gelmiyor, daha ziyade verdiğimiz bilgiler ile ilgili sitelerde ne gibi ayarlamalar yapmamız gerektiğini bilmemiz anlamına geliyor (gizlilik ayarları vs..).
Bildiğiniz gibi genelde sitelere üye olurken kullanıcı adı, şifre, ad, soyad, email adresi gibi bilgiler verilir. Şifreyi unuttuğumuzda ise unutulan şifreyi hatırlatması için “Gizli Soru, Güvenlik sorusu” adı altında sorular belirlenir. Bu soruların amacı, siteye kayıt olan kişinin şifresini unuttuğunda bu soruya vereceği cevap sayesinde şifresinin sıfırlanmasıdır.
Peki buradaki tehlike nedir ?
Basit bir örnekleme ile devam edeceğiz. Bir site var hacklemek istiyorsunuz veya bir e-mail adresi var bu email adresinde sizin için önemli bilgiler var. Rakip firmanızın yazışmaları bu mail üzerinden yürüyor olabilir vs..
Kısacası sizin için önemli bir email adresi var ve hacklemek istiyorsunuz. Fake mail gönderdiniz karşı taraf balığı (phishing) yutmadı. Şifre sıfırlama seçeneklerine gözattınız. Hop! Güvenlik sorusu: “Hangi takımlısın, Nerede doğdun, İlk okulu nerede okudun, ilk okuldaki öğretmeninin adı ne ?” tarzında aslında çevresindeki herhangi birinin bilebileceği cevaplar.
Sen bu kişinin etrafında değilsin, peki bu cevaplara nereden ulaşabileceksin ?
Tabii ki sosyal medya dediğimiz nimeti takip ederek. Kişinin adını soyadını bulmak çok zor değil. İlgili email adresini google gibi herhangi bir arama motoruna yazdığınızda üye olduğu bir çok site çıkacaktır veya en basitinden email atıp, gelen cevaptan mail adresinin sahibinin adını soyadını öğrenebilirsiniz.
Twitter’ı varsa twitter’ı üzerinden hangi takımlı olduğunu bulmak çok zor olmaz. Twitter’ı yok veya gizli, facebook’ta duvarı gizli. facebookta güzel bir kız profili ile eklediniz, karşı taraf kabul etmedi. Sosyal mühendisimiz köşeye mi sıkıştı ?
Tabii ki hayır. Bu adamın işi düşünmek, hayal kurmak istediği bilgiyi elde etmek. Bir insan tanımadığı birini facebookta eklerken kolaylıkla şüphelenebilir ama tanıdığı birini eklemek o kadar da zor olmaz.
Sosyal mühendisimiz bu senaryoda kişi listesinden en fazla ortak arkadaşı olan arkadaşlarından birinin profilini taklit edecek. Onun adı ve profil fotoğrafı ile sahte bir hesap açıp, o kişi gibi davranacak ilgili kişiye facebook üzerinden “xx benim profilim hacklendi. ötekini hemen sil, bunu ekle bu yeni” şeklinde mesaj atacak ve bu sayede kolaylıkla kendini facebook hesabına eklettirecek.
Sonuç mu ? Takımını öğrenmek artık o kadar zor değil, like ettiği yerlerden veya timeline’ından hangi okulda okuduğunu, hangi iş yerinde çalıştığını bulmak çok zor değil, checkin yaptığı yerlerden yaşadığı yeri öğrenmek imkansız değil.
Buradaki bilgilerden herhangi biriyle ilgili email adresini rahatlıkla hackleyip, domain, gizli bilgi artık ne lazımsa hiç bir teknik yetekenek kullanmadan, zekasıyla karşısındakini aldatıp bir şekilde istediği bilgiye ulaştı sosyal mühendisimiz.
Bu senaryo biraz daha fazla aldatmaya giriyor. Merak etmeyin bu senaryo Kevin Mitnick’in de hoşuna gidecektir.
Gelelim insanların zaaflarından faydalanarak yapılan sosyal mühendislik senaryolarından birine. Sosyal mühendisimiz bu sefer teknik bilgisini daha fazla kullanıyor.
Senaryo 4;
İşin içinde biraz hackerlik (kavram doğru değil biliyorum) yatıyor.
Günümüzde konu ile ilgili her ne kadar ek önlemler alınsa da hala modemini standart şifresiyle tutan insanlar, adsl şifesini hala ev telefonu yapan insanlar mevcut.
Bir bireyin cep telefonunu öğrenmek istiyorsunuz. Muhtemelen size küfür etti veya sizin mailinizi hackledi veya bir şeyler oldu. Bir şekilde siz bu kişinin kim olduğunu tespit etmek istiyorsunuz.
Sonuçta sosyal mühendis olduğunuz için serde hackelik var ve kişinin IP adresini tespit ettiniz. Adres çubuğuna IP adresini yazdınız hop sizi Zyxsel modem veya herhangi bir modemin arayüz penceresi karşıladı. Modemin default şifresini öğrenip denediniz.
Tatata tammm.
İçeridesiniz. Modemin bilgilerini görebiliyorsunuz.
Çoğu insan için bu pek anlam ifade etmiyor ama siz en kötü ihtimal ile hacker bozuntususunuz. Adsl bilgileri ekranına geliyorsunuz k.adı kısmında ertem.xxx@ttnet yazıyor. Yani adsl’e kayıt olmuş kişinin adı ertem. Muhtemelen aradığınız kişi Ertem veya oğlunun adı Ertem fark etmez. Ertem üzerinden yürüyebilirsiniz.
Bu kadar bilgi tabii ki pek bir şey ifade etmez. Sayfanın kaynağını görüntülemeyi akıl ederseniz şifre kısmının karşısında şifre olarak 7 haneli ev telefonununun gözüktüğünü görebilirsiniz (sonuçta şifresini ev telefonu yapmış unutmasın diye) ee peki şimdi ne olacak ?
81 ilin alan kodunu mu deneyeceksiniz ertemi bulmak için ?
Tabii ki hayır. Günümüzde ip adresinden yer bulan (google’dan ip 2 location tarzında siteleri bulabilirsiniz) siteler gayet yaygın, hikayenin geçtiği zaman da yaygındı. O sitelerden herhangi birinden IP adresinin hangi ile ait olduğunu da buldunuz. Artık alan kodu da elinizde ev telefonu elinizde ama olayı ev üzerinden halletmek istemiyorsunuz.
Kaldırdınız telefonu, evin muhtemelen hanımı ilgili kişinin annesi veya karısı telefonu açtı.
SM:Merhabalar hanım efendi, biz sağlık bakanlığından arıyoruz aile hekimliği konusunda insanları bilgilendiriyoruz. Ethem xx’in evi mi ? VT: Evet, buyrun. SM: Siz nesi oluyorsunuz acaba ? VT: Eşiyim ben. SM: İsminizi öğrenebilir miyim sayın xx. VT: Ayşe (ayşe takıntım var sanırım) SM: Ayşe hanım, bildiğiniz gibi aile hekimliği sistemine geçtik. Aile hekiminiz değişmiş bulunmakta. Bunu internet üzerinden nereden, nasıl sorgulayabileceğiniz konusunda bir fikriniz veya bilginiz var mı ? VT: Yok, eşim ilgilenir genelde bu konularla. SM: Anladım, peki bizde eşinizin cep telefonu kayıtlı gözükmüyor. Cep telefon numarasını alabilir miyiz ? VT: Bir saniye veriyorum 05xx xxx xx xx SM: teşekkürler ve sağlıklı yarınlar Ayşe hanım.
Artık elinizde Ertem’in cep telefonu var. İsterseniz Ertem ile biraz oynayabilir veya direk Ethem’i arayabiliriz.
Ethemi arayıp dilerseniz düzgün bir taktikle TC kimlik numarasını bile alabilirsiniz.
Bir çok senaryo anlattık.
Bu senaryoyu anlatmazsam olmaz. Sevdiğim bir senaryodur.
Senaryo 5;
Bu senaryoyu çok seviyorum çünkü buradaki senaryo hala aktif olarak kullanılabiliyor. En güzel yanı bir yerde insanın kendini robin hood gibi hissetmesini sağlıyor. Bu sefer hackerları haklıyoruz.
Bildiğiniz gibi r57, c99 gibi bir çok server tool’u var. Bunların amacı servera sızmak veya serverın güvenliğini sağlamak. Bazı hacker arkadaşlar bu toollar içine javascript ile kod koyup, hangi adrese yüklenmişse onu logluyorlar.
Anlaşılmadıysa biraz daha açayım şöyle ki: Siz kendi sitenize bu php scriptlerinden birini atıyorsunuz. Scripte giriyosunuz amacınız serverınızın güvenliğini test etmek. Siz scripte girer girmez otomatik olarak bu hacker arkadaşlarımıza scriptin adresi gidiyor.
Siz bir gece uyurken de onlar sizin yerinize ilgili servera girip bilgileri çalıyor veya siteleri hackliyorlar.
Robin Hood ruhlu sosyal mühendis hackerimizin aklına bununla ilgili ise şöyle bir çözüm geliyor.
İlgili scripti kendi sitesine yüklüyor. örneğin: www.merdincz.com/r57.php diye. Bir kere girdiğinde otomatik olarak hackerlara scriptin o adrese yüklendiği bilgisi gidiyor. Daha sonra sosyal mühendis arkadaşımız oradaki dosyayı silip, sahte bir sayfa bulunamadı adresi tasarlıyor. Bu sayfanın amacı ise giren kişinin referer bilgisini yani hangi adres üzerinden bu siteye girdiğinin bilgisini almak.
Örneğin siz bir siteye girdiğinizde, o sitedeki herhangi bir bağlantıya tıklayıp açtığınız yeni site: sizin hangi site üzerinden geldiğinizi görebiliyor.
Robin hood sosyal mühendisimiz bu sayede hackerlara yem atıyor. hackerlar yeme takılıp ilgili sayfaya giriyorlar sayfa bulumadı uyarısından kıllanmıyorlar ama robin hood’umuz çoktan onların nereden geldiğini tespit edebiliyor.
Bu sayede ise bugüne kadar kayıt edilmiş tüm server bilgilerine ulaşabiliyor. Bunu kendi kötü amaçla kullanabileceği gibi baştan beri robin hood dediğimiz için tüm serverlardaki bu scriptleri silme amaçlı da kullanabilir. Kendi bileceği iş temel olarak ava gidenleri avlıyor.
Yaklaşık 5 farklı senaryo anlattım. Geneli internet tabanlı hikayelerdi. Çoğunun yaşanmış olması ise insanların ne kadar kolay kandırılabildiğinin kanıtı.
Sosyal mühendisleri hackerlardan genelde üstün kılan şey olayın sadece teknik veya sistem ile çözülemeyeceğini bilmeleri. Tüm hackerlar (veya korsanlar siz nasıl adlandırmak istiyorsanız) bilir ki en güvenli sistem, fişi çekik sistemdir. Bu, tüm sistemlerin alt edilebileceği, hacklenebileceği anlamına geldiği gibi bunun zaman alabileceği hatta yüz yıllar bile sürebileceği anlamına gelmektedir. Sosyal mühendisler buna inandığı gibi aynı zamanda başka bir sözcüğe daha inanırlar. “there is no patch for human stupidity” yani insan aptallığını örtebileceğiniz bir güncelleme, yama yoktur. Bu yüzden bir güvenli kılabilmenin tek yolu yazılımı güvenli yapmak değil, aynı zamanda insanları da eğitmektir.
Verdiğim tüm örneklerin internet tabanlı olduğunun farkındayım ama bu sosyal mühendislerin sadece sanal oldukları anlamına gelmiyor. Her ne kadar sanal dünyaya verdiğimiz çok fazla bilgi sayesinde onların işini kolaylaştırsak da gerçek hayatta da sizi yakalayabilirler. Sizin adınıza internetten verdiğiniz siparişleri haberiniz olmadan alabilirler, çöp kutunuzdan sizin ile ilgili, şirketiniz ile ilgili bilgileri alabilirler. Buna önlem olarak askeri birliklerde ve güvenliğin öneminin bilindiği yerlerde tüm yazılı belgeler gereksiz ise imha edilir.
Son olarak sosyal mühendisliği 5 örneğe sığdırıp konu hakkında bilgi vermeye çalıştım. İlerleyen zamanlarda (tekrar hatırlarsam) daha fazla örnek verip bilinçlenmenizi sağlamayı planlıyorum.
Bu yazıdaki amacım ise: kesinlikle bu taktikleri uygulayarak birilerini tespit edebilirsiniz, birilerinin mailini hackleyebilirsiniz, birilerini dolandırabilirsiniz vs.. değil. Tek amacım sosyal mühendisliğin ne olduğu konusunda bilinçlendirip örnek senaryolar paylaşmak. Bu yazıyı okuyup, yapacağınız tüm eğlemlerden tabii ki siz sorumlu tutulacaksınız.
Örnek senaryo göndermek veya daha fazla senaryo yazmamı isterseniz mail atabilirsiniz.