Telefon dolandırıcılığı (phone phishing-Vishing) | DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri

Sosyal Medya Dolandırıcılığı/3

Raif SARICA — Mon, 29 Mar 2021 11:03:42 +0000

Sosyal mühendislik saldırısı yöntemleri arasında son olarak sosyal medya dolandırıcılığı konusunu ele alıyoruz…

Facebook, Instagram, LinkedIn ve Twitter gibi sıklıkla kullanılan sosyal medya platformlarının araç olarak kullanıldığı bu saldırı türü, bireyselliğin ve sanal gerçekliklerin artmasına paralel olarak sosyal mühendisler tarafından tercih edilen dolandırıcılık yöntemlerinde ön sıralara geçmiştir.

Aralarında en eski olan Facebook’un 2004 yılında ortaya çıktığını düşünürsek, bundan daha 15–20 yıl önce adı sanı olmayan bu platformlar hayatımızın vazgeçilmezleri arasında sağlam bir şekilde yerini almışlardır. İnternete erişimi konusundaki kolaylıkların artması ve akıllı telefonların giderek daha da akıllanması neticesinde, gündüz elimizde gece ise başucumuzda duran akıllı (!) telefonlarımızla neredeyse günün 24 saatinde sanal dünyanın içerisindeyiz.

Eskiden birebir görüşmeler şeklinde gerçekleşen toplumsal ilişkiler neredeyse tamamen sanal ortamlara taşındı. Bu duruma paylaşım çılgınlığımız da eklenince aklımıza gelen her şeyi, yaşadığımız her olayı, fikirlerimizi, düşüncelerimizi, itirazlarımızı ve hatta isyanlarımızı bu platformlar üzerinden duyurmaya başladık. Temelinde sosyal bir varlık olan insan evladının sosyalleşme yöntemi bilişim çağında bu platformlar oldu.

Sosyalleşerek bir şekilde ben de buradayım, ben de varım, benimde bir fikrim var diyebilmek adına dur durak bilmeden yaşadıklarımızı paylaşır olduk. Sosyalleşebilmek, sesimizi durabilmek, varlığımızı gösterebilmek ve hepsinden önemlisi içimizi kemirip duran egomuzu besleyebilmek adına durmadan paylaşıyoruz. İnternet ve sosyal medya bağımlılığımız öyle bir dereceye geldi ki, Gelişmeleri Kaçırma Korkusu (Fear of Missing Out-FOMO) isimli yepyeni bir hastalığımız oldu. Bu hastalığın sizdeki derecesini görmek adına kendi kendinize telefonunuza bakmadan ne kadar süre durabildiğinizi bir test edin isterseniz.

Gerçekten de bu derece bağımlı mıyız bu sanal ortamlara?

Cevap maalesef evet. Ülkemiz sosyal medya kullanımı bağlamında dünya üzerinde hatırı sayılır bir konuma sahip. Örneğin, Ocak 2020 verilerine göre, 37 milyon kullanıcıyla Facebook’ta dünya onuncusu, 38 milyon kullanıcı ile Twitter’da altıncı, LinkedIn’de on beşinci ve Instagram’da altıncı sıradayız[1]. Sosyal medya platformlarına olan bu derece bağımlılığımızı daha iyi görebilmek adına sahiplerinin ortaya koydukları inanılmaz çabaları ve bu konudaki etik sorunları anlatan “Sosyal İkilem (The Social Dilemma)” (https://www.imdb.com/title/tt11464826/) isimli belgesel tarzındaki filmi izlemenizi tavsiye ediyoruz.

Farklı bir benzetme olacak ancak avın bu kadar bol olduğu ortamda avcıların da kol geziyor olmaları kaçınılmaz bir sonuç olarak karşımıza çıkıyor.

Ülkemizde genellikle magazinsel içerikli dolandırıcılık vakalarının sadece çok küçük bir kısmı basına yansıyor olsa da kötü niyetli sosyal mühendisler her gün binlerce vatandaşımızı dolandırıyorlar. Diğer sosyal mühendislik saldırılarının başarısında da etkili olan hırs, açgözlülük, tutku gibi duygusal zaaflarımızı bir kenara koyarsak, sosyal medya platformlarındaki dolandırıcılık faaliyetleri özelinde yaratılan sahte güven ortamı bu tuzaklara düşmemizin en büyük nedenidir. Şöyle ki;

Bu platformlar genellikle birbirini tanıyan kişilerin etkileşimde olduğu ortamlar olduklarından bir dereceye kadar güven hissi verirler ve hissedilen bu sahte güven bireylerin daha rahat ve tedbirsiz hareket etmelerine neden olur.
Bu rahatlık ve tedbirsizliğimize susturamadığımız egomuzun fısıldadığı paylaşım çılgınlığımız da eklendiğinde sosyal ağlar kurbanların akıl oyunlarıyla kandırılmaları için elverişli bir ortam sunarlar.
Bir akrabamızın veya tanıdığımız bir arkadaşımızın yaptığı paylaşımda yer alan linki tıklamakta herhangi bir mahsur görmeyiz çünkü o şahısları tanıyor ve güveniyoruzdur.
Akrabamız veya arkadaşımız olduğunu zannettiğimiz kişinin aslında o hesabı ele geçirmiş bir siber saldırgan veya sosyal mühendis olabileceğini düşünmeyiz veya düşünmek istemeyiz.
Daha da acısı linki tıkladıktan sonra açılan sayfanın URL adresini okumak yerine sayfadaki renkli resim ve şekillere odaklanırız.
Açılan sayfada tek bir harfin farklı olmasının bile tamamen farklı bir web sayfası anlamına geleceği aklımızın ucuna gelmez.
O derece hipnotize oluruz ki, açılan sayfada doldurulmak üzere bize sunulan formları sorgusuz sualsiz bize özel bilgilerle doldururuz. Hele de doldurulan bu formlar neticesinde indirim kuponu, çekiliş veya kredi kartı aidatı iadesi gibi zahmetsiz para kazandıracak bir yem varsa, daha bir hevesli oluruz formları bir an önce doldurmak için.

Kredi Kartı Aidat İadesi Sahtekarlığı

Kredi kartı aidatı iadesini özellikle vurgulamak istedik çünkü geçen yıldan bu yana bu saldırı taktiği sıklıkla kullanılıyor.

Sosyal mühendisler, öncelikle e-devlet veya resmi görünümlü sahte web sitelerini hazırlıyorlar.
Ardından, kredi kartı aidatı bilgisini de ekleyerek web sitelerinin reklamını Facebook, Instagram ve Twitter gibi popüler sosyal medya platformlarında yaparak daha çok insana ulaşıyorlar.
Bazen meraktan bazen de gerçekten kredi kartı aidatını geri alabilmek amacıyla sosyal medya kullanıcıları paylaşımda yer alan linki tıklayıp sahte web sitesine ulaşıyorlar.
Esas sorun bu noktadan itibaren başlıyor. Siteye ulaştıklarında, öncelikli olarak URL adresini okumak yerine, resimlere şekillere odaklanıp sosyal mühendislerin titiz bir şekilde hazırladıkları tuzaklarına düşüyorlar.

Kredi Kartı Aidat İadesi Sahtekarlığı

O sahte siteye ulaştıktan sonra başınıza gelebilecek çok sayıda farklı senaryo vardır. Birinci senaryoda;

Size sunulacak formlarla Ad ve Soyadınız, T.C. Kimlik Numaranız, kredi kartı bilgilerinizi elde etmeye çalışırlar.
Özellikle hedef olarak seçildiyseniz ve bir şekilde kredi kartı bilgilerinizi daha önce ele geçirdilerse, kartınızdan harcama yaparlar.
Sizden talep edecekleri tek şey bankanızdan gelecek onay kodunu onlara vermeniz olacaktır.

Diğer senoryada ise;

Faturalı olan telefon numaranızı ele geçirir, devamında harcama yaparlar.
Bu durumda da servis sağlayıcınızdan gelecek onay kodunu sosyal mühendise vermeniz gerecektir.
Ben ne özel bilgilerimi ne de bankadan gelecek SMS’te yer alan onay kodunu vermem diyebilirsiniz. Zaten mantıklı düşündüğümüz anlarda normal olarak yapılması gereken de budur ancak, emin olun öyle bir ruh haline giriyorsunuz ki yapmam dediğiniz her şeyi bir bakmışsınız yapıvermişiniz.
Hatta, bankadan gelen onay kodunun yanlış olduğunu zannederek gelen ikinci onay kodunu (ikinci harcamaya ait) vermiş olanlar dahi var.

Photo by CardMapr.nl on Unsplash

Özellikle kredi kartı dolandırıcılığı konusunda aşağıda paylaşacağımız linklerdeki haberleri okumanızı tavsiye ediyoruz.

Bahsettiğimiz bu kadar düzenbazlığın ardından, sizin yerinizde olsam aşağıdaki linkleri tıklama konusunda bir tereddüt yaşardım. Tıkladıktan sonra da web sitesinin doğruluğunu teyit etmek için kesinlikle URL adresinde yazanları okur, ardından haber içeriğine geçerdim. Kim bilir belki de aşağıda masum haber sitesi görünümlü URL adresi tıkladığınızda sizi bambaşka bir web adresine götürecek (!).

https://www.efepost.com/haberler/kredi-karti-aidat-iadesi-dolandiriciligi

Gelelim sosyal medya platformlarında daha sık gördüğümüz diğer dolandırıcılık faaliyetlerine. Onlardan da kısa kısa bahsedip yazımızı tamamlayacağız. Yazıyı daha fazla uzatarak sizleri sıkmamak adına bütün bunlara karşı ne yapmamız gerektiğini bir sonraki yazımızda sizlerle paylaşacağız.

Aklımıza gelen birkaç dolandırıcılık girişimini maddeler halinde verip, yaşanmış birkaç olaya ait linkleri sizlerle paylaşacağız. Verilen veya sanal olarak yaratılan sahte güven ortamından faydalanarak gerçekleştirilmesi muhtemel dolandırıcılık senaryolarını sıralayalım.

Aşk tuzakları — En çok karşılaşılan gerek erkek gerekse kadın kullanıcılara yönelik kurulan aşk tuzakları. Bu tuzaklarda belli bir süre güven kazandıktan sonra üzerinizde ustaca akıl oyunları oynayarak sizden para koparmaya çalışırlar. Hastaneye yatarlar ve paraya ihtiyaçları olur, evlilik hayalleriyle aklınızı çeldikten sonra çeyiz düzmek için paranızı alırlar, ev alırlar, araba alırlar, paraları bittiğinden yanınıza gelebilmek için bilet parasına ihtiyaç duyarlar ve daha neler neler.
Fırsat tuzakları — İkinci olarak en çok karşılaşılan durum piyasa değerinin çok altında ev, araba veya başka bir satmaya çalışırlar. Kapora ödemeniz durumunda ilanı kaldıracaklarını söyleyip, kaporayı aldıktan sonra sırra kadem basarlar. Bu arada siz kaparo ödeyen bilmem kaçıncı kişi olduğunuzu çok sonra ve belki öğrenirsiniz.
İyilik tuzakları — Tanınan kişiler adına sahte hesap oluşturup, hediye çeki dağıtabilir, bağış kampanyası düzenleyebilirler. Bu arada ya özel bilgilerinizi ya da paranızı çalarlar.
Dalgınlıktan faydalanma — Telefon hattınız faturalı ise faturaya yansıyacak şekilde harcama yapıp, sizden onay kodunu isterler. Veya size gönderecekleri bir masum MS Office dosyası görüntüsündeki fidye yazılımlarını bilgisayarınıza bulaştırarak tüm dosyalarınızı şifrelerler ve ardından takip edilmesi mümkün olmayan bir kripto para hesabına ödeme yapmanızı isterler.

Ve daha neler neler…. Hayal gücünüzü kullanarak senaryoları artırabilirsiniz.

Photo by Karsten Winegeart on Unsplash

Yazımızın sonunda yaşanmış ve basına yansıyan sosyal mühendislik olaylarından birkaçını sizlerle paylaşarak, yukarıda sıraladığımız senaryoları ve benzerlerini gerçek hayatta görelim.

Sosyal mühendislik konusuyla ilgili son yazımızda, bu teknolojik dolandırıcılara karşı neler yapmamız gerektiği konusunda birkaç tavsiyede bulunmak üzere bu yazımızı burada noktalıyoruz.

Bir sonraki yazımızda görüşmek dileğiyle sağlıcakla kalın.

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sadakra/

Photo by Rami Al-zayat on Unsplash

The post Sosyal Medya Dolandırıcılığı/3 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Sosyal Mühendislik/2

Raif SARICA — Mon, 29 Mar 2021 10:38:36 +0000

Sosyal mühendislik konulu yazı dizisi devam ediyor…

Daha önce başladığımız sosyal mühendislik konumuza kaldığımız yerden devam edeceğiz. Bir önceki yazımda SMS Yemleme konusuna kadar ele almıştım. Bu yazımda da ülkemizde en sık görülen sosyal mühendislik saldırısı olan telefon dolandırıcılığı konusunu anlatmaya çalışacağım. Bu arada Erdal OZKAYA ve Şükrü DURMAZ’la kaleme aldığımız Sosyal Mühendislik kitabımızda, konunun bütün yönleriyle ve gerçek hayattan alınmış birçok örnekle beraber ele alındığını tekrar belirtmek istiyorum.

Telefon Dolandırıcılığı (Phone phishing-Vishing)

Photo by Devin Kaselnak on Unsplash

Sosyal mühendislik saldırılarının bir versiyonu olan telefon dolandırıcılığı ülkemizde en sık kullanılan yöntemlerin başında gelir. Bu teknikte, teknolojinin sağladığı imkânlarla telefon numaralarını taklit (spoofing) ederek, sosyal mühendisler hedeflerini ne kadar mantıksız olursa olsun talimatlarına uymaları yönünde ikna etmeye çalışırlar. Oluşturdukları senaryolara göre bazen polis, savcı veya herhangi bir devlet görevlisi olurlar, bazen de bir çağrı merkezi çalışanı. Bazen hesaplarınız terör örgütü mensuplarınca ele geçirilmiş olur bazen de bankanın şanslı müşterisi veya yapılan bir çekilişte kazanan şanslı müşteri olursunuz.

Telefon dolandırıcılığı yöntemini kullanan sosyal mühendisler taklit ettikleri kişi veya kurumlara göre itinayla seçilmiş cümleler sarf edip, hedefleri üzerinde stres, şaşkınlık veya aç gözlülük gibi duyguları yoğun bir şekilde yaratarak onları mantıklı düşünme sürecinin dışına çekerler ve insanların mantıklarından ziyade duygularıyla anlık tepkiler vermelerini sağlarlar.

Hepimizin bildiği gibi duygu yoğunluğu arttıkça mantıksal düşünme ve çıkarımlar için kullandığımız bilişsel yetilerimizi kısmi olarak kaybederiz. Duygular ne kadar yoğun olursa, mantıksal çıkarım için kullanacağımız kaynaklar da o derece sınırlı olur.

Kavga esnasında ağzınızdan dökülen cümleleri aklınıza getirin.. Sakinleşip olan biteni ve sarf ettiğiniz sözleri düşündüğünüzde söylediklerinize çoğu zaman pişman olursunuz, ancak kızgınlık ve öfke duyguları üst düzeyde olduğundan pişman olacağınız kelimeleri kullanmamanız gerektiğini kavga anında düşünemezsiniz. O anda kontrol neredeyse tamamen mantıksal düşünceden sorumlu beyin kabuğunda (serebral korteks) değil duygularımızdan sorumlu limbik sistemde, daha da özele inmek gerekirse amigdaladadır. Bu nedenle duygusal yoğunluğun üst düzeyde olduğu anlarda ağzımızdan çıkanlara, tavır ve davranışlarımıza dikkat etmemiz lazım.

Aslına bakılırsa zihnimiz hisseden ve düşünen zihin olmak üzere iki parçadan oluşur. Normal şartlarda bu iki zihin koordineli çalışarak bizi mükemmele ulaştırır. Ne zaman ki biri diğerine baskın olmaya başlar, bizler de hata yapmaya başlarız.

Tamamen mantık devreye girdiğinde bilgisayar veya elektrik devreleri gibi sadece var-yok veya 0 ve 1 olur hayatımızda. O zaman da duygusuz robottan farkımız kalmaz. Tamamen hisseden zihnimiz kontrolü ele aldığında ise gerçeklerden uzaklaşıp daha çok hayatta kalma odaklı dürtülerimizle hareket etmeye başlarız.

Âşık olduğunuz kişiyi düşünün. Ne kadar hatası veya eksiği olursa olsun, o kişi sizin gözünüzde melektir. Gerçek bu mudur? Tabi ki hayır, o da sizin benim gibi oksijen alıp karbondioksit veren karbon bileşenidir sadece ama biz bu gerçeği geri plana atarak hormonlarımızın tamamen kontrolü ele alıp, o kişiyi bizim gözümüzde melekleştirmesine izin veririz. Mutluluk kimyasalları dediğimiz dopamin (ödül), endorfin (vücudun doğal morfini), serotonin (saygı) ve oxitosin (aitlik, bağ kurma, güven) hormonları ona karşı duygu ve düşüncelerimizi şekillendirir.

Neticesi korku, endişe, stres ve acı olan kortizolden kurtulup hayatta kalmamız amacıyla evrilmiş olan bu mutluluk hormonlarına yönelik karşı koyamadığımız bağımlılığımızı beslemeye çalışırız. Burada birkaç satırla özetin özetinin özetini yazdığım sosyal mühendisliğin psikolojik boyutunu yazımın başında verdiğim kitabımızda altmış sayfalık ayrı bir bölüm olarak kapsamlı bir şekilde anlattık. İnsanlık tarihinin başlangıcına gidip gelişmiş frontal korteksi sayesinde dünya hakimiyetini ele geçiren Homo Sapiens’i ve sahip olduğu bilişsel ve duygusal yetenekleri tek tek ele aldık.

Bunların yanı sıra sosyal mühendislerin bizlere evet dedirtebilmek amacıyla kullandıkları ikna ve etkileme teknikleri de onların taleplerini absürt olsa dahi yerine getirmemizi sağlar. Ayrıntılarını bir bölüm halinde kitabımızda ele aldığımız ikna ve etkileme prensiplerini maddeler halinde verelim.

Açık bir amaca sahip olma
Samimiyet ve güven
Etrafla uyumlu olma
Esnek olma
Kendisinin farkında olma
Karşılıkta bulunma
Tutarlılık
Toplumsal kanıt
Sevgi
Kıtlık
Hale-Boynuz Etkisi
Otorite
Doğal olma
Bilgili olma
Açgözlülükten kaçınma
Yağcılık
Yanlış beyanatlar kullanma ve yapay cehalet
Dinleme ve destek çıkma

Son olarak gerek telefon dolandırıcılığı gerekse diğer sosyal mühendislik saldırılarının bu derece etkili olmasına neden olan başka önemli bir faktörü daha burada sizlerle paylaşmak istiyorum. Basın yayın yoluyla vatandaş üzerinde oluşturulan yanlış algılar. Televizyonlarımızda gösterilen film ve dizilerin çoğunluğu ya direk Amerikan yapımı ya da birebir taklit edilen Türk dizileri.

Photo by HIZIR KAYA on Unsplash

O dizilerde polisin, savcının tavır davranışlarına bakan insanımızın aklında tamamen farklı bir polis imajı oluşuyor. Örneğin, reyting rekorları kıran “Hekimoğlu” dizisini ele alalım. İzleyenler bilirler, son bir aydır Mahir isimli bir komiserin Hekimoğlu’na yapmadığı kalmadı. Amerikan versiyonundan birebir kopyalandığından Mahir komiser ağzında nikotin sakızı hastane koridorlarında dolaşıp soruşturma yürütüyor. Bir bakıyorsunuz Orhan Hoca’nın reçete yazma yetkisini iptal ettiriyor, baka hesaplarını donduruyor, gizlice Hekimoğlu’unun evine gidip arama yapmak adına her tarafı alt üst ediyor ve daha neler neler. Bu sahnelerin çoğunun gerçek dışı olduğunu, ülkemiz kanunlarına göre bu tür şeylerin yapılamayacağını, polis teşkilatımızda sözde komiser Mahir benzeri itici tiplerin veya bu tür yetkilerinin olmadığını hayatında polis veya savcıya işi düşmemiş birine saatlerce anlatsanız da dizideki kadar etkili olmayacaktır.

Polis Vazife ve Salahiyetleri Kanunu veya Ceza Muhakemeleri Kanununu mecbur kalmadığımız sürece okumadığımız gerçeğiyle birleştirildiğinde, halkımızın birçoğunun kafasındaki polis tiplemesi dizilerdeki Amerikan versiyonu oluyor.

Ardından SMS’ler veya kamu spotlarıyla vatandaşı bilgilendirme çabalarının tamamı boşa gidiyor ve vatandaşımız telefonun diğer ucundaki sahtekârların talimatlarını sorgulamadan harfiyle yerine getiriyor.

Telefon dolandırıcılığı konumuzu burada tamamlıyoruz. Bir sonraki yazımda sosyal medya dolandırıcılığı ve bu dolandırıcılık tuzağına düşmemek için sosyal medya platformlarıyla oluşturulan bu sanal dünyada nelere dikkat etmemiz gerektiğini anlatmaya çalışacağım.

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sadakra/

The post Sosyal Mühendislik/2 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Sosyal Mühendislik

Raif SARICA — Mon, 29 Mar 2021 09:11:56 +0000

Photo by Adam Jang on Unsplash

Siber saldırıların en zarif hali…

Kendilerine ait olmayan özel veya gizli bir bilgi, para veya başka değerli metaları teknolojinin sağladığı imkanları kullanarak insanları psikolojik olarak etki altına alıp kandırmak suretiyle haksız yere elde edenleri sosyal mühendisler olarak ele alacağız.

Hak etmediklerini akıl oyunlarıyla ele geçirdikleri felsefesinden hareketle, sosyal mühendis olarak isimlendirdiğimiz şahısların özünde klasik bir hırsızdan pek bir farkları yoktur.

Ha gecenin bir yarısında evinize girip altınlarınızı çalan hırsız ha bilgisayarınıza zararlı bir yazılımı uzaktan yükleyerek size özel bilgileri çalan bir sosyal mühendis. Her ikisi de özünde hile ile hak etmedikleri, başkalarına ait bir varlığı çalıyor.Eve giren hırsız kapıyı açmak için maymuncuk, altınlarınızı bulmak için el feneri, parmak izi bırakmamak için eldiven veya tanınmamak için maske kullanıyor. Sosyal mühendisler ise gizlice bilişim cihazlarına sızmak ve en azından faaliyetleri esnasında fark edilmemek için teknolojinin sağladığı imkân ve kabiliyetleri kullanıyorlar. Kapımıza penceremize sağlam bir kilit takmayarak hırsızlara davetiye çıkarırken, bilişim sistemlerimizdeki yetersiz güvenlik önlemleri ve duygusal zafiyetlerimizle sosyal mühendislere davetiye çıkarıyoruz.Bize göre sosyal mühendislik hırsızlığın veya dolandırıcılığın çağın gereklerine göre güncellenmiş versiyonundan başka bir şey değil. Çağın gereklerine göre yapılan güncelleme neticesinde, maymuncuk, el feneri ve maske yerine sahte e-postalar, cep telefonları, SMS’ler, sosyal medya, zararlı yazılımlar, sızılmış veya orijinaline uygun tasarlanmış sahte web siteleri kullanılıyor.

Sosyal mühendislik kapsamında kullanılan araç, taktik ve teknikleri biraz daha detaylarına inerek incelemeye başladığımızda aşağıdaki tanımlamalar karşımıza çıkıyor.

Yemleme (phishing),
Hedefli yemleme (spear phishing),
Balina avı (whaling),
SMS yemleme (Smishing),
Telefon dolandırıcılığı (phone phishing-Vishing),
Sosyal medya dolandırıcılığı (social media phishing)
Başkasının yerine geçme (impersonating)
Sahte senaryolar uydurma (pretexting)
Aldatmaca (spoofing)

Yukarıda maddeler halinde saydığımız araç, taktik ve tekniklerin biri veya birkaçı aynı anda kullanılarak teknolojik dolandırıcılık veya modern hırsızlık dediğimiz sosyal mühendislik saldırıları gerçekleştiriliyor.Örneğin, sahte bir adresten (spoofing) e-postanın gönderildiği yemleme (phishing) tekniğinde, e-posta içerisine MS Office dosyası görünümünde zararlı bir yazılım (malware) ekleniyor ve kullanıcının açması bekleniyor ya da bir telefon numarası taklit edilerek (spoofing) yapılan aramada otorite sahibi başka birinin yerine geçerek (impersonating) sahte senaryolar uydurulup (pretexting) telefon dolandırıcılığı (Vishing) yapılıyor.

Bu yazı dizisinde, gelin teknolojik dolandırıcılık veya hırsızlık için sosyal mühendislerin kullandığı araç, taktik ve teknikleri sahte e-postaların kullanıldığı yemleme (phishing) tekniğinden başlayarak teker teker incelemeye çalışalım.

Yemleme (Phishing)

Gönderilen sahte bir e-posta başlayan ve siber saldırganlar veya sosyal mühendisler tarafından kullanılan yemleme tekniği, en eski yöntemlerden biri olmasına karşın hala çok etkilidir. Bir işletme veya kişi hakkında hileli bir şekilde hassas bilgi toplama veya saldırı düzenleme tekniği olarak tanımlayabileceğimiz yemleme, sosyal mühendislik saldırısının bilgi toplama aşamasının yanı sıra diğer safhalarında da kullanılabilir.Bu teknik sosyal mühendisin veya saldırganın güvenilen bir yeri taklit ederek gönderdiği sahte e-posta ile başlar. Teknolojik dolandırıcılar olan sosyal mühendisler bu e-postalarda, cezaya kalacak bir fatura ödemesi, bir sipariş veya ücretsiz bir çekiliş gibi konularla hedefte tehdit, korku, heyecan, açgözlülük gibi duyguları tetiklemeye çalışırlar.Ardından MS Office dosyaları veya resim gibi gerçek görünümlü dosyalar şeklindeki e-posta eklentisi içine gizledikleri zararlı yazılımları hedefin bilgisayarına bulaştırırlar ya da hedefin kendileri tarafından taklit edilmiş sahte bir siteye yönlendirecek bir linke tıklamasını sağlarlar.Kurbanın bilgisayarına yükleyecekleri zararlı yazılımlarla veya taklit edilmiş web sayfalarına kurbanlar tarafından girilecek bilgilerle, sosyal mühendisler hedef şahıs ya da işletmeler hakkında banka hesap detaylarından, kimlik veya oturum açma bilgilerine (login credentials) kadar birçok hassas bilgiyi toplarlar.COVID-19 salgınıyla uğraştığımız bugünlerde eve hapsolmuş saldırganlardan gelen bu tür yemleme e-postalarında aşırı artışlar olduğunu hatırlatıp, güvenmediğiniz veya bilmediğiniz kişilerden gelen e-postalara karşı dikkatli olmanızı, e-posta eklentilerini açmadan veya e-postalar içinde yer alan linkleri tıklamadan önce bir kez daha düşünmenizi tavsiye ederek üzerimize düşen görevi yerine getirelim.

Phishing

Hedefli Yemleme (Spear phishing)

Hedefli Yemleme tekniğinde normal yemlemede olduğu gibi e-posta kullanılır, ancak rastgele şekilde çok fazla hedefe e-posta göndermekten ziyade önceden hedef olarak belirlenmiş bir kullanıcıya veya kullanıcı grubuna e-posta gönderilir. Takip edeceği hedefi belirlemek ve kısmen tanımak için kapsamlı bir ön çalışma gerektirdiğinden hedefli yemleme daha yorucu bir faaliyettir.Hedef hakkında toplanan ön bilgilerin ardından saldırgan hedefin ilgisini çekebilecek özenle hazırlanmış bir e-posta gönderir ve yemleme (phishing) tekniğinde anlatıldığı şekilde e-posta eklentisi şeklindeki zararlı yazılımı bilgisayarınıza yükler veya hedefini kendi oluşturduğu sahte siteye yönlendirir. İstatistiksel olarak, yemleme saldırısının başarı oranı %3 iken, hedefli yemleme saldırısının başarı oranı %70 civarındadır.

Balina Avı (Whaling)

Balina avı hedefli yemlemenin (spear phishing) bir üst kategorisidir. Bu teknikte de bilinçli olarak seçilmiş hedeflere yönelik özel çalışma ve hazırlıklar yapılır, ancak burada hedefler şirketin en üstündeki yönetici grubudur. Sizin anlayacağınız küçük balıklardan ziyade balina avlanmaya çalışılır.Balina avına çıkan sosyal mühendisler hedefteki kurum veya şirkete ait parayı ve hassas bilgileri çalmak amacıyla iki taktik kullanabilir. Birincisi konumları gereği genellikle sorgulanamayan üst düzey bir yöneticinin hesabını taklit ederek onun yerine geçip talimatlar göndermek, ikincisi ise direk olarak üst düzey yöneticiyi hedef tahtasına koyup saldırıyı onun üzerinde gerçekleştirmektir.SMS Yemleme (Smishing)İsminden de anlaşılacağı üzere SMS yemleme cep telefonlarımızda kullandığımız kısa mesaj hizmetinin araç olarak kullanıldığı bir sosyal mühendislik saldırısıdır. Genellikle insanlar teknolojik dolandırıcılarda telefon numaralarının olabileceği gerçeğini göz ardı ettiklerinden cep telefonlarına gelen SMS’leri özellikle kendilerine gelmiş bir mesaj olarak kabul edip, e-postalardan daha fazla güveniyorlar.Aslına bakılırsa birine ait telefon numarasını bulmak e-posta adresini bulmaktan daha kolaydır. Gartner tarafından yayımlanan bir rapora göre insanların %98’i cep telefonlarına gelen SMS’leri okuyor ve %45’i ise yanıtlıyor. Aynı raporda e-maillere verilen cevap ise sadece %6. COVID-19 ile gözümüzün korkutulduğu günümüzde insanları rahatlıkla ikna edebilecek gibi görünen güncel bir SMS yemleme mesajı aşağıdaki resimde sunulmuştur.SmishingSosyal mühendis veya siber saldırgan SMS ile göndereceği linke tıklamanız neticesinde, sizi zararlı bir yazılımın olduğu sahte web sitesine yönlendirebilir, o, sitede size sunulacak formu doldurmanızı sağlayabilir, direk olarak zararlı bir yazılımı yükleyebilir ya da SMS içerisinde göndereceği sözde müşteri hizmetlerine ait numarayı aramanızı sağlayarak şahsi bilgilerinizi veya kredi kartı detaylarınızı sizi ikna ederek almak suretiyle bilgi hırsızlığı yapabilir.Sözü fazla uzatmamak adına diğer sosyal mühendislik tekniklerini yazı dizimizin devamında ele almak üzere burada bir es verelim. Alanlarında sayılı uzmanlardan olan Erdal OZKAYA ve Şükrü DURMAZ’la beraber yakında yayınlamayı düşündüğümüz Sosyal Mühendislik kitabımızda, konunun bütün yönleriyle ve gerçek hayattan alınmış birçok örnekle beraber ele alındığını belirtmek istiyorum.Yazı dizimizin devamında görüşmek dileğiyle sağlıcakla kalın.

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sadakra/

The post Sosyal Mühendislik first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.