CEH Sertifikasyon Sınavı Notları – 8: Social Engineering

Bilgi güvenliği konusunda en çok tercih edilen sertifikalardan birisi de Certified Ethical Hacker (CEH) sertifikasıdır. Bu yazıda CEH sınavının konularından birisi olan “Social Engineering” başlığı incelenecektir.

 

İstismar Edilen Temel Davranışlar

  • Güven
  • Hırs
  • Yardımseverlik
  • Korku
  • Ego
  • Önemsememe
  • Bilgisizlik

 

Sosyal Mühendislik Saldırıları

Sosyal mühendislik insanları aldatma sanatıdır. Temel olarak insan tabanlı olanlar, bilgisayar tabanlı olanlar ve mobil uygulama tabanlı olanlar olmak üzere üçe ayrılırlar.

İnsan tabanlı saldırılar aşağıdaki gibi sınıflandırılabilir.

  • Eavesdropping: Yetkisizce araya girip dinleme ve mesaj okuma işlemidir.
  • Shoulder Surfing: Kritik bilgilleri gözlemleme yolu ile elde etmektir.
  • Kimliğe Bürünme (Impersonation): Başkası gibi (Teknik destek, savcı, polis, üst düzey yönetici, VIP müşteri, üçüncü taraf firma çalışanı… gibi) davranılır.
  • Dumpster Diving: Çöpleri karıştırarak bilgi elde etmektir.
  • Yakın Takip (Tailgating): Sahte kimlik/kıyafet ile bir kuruma veya bir bölgeye yetkili bir kişinin hemen arkasından yetkisiz olarak girmektir.
  • Piggybacking: Kurum personelinden yardım istenilerek (kartın unutulması, acil bir projenin yetiştirilmesi vs) bir bölgeye girmektir. Saldırganda sahte kimlik/kıyafet yoktur.
  • Tersine Sosyal Mühendislik: Saldırı öncesinde çözüm olacak kurum olarak erişim bilgileri kurumdaki yetkili kişiye verilerek, saldırı anında geri dönüş yapılması beklenir.

Bilgisayar tabanlı saldırılar aşağıdaki gibi sınıflandırılabilir.

  • Pop-up Pencereleri: Sahte sayfa bir pop-up çıkararak kullanıcıdan kimlik bilgisi ister.
  • Hoax Mailler: Sahte zararlı yazılımlara karşı son kullanıcıları uyaran maillerdir.
  • Zincir (Chain) Mailler: Maili belli sayıda kişiye iletince ödül veya hediye verileceğini teklif eden maillerdir.
    Anlık Mesajlaşma: Anlık mesaj uygulamaları ile mesajlaşırken kişisel bilgiler elde edilir.
  • Spam Mailler: Sahte maillerdir.
  • Oltalama Saldırıları (Phising): Sahte mail / chat / SMS / web sayfasına yönlendirme, sahte web sayfası ile bir link (URL Obfuscation adı da verilir) tıklanması, telefon ile ikna ederek parola alınması, uygulama (AV, sahte mobil uygulamaları, zararlı yazılımlar… gibi) yükletilmesi,… gerçekleştirilebilir.
  • Hedefli (Spear) Oltalama Saldırıları: Belli ekipler veya kişiler hedef alınır.
  • Vishing: Telefon sahteciliği (spoofing) gerçekleştirilir.
  • Baiting: Ortalığa bırakılan bir USB, kurban tarafından kullanılır.
  • Quid Pro Quo: Bir vaad veya iyilik (bedava antivirüs, kıdem yükseltme,…) ile kurban kandırılır.

 

Mobil tabanlı saldırılar aşağıdaki gibi sınıflandırılabilir.

  • Zararlı Mobil Uygulamalar: Yaygın bir uygulamaya benzer bir isimle yeni bir uygulama hazırlanarak uygulama depolarına (App Store) yüklenebilir.
  • Uygulama Paketleme: Mevcuttaki bir mobil uygulama zararlı bir yazılımla yeniden paketlenir ve uygulama deposuna yüklenebilir.
  • Sahte Güvenlik Uygulamaları: Sahte antivirüs gibi uygulamalar ile kullanıcı kandırılabilir.
  • SMS: Sahte SMS gönderilebilir.
  • Sahte IVR (Interactive Voice Response) Sistemi: Ses kaydı ile kurban aldatılır.

Ayrıntılı bilgi için bakınız: http://www.slideshare.net/AlperBasaran/sosyal-muhendislik-saldrlar

 

Sosyal Mühendislik Saldırılarından Korunma Yolları

  • Bilgi güvenliği farkındalığını arttırmak, eğitimler vermek, etkinlik gerçekleştirmek,…
  • Parolaları karmaşıklaştırmak, kimse ile paylaşmamak
  • Çoklu kimlik doğrulama tekniklerini uygulamak
  • Şirkete gelen misafirlere şirket içerisinde refakat etmek
  • Güvelik politikaları oluşturmak, uygulamak, üst düzeyde desteklemek, denetimler gerçekleştirmek
  • Bilgisayarları kilitli tuıtmak, günlük olarak bilgisayarları yeniden başlatmak
  • Kritik dokümanları kağıt öğtücüleri ile yok etmek
  • Günlük konuşmalarda gizli bilgilerin yetkisizce dinlenmediğine dikkat etmek
  • Herkese açık kablosuz ağlar kullanılmamalı
  • HTTPS/Sertifika kontrolü gerçekleştirmek
  • Çıkarılabilir cihazların kullanımı engellenmeli veya kısıtlanmalı
  • AV, HIPS, FW… kullanılmalı
  • Yedekleme, güncelleme, yetkilendirme, değişiklik yönetimi konularına önem verilmeli
  • Need to know, görevler ayrılığı gibi prensipler uygulanmalı
  • Kimlik yönetimi, veri sınıflandırma gibi çalışmalar gerçekleştirilmeli
  • Bilgisayarlarda yönetici yetkilere sahip olunmamalı
  • Güvenilir ve yasal uygulamalar kurulmalı
  • Kurumlarda içerik filltreleyicisi, IPS gibi ürünler kullanılmalı
  • Sosyal medyada bireysel veya kurumsal gizli bilgiler paylaşılmamalı
  • Turnike, kapı gibi fiziksel geçişler için biyometrik veya manyetik önlemler alınmalı
  • SOME/IR ekipleri ile hızlı bir şekilde aksiyon alınması sağlanabilmeli

 

Genel Notlar

  • Kurbanlar: Rebecca ve Jessica. Sosyal mühendislik yapılacak kurbanlara verilen isimlerdir.
  • Mantrap Kapıları: Kaçak girişler için kapan olarak kullanılan ara geçit alanıdır.
  • Sosyal mühendislik ile çok katmanlı güvenlik önlemleri (mail geçidi, AV,. FW, IPS,…) atlatılabilmektedir. Bilinçlendirme ve farkındalık eğitimleri; sosyal mühendislik saldırıları için en önemi önlemlerdendir.
  • ReadNotify İzleme Servisi: Gönderilen bir mailin iletilme durumunu (iletilme tarihi, mailin içeriğinin/linklerinin okunup/okunmadığı, mailin silinme/değiştirilme durumunu, hangi IP adresinden okunduğu, mailin okunma süresi, PDF gibi ekler,… gibi) izlemeyi sağlar. Bunun için mailin içeriğine görünmeyecek şekilde bir nesne eklenir ve belli bir süre sonra izlemenin devre dışı kalması sağlanabilir. Ancak bir zafiyet yoksa, istemci uygulamasının (Outlook gibi) ele geçirilmesi veya istemcinin ele geçirilmesi sağlanamaz. Ayrıntılı bilgi için bakınız: http://etralibela-61.blogspot.com/2014/01/mail-adresinden-kisi-bilgilerine.html#.Vq3SYfmqqko
  • En etkin kandırma yöntemi; program, müzik, film,… indirilip kullanılması ile zararlı yazılım bulaştırmaktır.
  • Sahte bir sunucudan başka bir domain adından gönderiliyormuş gibi mail atıldığında “Received” bilgisinde bu maili gönderenin IP bilgisi vardır. Örnek sahte bir mail başlığı: Received: from saldirganDNSkaydi.com.tr ( [200.250.150.100])… Sahte mailler ile ilgili ayrıntılı bilgi için bakınız: http://www.ismailsaygili.com.tr/2013/12/sosyal-muhendislik-saldirilarinda-fake-sahte-mail-kullanimi.html
  • SET (Social Engineering Toolkit): Sosyal mühendislik saldırılarını tek bir arayüzden gerçekleştirmek amacı ile kullanılan bir araçtır.

 

 

CEH v9 Eğitimi Konu Başlıkları

  • Social Engineering Concepts
    • What is Social Engineering?
    • Behaviors Vulnerable to Attacks
    • Factors that Make Companies Vulnerable to Attacks
    • Why Is Social Engineering Effective?
    • Warning Signs of an Attack
    • Phases in a Social Engineering Attack
  • Social Engineering Techniques
    • Types of Social Engineering
      • Human-based Social Engineering
      • Impersonation
        • Impersonation Scenario
          • Over-Helpfulness of Help Desk
          • Third-party Authorization
          • Tech Support
          • Internal Employee/Client/Vendor
          • Repairman
          • Trusted Authority Figure
      • Eavesdropping and Shoulder Surfing
      • Dumpster Diving
      • Reverse Social Engineering, Piggybacking, and Tailgating
    • Watch these Movies
    • Watch this Movie
    • Computer-based Social Engineering
      • Phishing
      • Spear Phishing
    • Mobile-based Social Engineering
      • Publishing Malicious Apps
      • Repackaging Legitimate Apps
      • Fake Security Applications
      • Using SMS
    • Insider Attack
    • Disgruntled Employee
    • Preventing Insider Threats
    • Common Social Engineering Targets and Defense Strategies
  • Impersonation on Social Networking Sites
    • Social Engineering Through Impersonation on Social Networking Sites
    • Social Engineering on Facebook
    • Social Engineering on LinkedIn and Twitter
    • Risks of Social Networking to Corporate Networks
  • Identity Theft
    • Identity Theft Statistics
    • Identify Theft
    • How to Steal an Identity
      • STEP 1
      • STEP 2
      • Comparison
      • STEP 3
    • Real Steven Gets Huge Credit Card Statement
    • Identity Theft – Serious Problem
  • Social Engineering Countermeasures
    • How to Detect Phishing Emails
    • Anti-Phishing Toolbar
      • Netcraft
      • PhishTank
    • Identity Theft Countermeasures
  • Penetration Testing
    • Social Engineering Pen Testing
      • Using Emails
      • Using Phone
      • In Person
      • Social Engineering Toolkit (SET)

 

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.