Sosyal Mühendislik, karşısındakini kandırmak, istediği şey için ikna etmek veya manipüle etmek için etkileme ve ikna yöntemlerini kullanır. Sonuç olarak, bu toplum mühendisi, ister teknolojiyi kullanarak ister kullanmadan insanlardan bilgi elde edebilir.
Aşağıda müşteri için gerçekleştirilen bir sosyal mühendislik örneği gösterilmiştir. Bu örnek önemsiz görünen bilgilerin insanlarda güven oluşturabileceğini ve bir şirketi tehlikeye atabileceğini gösteriyor.
Sosyal Mühendislik Araçları
Sosyal mühendislik ve teknolojiyi bir arada nasıl kullanabileceğimizi açıklamak için önce kullanabileceğimiz araçları açıklamamız gerekiyor.
Penetrasyon testi amacıyla geliştirdiğimiz birçok araç bulunur. Bu Sosyal Mühendislik örneğimizde, bir paket veya executable wrapper, RootKit ve RAT (Uzaktan Erişim Aracı) kullanacağız.
Executable wrapper: Basit bir ifadeyle, tek bir şey yapıyormuş gibi görünen ancak aslında başka görevleri de gerçekleştiren yürütülebilir programlar oluşturabilir. Paketleyicimiz ayrıca virüs algılamalarını ve bilgisayar adli tıplarını saptırmaya yardımcı olmak için içeriği şifreler ve sıkıştırır.
RAT: Bir makinede RAT çalıştırıldığında, gerektiğinde proxy’leri ve diğer cihazları kullanarak ağdan internete olan bağlantıları arayan uzaktan erişim aracıdır. RAT, bir firewall’dan veya NAT’tan herhangi bir güvenliği tamamen atlamak için komutlarını almak için hedef makineden giden bağlantıları kullanır. İletişim trafiği de yasal HTTP/HTTPS trafiği olarak gönderilir, bu nedenle hedefin proxy’si veya güvenlik duvarı uygulama düzeyinde filtrelemeye sahip olsa bile, kontrol komutları normal HTTP trafiği olarak görünür ki zaten aslında öyledir. Bu, şirketin ağlarının derinliklerindeki hedeflerle iletişim kurabileceğimiz ve güvenlik duvarlarını/proxy’leri/DMZ’yi vb. yenebileceğimiz anlamına gelir.
RootKit: Bilgisayar korsanının eylemlerini işletim sisteminden ve makineyi inceleyen herkesten gizleyen bir programdır. Rootkit’imiz işlemleri, handles’ları, modülleri, dosyaları ve klasörleri, kayıt anahtarlarını ve değerlerini, hizmetleri, TCP/UDP yuvalarını ve sistem simgelerini gizler. Yani görev yöneticisi, netstat, regedit, dosya gezgini vb., rootkit yapılan bilgisayar korsanı tarafından bir makineye yerleştirilen hiçbir şeyi göremeyecektir. Bilgisayar korsanının eylemleri ve programları tamamen görünmez olur.
İnternette bu tür araçların daha basit versiyonları vardır, ancak profesyonel bir bilgisayar korsanının bunları tercih etmemesinin iki iyi nedeni vardır. Birincisi, gerekli işlevselliği sağlamamaları ikincisi ise, birçok virüs denetleyicisinin imzalarını alıp onları durdurmasıdır. Çaylak senaryo çocuğu ile profesyonel hacker arasındaki fark işte budur.
Örnek:
Sosyal Mühendislik çağrısı (1)
Cep telefonumdan organizasyonun ana santralini arayın.
Doğukan: Merhaba, masa telefonumla ilgili bir sorunum var. Bunu benim için çözebilecek birine bağlayabilir misin?
Resepsiyon: Size bağlanıyoruz.
Telefon Hizmetleri: Merhaba.
Doğukan: Merhaba, masa telefonumla ilgili bir sorunum var. Üzgünüm, burada yeniyim. Masa telefonumu aradıklarında beni kimin aradığını bulmamın bir yolu var mı? Arayan kimliği var mı?
Telefon Hizmetleri: Pek değil, çünkü burada sıcak masalar (ortak) kullanıyoruz. İnsanlar genellikle cep telefonlarını kullandıklarından, arayan kimliği genellikle adla ilgili olmaz. Bu sizin için bir sorun mu?
Doğukan: Hayır, şimdilik iyi. Anladım. Teşekkürler. Hoşçakal.
Artık şirketin sıcak masalar kullandığını ve arayan kimliğinin her zaman beklenmediğini biliyoruz. Bu nedenle şirket dışından aramamız sorun olmuyor. Beklenirse, yine de bunun üzerinde çalışabilirdik.
Sosyal Mühendislik çağrısı (2)
Organizasyonun ana şalter panosunu arayın.
Doğukan: Merhaba, beni bina güvenliğine bağlayabilir misiniz?
Resepsiyon: Tamam bağlıyorum.
Bina Güvenliği: Merhaba, size nasıl yardımcı olabilirim?
Doğukan: Merhaba, ilgileniyor musunuz bilmiyorum ama binanın dışında birinin düşürmüş olabileceğini düşündüğüm bir giriş kartı buldum.
Bina Güvenliği: Sadece bize iade edin. 3. binadayız.
Doğukan: Tamam, sorun değil. Kiminle konuştuğumu sorabilir miyim?
Bina Güvenliği: Benim adım Aykut Can. Burada olmazsam, Eyşan’a ver.
Doğukan: Tamam, bu harika öyle yapacağım. Bina güvenliğinin başında mısınız?
Bina Güvenliği: Aslında Tesis Güvenliği deniyor ve başkanı Sait Erkan.
Doğukan: Tamam, çok teşekkürler. Hoşçakal.
Bu bize güvenlikteki birkaç kişinin adını, departmanın doğru adını, güvenlik şefini ve fiziksel erişim kartlarıyla uğraşanların kim olduğunu gösterdi.
Sosyal Mühendislik çağrısı (3)
Organizasyonun ana şalter panosunu arayın.
Doğukan: Merhaba, Ajans Grubu’ndan arıyorum ve bana yardım edip edemeyeceğinizi merak ediyorum. Yaklaşık bir ay önce İK çalışanlarınızdan bazılarıyla bir toplantım vardı ama ne yazık ki bilgisayarım çöktü ve isimlerini tamamen kaybettim.
Resepsiyon: Tabii, sorun değil. İnsan kaynakları departmanına bir bakayım. İsimleri hakkında bir fikriniz var mı?
Doğukan: İçlerinden birisinin İK başkanı olduğunu biliyorum. Ancak toplantıda birkaç kişi daha vardı.
Resepsiyon: …….Tamam, şimdi söylüyorum. İK Başkanı Cansu Karakoç’dur. Telefon numarası 0531 xxxxxx
Doğukan: Teşekkrüler. İK’daki diğer kişiler kimdi?
Resepsiyon: İK’da, Mert Altuntaş, Sait Gül……
Doğukan: Evet, toplantıdakiler de kesinlikle Mert ve Sait’di. Numaralarını alabilir miyim lütfen?
Resepsiyon: Tabii. Mert Altuntaş xxxxxxx ve Sait Gül xxxxxx. Sizi bunlardan biriyle iletişime geçirmemi ister misiniz?
Doğukan: Evet. Beni Mert’e bağlayabilir misiniz lütfen?
Artık İK’daki üç kişinin isimlerini ve hatta şef dahil iletişim bilgilerini öğrendik.
Sosyal Mühendislik çağrısı (4)
İK: Merhaba, ben Mert.
Doğukan: Merhaba Mert. Ben 3. binadaki Tesis Güvenliği’nden Aykut Can, bana yardım edebilir misiniz merak ediyorum. Burada erişim kartı veritabanı bilgisayarıyla ilgili bir sorun gelişti. Dün gece çöktü ve yeni başlayanlar için bazı veriler kayboldu. Erişim kartları çalışmayı durduracağı için son 2 hafta içinde yeni başlayanların kim olduğunu nereden öğrenebilirim biliyor musunuz? Bir an önce kendilerine ulaşıp bu durumu haber vermemiz gerekiyor.
Mert: Elbette sana bu konuda yardımcı olabilirim. İsimleri arayacağım ve uygunsa size e-posta üzerinden göndereceğim. Son 2 hafta için mi dedin?
Doğukan: Son 2 hafta içinde başlayanlar, evet. Bu harika, teşekkürler, ancak e-posta için tek bir bilgisayarı paylaştığımız ve bilgisayar çökmesinden o da etkilendiği için fakslamanız mümkün mü?
Mert: Evet, tamam. Faks numaranız nedir? isminizi tekrarlar mısınız?
Doğukan: Sizin için faks numarasını bulmam ve tekrar aramam gerekecek.
Mert: Tamam.
Doğukan: Bilgileri öğrenmenin ne kadar süreceğini biliyor musun?
Mert: 30 dakikadan fazla sürmemeli.
Doğukan: Çok acil olduğu için hemen bakmaya başlayabilecek misin?
Mert: Bu sabah yapacak birkaç işim var ama isimleri bu öğleden sonra almalıyım.
Doğukan: Bu harika Mert. Teşekkürler. İşiniz bittiğinde, kartlarını yeniden etkinleştirebilmem için beni hemen arayabilir misiniz?
Mert: Evet, tabii. Sizin numaranız kaç?
Doğukan: Size cep telefonu numaramı vereceğim, böylece beni bulmanız garanti olsun. 0531 xxxxxx.
Mert: Tamam, tabii. Listeyi aldığımda seni arayacağım.
Doğukan: Mükemmel, teşekkürler.
Bu şekilde sosyal mühendislik ile birçok veriye sahip olduk. Bir sonraki yazımızda konunun devamını ve her eni bir bilginin elde edilmesiyle birlikte neler yapabileceğimizi göstereceğiz. Beklemede kalın.