Bir e-posta adresiniz olduğu sürece, sizi bazı kötü niyetli faaliyetlere çekmeye çalışan kimlik avı e-postalarına devamlı maruz kalacaksınız. Sosyal mühendislik sızma testleri ise bir kuruluşa bu tür saldırılara karşı ne kadar savunmasız olduklarına ilişkin veriler sağlamak, çalışanlara kimlik avını tanımanın ve bu saldırıdan kaçınmanın yollarını öğretmek üzere tasarlanmıştır. Bu tür testler, büyük bir ihlale maruz kalan bir şirket ile güvende olan bir şirket arasındaki keskin farkı ortaya koyar. Bir sosyal mühendislik kampanyası başlatmadan önce ise temel stratejileri bilmek gerekir.
Kötü niyetli aktörler gibi düşünmek
Bir kimlik avı saldırısını simüle etmek için bir tehdit aktörünün hedefleri göz önünde tutulmalıdır. Kimlik avı tipik olarak iki amaçtan biri için kullanılır. İlk olarak, ortamı geçmeye yarayan kötü amaçlı kod almaya çalışmaktır. Siber saldırganlar, bir bağlantıya tıklanarak veya bir e-postada bulunan eki açtırmaya çalışarak tüm kuruluşa kötü amaçlı yazılım yaymayı hedefler. Bu kötü amaçlı yazılımlar, tehdit aktörünün daha sonra ağa erişmek için kullanabileceği bir arka kapı oluşturmak gibi çeşitli nedenlerle kullanılabilir. İkinci olarak kimlik avı, bir kullanıcıyı daha sonra başka saldırılar için kullanılabilecek kimlik bilgilerini paylaşmaya ikna etmek için kullanılır. Bu da bir kullanıcıyı oturum açmayı gerektiren resmi bir siteyi taklit edecek şekilde tasarlanmış bir web sitesine yönlendirerek sağlanır.
Sosyal mühendislik testlerinde ise kimlik avını, saldırganın istediği sonuca uyacak şekilde tasarlamak gerekir. Amaç kötü niyetli bir bağlantıyı serbest bırakmaksa, bir kullanıcıyı ilginç bir haber bağlantısını tıklamaya ikna etmek yeterli olur. Oturum açmaya ihtiyaç varsa da kullanıldığı bilinen bir hizmeti taklit eden bir e-posta hazırlamak yeterli olur. Bu kontrollü kimlik avı kampanyaları, çalışanların duyarlılığı hakkında kuruluşlara stratejik veriler sunar.
Kimlik avına hakim olmak
Birçok kişi kimlik avını hala fark edilmesi oldukça kolay olan basit e-posta adresleriyle ve belirsiz ya da yanlış yazılmış konu satırlarıyla ilişkilendiriyor. Ancak bugünlerde, kimlik avı genellikle çok daha karmaşıktır. Bununla birlikte, bazı tanınabilir kimlik avları da hala sistemlere gizlice girebilir konumdadır. Güvenlik uzmanlarının sızma testleri yaparken bu gelişmelerden haberdar olması ve buna göre saldırı kurgulaması da kurumların olası saldırılara hazırlıklı olmasında etkilidir.
Aktif olan bir kimlik avı kullanmak
Spam filtresini geçmeyi başaran kimlik avı kampanyaları, sosyal mühendislik testinde kullanmak için uygun bir örnektir. Ancak bu gerçek kimlik avlarının yalnızca bir taklidi kullanılmalıdır. Aktif kimlik avı örneği kullanmak kurumlara yalnızca değerli veriler sağlamakla kalmaz, aynı zamanda test sürümüne duyarlı olan kullanıcıların da artık tetikte olmasını mümkün kılar.
Özelleştirilmiş kimlik avı
Bir kimlik avı ne kadar spesifik olursa, açılma olasılığı da o kadar yüksek olur. Whitepaper’lar, sosyal medya vb. gibi açık kaynaklı istihbarat kaynaklarını kullanarak araştırma yapmak, bir kimlik avı kampanyası başlatmadan önce kritik bir hazırlık çalışmasıdır. Bunun için kimlik avını adlar, adresler, konum, ilgi alanları vb. gibi olabildiğince kişiselleştirmek gerekir çünkü ne kadar spesifik olunursa, kullanıcının e-postayı incelemesi o kadar kısa sürer.
Kimlik avı çeşitliliği
Bir sosyal mühendislik penetrasyon testi, mümkün olduğunca gerçek dünyadaki bir durumu simüle etmelidir. Bunu yapmanın en iyi yolu da her seviyeden kimlik avına sahip olmaktır. Bunlar, bariz kimlik avı, genel ama iyi yapılandırılmış kimlik avı ve özel kimlik avıdır. Bu kimlik avı türlerinin içeriği de çeşitli olmalıdır: Bazıları kullanıcıları kötü niyetli bir siteye çekmeye çalışmalı ve bir bağlantıyı açmaya yöneltmeli; bazıları da şirket içindeki iş arkadaşlarını ve harici şirketleri taklit etmelidir. Bu sayede kuruluşlar, çalışanlarının ne kadar duyarlı oldukları ve ne üzerinde çalışmaları gerektiği konusunda en iyi verilere sahip olur.
Kimlik avı e-posta ile sınırlı değil
Bazı kuruluşlar tamamen e-posta tabanlı testlere odaklanır ancak kimlik avının diğer iletişim biçimleriyle yapılabileceği de unutulmamalıdır. Öte yandan, metin mesajları da giderek daha popüler hale geliyor. Burada, şirket tarafından verilen cep telefonu ya da kuruluşun ağına bağlı kişisel cihazlar çok tehlikeli olabilir. Sesli kimlik avı testleri buradaki açıkları bulmaya yardımcı olur.
Sonuç olarak, kimlik avı kampanyalarını tespit etmede sosyal mühendislik testleri en önemli yöntemlerdendir. Saldırganlar sürekli olarak yeniden donatıp farklı taktikler denediğinden, siber güvenlik uzmanlarının devamlı olarak test etmesi gerekir.
NSC Bilişim, SecureSpace Güvenlik Operasyon Merkezi’ndeki kıdemli siber güvenlik uzmanlarıyla sosyal mühendislik testler kapsamında geliştirdiği deneyimleri kurumlara sunuyor. Dijital dünyada gerçek güvenlik elde etmek için NSC Bilişim’e 7/24 ulaşabilirsiniz.
