Güvenlik profesyonelleri kurumsal çalışanların kalp ve zihinlerinin nasıl hack’lendiğini anlatan gerçek hikayelerini paylaşıyor.
Kurumsal bilgi güvenlik riskleri tartışıldığında sosyal mühendislik saldırılarının çok fazla dikkat çekmemesi her zaman şaşırtıcıdır. Bununla birlikte nispeten güçlendirilmiş bir web sunucu üzerinde ortaya çıkartılabilir bir açığı bulmaya karşılık, masum bir çalışanın bir bağlantı üzerine tıklamasını sağlamak genellikle çok daha kolaydır. Sosyal güvenlik saldırıları bir çok farklı açıdan gelir: hedeflenen e-postalardan, yanıltıcı telefon aramalarından ya da IT kaynaklarına ve aradıkları veriye erişim elde etmek üzere bir servis teknisyeni ya da zararsız bir kişi gibi davrananlardan.
İster iyi niyetli bilgisayar korsalarından ister suçlu saldırganlardan gelsin, sosyal mühendislik saldırıları gerçekte nasıl oluyor? Bunun yanıtını almak için işlerinin bir parçası olarak sosyal mühendislik saldırılarıyla yüzleşen ya da bunu yapan bir dizi güvenlik profesyoneli ve iyi niyetli hackerlara ulaştık.
“Sosyal mühendislik benim en favori aktivite türlerimden biridir” diyor yıllar içinde çok sayıda etik sosyal mühendislik saldırısı gerçekleştiren Rook Security teknik danışmanı Chris Blow.
Sosyal mühendislik saldırıları nasıl başladı?
Sıklıkla saldırganlar önce sosyal medya sitelerine, internet aramalarına yöneliyor ve hatta hedef firma hakkında öğrenebildikleri ne kadar çok varsa onunla dokuman toplamak için çöp konteynırlarını dahi karıştırıyor. Öğrendiği bilgiyi alır ve ardından bunları e-posta, telefon ya da bizzat kendisi ile bir hedefli saldırı yapısında hayata geçiriyor. General Dynamics Fidelis Cybersecurity Solutions firmasının siber güvenlik servisleri başkan yardımcısı Mike Buratowski bu taktikleri biliyor. “Firmalar için ihlal değerlendirmeleri yaptığımızda genellikle internet üzerinde kuruma özel bilgiler buluyoruz. Bunlar kişisel olarak ayrıştıralabilir çalışan bilgilerini içeren bir personel listesini, her bir kişinin kime rapor verdiğini, kişinin iş sorumluluklarını ve satın alma yetkisini içerebiliyor. Bu tür durumlarda işletmeler sosyal mühendislik saldırılarına bir başlama noktası sağlayarak saldırganların inandırıcı bir hikaye anlatmalarını fazlasıyla kolaylaştırıyor” diyor Buratowski.
Bu “inandırıcı” hikaye başarılı bir sosyal mühendislik saldırısının çekirdeğini oluşturuyor. “Nihayetinde sosyal mühendislik kurbanınızı kendinize inandırmak ve harekete geçmesini sağlamaktır; bu ister e-posta ya da bir dosya ekini açmak, bir linki tıklamak ya da hatta sahibini bulması için sözüm ona unutulmuş bir USB’yi takmak olabilir” diye ekliyor Buratowski.
Blow bir sızma testinde sosyal mühendislikle müşteriden bir e-posta ve telefon istendiğini hatırlıyor. “Sızma testi sırasında onun SSL VPN ağgeçidini buldum. Sosyal güvenlik tarafında onunla ilgili özel bir şey olup olmadığına bakmak için ağgeçidi web sayfasını tekrar ziyaret ettim. Yoktu. Bu yüzden o sayfayı kopyaladım ve çok inandırıcı bir URL ile host ettim. Yazdığım e-posta’da söz konusu bölgenin çok uzun bir süredir en kötü kışlardan birini yaşadığını belirttim:
“Hava soğukluğunun artması sebebiyle, çalışanlarımızın güvenliğini dikkate alarak uzaktan erişim ağgeçidimizi terfi sürecindeyiz ki bu sayede herkes evinden çalışma fırsatına sahip olabilecek. Lütfen yeni yazılımı kurmak için aşağıdaki linke tıklayın. Devam etmeden önce güvenlik bilgilerinizi girmeniz istenecektir.”
İşe yaradı. Bir saat geçmedi ki Blow çalışanların yüzde 60’ından fazlasının ona sisteme giriş bilgilerini verdiğini gördü. “Enformasyon güvenliği departmanı neler olduğunu tespit edene kadar (yaklaşık 90 dakika) yüzde 75’i aşan bir başarı oranı elde etmiştim. Bilgilerini paylaşan kullanıcılar arasında pazarlama, IT ve hatta C-seviye idareciler yer alıyordu” diye konuşuyor.
Birebir kandırmaca
Her ne kadar e-posta ve telefon aramaları etkili olsa da bazen saldırganın yerine ulaşıp kişisel olarak sosyal mühendislik yapması gerekiyor. “Yıllar içinde AT&T teknisyeni, UPS kuryesi, kızgın bir idareci ile endüstrimizde hakkında konuşulan diğer birçok tipik sahte kimlik rolleri yaptım. Favorilerimden bir tanesi imhacı rolüydü” diye açıklıyor Blow.
Söz konusu “imhacı” aldatmacası için Blow farklı şubeler onun eylemlerini birbirleriyle tartışmaya başlamadan evvel içeri sızabilmek için çok sayıda fiziki lokasyona sahipti. “Çok sayıda basılı ‘iş emri’ elimdeydi ve açıklamada birçok idareci yer alıyordu, CFO’nun imzasıyla birlikte. Bu şubedeki insanlar hakkında bulabildiğim kadar çok şeyi bulmak için zaman ayırdım ama onlardan çoğu pek fazla bir dijital kaplama alanı sahip değildi” şeklinde konuşuyor.
Bu işi daha da güçleştirdi ama imkansız değildi elbette. İçeri girme sıkıntısı yaşadığında Blow talep olduğu takdirde firmada onu desteklemek üzere hazır bekleyen birisine sahipti. Blow’un ihtiyaç halinde başka numaraları da vardı, gelen telefon aramalarını yanıltmak gibi. “Hazır olmadığım şey ilk lokasyonumda daha danışmada durdurulmamdı. Açıkça firma 30 yılı aşkın bir süredir başka bir bela kontrol firmasını kullanıyordu ve hemen benim ‘Bob’ olmadığımı söyledi.” Blow’un hızlı düşünmesi gerekti ve öyle de yaptı. “Onlara bölgede imhacılara olan yoğun talep yüzünden önümüzdeki birkaç ay boyunca işlere taşeronluk yapacağımı söyledim. “Bob”a (firmamdaki çalışanlardan bir tanesi) bir telefon açacak kadar nezaket dahi gösterdim ve inandırıcı bir hikaye uydurduk” şeklinde konuşuyor.
Kadınla ve o ofisteki başkan yardımcısıyla birkaç dakikalık konuşmanın ardından Blow yine de reddedildi. Onlara daha fazla kanıtla geri döneceğini söyledi. Blow’un şansına söz konusu şube oldukça büyük bir kampüs olduğundan başka bir kapıyı çaldı ve sorgulanmadan ihtiyacı olan her şeyi alabildi. Bir kez içeri girdikten sonra “diğer kişiler oldukça dostçaydı ve kilitli odalara girmeme yardımcı oldular.” diye anımsıyor.
Bu türden sosyal mühendislik denemeleri gereksiz ve gerçek dünya saldırılarıyla bağdaşmaz diye mi düşünüyorsunuz? Tekrar düşünün. Solutionary’nin kıdemli güvenlik stratejisti Jon Heimerl, geçmiş uygulamalardaki bir dizi sosyal mühendislik denemesini hatırlıyor. Solutionary, bir müşterinin güvenlik farkındalığı eğitiminin bitişini takiben sosyal mühendislik direncini test etmek üzere görevlendirildi. “Firmanın telefon numaraları arasında rasgele bir tanesini çevirdim ve tatile çıkmış bir çalışanın sesli mesajına ulaştım. Firmanın yardım masasını aradım (sesli mesajda veriliyordu) ve boğazı ağrıyan çalışan gibi davranarak kritik bir projede (yine mesajdan öğrenildi) baskı altında olduğumu gösterdim, diye anımsıyor Heimerl.
O bilgiyle ne yapabilirdi ki? “Çalışanın parolasını değiştirmek üzere yardım masasına ulaşabildim” şeklinde konuşuyor.
Heimerl ardından çalışanın Outlook web tabanlı e-postasına giriş için yeni parolayı kullandı ki söz konusu çalışan burada firmanın çok sayıda kritik sistemi için kullanıcı adı ve parolaları dahil çeşitli hassas verileri saklamıştı. Tüm sosyal mühendislik gayreti sadece 3 dakika sürdü” diyor Heimerl ancak yarım saat içinde Solutionary geçerli kullanıcı adı ve parolalarla firmanın domain kontrolcüsüne bağlanabilmişti. Yaptığımız hiçbir şey uyarı üretmedi veya bir saldırı gibi gözükmedi. Yardım masasını kendimi o çalışanmış gibi kandırmak için çalışanın ofis dışındayım sesli mesajını kullanabildim,” diye konuşuyor Heimerl. İhtiyacı olan her şey bu kadardı.
Bir diğer uygulamada, Heimerl’in ekibi bir ihlal ıslahı üzerinde çalışıyordu. Saldırganlar gelişmiş malware’ler kullanarak bir süreliğine firmaya sızmıştı. “IT dışındaki bir çalışan çağrı aldığında saldırı vektörlerini kapatma sürecindeydik. Arayan kişi kendisini CISO’da çalışan birisi olarak tanıttı ve CISO’nun dışarıdan bazı partnerlerle özel bir sızma projesi üzerinde çalıştığını biliyordu. Ardından o partnerlerin adlarını öğrenip öğrenemeyeceğini sordu,” diye konuşuyor.
Heimerl’in düşüncesine göre onlar hem firmanın içeri sızıldığını fark edip fark etmediğini hem de sızılmaya karşı kimlerin çalıştığını (savunma ve inceleme için) öğrenme arayışındaydılar. “Sıklıkla kötü adamlar kurbanlarının kendilerinin üstüne geldiğini düşündüklerinde eylemsizliğe geçerek tekrar geri dönmeden evvel dumanın çökmesini bekler. Bazen bu işe yarar. Diğer zamanlarda, incelemeler daha kapsamlı olduğunda, işe yaramaz” şeklinde konuşuyor.
Sosyal mühendislere baktığımızda, sosyal mühendislik teknikleri üzerinden saldırılarını yapmada başarısız olanların birkaç denemeden daha fazlasını yapanla karşılaşmadık. Öyle gözüküyor ki IT altyapısı ne kadar güçlendirilmiş ya da güvenlik teknolojileri yerli yerinde olursa olsun krallığın anahtarlarını teslim edecek ya da en azından nazik ya da otoriter bir biçimde sorulduğunda kapıyı aralayacak çalışanlar her zaman olacaktır.
İşte bu nedenle Blow daha fazla firmanın güvenlik bütçelerinin bir bölümünü sosyal güvenlik testlerine ayırmasını tavsiye ediyor. “Bu sadece çalışanlarınızın bir gerçek dünya senaryosu eğitimine yardımcı olmaz aynı zamanda firmanızın vaka yanıt programını güçlendirmesine de yardımcı olacaktır” şeklinde konuşuyor. “Umarım sizin firmanız bunlardan birine sahiptir.” diyor Blow.