Sosyal Mühendislik Testleri Nelerdir ve Nasıl Yapılır?

Şirketlerin verilerine yönelik siber saldırılar hem bilişim altyapısındaki zaafiyetlerden hem de bu ataklara karşı yeterince bilinçli olmamaktan kaynaklanır. IBM Security tarafından yayımlanan “Veri İhlalinin Maliyeti Raporu”, bu sorunun temel kaynaklarından biri olarak çalışan ihmalinin altını çizer. Ayrıca bilişim altyapısından eksikliklere ve iç kaynaklardan dışarıya bilgi sızdırma oranına da dikkat çeker.

Stanford Üniversitesi Profesörü Jeff Hancock’un katkılarıyla hazırlanan “İnsan Hatalarının Psikolojisi Raporu” ise veri ihlallerinin %88’inin personel hatalarından kaynaklandığını ortaya koyar. Tüm bu somut bulgular, şirket içi siber güvenlik farkındalığının önemini gösterir. Yazının devamında bu güvenliği sağlamak için başvurulan yöntemlerden biri olan sosyal mühendislik testlerine dair detayları ele aldık.

Zayıflıkların Üzerine Giden Sosyal Mühendislik Nedir?

Siber saldırganlar, şirketlerin ve bireylerin verilerini ele geçirmek için beşerî zafiyetlere odaklanır. Yani personelin bilgisizliğinden ya da ihmalinden yararlanarak onları manipüle etmeye çalışır. Bu sayede firmaya ve paydaşlarına ait verileri ele geçirir. Sosyal mühendislik faaliyetlerinde insanların zayıf noktaları hedeflenir. Örneğin heyecan, endişe ve merak duygularının üzerine gidilerek psikolojik bir saldırı gerçekleştirilir. Söz konusu duygulara kapılarak bilinçsizce hareket edenler hem kendine hem de şirkete ait bilgileri riske atabilir.

Farklı Sosyal Mühendislik Saldırıları Nelerdir?

Sosyal mühendislik testleri, belli başlı saldırı türleri baz alınarak yapılır. Dolayısıyla bu testlerden bahsetmeden önce sosyal mühendislik yöntemlerini incelemekte fayda vardır. Aşağıda siber güvenlik farkındalığı olmayanları hedef alan bazı saldırı türlerini görebilirsiniz.

• Baiting: Siber saldırgan, kötü amaçlı yazılımları yüklediği USB bellek gibi fiziksel aygıtları bulunacağından emin olduğu yerlere bırakır. Personel, bu cihazı kullanarak istemeden zararlı yazılımı bilgisayarına yükler. 
• Phishing: Sosyal mühendislikte phishing yöntemine sıklıkla başvurulur. Phishing ya da oltalamada kötü niyetli kullanıcı, güvenilir bir kaynağı taklit ederek personele meşru görünümlü e-postalar gönderir. Bu e-postalarda alıcı; mali ve kişisel bilgilerini paylaşmaya ya da kötü amaçlı yazılımı bilgisayarına yüklemeye yönlendirilir.
• Vishing: Sesli phishing olarak da tanımlanan vishing, hedeften finansal ya da kişisel verilerini almak için telefon üzerinden yürütülen sosyal mühendislik saldırılarıdır. 
• Whaling: Bu sosyal mühendislik ataklarında finans müdürü ve yönetim kurulu başkanı gibi yüksek profilli çalışanlar hedef alınır.  
• Pretexting: Pretexting yönteminde taraflardan biri, hassas verilere ulaşmak için diğerine yalan söyler. Örneğin alıcının kimliğini doğrulamak için finansal ya da kişisel verilere ihtiyacı varmış gibi davranır.
• Scareware: Bu saldırı türünde siber saldırı kurbanı, bilgisayarlarına kötü amaçlı yazılım bulaştığını veya istemeden yasa dışı içerik indirdiğini düşünür. Daha sonra siber saldırgan, hedefin aslında var olmayan sorununa yönelik bir çözüm sunar. Bu sahte çözümler aracılığıyla kişinin ya da kurumun verilerine ulaşır.
• Watering hole: Bu yöntemde saldırgan, ağ erişimini ele geçirmek için sık ziyaret edilen ve güvenilen web sitelerini hedef alarak belirli bir grup kullanıcının verilerine ulaşmaya çalışır.
• Diversion theft: Diversion theft yönteminde sosyal mühendisler, bir teslimat firmasını manipüle ederek kargoların yanlış konumlara gitmesini sağlar. Bu hatalı gönderimler  nedeniyle şirkete ait unsurlar, siber dolandırıcıların eline geçer.

Sayılanların dışında daha pek çok sosyal mühendislik tekniği bulunur. Bu atakların her biri, bilişim altyapısına insan hataları üzerinden erişmeyi hedefler. Söz konusu hatalara yönelik sosyal mühendislik testleri sayesinde siber güvenlik açıklarını belirleyebilir, potansiyel saldırıları tespit edebilir ve bunlara karşı önlem alabilirsiniz.

Sosyal Mühendislik Testi Nedir?

Sosyal mühendislik testleri, insan hatalarından faydalanarak hassas bilgilere ulaşmayı hedefleyen saldırılara karşı kurumun ne kadar güvende olduğunu ölçer. Bu kapsamda uzaktan ve fiziksel olmak üzere iki ayrı test yöntemi vardır. Uzaktan sosyal mühendislik testinde personele farklı atak türlerine göre özel olarak hazırlanmış iletiler gönderilir. Sahte e-postalar sayesinde çalışanların siber güvenlik farkındalıkları tespit edilir. Fiziki testlerde ise personelin bilgileri hakkında ipuçları veren notlar, kurumun ağ ya da sistem verilerine dair unsurlar, çöp kutusuna atılan dokümanlar ve telefon rehberi gibi materyaller incelenir.

Kurumlar için Güvenlik Önlemleri: Sosyal Mühendislik Testlerinin Amacı Nedir?

Siber güvenlik; şirketin bilişim altyapısının sürdürülebilirliği, veri gizliliği ve itibarının korunması gibi konularda önemli rol oynar. Sosyal mühendislik testleri, kurumların siber risklerin farkında olmasına ve gerekli güvenlik önlemlerini almasına yardım eder. Sosyal mühendislik faaliyetlerini önlemeye destek veren bu testlerin amaçları aşağıdaki gibidir.

• Personel eğitimi: Sosyal mühendislik testleri, kurumların çalışanlarını bu saldırılara karşı eğitmesini sağlar. Personelin beşerî zayıflıklara odaklanan siber saldırılara ve şüpheli iletişimlere karşı tetikte olmasını mümkün kılar.
• Güvenlik zafiyetlerinin belirlenmesi: Sosyal mühendislik saldırı testleri, bir kurumun güvenlik açıklarını belirlemek için kullanılabilir. Örneğin hassas bilgileri içeren dokümanların doğru imha edilmemesi ya da şirket binasında yeterli güvenlik önlemlerinin alınmaması gibi zafiyetleri tespit edebilir.

Özetle bu testler, kurumların genel güvenlik prosedürlerini iyileştirmesine yardımcı olur. Şirketler, belirli periyotlarla sosyal mühendislik testleri yaptırarak hem kendi bilgilerini hem de paydaşlarının verilerini koruma altında tutabilir. Böylece veri ihlalinden kaynaklı maddi ve manevi kayıpları önleyebilir.

Sosyal Mühendislik Test Kurgusu Nasıl Hazırlanır?

Sosyal mühendislik atakları, genellikle penetrasyon ya da diğer adıyla sızma testleriyle ölçülür. Penetrasyon testinde bilişim altyapısı; bir siber saldırganın gözünden güvenlik açıklarını tespit etmek üzere, alanında uzman kişilerce ve belirli prosedürlere bağlı kalarak taranır. Sosyal mühendislik ataklarını test etmek için sırasıyla bilgi toplama, zayıflık tarama, sisteme sızma, erişim koruma ve raporlama aşamaları izlenir.

Bilgi Toplama: Gerekli Senaryonun Geliştirilmesi

Bireysel ve kurumsal sosyal mühendislik testleri, bilgi toplama adımıyla başlar. Bu aşamada siber saldırganların faydalanabileceği her türden veri incelenir. Örneğin kurumun iç işleyişine, çalışanlarına, teknik altyapısına ve diğer unsurlara dair hassas veriler değerlendirilir. Kötü niyetli kişiler; bu bilgileri veri ihlali, kimlik hırsızlığı, şantaj ya da zararlı yazılımın sisteme yayılması gibi amaçlarla kullanabilir.

Zayıflık Tarama: Kurguya Uygun İçerik ve Site Geliştirmesi

Sosyal mühendislik testlerinde ikinci adım, zayıflıkların belirlenmesidir. Zayıflık taraması, otomatize araçlar ve ileri seviye ölçümler aracılığıyla gerçekleştirilir. Otomatize ölçümde özel yazılımlar sayesinde görece yüzeysel güvenlik açıkları tespit edilir. İleri seviye taramalarda ise nispeten daha zor bulunan zafiyetler ortaya çıkar. Belirlenen zafiyetlere göre kötü amaçlı e-postalar ve kimlik avı saldırısı senaryoları oluşturulur.

Sisteme Sızma: Altyapı Tasarımının Oluşturulması

Bilgi toplama ve zayıflık tarama işlemleri sonucunda açığa çıkarılan güvenlik zafiyetleri, sızma testi stratejisi oluşturmak için kullanılır. Sızma işlemi, etik kurallara ve kurumun onayına uygun bir şekilde planlanmalıdır. Ayrıca alanında uzman kişiler tarafından ve dikkatlice gerçekleştirilmelidir. Bu hususlara göre elde edilen bulgular, siber güvenlik politikalarının en uygun koşullarda iyileştirilmesine yardımcı olur.

Erişim Koruma ve Raporlama: Uygulama ve Gözlemleme

Sosyal mühendislik senaryolarını simüle eden testler, erişim koruma ve raporlama adımlarıyla sona erer. Erişim koruma aşamasında zafiyetlerden dolayı hangi verilerin siber saldırganların eline geçebileceği tespit edilir. Ayrıca gerektiğinde bu bilgileri korumaya alacak sistemlerin etkinliği ölçülür. Son olarak, tüm bu adımlarda gerçekleştirilen işlemleri ve toplanan verileri içeren bir rapor hazırlanır. Rapor, sosyal mühendislik açıklarının nasıl kapatılacağı ve alınması gereken önlemler hakkında bilgiler sunar. Kurumlar, bu rapordaki bulgulardan yola çıkarak personelinin siber güvenlik farkındalığını artıracak eğitimler hazırlayabilir.

Şirketler için Sosyal Mühendislik Testleri Kimler Tarafından Yapılmaktadır?

Şirketler için sosyal mühendislik testleri, gerekli sertifikasyonlara ve uzmanlıklara sahip kişiler ya da organizasyonlar tarafından yapılır. Örneğin şirketlere siber güvenlik alanında çözümler sunan inventiv, bilginiz ve gözetiminiz dâhilinde güvenlik testleri gerçekleştirir. Böylelikle kurumunuzun bilişim altyapısındaki güvenlik açıkları tespit edilir. OSCP, ECSA, LPT, CEH sertifikasyonlarına sahip ekibiyle bilişim sistemlerindeki zafiyetleri belirleyen ve bunlara karşı önlem almanızı sağlayan TSE onaylı sızma testi firması inventiv sayesinde şirketinizin veri güvenliğini artırabilirsiniz.