Tem.20

Hacker ve Toplum Mühendislerinin Uyguladıkları Popüler Saldırı Metotları ve Alınabilecek Önlemler – İnsan Psikolojisinden Faydalanmak

Bilgisayarınıza her ne kadar anti-virüs, anti-trojan, firewall ve buna benzer güvenlik programları kursanız, işletim sisteminizin açıklarını kapatsanız da tamamen güven altında olduğunuz söylenemez.

Bilgi güvenliği üç temel kavram üzerine oluşturulur. Bunlar; donanım, yazılım ve insan faktörleridir. Donanım faktörü artık biraz eskide kaldı. Çünkü günümüzde üretilen veri saklama aygıtları tamamen güvenilir ve elimizin altındadır. Veri depolama aygıtlarınız bir hırsız tarafından çalınmadıkça, bir yangında veya selde hasar görmediyse herhangi bir sorun teşkil etmez. Yazılım kavramı ise gün geçtikçe kendini yenileyen, her geçen gün daha fazla koruma imkanı tanıyan bir sistem haline gelmiştir. Yazılım desteği ile veri depolama aygıtlarımızda yer alan bilgilerimizi dış kaynaklı yazılım erişimlerinden koruyabiliyoruz. Peki, insan faktörü nedir, bilgi güvenliğinde insanın rolü nedir? Şimdi bu soruların cevaplarını arayalım.

Sisteminizi korumak için aldığınız bütün güvenlik yazılımlarının getirmiş olduğu avantajlar ve önlemler bir insan hatası yüzünden bir anda yıkılabilir ve bilgi hırsızları için bütün yolların açılmasına vesile olabilir.

Nasıl bir hacker bilgisayara giriş yapabilmek için bilgisayarın açıklarını kullanıyor ise bir insan beynine giriş yapabilmek ve bilgilere ulaşabilmek için insan psikolojisinden yararlanılır. Eğer bir hacker kurbanının bilgisayarını ele geçiremiyorsa, o bilgisayarı kullanan kişiyi ele geçirmeye çalışır. O kişiyi kendi kendine bilgi vermesi için psikolojik olarak zorlar. Bu her ne kadar kaba kuvvet gibi görünse de hedef alınan kişi durumun farkında olmadığından, saldırgan tarafından istenilen bilgiyi kendi eliyle verir.

Hacker’ların bu yöntemi uygularken yararlandıkları insan psikolojileri ve etkileri şöyle sıralanabilir.

Açgözlülük: İnsanlar genelde aç gözlüdür. Kendilerine sunulan ücretsiz ürünleri veya hizmetleri edinmek isterler. Veya kolay yoldan ürün ve para kazanmak cazip gelir.

Hacker’lar yaygın olarak e-posta, web siteleri ve msn gibi sohbet programları aracılığı ile insanların aç gözlülük eğilimlerini kullanarak çeşitli phishing yöntemleri geliştirmiştir. Genellikle günümüzün saldırı çeşitliliğinde dolandırıcıların ve lamer’ların kullandığı bir yöntemdir. Ancak toplum mühendisleri tarafından da bilgisayar dışı elektronik cihazlar aracılığı ile aç gözlülük psikolojisi ile çeşitli dolandırıcılıklar yapılmaktadır. Yalpan saldırı türlerine birkaç örnek verelim.

• E-posta adresimize gelen, “Şu mesajı şu kadar kişiye gönderirsen şu kadar para ödülü…”gibi mesajlar.
• E-posta adresimize gelen ücretsiz hediye mesajları.
• Web sitelerinde gezinirken karşılaştığımız bedava ürün reklamları.
• Cep telefonumuza gelen, “Şu kadar para kazandınız, onay kodunu öğrenmek için şu numarayı arayın…” gibi sms’ler.

Bahsedilen bu birkaç saldırı metodu, insanların açgözlülük eğilimlerini esas almıştır. Eğer böyle mesajlar ile karşılaşacak olursanız sakın dikkate almayın ve sizden yapmanızı istedikleri şeyi asla yapmayın!

Panik Hali: Çoğumuz bir hata yaptığımızda içgüdüsel olarak panikleriz. Panik halinde düzgün düşünemez ve ani kararlar veririz. Vermiş olduğumuz kararların sonuçlarını fazla düşünmeden uygulamaya geçiririz. Olumsuz bir durum veya olay karşısında, daha önceden yaşamış olduğumuz edinimler doğrultusunda veya çeşitli etkenlerin tesiri altında kalarak birtakım fiilleri işlemeye yönlendirilebiliriz. Bu davranış psikolojisi, içinde bulunduğumuz kötü durumdan bir an önce kurtulmamız için geliştirdiğimiz bir savunma halidir.

Bilgisayar kullanırken bazı hallerde panik durumuna düşebiliriz. Daha çok toplum mühendislerinin uyguladığı ve belirli bir hedefe saldırı yaparken (kurban belli ise) gösterdikleri bir yöntemdir. Bu yöntemde; saldırgan, kurbanı hakkında birtakım bilgileri daha önceden toplamış ve öğrenmiştir. Elde ettiği bilgiler ile kurbanını nasıl kandırabileceğini ve nasıl panik haline sokabileceğini kurnazca düşünür. Kafasında oluşan bir fikir ile kurbanına çoğunlukla e-posta aracılığı ile olta sallar. Eğer kurban bu yemi kaparsa hedefe ulaşmış sayılır. Yine bu yöntem birçok lamer ve dolandırıcı tarafından web siteleri ve sms sistemlerinde uygulanmaktadır. Bu yöntemle günümüzde yaygın olarak uygulanan saldırıların başında gelenleri sıralayalım.

• Web sitelerinde gezinirken birden bire açılan uyarı mesajları bizi kritik hatalara karşı uyarır gibi görünebilir. Ancak bu uyarı mesajları sahte olabilir ve mesaj kutusunda yer alan onay butonlarına tıklamamız ile bilgisayarımıza trojan yükleyebiliriz.
• E-posta hesabımıza girmek istediğimizde parolamız kabul edilmiyorsa belki gerçekten parolamızı yanlış girmişizdir. Belki de sahte bir siteye yönlendirilmişizdir. Yeni şifre talebi için yönlendirileceğimiz sayfa, e-posta şifremizi çalmak için hazırlanmış olan bir sahte site olabilir.
• Hiç hesapta yokken e-posta hesabımıza banka kartımızın şifresinin başarılı bir şekilde değiştirildiğini belirten bir ileti gelmişse ve bizi bir adrese yönlendiriyorlarsa büyük bir ihtimal banka kartı şifrelerimiz bu panik hali ile çalınmak isteniyordur.
• R-posta hesabımıza para transferini hakkında bir ileti gelmişse veya bu gibi uyarılara benzer bir şekilde bizi endişeye sokacak bir durum yaşanıyor ise ister istemez panik haline girebiliriz. Yine aynı şekilde hizmet almış olduğumuz bankanın sahte sitesine yönlendirilebiliriz.

Hatalar, en fazla panik halinde iken yapılır. Sizi endişelendirecek bir olay olduysa bile asla panik haline düşmeyin ve sakin olun. Zaten size bir uyarı geldiğinde, iş işten geçmiş demektir. Bu nedenle aceleci davranmayın ve attığınız her adımdan emin olun. Şüpheye düştüğünüz konularda emin olun.

Acelecilik: Bilgisayar kullanırken, sürekli yapmış olduğumuz rutin işleri psikomotor sinir sistemimiz ile hiç düşünmeden, seri bir şekilde yapabiliriz. Nasıl ki kalemle veya klavye ile yazı yazarken düşünmüyorsak, buna benzer sürekli yapmış olduğumuz gündelik işlerimizi hızlı bir şekilde ve düşünmeden gerçekleştirebiliriz. Aynı şekilde, insanların sürekli yapmış oldukları işler zamanla bir alışkanlık haline gelir. Sürekli yapmış olduğumuz işlerde, eğer rutin akışı bozacak veya bizi rahatsız edecek bir etken olmadığı sürece ezberi fiilleri peşi sıra uygularız. Bilgisayar dünyasından örnek vermek gerekirse; klavye ile yazı yazmak, Windows hata mesajları ile karşılaştığımızda direkt iptal veya kapat butonuna basmak, e-posta veya arkadaşlık sitelerine girerken hemen parola metin kutusuna tıklayıp şifremizi girerek onay butonuna tıklamak, bilgisayarımıza bir program yüklerken sürekli olarak ileri butonuna tıklamak gibi örnekler verilebilir.

Acelecilik işe düştüğümüz en büyük tuzak, sahte siteler üzerinden yapılan saldırılardır. Genellikle dolandırıcıların uyguladığı bir yöntemin uzantısıdır. Bu tür saldırganlar, e-posta adreslerini kullanarak phishing saldırısı uygular. Kurbanlarını sahte sitelere çekerek kullanıcıların çeşitli bilgilerini çalmaya çalışırlar. Birkaç örnek ile inceleyelim.

• E-posta adresinize, “Üyeliğinizin olduğu herhangi bir sitedeki hesabınızın şifresinin başarılı bir şekilde değiştirildiğini ve detaylı bilgi için şu linki tıklayın.” gibi mesajlar gelebilir. Eğer bu mesaj bir phishing saldırısı ise saldırgan kişi sizin hakkınızda birtakım bilgiler toplamıştır. Hangi sitelere üye olduğunuzu bilmektedir. Bilmese bile çoğu zaman facebook gibi hemen hemen herkesin üyeliğinin olduğu web adreslerini aracı gösterebilir. Şifre düzenlemeleri için ise sizi sahte bir siteye yönlendirebilir. Tabi, kurban bu durumda şifresinin bir korsan tarafından çalındığını düşünebilir ve eğer hızlı olabilirse bir ihtimal üyelik hesabını kurtarabileceğini düşürür. Bu güdü ile hiç dikkat etmeden sahte sitelere şifrelerini kaptırabilir.
• İllegal bir siteye girdiğimizde birtakım pop-up ekranları açılabilir. Aynı şekilde çeşitli hata pencereleri aktif olabilir. Site tarafından Script’ler ile açılan bu hata mesajları normal Windows mesajları gibi görünebilir ve kullanıcının birtakım işlemleri yapması için onayını isteyebilir. Eğer alışılagelmiş bir şekilde dikkat etmeden uygunsuz bir şekilde onaylama işlemi yapacak olursak web sitesi tarafından saldırıya uğrayabiliriz. Bir ihtimal bilgisayarımıza kendi onayımız ile virüs, truva atı veya solucan yükleyebiliriz.

Özellikle e-posta hesabınıza bahsettiğimiz senaryolara benzer bir şekilde iletiler gelirse asla acele etmeyin. Mesajın içeriğinden emin olun. Mesajın kim ve hangi e-posta tarafından gönderildiğinden emin olun. Eğer bir link varsa bu link’in gerçekte nereye açıldığına dikkat edin. Hatta, link üzerinden değil, direkt yeni bir web tarayıcı sayfasında ana sayfadan bağlantı kurun.

Merak Duymak: Hepimiz ilgimizi çeken ve bilmediğimiz konuları merak ederiz. İnternet, merak ettiğimiz konular hakkında bize gerekli bilgiyi sunan bir platformdur. İnternette çeşitli arama motorlarını kullanarak, çeşitli web sitelerinde merak ettiğimiz konular hakkında bilgilere ulaşabiliriz. Yine internette sörf yaparken ilgimizi çeken reklam metinlerine ve resimlerine tıklayarak sayfadan sayfaya geçeriz.

Bilgisayar korsanlarının kurbanlarını yakalamak için kullandığı en etkin yöntem, meraklı ve bilinçsiz kullanıcıları ağlarına çekmektir.

Her gün tanımadığımız kişi ve kurumlardan onlarca reklam iletileri alıyoruz. Bu iletilerin içeriği genellikle ilgimizi çekebilecek öğelerden oluşuyor. Normalde bu tür e-posta’lar reklam içerikli iletilerdir ve hiç okunmadan silinmeli. Ancak meraklı kullanıcılar bu tür iletileri açar ve içeriğini okur. Hatta bununla da yetinmeyip, ileti içerisinde yer alan linklere tıklayarak o an ilgisini çeken konu hakkında daha fazla bilgi edinmek için web sayfalarına yönlenir. Aynı şekilde, internette gezinirken karşımıza çıkan birtakım ürün veya kişilere ait dikkat çekici reklam banner’larına tıklayıp illegal sitelere yönlendirilebiliriz. Kimimiz de internette gezinirken bir anda dikkatini çeken; bedava sunulan bir programı, oyunu veya müzik dosyasını bilgisayarına indirir. Daha sonra indirdiği dosyayı açar. Ancak bu sergilemiş olduğumuz davranışlar tamamen güvensizdir. Bilgi ve bilgisayar güvenliği kavramını tehlikeye atar.

Bilgisayar kullanıcılarının ne kadar meraklı olduklarını bilirler. Bu nedenle kurbanlarını çoğunlukla meraklı kullanıcılar arasından seçer. Daha doğrusu meraklı kullanıcıların kendiliğinden gelmelerini sağlarlar. Bunu da az önce bahsettiğimiz gibi e-posta, web siteleri, ücretsiz programlar, oyunlar, videolar, resimler ve müzik dosyaları ile sağlar. Nasıl yaptıklarını birkaç örnek ile inceleyecek olursak…

• E-posta adreslerinize bayan isimleri e-posta içeriklerini merak edip açmayın. Bu tür e-posta’ların içerisinde genellikle solucan dosyaları bulunmaktadır.
• MSN’de seni kim engellemiş gibi başlıklarla gelen e-posta’larda yer alan linklere tıklamayın. Bu tür sitelere girmeyin. Bu tür saldırılarda kurbanların e-posta adresleri toplanır ve spam mail yağmurları yağdırılır. Her gün hiç alakasınız olmayan reklam iletileri alırsınız. Eğer bir dolandırıcı veya lamer bu sistemi kullanmışsa e-posta şifrenizi rahatlıkla çalabilir.
• İllegal web sitelerde yer alan reklam banner’larına tıklamayın. Genellikle sahte sitelere yönlendirilirsiniz. Bir ihtimal script ataklarına maruz kalırsınız ve bilgisayarınıza zararlı yazılımlar yüklenir. Cookie dosyalarınız çalınır.
• Cep ve ev telefonunuzu arayan cevapsız numaralara, tanımadığınız numaralara kesinlikle dönüş yapmayın. Bu tür numaralar genellikle dolandırıcılıkta kullanılır ve siz o numaraları aradığınızda her geçen saniye için para ödersiniz.
• Cep telefonunuza gelen, kontur kazandınız, ürün kazandınız veya herhangi bir konu hakkında teyit için şu numaraya sms atın veya arayın gibi bilgilendirmeleri görmezden gelin. Yine dolandırıcıların kullanmış olduğu para hırsızlığı yöntemidir.
• Bilmediğiniz ve güvenilir olmayan web sitelerinden kesinlikle dosya indirmeyin. Genellikle truva atı ve tuş dinleyicileri içeren bu dosyalar ile bilgisayarınıza sızarlar.
• Sohbet kanallarında size gönderilen dosyaları merak edip kesinlikle kabul etmeyin. Yine aynı şekilde bu dosyalarda truva atları bulunma olasılığı yüksektir.

Meraklı olmak iyidir. Ancak bilgisayar ve internet dünyası yalanlar üzerine kuruludur. Merakınızı kendi çıkarlarına kullanmak isteyen kötü niyetli kişiler her zaman için olacaktır.

İncelemiş olduğumuz bu insan psikolojilerine; iyimserlik, yardım severlik, güven duymak, sorgulamamak, dikkatsizlik ve buna benzer olumlu ve olumsuz psikolojik durumlarımız da dahil edilebilir.

Asla virüsler benim bilgisayarıma girmez, hacker’lar bana ulaşamaz diyerek iyimser olmayın. İnternette tanıştığınız kişilere güvenmeyin. Özellikle kendini bayan ismi ile lanse edip sizinle tanışmak isteyenlerle. Attığınız her adımı sorgulayın. Her işlemin bir sonucu olduğunu unutmayın. Özellikle internette gezinirken ve e-posta’larınızı okurken dikkatli olun. Dolandırıcıların sahte sitelerine düşmeyin. Virüslü iletileri açmayın.

İşlemiş olduğumuz hacker saldırı yöntemlerinin bunlarla sınırlı olmadığını asla unutmayın. Her geçen gün hacker’lar yeni saldırı sistemleri geliştirmeye devam etmektedir. Özellikle bilgi ve bilgisayar güvenliği konusunda endişeleriniz varsa kendinizi bu konuda güncel tutun. Bilgisayar güvenliğiniz için güçlü güvenlik yazılımları kullanın ve kendinizi sürekli olarak hacker saldırılarına karşı tetikte tutun.

4. adımın sonunda bilişim suçlularının kurbanlarını nasıl bulduklarını, kişilerin kendi kendilerini nasıl kurban ettiklerini ve hacker saldırılarında uygulanan başlıca saldırı metotlarına karşı alabileceğimiz önlemleri, tutunacağımız tavırları az çok öğrenmiş olduk. Bir sonraki adıma geçerek, bilinçli kullanıcı olma sürecinde hem bilgi açısından hem de uygulama açısından edinmemiz gereken davranışların neler olduğunu öğrenelim.

İçeriği paylaş:
  • facebook
  • twitter