Sosyal mühendislik, bir hedefin belirli bilgilerini açığa çıkarmak için veya gayri meşru sebeplerle bir eylemde bulunmaya yönelik kullanılan tüm teknikleri ifade eder. Oltalama saldırıları sosyal mühendisliğin bir türü olup potansiyel mağdurları kimlik bilgileri, banka ve kredi kartı bilgileri gibi hassas bilgileri açığa çıkarmaya ikna etmek için yapılır. Saldırı genellikle bir banka, e-ticaret sitesi, kamu kurumu veya sosyal ağlar gibi meşru bir kaynaktan gelen sahte e-postalar ile başlar ve kişinin zararlı yazılım indireceği ya da istenen bilgileri girebileceği sahte bir web sitesine yönlendirilmesi biçiminde devam eder. Bu sahte iletiler genellikle kişiselleştirilmiş değildir. Sosyal medya gibi ortamlardan elde edilen bilgiler ile yapılan hedef odaklı oltalama saldırıları (Spear Phishing) ise kişiselleştirilmiş saldırılardır.

Sosyal mühendislik, insanların zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışma işlemlerinin bütünüdür. Sosyal Mühendislik saldırılarında insanların karar verme süreçlerini değiştirmeye yönelik teknikler uygulanabildiği gibi insan davranışları birer açıklık olarak kabul edilerek bu açıklıkların kullanılması ya da sömürülmesi yönünde saldırılar da yapılabilir.

Sosyal Mühendislik saldırısı yöntemlerinden Sahte senaryolar uydurma (pretexting) yöntemi, genellikle telefon veya bir web sayfası kullanılarak geliştirilen saldırı yöntemidir. Hedefin belirlenmesi, hedefe dair bilgi toplanması, hedefle iletişim/ilişki kurulması aşamasından sonra saldırıya geçilir. Amaç, sahte bir senaryo/hikaye uydurarak bu senaryonun içine serpiştirilmiş tuzaklarla hedeften istenilen bilgiyi almaktır. Kişisel bilgiler, şifreler, kredi kartı numaraları, kurumsal bilgiler, online bankacılıkta size gelen doğrulama smsleri vs. yapılan saldırılarda hemen her şekilde elde edilmeye çalışılır.

Hedefin bir kurum olduğu saldırılarda, saldırganlar güvenlik sistemlerini hedef olarak seçmek yerine daha çok en zayıf halka olan insan faktörü üzerine yoğunlaşmakta ve bir sisteme sızmak için sıradan bir kullanıcının bilgilerini ele geçirdikten sonra hak yükselterek ilerlemektedirler. Oltalama saldırıları ile direkt kişilerin kendilerinden bilgilerini almaya çalışmakta ya da web uygulama açıkları üzerinden sistemlere ve kurumsal bilgilere erişim sağlamaya çalışmaktadırlar. Genellikle kullanıcı güvenliği adına kurum ve kuruluşlarca ilk etapta yetki kısıtlamaları uygulanmaya başlanmakta devamında Antivirüs, EDR (Endpoint Detection and Response) yada Sandbox (Kum Havuzu) dediğimiz yazılımları sağlanmaya çalışılmaktadır. Ancak son kullanıcı seviyesine inmeden kurumsal bir bilgi güvenliğinden bahsedilemez. Kurumsal bilgi güvenliği politikasının etkili olabilmesi için politikanın son kullanıcılar tarafından tam olarak anlaşılmış olması önemlidir. Tatbikatlar hem kullanıcı farkındalığını doğru olarak ölçmekte hem de farkındalığı arttırmakta oldukça etkili bir yöntem olarak kabul edilmektedir. Oltalama Saldırıları web sitesi, e-posta yoluyla geleneksel bir şekilde yapılabileceği gibi taşınabilir medya ortamları ile de yapılabilir. Hazırlanan USB bellekler organizasyon içerisinde belirlenen alanlara bırakılarak kullanıcıların tanımadıkları bir belleğin içindeki dosyaları açıp açmadıkları tespit edilmeye çalışılır. Kurumlarda uygulanacak sosyal mühendislik deneylerinde aşağıdaki hususlara dikkat edilmesi gerekmektedir.

• Yapılacak tatbikatın gerçeğe uygun olması doğru sonuç almak adına önemlidir. Güvenlik sistemleri e-posta adres aldatmacalarını tespit edebildiğinden gönderilen e-postanın ve yönlendirilen bağlantı adresinin kurumsal bir adres olmaması daha doğru olacaktır. Demek istediğim yanlışlıkla kurumsal bir adresin bloklanmasına neden olabiliriz. Öte yandan güvenlik sistemlerinde kullanacağımız adresler için ayrıcalık tanımlamamız gerekmektedir. Bu oltalama testinin istediğimiz hedef kitleye ulaşması açısından önemli bir konudur.

• Saldırganın elinde sadece e-posta adreslerinden oluşan bir liste olduğu varsayımı veya saldırganın organizasyon içerisine taşınabilir bir donanım bıraktığı varsayımı ile hareket edilebilir.

• Kişiselleştirilmiş e-posta saldırılarının çok daha etkili olduğu bir gerçek olsa da oltalama saldırıları çoğunlukla genele hitap edecek şekilde olmaktadır.

• Gönderilecek e-postanın ya da taşınabilir donanımın içerisindeki dosyanın konusunun ilgi çekici ve aynı zamanda gündemde olması, ayrıca tüm hedef kitleyi ilgilendirmesine dikkat edilmelidir.

• Sonuçların doğru değerlendirilebilmesi için gönderilen tüm e-postalarda bağlantıların kişiye özel olması sağlanmalıdır.

• Yapılan tatbikatta kullanıcı bilgisi talep edilecek ise kullanıcıların doğru bilgi girip girmediği kontrol edilmelidir. Ancak kullanıcı yanlış bilgi girdiğinde saldırganın bunu bilemeyeceği göz önünde bulundurularak senaryo hazırlanmalıdır.

• Yapılan tatbikatta zararlı bir dosya indirilmesi isteniyorsa tüm hedef kitlenin bu dosyayı indirmek ve bilgisayarında çalıştırmak için yetkili olması sağlanmalıdır. Güvenlik cihazlarına bunun için istisna girilmelidir.

• Merkez ve taşrada bilgi sistemleri ile ilgili yetkili personele tatbikat ile ilgili bilgi verilmesi ve bu kişiler tarafından genel duyuru yapılmasının önüne geçilmesi gerekir.

• E-postaya cevap verebilecekler için cevap adresi gerçek bir adres verilebilir.

• Değerlendirmede kullanılabilecek yaş, cinsiyet, görev, birim, ünvan gibi kullanıcılara ait bilgiler alınmalıdır.

• Elektronik postanın ulaştığı, okuyan, e-postayı tıklayan, doğru şifre bilgisi veren ile yanlış şifre bilgisi veren kişi sayısının belirlenebilmesi faydalı olacaktır. Çünkü bilgi güvenliği farkındalığı olan bazı kullanıcılar oltalama epostasına yanlış şifre vererek sistemin davranışını test etmektedirler.

• Oltalama saldırısını farkeden kullanıcının ivedilikle SOME (Siber Olaylara Müdehale Ekibi) birimine ya da yetkili bilişim personeline haber verip vermediğini de ayrıca ölçmek gerekir. Siber güvenlik yönetiminde kullanıcı istihbaratı çok önemli bir konudur.

Erişilen kullanıcılara ait bilgilere göre sonuçlar görev, unvan, birim, görev yeri, öğrenim durumu, yaş ve cinsiyete göre ayrı ayrı değerlendirilmelidir. Ülkemizde ve tüm dünyada genel olarak kullanıcıların bilgi güvenliği farkındalığı oldukça düşüktür. Sadece kişilerin e-posta adreslerine sahip bir saldırganın kişilerin ve kurumların bilgilerini ele geçirebileceği hem gerçek hayatta duyduğumuz olaylarda hem de sosyal mühendislik deneylerinde sıklıkla görülmüştür. Dikkat edilmesi gereken bir diğer nokta da kişilerin bunun bir saldırı olduğunu fark edemediğinden çalınan bilgilerin uzun süre sömürülebileceği gerçeğidir.

Yapılan deney ve sonrasında oluşturulan istatistiki veriler ışığında Bilgi güvenliği farkındalık çalışmaları en üst yöneticiden başlayarak tüm çalışanları ve kuruma hizmet veren üçüncü tarafları kapsayacak şekilde yapılmalıdır. İstatistik sonuçlarına bakarak en riskli guruptan başlanmalıdır. Bunun için günümüzde yaygınlaşmaya başlayan çeşitli siber güvenlik eğitim araçları, yüz yüze eğitimler, uzaktan eğitimler, görsel ve basılı medya unsurları kullanılabilir. Eğitimler sonunda mutlaka hedef kitlenin farkındalığı ölçülmeli ve devamında sosyal mühendislik deneyi ile kanıtlanmalıdır. Siber güvenlik farkındalığı bir çalışanın işe başlamasından ya da bir firma ile sözleşme imzalanmasından itibaren başlayacak organize edilmelidir. Sahip oldukları bilgiler ve yetkiler nedeniyle saldırganların hedefindeki kişiler olan yöneticilere yönelik özel farkındalık çalışmaları yapılmalıdır. Doğru tasarlanan, iyi uygulanan ve sürekliliği sağlanan farkındalık faaliyetleri etkili bir güvenlik önlemi olacaktır.