Sosyal Mühendi...
 
Bildirimler
Hepsini Temizle

Sosyal Mühendislik ve Kişisel Kimlik Yönetimi  

  RSS
Serkan KURT
(@SerkanKURT)
Üye

Sosyal Mühendislik ve
Kişisel Kimlik Yönetimi

Farkın da olmadan başkasına
teslim ettiğimiz kimlik bilgileri, kişisel gizli kalması gereken veriler..  Kriz öncesi bilgi güvenliğini hiçe sayan bir toplumuz..
kabullenemiyoruz. “ Kim ne yapsın ki benim bilgilerimi..” Önemsiz olduğunu
inandığınız bilgiler, Anne kızlık soyadı, Kimlik Numarası, Doğum tarihi, Okul
numarası, Sicil no, Banka şube No, Telefon numarası vb. Farkında olmadan bütün
hayatınızı bir korsana emanet ettiğinizin farkın damısınız? “Kim ne yapsın
benim bilgilerimi” diyerek başladığınız bir cümlenin hayatınız da neleri
değiştirebileceğini  hiç düşündünüz mü ?
Kimliğinizi vermekle internet üzerinden bilgilerinizi vermek arasın da pekte
büyütebilecek bir fark yoktur. Aksine internette daha çok bilgiyi sohbet  esnasın da, internet sitelerine üye olurken
kimlik bilgilerinden çok daha fazlasını paylaşmış oluyoruz. 

Gerçek yaşamdan bir örnek verecek
olursak;
Arkadaşım Özge, kardeşinin alışveriş yapması gerektiğini acil durum diyerek
ısrar etmesi sonucu internetten kredi kartının numarasını ve son kullanma
tarihini vermişti. Birkaç güne kadar hiçbir problem yoktu, herşey olması
gerektiği gibiydi. Sinan internet üzerinden almak istediklerini sipariş etmiş
ve istedikleri eline ulaşmıştı.
Akşam üstü  terastayken, telefonun
melodileri kulağımızı tırmalaya başlamıştı ve dayanamayıp hemen Özge telefona
sarıldı. Telefondaki ses Kredi kartını veren Xxx bankasının müşteri
temsilcisiydi, Kredi kartı bilgilerinin korsanların eline geçebilme ihtimaline
karşı bir mülakat yapılması gerektiğini söylüyordu. Hemen soruları yönetmeye
başlamıştı..­­­­­­­­­­­­  ­Özge  telaşa kapıldı, çok korkmuştu! 

Serkan KURT:  “ Bilgi güvenliğini dikkate almak zorundayız,
çünkü bilgilerimizin nezaman bir korsanın eline geçeceğini bilemeyiz o yüzden
kriz öncesi planlamanın yapılması gerekiyor. ”
Özge: “ Ne gerek varki Serkan!? Kim ne yapsın benim bilgilerimi gizlim saklım
yok benim, hani gerek yok canım ya “
 
En büyük Bilgi Güvenliği açığı
"İNSANDIR". Dikkatsizlikler, geri dönüşü olmayan zararlar verebilir.

Bankanın Müşteri Temsilcisi
ile aramız da geçen konuşma ise şöyleydi..
BMT. = Banka Müşteri Temsilcisi
S.KURT = Serkan KURT
Özge = Özge Karlı

BMT. : İyi günler efendim.. Xxx Bankasın dan 
Harun Burtek müşteri hizmelerinden arıyorum.
Özge : Buyrun Harun bey
BMT. : Özge hanım kartınızın online bankacılık dolandırıcılığına karıştığını
tahmin ediyoruz, birkaç soru cümlesi ile açığa kavuşturacağız.
Özge : Tabiki sorabilirsiniz, nasıl yardımcı olabileceksem..
BMT. : Anne kızlık soyadınızın ilk ve üçüncü harfini söylebilirmisiniz Özge
hanım
Özge : I ve Z
BMT. : Evet onaylama gerçekleşti, 3 Temmuz da bir otobüs firmasından otobüs
bileti alınmış ve ayrıca kartınız dan 95 tl tutarın da Turkcell den bir aktarım
gerçekleştirilmiş , bu harcamalar sizemi ait efendim ?
Özge : Otobüs firmasından bileti aldığım doğru fakat 95 tl Turkcell den bir
aktarımım söz konusu değil bu harcamayı ben yapmadım.
BMT.: Peki Özge hanım şimdi konu ile ilgili olarak bir şikayet dilekçesi yazıp
en yakın Xxx Bankasının müşteri hizmetlerine bizzat gibip 95 tl lik harcamanın
size ait olmadığına dair bir başvuruda bulunmanız gerekiyor.  Maduriyetinizi engellemek için internet
bankacığını şuandan itibaren kapatmış bulunuyoruz efendim.
Özge : Peki teşekkür ederim, şuan yapabileceğim herhangi bir şey varmı acaba
güvenliğim için?
BKM. : Şuan için güvenliğiniz açısından gereken işlemler yapıldı, yalnız güncel
bir kimlik bilgisine sahip değilsiniz Özge hanım, kimlik bilgilerinizi
güncellemek gerekiyor kimliğiniz yanınızdamı?

Özge’nin kimliğini çıkartması üzerine bir sahtekarlık söz konusu olabileceğini
düşünüp hemen elime telefonu aldım ve Kendimi tanıtıp birkaç soru sordum,
Hacker mi gerçekten bir banka görevlisimiydi ? tedirgindim.

S.KURT : Merhabalar Harun bey  Özge
hanımın arkadaşıyım Serkan KURT , konuşmanızı kestiğim için üzgünüm.. Bilgi
amaçlı birkaç soru sormam da bir sakınca yoktur sanırım?
BKM.: Buyrun Serkan bey tabiki de hiçbir sakıncası yok.
S.KURT : Zaman ayırdığınız için teşekkür ederim Harun bey;
Kimlik bilgisi isteniz sanırım kredi kartı başvursun da gerekli olan bilgiler
ve kimlik fotokopisi şuan da görmüş olduğunuz banka otomasyonun da yer
almaktadır, kimlik bilgilerinizi güncellememiz gerekiyor derken nedemek
istediğinizi anlayamadım, açıklarmısınız lütfen!?

Kendinden emin olan sesinden güven hissi veren Xxx Bankasının Müşteri
Temsilcisi olduğunu idda eden Harun beyin sesin de bir bozulma bir kekeleme
hissetmiştim, Telefondaki ses bana hiç de inandırıcı gelmemişti.. Birkaç saniye
suskunluktan sonra Harun bey tekrar seslendi..

BKM. : Serkan bey sistemimizdeki 
bilgilerin yeterli olmadığını kart bilgilerin yenilenmesi gerektiğini
söylemiştim az önce Özge hanıma.. Böylece daha güncel bir banka hesabına sahip
olabilecek online ve fiziksel saldırılardan daha kolay bir güvenlik mekanizması
gerçekleştirmemize yardımcı olacak bilgiler efendim.

İyice kuşkulanmıştım, Telefondaki şahıs “Sosyal Mühendislik”ten başka bir şey
yapmıyordu. Herşeyin farkındaydım ve birkaç saniye sesizlikten sonra güvenlik
tedbiri amaçlı sorular sormaya başladım.

 
S.KURT: Anladım Harun bey birkaç soru daha, “Banka Kodunuzu” öğrenebilirmiyim?
Ve ayrıca personel kartınızın arkasında bulunan “personel no” ve size
ulaşabilmem için sabit bir telefon numarası verebilirmisiniz acaba.. bu tür
sorunlar da size geri dönüş yapmam için gerekli bilgiler..

Artık şüphelenmemem için bir sebeb kalmamıştı, karşım daki
kişi “Sosyal Mühendislik” çekerek Özgenin kimlik ve kredi katı bilgilerini
ulaşmaya çalışan bir Hacker’dan başkası değildi.

BKM. : Efendim Bankamızın Bilgi Güvenliği açısın dan Banka
Kodumuzu vermeye yetkili değilim fakat müşteri hizmetlerini arayıp İsmimi ve
Soy ismimi ve 0082442 personel kodunu vermeniz durumun da merkez de bulunduğum
için bana tekrar ulaşmanız mümkün olacaktır.
S.KURT: Peki not alıyorum bir saniye lütfen.

Korsanın birkaç önerisini dinledikten sonra arkadaşıma telefonumu verip
yazdığım müşteri hizmetleri nosunu aramasını ve bu kişiyi istemesini söyledim
ve konuşmaya belli müddet  devam ettikten
sonra Xxx Bankasında böyle bilr kişinin çalışmadığını ve sistemimiz de herhangi
bir saldırının bulunmadığını belirtmesi ardından Korsanın tek yapabileceği
telefonu yüzüme kapatmak olacaktı ki oda bunu yaptı. Sosyal Mühendislik ile
ilgili kavramları bilmeyen Korsanımız herşeyi eline yüzüne bulaştırmayı
başarmıştı.

Telefon
Bankacılığında İşlem Güvenliğinizi Sağlayacak Öneriler

·        
Kötü niyetli kişiler, kendi cep telefonlarını
vererek size yardım teklifinde bulunabilirler. Bu kişiler, hazırladıkları
mizansenlerle banka görevlisi gibi konuşarak şifre ve doğum tarihi, anne kızlık
soyadı gibi özlük bilgilerinizi elde etmeye çalışabilir, hatta gelişmiş cep
telefonları ile tuşladığınız şifreleri saklayabilir ve görüşmelerinizin ses
kaydını alabilirler.

·        
Telefon şifreniz hesap bilgilerinize erişimin
anahtarıdır. Şifrenizi bir yere yazmayın veya bilgisayarınıza kaydetmeyin.
İsim, doğum günü veya telefon numarası gibi kolayca tahmin edilebilecek
şifreler kullanmayın.

·        
Telefon şifreleri telefona tuşlanarak
girilmelidir. Bankaların “telefon bankacılığı servisleri” görüşmelerinizde
sizden işlem şifrelerinizi sözlü olarak talep etmez. Şifreleriniz sözlü veya
yazılı olarak talep edilirse kesinlikle bilgi vermeyin; görüşmelerinizi derhal
sonlandırarak bankanıza konu hakkında bilgi verin.

·        
Başkalarına ait ve kamuya açık alanlardaki
telefonlardan görüşme yapmak için, aradığınız numarayı kendiniz çevirin.
Numarayı doğru çevirdiğinizden emin olun.

·        
Yaptığınız görüşmeler sonrasında, tuşladığınız
işlem şifrelerinizin telefon hafızasına alınmadığından emin olun.

·        
Yaptığınız görüşmeler sırasında, etrafınızda
olabilecek şüpheli şahıslar tarafından izlenmediğinizden ve dinlenmediğinizden
emin olun. Görüşmelerinizi sadece banka görevlisinin duyabileceği tonda yapın.

Arkadaşlar, En büyük Bilgi
Güvenliği açığı "İNSANDIR". Dikkatsizlikler, geri dönüşü olmayan
zararlar verebilir.  Bilgi güvenliğinin
sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanmaktadır.  Korsanlar Bilgi Güvenliğinin seviyesini
belirlemek için en zayıf halkaya bakarlar ve en zayıf halka da çoğu durumlar da
insanlardır. Bilgi Güvenliği çok önemli bir kavram olup, önlemlerinin alınması
gerekmektedir.

 

Serkan KURT
IT Security Consultant

Alıntı
Gönderildi : 06/08/2010 22:08
Yasar KIYAK
(@yasarkiyak)
Üye

Serkan bilgi için teşekkürler, gerçekten dikkat edilmesi gereken bir konu ve güzel bir yazı

CevapAlıntı
Gönderildi : 07/08/2010 12:47
Onur Oktay
(@OnurOktay)
Üye

Sosyal Mühendislik, Günümüzün ve geleceğin en etkili " Veri Casusluğu " yöntemi. Endüstriyel olarak Sosyal Mühendisliğin boyutu tahmin edilenden çok daha fazla. Ve bu sektörde ( Ki sektör haline geldi diyebilirim ) oldukça büyük paralar dönmekte.


/


Not: Her zaman ki gibi Güzel döküman olmuş Serkan kardeşim, Emeğine Teşekkür ederim.


/

CevapAlıntı
Gönderildi : 07/01/2011 17:53
ilker tutu
(@ilkertutu)
Üye

Bu konuyla ilgili olarak Kevin Mitnick'in Aldatma Sanatı adlı kitabını öneririm.

Sosyal mühendisliğin kurumlara belki de en önemli etkisi, teknoloji ile alınan önlemlere ek olarak ciddi bir bilinçlendirme ve eğitim çalışmasına da ihtiyaç duyulması. Bu olmadan güvenliği sağlamak çok zorlaşıyor.

CevapAlıntı
Gönderildi : 09/01/2011 21:03
CozumPark
(@cozumpark)
Onursal Üye Yönetici

merhabalar


zaten hatırlarsanız dünyanın en ünlü hacklerları olarak bilinen kevin mitnik vs hep bu yöntemi kullanmışlardır.


insanların hatalarından faydalanmışlardır.


dolayısı ile serkan arkadaşımızın şu son paragrafına içtenlikle katılıyorum :


"Arkadaşlar, En büyük Bilgi Güvenliği açığı "İNSANDIR". Dikkatsizlikler, geri dönüşü olmayan zararlar verebilir.  Bilgi güvenliğinin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanmaktadır.  Korsanlar Bilgi Güvenliğinin seviyesini belirlemek için en zayıf halkaya bakarlar ve en zayıf halka da çoğu durumlar da insanlardır. Bilgi Güvenliği çok önemli bir kavram olup, önlemlerinin alınması gerekmektedir. "


teşekkürler serkan...

CevapAlıntı
Gönderildi : 04/02/2011 20:51
Kayhan KAYIHAN
(@kayhankayihan)
Üye

Konu bana kitap aldırdı 😀

Lise döneminden beri duyarım aldatma sanatını ama okumak içimden gelmemişti.

Bu aralar ne okusam diye düşünürken burada da görünce alım dedim ve aldım.

Okudaktan sonra kitapla ilgili yorumlarıda paylaşırım bakarsınız bir arkadaşta benim sayemde okur 😀 

CevapAlıntı
Gönderildi : 08/02/2011 01:53
Çağlar ÖZENÇ
(@CaglarOZENC)
Üye

çok güzel bir konu teşekkür ederim.

Herkesin bu konular hakkında bilinçlenmesi bilgilendirilmesi gerekmektedir. Bu ve Benzer hikayelerin çıktısını alarak başta ailem olmak üzere arkadaşlarıma mail yolu ile bilgilendiriyorum..

Tekrardan teşekkürler.

CevapAlıntı
Gönderildi : 17/02/2011 12:31
Ugur DASDEMIR
(@ugurdasdemir)
Tecrübeli Üye

Sosyal mühendislik tanımsal olarak ifade edildiğinin ötesinde ciddi olarak bilinmesi gereken yön ve yöntemlere sahip bir bilişim  müfradatına sahiptir.

Ciddi anlamda senin de bahsetmiş olduğunuz gibi süreçlere odaklanmalı aldanmamalı 🙂 

Başarılı bir sosyal müh. 'in ağına düşmemek gerekli 

Emeğine Sağlık Kardeşim

CevapAlıntı
Gönderildi : 25/02/2011 10:00
Gökçe KURT
(@GokceKURT)
Üye

Yalnız bu sözkonusu hacker, Sosyal Mühendislik hareketine başlamadan evvel, kurbanının kredi kartı harcama raporunu ele geçirmeyi nasıl başardı ? 

CevapAlıntı
Gönderildi : 30/03/2011 19:34
Uğur BURMA
(@ugurburma)
Kıdemli Üye Forum Yöneticisi

[quote user="Gokce KURT"]Yalnız bu sözkonusu hacker, Sosyal Mühendislik hareketine başlamadan evvel, kurbanının kredi kartı harcama raporunu ele geçirmeyi nasıl başardı ? [/quote]

Herhangibir apartmana gir kıyıda köşede bir yerlerde kredi kartı ekstrelerini, telefon faturalarını vs. bulabilirsin. Bundan kolay ne varki. Bu tür evraklar bazen haftalarca kalıyor bırakıldıkları yerlerde.

CevapAlıntı
Gönderildi : 30/03/2011 20:45
Gökçe KURT
(@GokceKURT)
Üye

Evet Uğur Bey, Aklımdan tamamen çıkmış. Özellikle herkesin çatkapı giriş yapabildiği yerlerde bu kağıtlara erişilebiliyor. (Kendini su sayım veya doğalgaz sayım görevlisi olarak tanıtan kişilerin herhangi bir görevli nezareti olmadan girebilmesi gibi.)

E-Fatura ve e-ekstre almak yerine posta yolunu tercih etmek, ya da gelen bilgileri kontrol etmek için posta kutularına bakmak yerine her gün önünden geçilen posta kutularından isme yazılı kağıtları almamak, zaten güvenliğin yanında büyük bir bilgi erişimi pratiği sorunu. 

 

Son zamanlarda alınan önlemler ile bu tip hoş olmayan durumların da önüne geçilmeye başlandı.  

Örneğin kartın bir kopyası edinilse bile, hem sanal POS'larda hem de  normal alışverişlerde geçerli olan ve şahsın birebir müracaatını gerektiren yeni kart ve kartın kullanımı için yeni PIN uygulaması var. Hatta Tek kullanımlık şifre (OTP) uygulaması sayesinde bu tip veri hırsızlıkları daha etkisiz hale gelmeye başlıyor.  Hatta herhangi bir kart değişimi, kayıp kart vs. durumunda bunu kişiye ait bir telefon numarası üzerinden, hatta kişinin birebir banka şubesine müracaat etmesi sonucu ancak kart değişimi veya kayıp kart başvurusu yapılıyor. Vekalet bile istense, bu vekaleti verecek olan kişinin bizzat bunu noterden yapmış olması gerek.  

Tabi kart sahibinin PIN numarasının ve kimlik bilgilerinin banka yetkilileri tarafından istenmeyecek veriler olduğunu zaten bilmesi gerekiyor. 

CevapAlıntı
Gönderildi : 31/03/2011 00:32
Hasan ÜNSAL
(@hasanunsal)
Üye

Bilgi için teşekkürler özellikle bu tür olayları gece aramalarında yaparlar insanın en boş vakti uyurkendir gece bankadan aramış gibi gösterip harcamalar olduğunu anlatır haliyle kurban da uyku haliyle telaşa kapalıp bilgilerini verir. Benden de bir hatırlatma olsun istedim.

 

Tekrar teşekkürler.

CevapAlıntı
Gönderildi : 02/05/2011 14:35
Paylaş: