SOSYAL MÜHENDİSLİK

Güvenliğin sadece küçük bir kısmı % 20

teknik güvenlik önlemleri ile sağlanıyor.

Büyük kısım ise % 80 kullanıcıya bağlı.

 Sosyal Mühendislik Kavramı

•Sosyal Mühendislik: Normalde insanların

tanımadıkları biri için yapmayacakları şeyleri
yapmalarını sağlama sanatıdır.

•Teknoloji kullanımından çok insanların hile

ile kandırılarak bilgi elde edilmesidir.
 Sosyal Mühendislik Kavramı

•Sosyal mühendisler:Teknolojiyi kullanarak ya

da kullanmadan bilgi edinmek için
insanlardan faydalanırlar.

•Etkileme ve ikna yöntemlerini kullanırlar.

Hırsız ile Sosyal Mühendis arasındaki fark:
Çoğu insan, kandırılma olasılığının çok düşük
olduğunu düşünür.
Bu ortak inancın bilincinde olan saldırgan,
isteğini o kadar akıllıca sunar ki hiç kuşku
uyandırmaz ve kurbanın güvenini sömürür.
 Sosyal Mühendislik Kavramı
•Çoğu zaman basit dolandırıcılığa çok benzese bile, bu terim genelde
bilgi sızdırmak veya bir bilgisayar sistemine sızmak üzere yapılan
numaralar için kullanılır.

•Bu durumların büyük çoğunluğunda saldırgan, kurban ile yüz yüze

gelmez.

•Kullandığı en büyük silahı, insan zaafiyetleridir.

 Sosyal Mühendislik Kavramı

•Güvenliğin en zayıf halkası İNSAN!!!

•Güvenlik bir ürün değil, bir süreçtir.

•Güvenlik bir teknoloji sorunu değildir.İnsan ve

yönetim sorunudur.
YANLIŞ DÜŞÜNCELER
 YANLIŞ DÜŞÜNCELER

•Antivirüs yazılımımız var,

güvendeyiz BİZ!!!

•Bilgimin yedeğini alıyorum,

güvenlikten bana ne!!!
 YANLIŞ DÜŞÜNCELER

•Güvenlikten bilgi işlem sorumludur!!!

•Kurumumuz güvenlik duvarı (firewall) kullanıyor,

dolayısıyla güvendeyiz!

•Dikkat!!! Bir çok güvenlik saldırısı kurum dışından

gelmektedir!!!
Bir Sınırı Var mıdır?
İçinde insan olan her süreç bir
şekilde istismar edilebilir!!
İnsan Davranışları
 İnsan Davranışları

Her Sosyal Mühendis

maksimum bilgiye
ulaşabilmek için kurbanın belli
davranış özelliklerine kilitlenir.
 Zafer Heyecanı

PARA,HEDİYE VAADİ
 Korku

TERÖR,YASA DIŞI İŞLER.

 Yardımseverlik

ZOR DURUMDA OLMA HİKAYESİ.

TUBİTAK TARAFINDAN KAMU KURUMLARINA YAPILAN SOSYAL
MÜHENDİSLİK TESTİ

Yapılan testler
sonucunda
kullanıcıların
yaklaşık %65’inin
şifresini ele
geçirilmiş.
Sosyal Mühendislik Saldırılarının Tespit Edilmesi
 Sosyal Mühendislik Saldırılarının Tespit Edilmesi
Günümüzde popüler olan sosyal mühendislik davranışları;
•Kurum çalışanı gibi davranmak(bilgi işlem)
•Ortak iş yürütülen bir şirketin çalışanı gibi davranmak
•Yetkili biri gibi davranmak
•Yardıma ihtiyacı olan, işe yeni girmiş biri gibi davranmak
•Bir sistem yaması yükletmek için çalışan bir sistem üreticisi gibi davranmak
•Önce sorun oluşturmak, sonra sorunu çözmeye çalışmak
•E-posta ekinde zararlı yazılım göndermek
•Kurum içi terimleri kullanmak
 Sosyal Mühendislik Saldırılarının Tespit Edilmesi
Bir Saldırının Uyarı Sinyalleri;
•Bir geri arama numarası vermekten kaçınılması
•Sıradışı taleplerde bulunulması
•Yetkili olduğunun öne sürülmesi
•Aciliyetin üzerine vurgu yapılması
•İsteğin yerine getirilmemesi durumunda kötü sonuçlar doğacağının söylenmesi
•Soru sorulduğunda rahatsız olunması
•Bilinen adların sıralanması
•İltifat edilmesi ve kur yapılması
 Sosyal Mühendislik Saldırılarının Tespit Edilmesi
Saldırılara En Sık Maruz Kalan Hedefler;
•Bilginin değerinden habersiz olanlar
•Danışma görevlileri, santral memurları, güvenlik görevlileri, vs
•Özel ayrıcalıklara sahip olanlar
•Yardım masası, sistem yöneticileri, bilgisayar işletmenleri, vs
•Üretici/satıcı firmalar
•Bilgisayar donanımı, yazılımı üreticileri, vs
•Belli bölümler
•Muhasebe, insan kaynakları, vs
 Sosyal Mühendislik Saldırılarının Tespit Edilmesi

Kurumları Saldırılara Açık Duruma Getiren Bazı Unsurlar;

•Çok sayıda çalışan
•Birden fazla tesis
•Güvenlik eğitimlerinin yetersizliği
•Veri sınıflandırma sisteminin bulunmaması
•Bilgi güvenliği ihlal bildirim sisteminin bulunmaması
•....
SOSYAL MÜHENDİSLİK
SALDIRILARINDAN KORUNMA
YÖNTEMLERİ
Sosyal Mühendislik Saldırılarına Karşı Korunma

Sosyal Mühendislik saldırılarına

karşı kusursuz bir koruma sağlamak
imkansızdır. Alınacak bütün
önlemler aşılabilir, çünkü insan
faktörü her zaman iş başındadır.
Sosyal Mühendislik Saldırılarına Karşı Korunma

Ancak saldırıların başarı

ihtimalleri bazı yöntemler ile
düşürülebilir.
 Sosyal Mühendislik Saldırılarına Karşı Korunma

Güvenlik bilincini arttırma eğitimleri

İçerik doğrulama
Fiziksel Güvenlik
Sınırlı veri paylaşımı
Kurum içi sosyal mühendislik testleri
Veri sınıflandırma politikası
 İçerik Doğrulama

•Kurum çalışanıymış gibi görünme

•Sadece kurum çalışanları değil iletişimde

olunan bütün kurumlar, çalışılan bütün
firmalar
 Fiziksel Güvenlik

Sadece yetkili kişilerin kurum

içersindeki sınırlı bölümlere erişim
izni olduğundan emin olmak için
uygun erişim kontrol
mekanizmaları olması gerekir.
 Sınırlı Veri Paylaşımı

•İnternette kurum ile ilgili

paylaşılan bilgilere son
derece dikkat edilmeli ve bu
sürekli izlenmelidir.
Kurum İçi Sosyal Mühendislik Testleri
 Veri Sınıflandırma Politikası

•’Bilmesi Gerektiği Kadar’ prensibine göre

hareket edilmelidir.

•Veri sınıflandırma her seviye için farklı

görüntüleme, düzenleme ve paylaşma
kurallarını içerir.
 Güvenlik Bilincini Arttırma Eğitimleri

Güvenlik bilincini arttırmak

Sosyal Mühendislik
saldırılarını önlemek için basit
ve etkili bir çözümdür.
 Güvenlik Bilincini Arttırma Eğitimleri

İçermesi gereken bazı önemli maddeler;

•Kurum her an saldırıya maruz kalabilir
•Sorun sadece teknoloji sorunu değildir
•Tüm kurum çalışanları bilgi güvenliğinin bir parçasıdır
•Prosedürlerin ve uygulamasının önemi
•Örneğin, şifre oluşturma prosedürü
 Kurum Güvenlik Politikası İçin Önemli Tavsiyeler

•Şifre korumalı ekran koruyucular kullanılmalıdır.

•İşten ayrılan çalışanların uyması gereken prosedürler

hazırlanmalıdır.

•Kuruma ziyaretçi olarak gelen kişilerden kimlik alınmalı,

kurum içerisinden bir çalışan bu kişiye refakat etmelidir.
 Güvenlik Bilincini Arttırma Eğitimleri

Güvenlik bilincini sürekli hale getirmek için;

•Kurumun iç sayfasına bilgi güvenliğiyle ilgili karikatürler,
ipuçları koyulabilir.
•Çeşitli bilgi güvenliği posterleri asılabilir.
•Bülten panolarına duyurular asılabilir.
•Hatırlatma amaçlı e-postalar atılabilir.
 Güvenlik Bilincini Arttırma Örnekleri

•Broşürler dağıtılabilir.

•Sesli mesaj sistemi aracılığıyla güvenliği hatırlatan

duyurular yapılabilir.

•Güvenlikle ilişkili ekran koruyucular ve arka plan

resimleri kullanılabilir.
 Kurum Güvenlik Politikası İçin Önemli Tavsiyeler
•Kurumda mutlaka ve mutlaka güçlü şifreler kullanılmalı ve kesinlikle
bir yerlere yazılmamalı ya da başkalarıyla paylaşılmamalıdır.

•En az sekiz karakterli olmalıdır.

•Rakam ve özel karakterler (?, !, @, ...) içermelidir.

•Büyük ve küçük harf karakteri kullanılmalıdır.

 C-POLİTİKALAR
SON OLARAK
C.1- İnsan Kaynakları ve Zafiyetleri Yönetimi
 Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dolap
anahtarları kolay ulaşılabilir bir yerde olmamalıdır.
 Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir.
 ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında(izin kağıdı gibi) ekranda bulunan
kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir.
 Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili
bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir.
 İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kağıt
kesme makinasında imha edilmelidir.
 Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde
bulundurmalıdır.
 Görevden ayrılan personel, zimmetinde bulunan malzemeleri teslim etmelidir.
 Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki bilgi
ve belgeleri teslim etmelidir.
 Görevden ayrılan personelin kimlik kartı alınmalı ve yazıyla idareye iade
edilmelidir.
TEŞEKKÜR EDERİM

SAĞLIK BİLGİ SİSTEMLERİ ŞUBESİ