İnsanları Hackleme Sanatı – Facebook Hackleme, Gmail, Amazon, E-posta

Hacker’lar kişisel verilerinize ulaşmak için artık zararlı yazılımlarla uğraşmıyor, sizinle uğraşıyorlar.

Dijital dünyada birbirine bağlı hayatlarımızın oluşturduğu modern tehditlerden biri de hacker’lar. Cambridge Üniversitesi tarafından yapılan bir araştırmaya göre İngilizler değerli verilerini korumak için anti virüs ve güvenlik yazılımlarına yılda 300 milyon TL’den fazla para harcamalarına rağmen hâlâ kimlik hırsızlığına maruz kalıyorlar, e-posta hesapları çalmıyor, sosyal ağ hesapları ele geçirilmeye devam ediyor. Güvenlik yazılımlarına daha az harcama yapan Türk tüketicileri için de durum çok farklı değil. Ama söz konusu olan hangi ülke olursa olsun, siber suç dağılımına baktığımızda şaşırtıcı bir sonuçla karşılaşıyoruz: Çoğu kişi sistemlere kötü amaçlı yazılımlar (malware) aracılığıyla sızıldığını düşünürken gerçek çok daha basit…

“Social Engineering: The Art of Human Hacking” (Toplum Mühendisliği: İnsanları Hackleme Sanatı) kitabının yazarı Christopher Hadnagy durumu şöyle açıklıyor: “Yazılım şirketleri artık programlarını güvenli hale getirmeyi öğrenirken, hacker’lar ve toplum mühendisleri de altyapının en zayıf halkasına yöneliyor: insanlara.”

Zararlı kod yazmak karmaşık ve zaman alan bir iş. Üstelik bazen güvenlik güçleri tarafından iyi bir takiple kaynağına, ulaşılması mümkün oluyor. Bu yüzden hacker’lar kaynaklarını bu tarz saldırılara harcamak yerine fiziksel dünyada uzun zamandır var olan bir tekniğe, aldatmaca ve kandırmacaya yöneliyor. E-posta hesabımıza düşen e-tuzakları (pisin) hepimiz görmüşüzdür: Bankamızdan veya bir alışveriş sitesinden gelmiş gibi görünen bu e-postalar çoğunlukla bir “güvenlik uyarısı” şeklinde karşımıza çıkıyor. Gerçek siteden alman logolara ve grafiklere, hemen yanıt vermemizi veya bir eylemde bulunmamızı isteyen aksi halde hesabımızın kapatılacağını söyleyen mesajlar eşlik ediyor. Birçok kullanıcı da müşteri bilgilerini onaylamak için mesajdaki linke tıklıyor.

” Zararlı kod yazmak karmaşık ve zaman alan, az tercih edilen bir yol.”
E-posta sahte olabilir ama tuzağa düşenlerin bu sayfaya girdiği finansal bilgiler gerçek. Banka hesap bilgilerinizin bir hacker’ın eline geçmesi bu kadar kolay.

Gerçek hayatta bu taktikler internetten bile eski ama modern dünyada asıl sorun, bizi kandırmak için **************ların ihtiyacı olan bazı bilgileri kendi ellerimizle vermemiz. Birçok kişisel bilgimizi sosyal medya sitelerinde, forumlarda, hatta yabancılarla yaptığımız sıradan konuşmalarda paylaşıyoruz.

Hadnagy’ye göre “İnsanlar eğitilmiş olsaydı bu saldırıların birçoğu başarısız olabilirdi. Bazen, insanların ne kadar kötü niyetli düşünebildiklerini ve davranabildiklerini öğrenmek bile gözlerimizi açabiliyor. Banka hesabının hecelenmesinden korkan bir arkadaşınızla sohbet ettiğinizi



düşünün. Elbette bir Ahmettokyuz.com okuru olarak, basit şifreleri kırmanın ne kadar kolay olduğundan ve çoğu kişinin her yerde aynı şifreyi kullandığından arkadaşınıza bahsedeceksinizdir. Aynısını kendisinin de yaptığını fark edince arkadaşınızın yüzü kızarabilir. Önemli değil. Dersini iyice vermek için çoğu kişinin şifrelerinde çocuklarının adlarını, doğum tarihlerini veya evlilik yıl dönümlerini kullandığını da söyleyin. Güvenlik sorusu olarak birçok kişi tarafından tercih edilen “annenizin kızlık soyadının da sahte bir telefon görüşmesiyle kolayca öğrenilebileceğini ekleyin.

Gerçek hayatta yapılan aldatıcı görüşmelerle internet üzerinde bizzat yaydığımız bilgileri birleştirince akıllı bir hacker’ın (diğer bir deyişle “toplum mühendisinin) hakkımızda kişiler aldatıldıklarının farkına bile varmıyor.

Aldatmacanın amacı doğrudan sunucunuzun şifresini öğrenmek değil. Amaç, hedeflediğiniz sunucuya ulaşmanıza yardımcı olacak ufak ve önemsiz görünen bilgileri ayrı ayrı toplamak. Bu ufak tefek bilgilerle donanan hacker, insan zincirinin diğer halkalarındaki zayıflıkları da kullanarak yıkıcı sonuçlar elde edebilir.

Bunun en kötü örneklerinden biri, Diret dergisinde yazan meslektaşımız Mat Honaz’ın başına geldi. Honan, yaşadıklarını daha sonra bir kapak konusu olarak Wise’da yazdı. Teknoloji dünyası ve internet kültürüyle iç içe yaşayan Honaz’ın dijital dünyası 2012 ortalarında birkaç saat içinde paramparça oldu. Azimli hacker’lar, çeşitli taktiklerle yeterince bilgi sahibi olması işten bile değil. Artık bu bilgileri bize karşı kullanabilirler. Hanay, kitabında toplum mühendisleri tarafından kullanılan çeşitli taktiklere değiniyor. Kevni Miniciğin 10 yıl önce yayımlanan “Aldatma Sanatından bu yana pek bir şey değişmemiş: Internet üzerinden bilgi toplanıyor, şirketin hizmet aldığı bir firmanın temsilcisiymiş gibi telefonlar açılıyor, şirketin çöpleri bile karıştırılıyor. Hacker tüm bu bilgileri kullanarak hedef için inandırıcı olabilecek sahte bir kimlik veya web sitesi yaratıyor. Tüm bunlar bir aksiyon filmi senaryosu gibi görünebilir ama gerçek hayatta her gün yaşanıyorlar. Amaç genellikle hedef şirketteki bilgisayarlardan bir tanesine ulaşmak ve onun üzerinden tüm şirket ağma erişebilmek. Toplum mühendisleri bu konudaki becerilerini artık çok yüksek düzeylere taşımış durumda. Genellikle hedefteki

Honaz’ın neredeyse tüm hesaplarını ele geçirmeyi başarmıştı. Bunun üzerine Honan bilişim güvenliğinin zaaflarını ortaya dökünce birçok kullanıcı şaşkınlığını gizleyemedi.

” Genellikle hedefteki kişiler aldatıldıklarının farkına bile varmıyor. “
İlk olarak, Mat’ın adını kullanan bir hacker Amazon’u arayarak hesabına yeni bir kredi kartı eklemek istemişti. Arayan numara sahteydi ama Amazon bunu önemsemeden Mat’ın fatura adresini ve e-posta adresini istedi. Bunları biraz da mantık yürüterek internette bulmak kolaydı. İşlem tamamlanınca hacker telefonu kapattı, birkaç dakika sonra Amazon’u tekrar aradı. Bu sefer hesabının kilitlendiğini söyledi. Müşteri temsilcisi, hesap bilgilerini doğrulamak için kredi kartıyla birlikte diğer bilgileri istedi. Elbette tüm bilgiler uyuşuyordu. Yeni Amazon şifresini alan hacker, artık Mat’ın gerçek kredi kartının son dört rakamını da görebiliyordu. Hacker, kart numarasının tamamını bilmiyordu ama bildiği bir şey vardı: APEX’in doğrulama sürecinden geçmek için bu dört rakam yeterliydi.

Hacker bu sefer de APEX’in destek hattını arayarak me.com şifresini unuttuğunu söyledi. Müşteri temsilcisine fatura adresini ve kredi kartının son dört rakamını vererek geçici bir şifre aldı. Tüm bunlar için birkaç Google araması ve iki telefon görüşmesi yetmişti. Ardından hacker, Mat’ın Mail hesabını ele geçirdi. Bunu kullanarak Tifter hesabına el koydu. ipham ve idadini uzaktan komut vererek sildi. Son olarak Gmail’ini boşalttı.

Mat Honan, bütün hesaplarının birbirine bağlı olması nedeniyle, yaşan sorunların büyük ölçüde kendi sorumluluğunda olduğunu söylüyor. Tabii yaşadıklarını okurlarıyla paylaşınca Apple ve Amazon hemen devreye girerek müşteri hizmetleri süreçlerinde değişiklik yaptılar ve artık bu açığın kullanılamayacağını duyurdular. Bu zaafların ortaya çıkması için bir internet ünlüsünün online hayatının yerle bir olması gerekiyorsa, belki de bu yaşanmasaydı zaaflar hiç ortaya çıkmayacaktı ve hacker’lar bu yöntemi kullanmaya devam edecekti.

Şurası açık ki hacker’lar hedeflerinden bilgi çalmak için şifre kırmanın ve kötü amaçlı yazılımlar geliştirmenin ötesine geçmiş durumda. Biz bu yöntemlerin tümünü keşfedene ve herkese öğretene kadar da başarılı olmaya devam edecekler. Yüksek düzeyde güvenliğe sahip yazılımlar geliştirmek mümkün. Saldırı girişimlerinde yazılımlar anında uyarı verebiliyor. Böyle bir uyarı mekanizmasını gerçek hayata adapte etmekse epey uzun sürecek.

Kaynak; İnsanları Hackleme Sanatı – Facebook Hackleme, Gmail, Amazon, E-posta

Konuya ilgisi olan arkadaşların eğer hala okumadılarsa bu işin ustası sayılabilecek bir isim Kevin Mitnick'den Aldatma Sanatı'nı okuyabilirler. Çok detaylı ve eğlenceli bir anlatımın yanısıra enteresan senaryo ve hikayelere sahip.

Tsutomu Shimomura'da bir kitap yazsa da, Kevin reyiz'i nasıl yakalattığını anlatsa bize. :rolleyes:

Çok güzel yazı olmuş, sitenizi kaynak göstererek yazınızı yayınlayabilir miyim?

Tabi ki, linkini atarsanız sevinirim. :rolleyes:

güzel yazı eyw :)

Aldatma Sanatı diye kitap yazdı ama Türk bir hackerdan server yedi. Sitesi hacklendiğinde suçu host firmasına atmıştı. Velhasılı bilişim sonsuz bir dağ gibi, zirvesi yok. Ne kadar çok tırmanabildiysen o kadar iyisin.

Beğenmenize sevindim, teşekkür ederim.