İnternetin ve sosyal medyanın hayatımıza girmesiyle birlikte bilgiyi çalmak için bilgisayar hackleme dönemi son bulmaya başladı. Size bu cümle şaka gibi gelebilir, fakat sosyal mühendislik ile bilgiyi sahibinden öğrenmek mümkün. Sosyal mühendislik nedir derseniz; internette insanların zaafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır. İnsanların karar verme süreçlerini değiştirmeye yönelik teknikler içerir. Bu süreçleri test etmek için yapılmış bir deneyden bahsedeceğim. Sosyal mühendisliğin gücünü gelin hep birlikte inceleyelim.

Robin Sage İle Tanışın

Kendisi Linkedin üzerinde baya saygın bir insan gibi gözükse de aslında öyle biri hiç olmamış desem ne derdiniz? The Washington Times gazetesinde 18 Temmuz 2010’da yayınlanan bir haber, teknolojinin ve özellikle internetin sunduğu imkanların, istihbarat ve ulusal güvenlik alanında ne derece önemli bir silah haline geldiğinin bize bir örneğidir.

Robin Sage, Thomas Ryan adlı yazılımcı tarafından oluşturulmuş bir sanal karakter. Thomas, bilgiye ulaşmak istediği bilgisayarları hacklemek yerine bilgiyi direk sahiplerinden öğrenmeyi seçti. Çünkü bilgiyi en doğru sahibinden öğrenebilirdi. Bunun için sanal bir profil oluşturmaya karar verdi. Robin Sage’in hikayesi burada başladı.

Sosyal Mühendislik: Sahte Hesapla Bilgiye Kolayca Erişim 1

2009’un Aralık ayında, Facebook, Twitter, Linkedin ve daha bir çok platformda Robin Sage adına hesaplar açıldı. Sosyal medya profillerine göre 25 yaşında MIT mezunu Amerikan Donanmasında çalışan bir siber güvenlik analistiydi. ve 25 yaşında olmasına rağmen 10 yıllık iş tecrübesi vardı. Sizce de burada bir tuhaflık yok muydu? Lise 1’de mesleğe başlamış olabilir miydi?

Sosyal medya hesaplarından eklediği insanlardan bazıları daha 2. günün de onun sahte bir hesap olduğunu ortaya çıkarsa da 300’e yakın askeri personel, istihbarat çalışanı, güvenlik uzmanı ve orduya çalışan firmaların çalışanı ile arkadaş oldu. Herhangi bir referansı olmamasına rağmen, devlet ve özel sektörden bir çok iş teklifi aldı. Bir çok erkekten yemek teklifleri aldı. Bazılarıyla flörtleştiği bile oldu. Flörtleştiği erkekler genelde NSA, Savunma Bakanlığı, askeri istihbarat ve büyük şirketlerin çalışanlarından oluşuyordu. Edindiği bağlantılar sayesinde bir çok veri elde etti. Hatta 25 yaşında 10 yıllık tecrübesi gözüken Sage’e bir NASA çalışanı paperlarını gözden geçirmesi için göndermişti.

Thomas Ryan bu çalışmasını “Robin Sage’le yatağa girmek” adı altında Black Hat konferansında sundu. Kısa süren bu deneyinde sosyal medyada paylaşılan bilgilerin nasıl zarar verebileceği ve saklanması için verilen bilgilerin kolayca başkalarıyla paylaşılabileceğini açıkladı.

Neden Robin Sage?

Sosyal Mühendislik: Sahte Hesapla Bilgiye Kolayca Erişim 2

İnsan ilişkilerinde çeşitli kriterler ilişki kurmada ve güven oluşumda oldukça etkilidir. Sosyal medya ortamını düşündüğümüzde karşı taraf ile iletişimimiz ilk olarak görsel olacaktır. Karşıdaki kişinin görünümü bize ilişki kurma isteği uyandırmalı. Thomas’a göre eğer erkeklerin yoğunlukta olduğu bir ortamda çalışma yapacaksa kadın profili, kadınların yoğunlukta olduğu bir ortamda çalışma yapacaksa bir erkek profili oluşturmalıydı. Ayrıca görsel açıdan güzel olursa bağlantı kurması daha kolay olacaktı. Bu 2 maddeyi düşünecek şekilde internetten bir görsel buldu. Buradan cinsiyet ve görüntünün insanların ilişki kurma konusunda nasıl bir teşvik ve güven sağladığını açığa çıkarıyordu.

Görsellik kriterini çözdükten sonra diğer kriterse profil bilgileriydi. Profilinde ABD Donanmasında Siber Tehdit Analisti olarak çalışıyor gözükmesi ” devlette çalışan güvenilir ve bilgili bir kişi olarak gösteriyordu. Ayrıca MIT’den mezun olması nedeniyle üst düzey iş teklifleri alabiliyordu.

Genelde Linkedin’de bağlantı kurarken, ortak bağlantılarımıza ve çalıştığı sektöre bakıyoruz. Çoğuyla canlı bir iletişimimiz olmamasına rağmen bağlantılarımızın referansıyla bir çok kişiyle bağlantı kuruyoruz. Thomas, oluşturduğu profili ile istihbarattan birkaç kişi ile bağlantı kurmuştu. Bu bağlantılar, onu bir çok ortak bağlantıya ulaştırarak hedefine ulaşmasına yardımcı olmuştu.

Gizli belgelerin bulunduğu dosyalar çeşitli şifrelerle şifrelense bile o şifrelerin bir önemi yok aslında. İnsan zaaflarını kullanarak bilgiyi kişiden direk olarak alman mümkün olabiliyor. Babana bile güvenmeyeceksin diyen atalarımız çok doğru söylemiş olsa gerek.

Kaynakça

Fictitious femme fatale fooled cybersecurity

İnsan İstihbaratı ve Robin Sage Deneyi