YORUM
Siber güvenlik ortamı yalnızca kodların ve güvenlik duvarlarının savaş alanı değildir; aynı zamanda psikolojik taktiklerin de önemli bir rol oynadığı bir alandır. Bunun en iyi örneği Eylül 2023’tür. MGM Casino hilesi, büyük ölçüde sosyal mühendisliğe atfedilen — gizli bilgilere veya güvenli sistemlere erişim sağlamak için insan psikolojisini manipüle eden bir yöntem. Sosyal mühendislik, görünüşte modern olmasına rağmen, onlarca yıl öncesine uzanan köklere sahiptir ve çeşitli kılıklardaki rakipler için bir araç olmuştur.
Ulusal Güvenlik Ajansı’ndaki (NSA) görevime başladığım 1990’ların başında, nüfuz operasyonlarını anlama ve bunlara karşı koyma konusuna yapılan vurgu yoğundu. Bize karşı kullanılabilecek psikolojik hileleri ve sosyal mühendislik taktiklerini tanıma ve hafifletme konusunda eğitim aldık. Ancak bu eğitime rağmen, rozetlerini gösteren NSA çalışanlarına indirimler sunan bir pizza dükkanı gibi görünüşte zararsız yerel işletmelerin kolaylıkla kopyalanıp zorlayıcı amaçlarla kullanılabildiğini gözlemledik. Bu olay, teknolojik zayıflıklardan ziyade insani zayıflıklara dayanan sosyal mühendisliğin basit ama etkili olduğunun altını çiziyor.
Günümüze hızlı bir şekilde ilerlersek, bu ilkel taktikler, MGM Casino hack’inin de gösterdiği gibi, karmaşık stratejilere dönüştü. Saldırganlar yalnızca ileri teknolojiye güvenmiyordu; bunun yerine savunmayı aşmak için insanın güvenini ve merakını istismar ederek psikolojik manipülasyondan yararlandılar.
Saldırılar Daha Karmaşıklaşıyor
MGM Casino olayı, modern sosyal mühendislik saldırılarının karmaşık doğasının çarpıcı bir örneğini sunuyor. Bu durumda, siber güvenlik uzmanlarından oluşan bir kolektif, Dağınık ÖrümcekABD ve İngiltere’den gelen MGM’nin yardım masası personelini ustalıkla manipüle etti. Bu çalışanları, kuruluş içindeki seçilmiş yüksek değerli hedefler için parolaları ve çok faktörlü kimlik doğrulama (MFA) kodlarını sıfırlamaya ikna ettiler. Bu ihlal onlara, MGM’nin yönetilen BT hizmeti Okta’ya sızmak için hedeflenen çalışanların kişisel sosyal medya hesaplarına erişim sağladı ve daha sonra kendileri için tek oturum açma (SSO) kimlik bilgileri oluşturmak üzere bir kimlik sağlayıcı kurdu.
Bu strateji yalnızca Okta’yı tehlikeye atmakla kalmadı, aynı zamanda MGM’nin Microsoft Azure bulut ortamını da kapsayacak şekilde genişleyerek çok sayıda dijital varlığı tehlikeye attı. Buna yanıt olarak MGM, etkilenen sunucuların bağlantısını kesmek ve Okta’yı ve ele geçirilen hesapları aşamalı olarak kaldırmak için hızlı harekete geçti. Bu çabalara rağmen saldırganlar zaten kapsamlı verileri sızdırmış ve MGM’nin bulut hizmetlerine sürekli erişimi güvence altına almıştı.
Üstelik taktikler, devam eden benzeri örneklerle küresel olarak genişledi. Çin hükümetinin LinkedIn profillerini kazıdığı iddiası. Bu operasyon, casusluk veya siber saldırı amacıyla statülerinden yararlanmak ve bunlardan yararlanmak için güven konumundaki kişileri, özellikle de idari ayrıcalıklara sahip kişileri tespit etmeyi amaçlıyordu. Bu tür eylemler, doğrudan insan etkileşiminden, güven ve otorite gibi psikolojik ilkelerin geniş ölçekte manipüle edildiği dijital ayak izlerinin sömürülmesine geçişi vurguluyor.
Şubat ayındaki AT&T kesintisi bu taktiklerin gelişimini ve etkisini örnekliyor. Kesinti sırasında şirketlerden operasyonel sürekliliği sürdürmek için DUO Mobile ve Authenticator gibi MFA sistemlerini devre dışı bırakmaları istendi. Bu özelliklerin devre dışı bırakılması yönündeki baskı, bir fırsatın farkına varan bilgisayar korsanlarının bilinen yönetici kullanıcıları hedef alan kaba kuvvet saldırıları başlatmasıyla bir güvenlik açığı yarattı. Bu olay, psikolojik manipülasyonun (bu durumda aciliyet duygusu ve operasyonel aksama korkusu yaratarak) kritik sistemlerin tehlikeye atılmasına nasıl yol açabileceğini gösteriyor.
İnsan Unsurunda Faktoring
Yukarıda açıklanan olaylar bir bütün olarak ele alındığında kritik bir dersin altını çiziyor: Teknoloji ilerledikçe insan unsuru sürekli ve sömürülebilir bir güvenlik açığı olmaya devam ediyor. Genellikle en zayıf halkamız haline gelen ve sonuçta bilgisayar korsanlarının kritik bilgi sistemlerimize ve verilerimize erişmesinin önünü açan şey bu insan unsurudur. Bu manipülatif stratejilerle ilişkili riskin anlaşılması ve azaltılması büyük önem taşımaktadır ve çalışanlarımıza ve personelimize yönelik güvenlik farkındalığı eğitimlerine dahil edilmelidir. Farkındalık, savunmanın ilk hattıdır ve kendimizi ve ekiplerimizi kimlik avı, bahane uydurma, kandırma ve daha fazlası gibi yaygın sosyal mühendislik taktikleri konusunda eğitmek, bireylerin hedef alındıklarını anlamalarına yardımcı olabilir.
Ayrıca, beklenmedik bilgi taleplerini, bu talepler kuruluşun içinden geliyor gibi görünse bile sorguladığımız bir kültürü de teşvik etmeliyiz. Her düzeyde sıkı doğrulama süreçleri uygulamak, bu tür saldırıların kurbanı olma riskini önemli ölçüde azaltabilir. Herhangi bir içgörü veya hassas bilgiyi paylaşmadan önce, talepte bulunanın kimliğini birden fazla kanal aracılığıyla doğrulamamız ve bu kişilerin bu bilgi veya verilere erişmenin yasal bir iş amacına sahip olduğundan emin olmamız gerekir.
İşletmeler için bu, sıkı erişim kontrolleri oluşturmamız ve uygulamamız gerektiği, aynı zamanda bir bilgisayar korsanının bu taktikler yoluyla elde edebileceği bilgileri sınırlamak için en az ayrıcalık ilkesini uygulamamız gerektiği anlamına gelir. Çalışanların bu tür güvenlik sorunlarını bildirme konusunda kendilerini rahat ve engelsiz hissedebilecekleri bir ortamı daha da geliştirmeliyiz. Son olarak, hem teknik savunmaları hem de insan unsurunu birleştiren ve ele alan kapsamlı bir siber güvenlik yaklaşımı geliştirmenize yardımcı olmak için mevcut güvenlik duruşunuzu değerlendirebilecek siber güvenlik uzmanlarıyla iletişime geçmek yararlı olacaktır. Günümüzde bilgisayar korsanlarının kullandığı psikolojik taktikler yeni değildir; basitçe dijital çağa uyarlanmışlar ve her zaman var olan insani zayıflıklardan yararlanıyorlar. İleriye doğru ilerlerken, bu psikolojik zayıflıkları anlamak ve azaltmak, teknolojik savunmamızı güçlendirmek kadar önemlidir. MGM saldırısı, LinkedIn kazıma olayı ve AT&T kesintisi, siber güvenlikte insan zihninin hem bir savaş alanı hem de bir bekçi olduğunu hatırlatıyor.