Pretexting Saldırısı Nedir

Pretexting Nedir

Pretexting, bir tür sosyal mühendislik saldırısı, insanların eylemleri gerçekleştirmeye veya gizli bilgileri ifşa etmeye yönelik psikolojik manipülasyonudur. Saldırgan, hedeflenen kurbanı meşgul etmek ve onları değerli bilgileri ifşa etmeye veya normal koşullarda olası olmayan eylemleri gerçekleştirmeye ikna etmek için bir senaryo (bahane) icat eder. 

Pretexting, hemen hemen her iyi sosyal mühendislik saldırısının merkezinde yer alır; ve büyük ölçüde, bireyleri ve işletmeleri hassas bilgileri ifşa etmeye ikna etmek için ikna edici ve etkili bir ortam, hikaye ve kimlik oluşturan bir saldırgana dayanır. Bilgi daha sonra kurbanı daha fazla siber saldırılarda kullanmak için kullanılabilir. Bir yazar, sizinle ilgilenmeden önce hakkınızda ne kadar spesifik bilgi bilirse, sizi değerli bilgilerden vazgeçmeye ikna etme şansı o kadar yüksek olur. 

Pretexting yazmanın kilit kısmı, daha sonra hedefleri meşgul etmek için kullanılan bir senaryonun (bahane) oluşturulmasıdır. Karakter (rol) ile birlikte senaryo saldırı için zemin hazırlar. Bu iki unsur, genel hedefe ulaşmak için diğer birçok tekniğin uygulandığı temeli oluşturur. Senaryo, hedefi manipüle etmek ve değerli bilgiler elde etmek için sosyal mühendis tarafından hazırlanmış ve yönetilen inandırıcı durum ve olaylar dizisidir. Genellikle bahanesi daha inandırıcı kılmak için, keşif yoluyla toplanan olgusal bilgilerle (arka plan bilgisi elde etmek için bir ön araştırma) desteklenir. Karakter, gerçek ya da hayali bir kişiyi taklit ederek, seçilen senaryoda bahsin oynadığı roldür. 

Örneğin, bir saldırganın bir bağışçıdan bir hayır kurumuna banka hesabı kimlik bilgilerini almak için Pretexting kullanmak istediğini varsayalım. Saldırgan daha önce yardım kuruluşuna son bağışçılarla ilgili temel bilgileri (tam ad, iletişim adresi, e-posta ve telefon numarası) çöp kutularını arayarak ve elden çıkarılmış bağışçı bilgi formlarını bularak toplamıştı. Saldırgan, bağışçılar hakkındaki bilgileri, etrafında bir bahane oluşturmak için kullanmaya karar verir. 

Pretexting Saldırısı Nedir

Kişileri ve şirketleri hedef alan dolandırıcılar, değerli bilgileri elde etmek ve hesaplara, verilere, finansal bilgilere ve ağlara erişmek için genellikle e-postaları, metinleri veya telefon görüşmelerini kullanır. Çoğumuz, uydurulmuş bir senaryoya dayalı olarak bir sorunu çözmeye yardımcı olmak için birisinin kendisini cana yakın ve yardımsever bir müşteri hizmetleri temsilcisi olarak sunduğu bir durumla karşılaştık.

İlk dolandırıcılık mesajı şöyle bir şey olabilir :  

Banka hesabınızın hareketsiz olduğunu fark ettik ve yeniden etkinleştirmenize yardımcı olmak istiyoruz. 

Müşteri bilgileri kaydınızda tutarsızlıklar gözlemledik ve onu güncellemenize yardımcı olmak istiyoruz. 

Birisi bilinmeyen bir yerden hesabınıza giriş yapmaya çalıştı ve şifrenizi / PIN kodunuzu sıfırlamanıza hızlı bir şekilde yardımcı olmak istiyoruz.

Konuşma ilerledikçe, dolandırıcı özel bilgiler ister. Size karşı kullanılabilecek bir şifre, kredi kartı numarası veya diğer hassas bilgiler olabilir. Bu dolandırıcılık yöntemi bahane olarak adlandırılır. 

Pretexting Teknikleri

Pretexters, hedeflerin güvenini kazanmak, kurbanları güvenlik politikalarını çiğnemeye veya sağduyuyu ihlal etmeye ikna etmek ve saldırgana değerli bilgiler vermek için kimliğe bürünme, takip, Phishing ve vishing gibi farklı teknik ve taktikler kullanır. Bu teknikleri detaylı olarak tartışacağız. 

Kimliğe Bürünme

Bir başkasının davranışını veya eylemlerini taklit eden veya kopyalayan kişidir. Kimliğe bürünme, bahanelerin hedeflerini aldatmak ve saldırının başarılı olma olasılığını artırmak için kullandıkları taktiklerden biridir. Bir arkadaş, meslektaş, müşteri hizmetleri temsilcisi, patron veya yetkili figür gibi güvenilir bir varlık gibi davranarak, taklitçiler kurbanlarını bir sistem veya tesise erişim sağlamak için manipüle ederler. İşin püf noktası, bunu yeterli güvenilirlikle yapabilmektir. Yazar, kimliğine büründüğü kişinin veya kurumun telefon numarasını veya e-postasını yasal görünmek için sahte olabilir. 

2015 yılında, ağ donanımı üreticisi Ubiquiti Networks, bu tür sosyal mühendislik saldırılarından 46,7 milyon dolar kaybetti. Bahsetmenler, Ubiquiti çalışanlarına, kuruluşun üst düzey yönetici üyeleri gibi davranarak mesajlar göndererek çeşitli banka hesaplarına ödeme yapılmasını talep etti. Kullanılan teknikler, kimliğe bürünme ve kuruluş içindeki kıdemli bir personelin e-postasını aldatmanın bir kombinasyonuydu.

Pretexters ayrıca SIM takas dolandırıcılığında kimliğe bürünmeyi kullanır – ikinci adımın SMS veya telefon görüşmesi olduğu iki aşamalı doğrulamadaki zayıflığı hedefleyen bir tür hesap devralma dolandırıcılığı. Bu, mobil operatöre yapılan bir telefon görüşmesinde kurbanın kimliğine bürünerek ve telefonunu kaybettiğini iddia ederek elde edilir. Dolandırıcı, mobil operatörü, telefon numarasını dolandırıcının kontrol ettiği bir SIM’e taşımaya ikna edebilirse, dolandırıcı, iki adımlı doğrulamada kullanılan tek seferlik şifreleri alabilir ve kurbanın hesaplarına girebilir. 2019’da Twitter CEO’su Jack Dorsey’in Twitter hesabı bu yöntemle hacklendi. 

Tailgating

Tailgating (piggyback olarak da bilinir), yetkisiz bir kişinin sınırlı bir tesise erişim sağlamak için yetkili bir kişiyi yakından takip etmesidir. Saldırgan, doğru fırsatı bekleyerek girişte gizleniyor olabilir. 

Pretexters genellikle bu tekniği erişim kontrol mekanizmalarını aşmak ve oldukça kısıtlı alanlara erişim sağlamak için kullanır. Bu, bir bahane oluşturarak ve kapı bekçilerini kısıtlı tesise girmeleri için yanıltan bir karakter koyarak yapılır. Bahane, çeşitli aletlerle tulum giymiş bir kablo şirketinden bir mühendis olarak ve hatalı kablo hatlarını kontrol etmek için tesise erişme ihtiyacı duyan veya öğle yemeğini birine teslim etmesi gereken bir pizza servis elemanı gibi görünmek şeklinde olabilir. bina katları. Bu bahane yaratma tekniği, insanların doğuştan gelen yardımsever veya arkadaşça olma arzusuna dayanır. Birinin içeri girmesine izin vermek için görünüşte iyi bir neden olduğu sürece, insanlar bunu yüzleşmek yerine yapma eğilimindedir.

Phishing

Phishing, e-posta veya SMS gibi elektronik bir iletişimde kendini güvenilir bir varlık olarak gizleyerek kullanıcı adları, şifreler ve kredi kartı ayrıntıları gibi hassas bilgileri elde etmeye yönelik sahtekarlık girişimidir. Pretexting ve Phishing ayrı ayrı kategorize edilse de, genellikle birlikte ilerler. Pek çok Phishing girişimi, dolandırıcıların diğerini elde etmek için birinden yararlandığı bahane senaryoları etrafında inşa edilir. 

Pretexting, e-posta yoluyla bir CEO veya yüklenici kimliğine bürünmeyi içerebilir. Bir çalışanın Phishing’e uğradığı ve bir e-posta hesabını tehlikeye atan ve dolayısıyla saldırganın ikinci bir hedefe karşı daha da ikna edici bir bahane oluşturduğu olaylar olmuştur. “Hedefli Phishing” olarak bilinen hedeflenen Phishing biçimi, belirli bir yüksek değerli hedefe Phishing yapmayı amaçlar. Bu genellikle, yüksek değerli hedefin, şirket içindeki biriyle veya ortak bir şirketteki biriyle iletişim kurduğuna inanması için kandırıldığı bahaneyi içerir. Nihai amaç, hedefi büyük miktarda para transferleri yapmaya ikna etmektir.

2017’de Kanada’daki MacEwan Üniversitesi , üniversite personelinin müteahhit olduğuna inandığı bir dolandırıcıya yaklaşık 9 milyon dolar kaybetti . Saldırgan, personeli bir satıcının ödeme ayrıntılarını değiştirmeye ikna eden, önceden yazı yazma senaryoları etrafında oluşturulmuş bir dizi Phishing e-postası gönderdi ve bu değişiklikler, ödemelerin dolandırıcıya aktarılmasına neden oldu. 

Vishing

Vishing (sesli Phishing), kurbanları finansal ödül amacıyla telefonla hassas kişisel bilgileri vermeleri için kandırmaya çalışan bir tür sosyal mühendislik saldırısıdır. Pretexting, Vishing’in önemli bir parçasıdır ve telefon üzerinden güvenilir bir varlığı taklit ederken genellikle dolandırıcılar tarafından kullanılır. Pek çok bahçıvan, kurbanlarının kişisel bilgilerini çeşitli keşif yaklaşımlarıyla toplar ve bu bilgileri makul bir senaryo örmek için kullanır.

Vishing tabanlı bahane, sesli işlemlerde kullanılan tanımlama tekniklerindeki bir zayıflıktan yararlanır. Dolandırıcılar, belirli kişilerin seslerini taklit etmek ve hedeflerini yanlış yönlendirmek için genellikle arayan kimliği sahtekarlığı, hileli etkileşimli sesli yanıt (IVR) sistemleri ve daha yakın zamanda AI tarafından oluşturulan sesler (derin sahte) gibi modern VoIP özelliklerini kullanır. Bu modern teknolojilerin kullanılması, güvenlik kurumlarının suçluları bulmasını zorlaştırıyor. 

Bir dolandırıcı kısa süre önce, Birleşik Krallık yan kuruluşunun CEO’sunu Macar bir tedarikçiye 243.000 $ ‘lık bir meblağı transfer etmeye ikna etmek için bir Alman firmasının CEO’su ile önceden yazı senaryolarının bir karışımını ve yapay zeka tarafından oluşturulmuş bir sesi kullandı. İngiltere’deki yan kuruluş CEO’su, Almanya’daki ana şirketin CEO’sundan bir telefon aldığını düşündü. Göre Wall Street Journal rapora, AI oluşturulan çağrı doğru patronunun sesi olarak tanıması İngiltere yan CEO almak için yeterli ses ve bürünülmüş CEO Alman aksanı, taklit.

Yasal Etkiler

Pretexting, yalnızca siber suçlular ve dolandırıcılar tarafından yasa dışı faaliyetler için kullanılmaz. Özel araştırmacılar, insanlardan değerli bilgiler elde etmek için yasal olarak kullanırlar. Özel bir araştırmacı, yaşadıkları yer hakkında kaçamak davranan birinin izini sürmek için bahane kullanabilir. Araştırmacı, hedef kişinin ikametgah adresi hakkında sözlü olarak bilgi vermesi için birini arayabilir. 

İkamet ettiğiniz ülkeye ve koşullara bağlı olarak, bahane, değerli ve önemli bir araç olmaktan yasadışı ve etik olmayan davranışlara kadar değişebilir.

Örneğin Amerika Birleşik Devletleri’nde mali, sigorta, vergi, sağlık veya telefon kayıtları gibi her türlü korumalı kişisel bilgiyi elde etmek için yalan söylemek yasa dışıdır. Ayrıca hiçbir koşulda bir polis memurunu veya federal kolluk kuvvetlerini taklit edemezsiniz. Gri alanların yanı sıra bazı kesinlikler de vardır; bu yüzden çizgiyi nereye çekeceğinizi bilmelisiniz. Belirsizlik, uygulanabilir federal ve eyalet yasalarının Pretexting yazmayı nasıl tanımladığından ve hangi bilgilerin dahil edildiğinden kaynaklanmaktadır. Çizgilerin nerede çizildiği ve bu çizgilerin nasıl belirleneceği, çoğu özel araştırmacının karşılaştığı zorluktur.

2006 yılında HP, hangi yönetim kurulu üyelerinin özel şirket bilgilerini medyaya sızdırdığını ortaya çıkarmak için özel bir soruşturma şirketi kiraladı. Soruşturma şirketi buna karşılık, yönetim kurulu üyelerinin telefon kayıtlarını almak için bahane kullanan bir müteahhit tuttu ve bu utanç verici bir skandala yol açtı. HP Pretexting skandal başlangıçta sadece mali kayıtları uygulanan ABD Pretexting hukuk gri alanları maruz ve ABD kongre telefon (finansal olmayan) federal suç kayıtları elde etmek Pretexting yararlanarak müdahale etti. Resmi olarak 2006 Telefon Kayıtları ve Gizlilik Koruma Yasası olarak bilinen yasa, kişisel telefon kayıtlarını elde etmek için özellikle yanlış beyan, kimliğe bürünme veya aldatma eylemlerini yasaklamaktadır.

Benzer şekilde, 2016’da, Uber tarafından tutulan bir özel soruşturma şirketi , bir antitröst davasında rakipleri hakkındaki bilgilere erişmek için bahane kullandı. Uygulama sonunda Uber’i utanç verici bir yasal felakete sürükledi.

Doğru yapılırsa, Pretexting, profesyonel bir araştırmacının değerli bilgileri elde etmek için kullanabileceği ve normal koşullarda elde edilmesi zor olabilecek mükemmel bir tekniktir. Bununla birlikte, bir araştırmacı veya hatta bir müfettişi tutan bir müşteri olarak, bir soruşturmada yasa dışı bahanelerin kullanılmasına izin vermemesi çok önemlidir. HP ve Uber örneğinde olduğu gibi, müfettişe veya hatta müşteriye geri tepebilir.

Pretexting Saldırılarından Nasıl Korunulur

Araştırmalar, insanların güvenlik zincirindeki en zayıf halka olduğunu göstermiştir. Bu zayıflığı azaltmak için operasyonel güvenliğe veya OpSec’e yatırım yapmaya başlamalıyız. Pretexting yazma saldırılarına karşı en etkili önlemlerden biri, Pretexting planlarını nasıl tanıyacağı ve bunlara uygun şekilde yanıt vereceği konusunda çalışan farkındalık eğitimidir. Çalışanları iş rolleriyle ilgili güvenlik protokolleri konusunda eğitmek, Pretexting yazma gibi sosyal mühendislik saldırılarına karşı savunmasızlıklarını en aza indirecektir. Örneğin, bir kişinin kimliği doğrulanamıyorsa, çalışanların kibarca reddetme konusunda eğitilmesi gerekir. Aşağıda, size veya işletmenize zarar veren bir saldırıyı önlemek için atabileceğiniz birkaç özel adım örneği verilmiştir.

Hassas bilgilerin işlenmesi için güvenlik protokolleri, politikaları ve prosedürleri oluşturun.

Hassas bilgileri doğrulanmamış varlıklara e-posta, telefon veya metin mesajları yoluyla açıklamayın.

Gerçek olamayacak kadar iyi görünen tekliflere karşı dikkatli olun.

Benzer veya ilgili girişimlere maruz kalarak ikna girişimlerine karşı bir direnç aşılayarak çalışanları Pretexting tekniklerine karşı aşılamak.

Hassas belgeleri imha ederek veya yakarak güvenli bir şekilde imha edin.

Gerçek hayatta tanımadığınız insanlarla çevrimiçi arkadaş olurken dikkatli olun.

Başa dön tuşu
Sultan Security