Kurum çalışanlarının bilgi güvenliği farkındalığını tespit etmek amacıyla Müşteri ile ortak belirlenen senaryolar kullanılarak, sosyal mühendislik saldırısı gerçekleştirilir. Müşteri tarafından belirlenen kişilere yönelik farklı senaryolarda sosyal mühendislik testleri gerçekleştirilir. Senaryonun amacı dışardaki bir saldırganın kurum çalışanlarına yönelik phishing (oltalama) saldırıları ile yetkisiz erişim elde edip edemeyeceği ve dışardan kurum yerel ağına dahil olunup olunamayacağı belirlenmektir.
Kurum çalışanlarının bilgi güvenliği konusundaki farkındalık seviyelerini ve sosyal mühendisliğe karşı direnç seviyelerini belirlemek amacıyla çalışanlara yönelik Sosyal Mühendislik testi gerçekleştirilir. Kurumun Bilgi Güvenliği Ekibi’nin belirlediği ve onayladığı senaryolar testte uygulanır.
Aşağıda Kurum çalışanlarına yönelik olarak yapılan 3 adet örnek Sosyal Mühendislik saldırısının senaryosu ve bu senaryonun sonuçları ayrıntılı bir şekilde anlatılmıştır.
Senaryolar
Müşteri güvenlik ekibi tarafından onaylanan senaryolar, aşağıdaki listelenmiştir. Bu senaryolar dâhilinde gerçekleştirilen sosyal mühendislik saldırıları ve bu saldırılara ait elde edilen veriler ayrı ayrı detaylandırılmıştır.
Sahte GSM Fatura
Sosyal mühendislik kapsamında uygulanan bu senaryoda, Müşteri güvenlik ekibinden temin edilen mail adreslerine GSM operatöründen geliyormuş gibi “fatura.com” adresinden sahte e-posta gönderilmiştir. Gönderilen e-postada, personele 205,00 TL ile 405,00 TL arasında değişen faturalar gönderilmiştir. Personelin gönderilen yüksek miktardaki faturadan şüphelenerek, mailde gönderilen bağlantıya tıklaması ve ardından fatura örneğini indirmeye yönelmesi sağlanmaya çalışılmıştır. Bağlantıya tıklayıp, faturasını indiren personel için fatura dokümanı yerine kurum için özel olarak hazırlanmış zararlı yazılımın kullanıcı tarafından çalıştırılması beklenmiştir. Dosyayı çalıştıran personelin bilgisayar yönetiminin ele geçirilmesi amaçlanmıştır.
Sahte IK Sayfası
Sosyal mühendislik kapsamında uygulanan bu senaryoda, müşteri güvenlik ekibinden temin edilen mail adreslerine İK’dan geliyormuş gibi “ik-ornek.com” adresinden sahte e-posta gönderilmiştir. Gönderilen e-postada, personele günün koşullarına uygun olarak yetişmelerini sağlamak, görevinin gerektirdiği bilgi, beceri ve davranışlara sahip tutum kazanmalarını desteklemek, etkinlik ve tutumluluk bilinci ile yetiştirilerek kurum genel verimliliğini artırmak ve daha ileriki görevlere hazırlanmaları için 2016 eğitim başvurularını gerçekleştirilmeleri istenmiştir. Kullanıcıların e-posta ve sitenin sahte olduğunu fark etmeleri beklenmiştir.
Sahte Kargo Takip
Sosyal mühendislik kapsamında uygulanan bu senaryoda, Müşteri güvenlik ekibinden temin edilen mail adreslerine X Kargo’dan geliyormuş gibi “x-kargotakip.com” adresinden sahte E-Posta gönderilmiştir. Gönderilen E-Posta’da Personele; yeni bir kargolarının olduğu, yüksek fatura miktarına sahip kargonun “Yeni Sahra” şubesine teslim edildiği, kargo faturasının çıktı alınarak şubeye gidilmesi gerektiği söylenmiştir. Kullanıcıların gönderilen adresin ve mailin sahte olduğu, kargo faturası yerine de zararlı yazılım gönderildiğini fark etmeleri beklenmiştir.
Yukarıdaki senaryolar örnek senaryolardır. Sosyal mühendislik senaryoları her kurum için özel olarak hazırlanmakta olup kurum çalışanlarına ve ihtitiyaçlarına yönelik geliştirilmektedir.
