Facebook, MySpace, Twitter vb. sosyal ağlara son yıllarda milyonlarca yeni kullanıcı katılmıştır. Bu ve benzeri platformlar kişisel iletişim, çevre edinme ve iş amaçlı kullanılmaktadır. Bunları sağlamak için kullanıcılara kendi profillerini oluşturma ve bu yolla diğer kullanıcılarla alaka kurma imkanı sunulmaktadır. Kişi, ağında yer alan diğer profillerle paylaşım, mesajlaşma ve uygulamalar yoluyla etkileşim sağlamaktadır.
Sosyal ağların bu kadar popüler hale gelmesiyle birlikte bu alana yönelik tehditler de hızla artmıştır. Bu yazıda sosyal ağlarda karşılaşılması muhtemel tehditler ve çözüm önerileri anlatılmaktadır.
- Taklit Hesap
En kolay uygulanabilecek yöntemlerden biridir. Genellikle hedef olarak seçilen kişinin ya da kurum çalışanlarının tuzağa düşürülebilmeleri için kullanılır. Hedefi yakından tanıyan birinin hesabı taklit edilerek hedef kullanıcıya yaklaşılmaktadır. Taklit hesap, seçilen kişinin okul arkadaşı, tanıdığı ya da aynı şirkette çalıştığı bir insan olabilir. Bu konuda SNOsoft’un yaptığı çalışma gerçekten ders verir nitelikte. SNOsoft, müşterisi olan şirketin bir personelini taklit ederek başladığı çalışmada sonuç olarak şirketin tüm IT altyapısını ele geçirmiştir. - Spam ya da Bot Enfeksiyonları
Sosyal ağlar paylaşım-merkezli platformlardır. Dolayısıyla kullanıcıların denetimsiz biçimde içerik girmesi durumu söz konusudur. Bu özellikten yararlanan saldırganlar sosyal ağlarda çalışan ve spam ileti ekleyen botlar geliştirmişlerdir. Bu iletiler kimi zaman reklam amaçlı sitelere, kimi zaman da kötücül yazılım bulaştırabilen sitelere yönlendirmektedir. - Sosyal Ağ Yazılımları
Sosyal ağlar İnternet tabanlı yazılımlardır. Çok sayıda sosyal ağa üye olan kullanıcılar, oturum açma, güncellemeleri alma, yeni ileti girme işlemlerini bilgisayarlarına kurdukları sosyal ağ yazılımlarına bırakmışlardır. Sosyal ağ etkileşimini masaüstü yazılımları ya da tarayıcı eklentileri yoluyla gerçekleştiren kullanıcılar hackerların açık hedefi haline gelebilmektedir. OpenSocial bunlar arasında en büyük risk taşıyan yazılım olduğu söylenmektedir. - Mesleki ve Kişisel Dünya Arasında Geçişler
Sosyal ağların kimi zaman insan psikolojisini de tehdit ettiği bir gerçek. Facebook vb. sosyal ağlar arkadaş ve okul çevresini içerirken; LinkedIn ve Xing gibi iş sosyal ağları ise çoğunlukla mesleki çevreyi barındırmaktadır. Pek istenen bir durum olmasa da kimi zaman bu ikisi arasında geçişler yaşandığı bilinektedir. Facebook’ta paylaşılan bir fotoğraf bir şekilde iş sosyal ağlarında paylaşılabilir bu da ciddi problemlere neden olabilir. Bu durum 3. parti yazılımlar ya da sosyal ağ üzerinde yer alan eklentiler nedeniyle de gerçekleşebilir. - XSS Atakları
XSS açığı girdilerin düzgün ele alınmaması nedeniyle ortaya çıkmaktadır. Sosyal ağlar kendi alt yapılarında bu açığı engellemiş olabilir fakat sisteme eklenebilen 3. parti bir yazılımın(Facebook uygulamaları gibi) bu açığı barındırabileceği unutulmamalıdır. O nedenle 3. Parti yazılımları işaret eden bağlantıların XSS riskini barındırabileceğini akılda bulundurmak gerekir. - Kimlik Hırsızlığı
Sosyal ağ profillerinden kişinin adı-soyadı ve doğum yılı bilgisine ulaşmak genellikle zahmetsiz bir iştir. Kimi hackerlar bu ve benzeri kombinasyonları kullanarak şifre tahmini yapmaktadır. Bu yolla kaybedilecek bir e-posta hesabıyla tüm sosyal ağ kimliklerinin ele geçirilebileceği ihtimali de unutulmamalıdır. - Kurumsal Casusluk
İlk maddede anlatılan taklit hesaba benzer bir durumdur. Hedef olarak seçilen şirketten bir çalışanın profiline ulaşılarak kişiye risk taşıyan bir ileti gönderilebilir. Örneğin insan kaynakları biriminden gönderildiği söylenen ileti kullanıcıyı kimlik avlama(phishing) sitesine yönlendirebilir. Eğer çalışan bu tehditin farkına varamazsa hesabı kötü niyetli kişilerin eline geçebilir. Bu tarz bir olay hesabı çalınan kişinin şirketteki konumuna bağlı olarak şirketin tahmin edilemez boyutlarda zarara uğramasına neden olabilir. - Elektronik Posta Yoluyla Kimlik Avlama
Klasik hesap ele geçirme yöntemlerinden birisidir. Kişiye üyesi olduğu sosyal ağdan kimlik doğrulaması gerektiği yönünde bir yem e-posta gönderilir. Bağlantıya tıklayan kişi ilgili sosyal ağın birebir kopyası olan siteye yönlendirilerek giriş yapması sağlanır. Sonuç olarak kullanıcı hesabı kötü niyetli kişilerin eline geçer. - Sosyal Ağ Tabanlı Kimlik Doğrulama Yoluyla Kimlik Avlama
Artık çoğu İnternet sitesi kendine özel üyelik yerine Facebook ile giriş yapma vb. yolları sunmaktadır. Bu alt yapılar sosyal ağlar tarafından sağlanmaktadır. Sıradan bir İnternet sitesinde yer alan “Facebook ile giriş yap” bağlantısının, kişiyi Facebook kullanıcı adı ve şifresini soran bir kimlik avlama sayfasına yönlendirebilmesi ihtimal dahilindedir. Burada kullanıcı adı ve şifresini giren kişi sosyal ağ kimliğini kötü niyetli kişiye kaptırmış olur. - URL Kısaltma Servisi Yoluyla Kimlik Avlama ve XSS
Sosyal ağ kullanıcıları genellikle bir adresin uzun versiyonu yerine kısaltma servisleri ile kısaltılmış versiyonlarını paylaşmaktadırlar. Bu yolla bu kısaltılmış adres ardına gizlenebilecek bir kimlik avlama web sitesi ya da XSS açığı uygulaması kurbanın bilgilerini kaybetmesine neden olabilir.
Ne tür önlemler alınabilir?
Bu yazıdan da anlaşılacağı üzere sosyal ağlarda çok sayıda tehditle karşı karşıya kalabiliriz. Bu tehditleri ortadan kaldırmak için alınabilecek önlemleri aşağıdaki şekilde sıralamak mümkündür.
- Sosyal ağ ve İnternet’in tehlike barındırdığı konusunda bilinç kazanmaktır. Bu bağlamda şirket çalışanlarının eğitilmesi önemli bir ilk adım olabilir.
- Sosyal ağlarda doğum tarihi, aile bireyleri, adres ve telefon bilgileri gibi kişisel bilgiler paylaşılmamalıdır. Mümkünse takma isim kullanılması faydalıdır.
- O an nerede ve kiminle bulunulduğu ile ilgili bilginin paylaşılmamasında fayda vardır. Aksi taktirde hırsızlık vb. kötü durumlarla karşılaşılabilinir.
- Talep eden yakın bir arkadaş bile olsa sosyal ağlar üzerinden kimseye kişisel bilgiler ya da kredi kartı bilgileri verilmemelidir.
- Aynı ağda kayıtlı olduğunuz bir kişiden bağlantı gönderildiğinde bunun spam bir bağlantı olabileceği ihtimali düşünülmelidir.
- Hakkında bilgi sahibi olmadığınız 3. Parti uygulamalar yüklenmemelidir.
- Sosyal ağ tabanlı kimlik doğrulama yapıldığında yönlendirilen sitenin gerçekten ilgili sosyal ağ sitesi olduğundan emin olunmalıdır.
- Paylaşılan bağlantı, bilinmeyen bir kısaltma servisine aitse bu bağlantının hangi adrese yönlendirme yaptığını öğrenmenizde fayda var.
Kaynaklar
1. Daniel Siegel, “On the New Threats of Social Engineering Exploiting Social Networks”, 2009, FAKULTÄT FÜR INFORMATIK TECHNISCHE UNIVERSITÄT MÜNCHEN
2. http://www.darkreading.com/security/app-security/showArticle.jhtml?articleID=211201065
1. Daniel Siegel, “On the New Threats of Social Engineering Exploiting Social Networks”, 2009, FAKULTÄT FÜR INFORMATIK TECHNISCHE UNIVERSITÄT MÜNCHEN
2. http://www.darkreading.com/security/app-security/showArticle.jhtml?articleID=211201065
Aktaran : http://blog.hamdikavak.com/guvenlik/sosyal-aglarda-ne-kadar-guvendeyiz7
Paylaşımınız için Teşekkürler..
YanıtlaSil