İnsan İstihbaratı – HUMINT

İnsan, tarih boyunca bilgi kaynağının merkezinde yer almıştır. James Bond filmleriyle görmeye alışkın olduğumuz, Ian Fleming tarafından yazılan senaryolar gerçeğinden farksızdır. SSCB’nin Küba’ya Nükleer füze yerleştirdiği bilgisini ABD’ye vererek nükleer savaşı engelleyen Oleg Penkovsky, İran’daki Kanada Büyükelçiliği’ne sığınan Amerikalı diplomatları İran sınırından kaçırmayı başaran Tony Mendez, İnsan istihbaratı HUMINT’ın filmleri aratmayan yaşanmış hikayelerindendir. Günümüz şartlarında insan istihbaratı, bilginin akışını sağlayan siber dünyaya ayak uydurmak durumundadır. James Bond koltuğunu devlet destekli siber gruplara bırakmıştır.

HUMINT- İnsan İstihbaratı Nedir?

Kişiler arası iletişimle bilgiye erişerek istihbarat toplama faaliyetidir. HUMINT, Human Intelligence ifadesinin kısaltmasıdır. Hedefle ilgili kişinin kimliği, sahip oldukları, donanımı, taktikleri, niyeti, planları, bileşenleri, gücü ve kapasitesi insan veya multimedya kaynağıyla elde edilir. HUMINT, aktif veya pasif olarak gerçekleşebilir. Sınırlama olmaksızın, sanal araçların yardımıyla insanlara erişmek ve ondan bilgi toplamak maksadıyla faydalanmak HUMINT faaliyetidir. Başlangıçta karşılıklı bilgi paylaşımına imkan veren forumlarda farklı isimler altında başlayan bu faaliyetler yerini sesli ve görsel iletişimi artıran web uygulamaları ve sosyal medyadaki faaliyetlere bırakmıştır.

HUMINT, esas olarak güvene dayanmaktadır. İlgi alanına giren kişilerle etkileşim, kişisel yakınlık sağlamak için buluşmalar, uzun süreli ilişkiler, gözetim gizlilik prensibiyle gerçekleştirilmektedir. Geleneksel HUMINT yöntemlerinin, siber ortamdaki insan ilişkilerine taşınmasıyla çok miktarda bilgi toplanabilir.

APT adı verilen Gelişmiş Kalıcı Tehditlere karşı savunma yapmak maksadıyla CyberHumint hizmeti veren kuruluşlar tehdit istihbaratı toplamaktadır. NSA ve GCHQ gibi kuruluşlar siber tehditlerin önceden belirlenmesi için büyük bütçelerle yatırım yapmaktadır. Siber güvenlik şirketleri, saldırılar devam ederken veya sistem zarar gördükten sonra tehdit istihbaratı sağlarken, siber insan istihbaratı ağırlıklı bilgi toplayanlar, saldırganları önceden tanıyıp, niyetlerini anlamaktadır. Kişisel tutumlar, ödün verilen özel durumlar, çalışma alışkanlıkları, şifreler, ticari bilgiler kötü niyetli saldırganların erişimini kolaylaştırmaktadır. Çoğunlukla bilgi güvenliğinin en zayıf halkası insandır. İstihbarata karşı koyma stratejileriyle bu tür bilgilerin paylaşımı engellenmelidir.

HUMINT – İnsan İstihbaratı Nasıl Toplanır?

CIA’ya göre HUMINT istihbarat toplama yöntemleri resim, belge ve diğer bilgilendirici materyallerin insan ilişkileriyle elde edilmesi, yabancı uyruklu vatandaşların bilgilendirilmesi ve diğer devletlerle resmi temasa geçilmesi şeklindedir. Bunlara ilave olarak tehdit istihbaratı toplamanın esas yöntemlerine göz atalım.

1.Sosyal Mühendislik Teknikleriyle HUMINT Toplamak

Hedeflenen kişinin gizli bilgileri, doğru yaptığına inanarak teslim etmesidir. Çalındığının farkında değildir. İstihbarat toplayan kişi, insanların doğasındaki yardımseverliği fırsata çevirmektedir. İnsana güvenin doğası, sosyal mühendislik hakkında bilgisizlik, ciddi kayıp korkusu, açgözlülük, ahlaki kurallara uyma zorunluluğu insanın zaaflarındandır. Bu zaafların istismarıyla kredi kartı bilgileri, kimlik bilgileri, kullanıcı adı ve şifreler gibi hassas bilgiler elde edilebilir. Organizasyon boyutunda ise işletim sistemi ve yazılım detayları, IP adresi, sunucu isimleri, ağ yapılandırması, güvenlik ürünleri bilgisi büyük tehditlere yol açabilir. Kötü niyetli etkinliklerin %90’ı insan etkileşimiyle başlamaktadır.

İstihbarat toplamanın ilk adımı yetkili personelin güvenini kazanmaktır. Sosyal mühendisliğin hedefi gerekli gizli bilgileri ele geçirmek ve muhtemel hackleme girişimleri için gerekli bilgileri kullanmaktır. Sisteme yetkisiz erişim kazanmak, kimlik hırsızlığı, endüstriyel casusluk, ağa izinsiz girme ve hileli etkinlikler bu girişimlerden bazılarıdır. Bazı sosyal mühendislik tekniklerine göz atalım.

A-Taklit – Kimliğe Bürünerek Bilgi Toplamak

Bilgiye erişmeye yetkili veya yasal bir kişinin kimliğine bürünmek yaygın kullanılan sosyal mühendislik tekniğidir. Telefonla, farklı bir iletişim yöntemi kullanarak veya yüz yüze görüşerek kurye, işadamı, teknisyen, müşteri, kapıcı, ziyaretçi kılığında hedeften bilgi alınabilir. Bu teknikle taklit yapan kişi masa üzerinde ve çöpte şifre, önemli doküman aramaktadır. Bazı konuşmalara kulak misafiri olarak da bilgi toplamaya çalışabilir.

B-Gizlice Dinleme

Kişilerin telefon veya video konferans üzerindeki konuşmalarını gizlice dinlemek, önemli bilgiler verebilir. Mesajlaşma veya faks iletilerindeki gizli mesajların okunması da bu yönteme dahildir. Telefon iletilerine hafifçe dokunarak ve yazılı, sesli veya görsel iletişime dahil olarak bilgi toplanabilir.

C-Gizlice İzleme

Kritik bilgileri elde etmek maksadıyla hedefi gözetler, iz sürer. Hedef kişinin şifre ve kullanıcı adı girmek gibi bilgisayardaki yaptığı işlemler gizlice izlenebilir. Bu teknikle şifreler, kişisel kimlik bilgileri, güvenlik kodları, hesap numaraları, kredi kartı bilgileri kalabalık bir ortamda arkasından kolaylıkla izlenebilmektedir. ATM sırasında şifrenizin görünmemesi için dikkatli olmanız gerekebilir.

D-Çöp Karıştırma

Çöp kutularında kişisel ve kurumu ilgilendiren hassas bilgiler bulunması olasıdır. Kullanıcı adı, şifreler, sosyal güvenlik numaraları, ağ yapısını gösteren diyagramlar, hesap numaraları, gelir verileri, kaynak kodları, satış istatistikleri, erişim kodları, telefon numaraları, takvim planları kağıt veya disk üzerine yazılmış olarak ele geçirilir.

E-Girişte Öndekini Takip Etmek

Sadece yetkili kişilerin giriş yaptığı güvenli bölge ve binalara öndeki yetkili kişiyi takip ediyormuş gibi davranarak girilmektedir. Kibar görevli, kapıyı yetkili kişiyle birlikte olduğunu düşünüp açık tutar. Bilgi toplamak isteyen kişi sahte, benzer kıyafetler giyerek nizamiyeyi aşabilir.

F-Rol Yaparak İçeri Girmek

Giriş bilgilerini unuttuğunu söyleyerek aslında kapıdan girmeye yetkili kişi gibi davranmaktır. Yetkili personel inandığı takdirde giriş kapısını açacaktır. Güven kazanmak için öncesinde yapılan hazırlıklar üniforma, kimlik kartı, sahte kartvizit, içeriden bilgi, çalışanların isimleri ve ilgi alanları olabilir.

G-Tersine Sosyal Mühendislik

Öncesinde çok fazla hazırlık ve yetenek gerektirdiği için gerçekleştirilmesi oldukça güçtür. Bilgi toplamak için giden kişi, kendini herhangi bir konuda uzman olarak tanıtır. Çalışanlar belli konularda sorular sorabilir. Sorulan sorular yönlendirilerek gerekli bilgilerin elde edilmesi sağlanır. Sorunu çözmek için yardımcı olacağını ifade ederek onlardan bilgi alır. Sunucuda veya teknolojik ekipmandaki sorunun nasıl çözüleceğini danışan yetkililer, bilgileri kendi elleriyle teslim eder.

2.Mülakat ve Sorgu ile HUMINT Toplamak

Doğru ve birinci ağızdan değerli bilgilerin elde edilmesinde önemli rol oynayan teknik, mülakat ve sorgudur. İstenilen bilginin elde edilmesi için uzman kişiler bilginin kaynağına sorularak yönelterek bilgi sahibi olur. Mülakat ve sorgu yalnızca geçmişte olan olayların detaylarını öğrenmek için kullanılmaz. Muhtemel gerçekleşecek eylemlere yönelik planları, şiddetini öğrenmeyi de sağlar. Yer, insan, cihazlar, ekipmanlar ve altyapı konu başlıklarından bazılarıdır.

Mülakat ve sorguların kategorisi iki kritere göre belirlenir:

  • Geleneksel Bilgi: Görüşmelerde elde edilen bilgi, görüşen kişinin mesleki tecrübelerine dayanır. Olayların tanımı, sistematik yöntemleri daha az kullanarak ve taraflı bakış açısıyla yapılır.
  • Bilimsel Bilgi: Emsalleriyle kıyaslama ve benzetmeye dayalı bir prensip ve tarafsız gözlem içermektedir.

3.Sosyal Mühendislik Araçları Kullanarak HUMINT Toplamak

Siber saldırganlar organizasyondan önemli bilgileri almak için hedef alacağı kişileri belirlemek ve haklarında bilgi sahibi olmakta bazı araçlar kullanabilirler. Bu araçlardan bazıları SET VE SPF’dir. 

  • Social-Engineer Toolkit (SET), Python ile yazılmış, sosyal mühendislik aracılığıyla bilgi toplamaya yarayan açık kaynak kodlu bir yazılımdır. İnsan zaafları, güven istismarı, korku, açgözlülük ve yardımseverlik duygularının kullanımına aracılık eder.
  • SpeedPhish Framework (SPF), hızlı keşif ve yayma maksadıyla sosyal mühendislikte oltalama uygulamalarını içerir. Python ile yazılmıştır. Hedef alınabilecek iç tehditleri belirlemek için kullanılabilir.

Sosyal Mühendislikte Kullanılan Mesaj Yapıları

Hikayelerin genel senaryoları şu temeller üzerine kurulur:

  • Acil Yardım İsteyen Bir Mesaj
  • Hayırsever İnsanları Bağış Yapmaya Çağıran İleti
  • Kazanan Şanslı Kişi Olduğunuzu Söyleyen Bildirim
  • Bilgilerinizin Doğrulanmasını İsteyen Adresler
  • Kurum veya Kuruluştan Gönderilmiş İmaj
  • Bir Patron veya Çalışan Görünümünde İstekler

Sosyal Mühendislikte İnsan Zaaflarına Örnekler

Korku

Hedefin vergi dolandırıcılığı için soruşturmaya dahil olduğu, tutuklama ve cezai işlemi önlemek için hemen araması gerektiğini söyleyen bir sesli mesaj gönderilir. Bu sosyal mühendislik saldırısı, insanların vergi ödemeleri için hazırlık yaptığı vergi sezonunda gerçekleşir. Siber saldırgan, vergi dosyası ile birlikte stres ve panik havası oluşturmuş, insanları kandırmak için korku duygusunu kullanmıştır.

Açgözlülük

Sadece 10 dolarlık bir yatırımla herhangi bir çaba gerekmeden 10.000 $ kazanacağınızı düşünün. Siber saldırgan, kurbanları gerçekten kazanabileceklerine ikna etmek için güven ve açgözlülük duygularını kullanır. E-posta yoluyla banka hesap bilgilerini elde etmek için onlara vaatlerde bulunur: “Fonlar aynı gün transfer edilecektir”.

Merak

Siber saldırganlar çok fazla konuşulan ve dikkat çeken gündemi takip etmektedir. Kurbanlarından bilgi elde etmek için insan merakından yararlanmaktadır. Örneğin, ikinci Boeing MAX8 uçak kazasından sonra, siber saldırganlar, kazayla ilgili sızan verileri içerdiğini iddia eden ekleri e-postalarla gönderdi. Gerçekte, ek, Hworm adında zararlı bir yazılımdı.

Yardımseverlik

İnsanlar birbirlerine güvenmek ve yardım etmek ister. Şirket hakkında araştırma yaptıktan sonra, siber saldırganlar, şirketteki birkaç çalışana yönetici ismiyle e-posta gönderir. E – postada yönetici, muhasebe veritabanına ulaşmak için şifre göndermelerini ister. Yönetici, ödemeleri zamanında yapmak için bu bilgiye sahip olması gerektiğini vurgular. E-posta acil ibarelidir. Kurbanlar, hızlı bir şekilde hareket ederek yöneticilerine yardım ettiğine inanırlar.

Tez Canlılık

Sık alışveriş yaptığınız alıveriş sitesinin müşteri ilişkileri departmanı, hesabınızın güvenliği için kredi kartı bilgilerinizi doğrulamanızı ister. E-posta yoluyla, kredi kartı bilgilerinizin çalınmadığından emin olmak için hızlı bir şekilde yanıt vermenizi ister. Çok düşünmeden, güvenerek sadece kredi kartı bilgilerini değil telefon numaranızı bile iletirsiniz. Birkaç gün sonra kredi kartınızdan alışveriş yapıldığına dair bilgiler gelecektir.

İnsan duygularına odaklanan sosyal mühendislik, sizi bilgilerinizi vermeye ikna edecek ön bilgilerle doldurur ve bir adım bırakır. Sosyal mühendisliğin HUMINT elde etme konusunda sınırı bulunmamaktadır. İnsan zekası gün geçtikçe yeni yöntemler geliştirecektir.

İlgili Yazılar : https://savunma-sanayi.com/acik-kaynak-istihbarati-osint/

 

 

 

 

 

 

 

 

 

 

About Author

Cevap Bırakın

%d blogcu bunu beğendi: