Türkiye’de bir bankaya yapılan sosyal mühendislik saldırısı

Bir bilgi güvenliği danışmanlık firması, bir bankanın bilgi güvenliğinden sorumlu müdürünü ziyaret eder ve bankaya bilgi güvenliği testi yapmayı teklif eder. Müdür itiraz eder. Güvenlik firması danışmanı ile arasında şöyle bir konuşma geçer;tuzak

– Bizim böyle bir teste ihtiyacımız yok. Yeterince güvenliyiz. En iyi yazılım ve donanımları satın aldık ve piyasadaki en iyi personel bizde.– O zaman biz size bir test yapalım, eğer bir açıklık bulursak ücretimizi alırız, eğer herhangi bir açıklık bulamazsak ücret talep etmeyiz.


Bu arada danışmanlık firmasından bir personel lavaboya gitmek üzere toplantıdan ayrılır ve o sırada sekreterin, bilgisayarında film sitelerini incelediğini görür. Hemen yanına yaklaşır ve filmlerle ilgili konuşmaya başlar:

– Bu aktörün son filmini seyrettiniz mi? Eğer seyretmediyseniz sizin için DVD’ye çekip gönderebilirim.– Çok memnun olurum. Tabii sizin için zahmet olmayacaksa.

O günkü toplantıdan sonra danışman ofise döner. Zararlı bir yazılım ile birlikte filmi DVD’ye çeker ve kargoyla sekretere gönderir. Zararlı yazılımın sekreterin evdeki değil de ofisteki bilgisayarında çalışmasının garanti etmek için telefon eder.

– Size kargoyla gönderdiğim DVD’yi bir bilgisayarınızda dener misiniz? Bazen kaydederken hata olabiliyor.

Sekreter de denemek amacı ile DVD’yi çalıştırır ve filmin çalıştığını söyler, teşekkür eder ve telefonu kapatır.
Zararlı yazılım ofiste etkin hale gelmiştir ve yaptığı iş bilgi güvenliği müdürünün bilgisayarında, masaüstüne“Sisteminizi ele geçirdik, geçmiş olsun :)” yazan bir not bırakmaktır.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.