Thread Starter
#0
⚠️ YASAL ÇERÇEVE VE KVKK UYARISIBu rehber, kurumların kendi çalışanlarının güvenlik farkındalığını test etmek amacıyla hazırlanan yetkilendirilmiş simülasyonları kapsar.
Çalışanlara yönelik oltalama (phishing) testleri yapmadan önce Üst Yönetim ve İnsan Kaynakları (İK) departmanlarından yazılı onay alınmalıdır. Ayrıca test sırasında toplanan veriler (örneğin; personelin sahte sayfaya girdiği veriler) asla kaydedilmemeli, sadece "giriş yaptı" bilgisi tutulmalıdır (Data Minimization). İzinsiz yapılan testler, iş hukuku ve KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında ciddi yasal sorunlar doğurabilir.
Giriş: İnsan Güvenlik Duvarı (Human Firewall)
Teknolojik önlemler (WAF, EDR, Anti-Spam Gateway) zararlı maillerin %99'unu engeller. Ancak o %1'lik kısım, yani "mükemmel hazırlanmış" hedefli saldırı (Spear Phishing), çalışanın gelen kutusuna düşer. Bu noktada teknolojinin yapabileceği bir şey yoktur; tek savunma hattı çalışanın şüpheciliğidir.Kurumsal sosyal mühendislik testlerinin amacı çalışanı "kandırmak" veya "cezalandırmak" değil; reflekslerini güçlendirmektir.
1. Saldırı Kampanyasının Planlanması
Rastgele mail atmak test değildir. Gerçek bir saldırgan gibi düşünmeli ve bir senaryo kurgulamalısınız.- Aciliyet ve Korku Senaryosu: "Faturanız ödenmedi, hizmetiniz kesilecek." (En çok tıklanan senaryodur).
- Otorite Senaryosu: "Genel Müdürlükten Duyuru: Yıl sonu prim ödemeleri."
- Merak Senaryosu: "Kamera kayıtlarında şüpheli hareket tespit edildi, görüntüleri izleyin."
- Domain: Asla kurumun kendi domainini (sirketim.com) kullanmayın. Spam listelerine girebilirsiniz. Benzer bir domain alın (Örn: sirketim-destek.com - Typosquatting).
- Whitelist: Test maillerinin Spam kutusuna düşmemesi için, kullandığınız Mail Relay sunucusunun IP adresini kurumun güvenlik duvarında ve Office 365/Google Workspace panelinde beyaz listeye ekleyin.
2. Araç Seti: Gophish Kurulumu ve Kullanımı
Sektör standardı, açık kaynak kodlu Gophish aracıdır. Bu araçla profesyonel kampanyalar yönetebilirsiniz.- Sending Profiles (Gönderici Profilleri): Mailin kimden gideceğini ayarlayın. (Örn: IK Departmani <insankaynaklari@sirketim-destek.com>).
- Landing Pages (İniş Sayfaları): Kullanıcı linke tıkladığında göreceği sayfa. Gophish'in "Import Site" özelliği ile kurumun gerçek Outlook Web Access (OWA) veya VPN giriş sayfasını birebir kopyalayın.
- Kritik Ayar: "Capture Submitted Data" seçeneğini işaretleyin ancak "Capture Passwords" seçeneğini KAPALI tutun. Bizim amacımız şifreyi çalmak değil, personelin şifresini girdiğini tespit etmektir.
- Email Templates (Şablonlar): İnandırıcı HTML mailler hazırlayın. Kurum logosunu ve imzasını eklemeyi unutmayın.
3. Ölçümleme ve Metrikler
Bir testin başarısı sadece "Tıklama Oranı" ile ölçülmez. Gophish size şu verileri sunar:- Email Opened: Maili açanlar (Meraklılar).
- Clicked Link: Linke tıklayanlar (Riskli grup).
- Submitted Data: Sahte sayfaya kullanıcı adı/şifre girenler (Kritik risk grubu - Sistem ele geçirildi demektir).
- Reported: Maili şüpheli bulup Bilgi Güvenliği ekibine bildirenler (İşte hedefimiz bu oranı artırmaktır).
4. "Eğitilebilir An" (Teachable Moment)
Kullanıcı sahte sayfaya bilgilerini girip "Giriş Yap" butonuna bastığında ne olmalı?- Yanlış: Gerçek sayfaya yönlendirmek (Kullanıcı hacklendiğini anlamaz).
- Doğru: Anında bir uyarı sayfasına yönlendirmek: "Bu bir tatbikattı ve başarısız oldunuz. Lütfen aşağıdaki 3 ipucuna dikkat edin."
- Gönderen adresini kontrol ettiniz mi?
- Linkin üzerine gelip (Hover) gerçek adrese baktınız mı?
- Aciliyet hissi sizi hataya zorladı mı?
- Gönderen adresini kontrol ettiniz mi?
5. Fiziksel Sosyal Mühendislik (Advanced)
Sadece dijital değil, fiziksel testler de yapılmalıdır.- USB Drop (USB Bırakma): Üzerinde "Maaş Bordroları 2026" veya "Genel Müdür Özel" yazan USB bellekleri ofis girişine, asansör önüne veya otoparka bırakın.
- Payload: USB içine, çalıştırıldığında sadece "Bu PC'ye USB takıldı" sinyalini sunucunuza gönderen zararsız bir script (Beacon) koyun.
- Tailgating: Güvenlik kartı olmadan, kart basan birinin arkasına takılarak ofise girmeye çalışmak.
- Clean Desk (Temiz Masa) Denetimi: Mesai saati dışında masalarda post-it üzerine yazılmış şifreler, açık bırakılmış bilgisayarlar var mı?
6. Eğitim ve Kültür Oluşturma
Amaç korku imparatorluğu kurmak değildir. Çalışanlar "Hata yaparsam işten atılırım" diye düşünürse, gerçek bir saldırı olduğunda bunu gizlerler.- Pozitif Bildirim: Oltalama mailini fark edip size bildiren personeli ödüllendirin (Küçük hediyeler, "Ayın Siber Gözcüsü" unvanı vb.).
- Düzenli Aralıklar: Yılda bir kez yapılan test işe yaramaz. Her çeyrekte, farklı senaryolarla test tekrarlanmalıdır.
Sonuç
En pahalı teknoloji bile, eğitimsiz bir kullanıcının tek tıkla verdiği yetkiyi geri alamaz. Kurumsal Sosyal Mühendislik testleri, kurumun "Kaslarını" güçlendirir. Bir gün gerçek bir saldırı geldiğinde, çalışanlarınızın bunu bir "refleks" olarak tanıyıp silmesi, bu simülasyonların başarısıdır.