A survey about the integration of social engineering attacks and cyber security policies exploiting Turkish vulnerabilities in Turkey

Abstract

Günümüzde birçok şirket ve devlet kurumları, siber alanda güvenliklerini sağlayacak kapsamlı ve uygulanabilir bir siber güvenlik politikası için arayış içindedirler. Siber Güvenlik alanında en zayıf halka olan `insan` unsurunun siber alandaki güvenlik anlayış ve seviyesinin soyut bir kavram olması nedeniyle ölçümü oldukça zordur. Bu nedenle şirket ve devlet kurumlarının büyük bir yüzdesi yüksek güvenlik önlemler getiren sistemler için milyon dolar seviyesinde bütçeler ayırmakta olup bu konuda da imtina etmemektedirler. Ancak; siber güvenlik alanında yaşanılan olaylar açıkça göstermiştir ki, sadece donanımsal ve yazılımsal güvenlik tedbirleri özellikle sosyal mühendislik taktik ve teknikleri kullanılarak yapılan saldırılarda tek başlarına yetersiz ve etkisiz kalmaktadır. Çünkü bu tip sosyal mühendislik saldırıları, Hackerlerin zararlı kod yazarak hedeflerindeki şirket ve kurumların sistemlerini ele geçirmeye oranla fazla zaman harcamadan ve fazla `yakalanma` riskine girmeden hedef sistemleri ele geçirmeyi amaç edinmektedir. Bu tezimin ana amacı, hangi taktik ve tekniklerin, güvenlik yazılımlarını `kırmak` yerine insanların zayıf yönlerini istismar ederek veya insanları manipüle ederek hedef sistemleri ele geçirmeye olanak sağladığını tespit ederek bu alanda insanların zafiyetlerini ortaya çıkarmaktır. Araştırmam sonucunda katılımcıların hangi alanlarda zafiyeti olduğu konusunda tespit ettiğim husus ve tedbirlerin, şirket ve kurumların siber güvenlik seviyeleri konusunda artı katkıda bulunacağını değerlendiriyorum.

Many organizations have been seeking for comprehensive and applicable security policies to regulate their security aspects. As it is a well-known issue, the weakest link of chain in Cyber security is human being and it cannot be measured easily as its being intangible. Organizations may invest millions of dollars to build technically secure systems by installing high level trusted software programs or devices. History has shown that these kind of measures neither has been that much successful or effective in protecting the systems nor prevented social engineering kinds of attacks which may lead to a compromised system without any need to lose much time and risk for a hacker. The purpose of this thesis is to investigate which successful tactic and techniques are successfully being used to compromise systems by manipulating or hacking human software rather than software systems and find out results of these attacks. In addition, the weakness of human software will be analyzed and dominant factors will be figured out. At the end of this thesis, how security policies should be made, which issues better be considered in addition to technical solutions and what the most weaknesses of participants will be revealed to provide a higher level secure systems for organizations. The effects and popularity of social engineering attacks will also be discussed at the end of the study and some countermeasures will be given to managers to prevent such social engineering attacks towards their workers.