Giriş Yap
Kayıt Ol
Üye Listesi
Aktif Konular
Arama Yap
() INF
Arkadaşlar merhaba. Öncelikle sosyal mühendislik nedir? bunu tanımlayarak konuya giriş yapalım.
Sosyal mühendislik, kötü amaçlı saldırganların -diğer adıyla internet korsanlarının- hedefledikleri kişiye yönelik yaptıkları psikolojik olan manipülasyonlardır. Bu manipülasyon sonucu amaçları ya gizli bilgilere ulaşmak ya da ulaştıkları bilgiyi ifşa etmek istemeleridir. Güvenlik anlamında sektörü bir zincir gibi düşünürsek bu zincirde donanım açıkları, yazılım açıkları, sistem yanlışlıkları gibi faktörler bulunmaktadır. Fakat bu zincirdeki en savunmasız ve en tehlikeli halka kesinlikle insan faktörüdür. Saldırgan belirli yöntemleri, teknikleri size karşı usta bir şekilde kullanarak, size istediği davranışları yaptırmaktadır. Daha açık olursak, teknoloji ile değil hile ile yani sizi kandırarak istediği şeye ulaşmayı hedefler.
GÜNCEL YÖNTEMLER
Sosyal mühendislik, Robert Cialdini'ye göre altı ilkeye dayanır;
1-Karşılıklılık: İnsanların yapılan herhangi bir iyiliğe karşılıksız kalamama eğilimine verilen isimdir. Ücretsiz verilen pazarlama ürünleri buna dahildir.
2-Bağlılık ve Tutarlılık: İnsanların bir fikre sözlü veya yazılı taahhüt vermesi, o bağlılığı yerine getirme ihtimali daha yüksektir.
3-Sosyal Kanıt: İnsanlar, diğer insanlarda gördükleri şeyleri yapmaya daha çok meyillidirler. Örneğin yapılan araştırmaya bu kadar katılımcı dahil oldu gibi veriler dikkat çekmektedir.
4-Otorite: Riskli ve tehlikeli davranışlar istense bile insanlar otoriteye itaat etme eğiliminde olacaktır.
5-Sempati: İnsanlar sempati duyduğu insana karşı daha hızlı ikna olmaktadır. Yani aldığınız üründe satıcı kişiyi beğenmenizden dolayı almanız büyük olasılıktadır.
6-Kıtlık: Bir şeye karşı gösterilen kıtlık tutumu talebi arttırır. Örneğin, "sınırlı sayıda" etiketi satışı teşvik eder.
ALINABİLECEK TEDBİRLER
1- Çalışanları eğitmek, bilgilendirmek.
2- Hassas bilgiler için nerede, nasıl ve ne için kullanılacağı konusunda standartlar belirlemek.
3- Bilgilerin gerçekten hassas olup olmadığını belirlemek.
4- Hassas veriler için güvenlik protokolleri oluşturmak.
5- Güvenlik amacıyla belirli periyotlarda testler gerçekleştirmek.
Yukarıdaki adımları düzenli şekilde gözden geçirmek büyük ölçüde güvenlik sağlar ama unutmayın ki asla tam olarak güvenli denemez.
MODERN YÖNTEMLER
Günümüzde çokça karşımıza çıkan sosyal mühendislik türlerinden bazıları,
Linke tıklayın ve sayılı hediyelerden kazanın, Formu doldurarak çekilişe katılın ve sürpriz hediye kazanma fırsatı yakalayın, Aşağıdaki linke tıklayarak ücretsiz sorgulama yapabilirsiniz.
Bunun gibi ve buna benzer birçok mesaj hepimiz almışızdır. Öncelikle kimse size Allah rızası için hediye vermez, ücretsiz ürün vermez. Bir yerde ödeme yapmadan karşılığında bir şeyler alıyorsanız unutmayın ki ürün sizsinizdir. Gönderilen linke dikkat etmek, gerekli sitelerden kontrolünü yapmak (bkz.virustotal) oldukça önemlidir.
Saldırgan, hedeflediği saldırı öncesinde birtakım hazırlıklar yapar. Bunları aşağıdaki gibi sıralayabiliriz;
1-Bilgi Toplama: Öncelikli olarak saldırı hazırlık aşamasının ilk ve en uzun adımıdır. Hedefe yönelik tüm bilgileri burada elde edilir. Sabır ve dikkat gerektirir.
2-Bağlantı Kurma: Hedef ile ilgili gerekli bilgileri elde ettikten sonra sıra hedef ile bağlantıya yani iletişime geçmektir.
3-Saldırı: Hedefle uzun bir süre bağlantı halinde kaldıktan sonra saldırı planı netleşir ve aşamalı olarak hala bilgi toplanır.
4-Bitirme: Karşı taraftan artık yeterince bilgi alınmıştır ve mağdur genelde saldırıya uğradığını anlamaz. Saldırgan yavaş şekilde bağlantı koparmaya çalışıp, uzaklaşır.
SOSYAL MÜHENDİSLİK TEKNİKLERİ
Genel olarak saldırganın amacı sistemi ele geçirmek, kritik bilgilere erişmek, sistemlerde erişim sağlamak ve sistemde kalıcı olmaktır.
1- Truva atı: Kötü amaçlı yazılımlar(malware), gerçek amaçlarını saklayarak sisteme ulaştıktan sonra backdoor, cihaz kontrolü, veri çalmak, başka zararlı yazılımlar yürütmek gibi amaçlar için kullanılır.
2- Phishing:Kurum ve kuruluşların birimleri gibi güvenli görünerek, kredi kartı, e-posta bilgileri, kimlik bilgileri gibi son derece önemli bilgilerin çalınmasını hedefleyen saldırı türüdür.
3- Tersine sosyal mühendislik: Sabotaj, pazarlama ve destek adımlarından oluşan saldırı tekniğidir.
4- Shoulder surfing:Parola gibi gizli bilgiler yazılırken, sistemlere erişilirken hedefin dürbün gibi cihazlarla yapılmasıdır.
5-Smishing: Saldırgan, kötü amaçlı bir ek veya linki açması için hedefe sahte mesajlar gönderir. SMS ve Phishing kelimelerinden türetilmiştir.
ALINABİLECEK TEDBİRLER
1- Kişisel-özel bilgileri her alanda paylaşmamak.
2- Şifreleri güçlü oluşturmak.
3- İrtibata geçtiğiniz kişileri sorgulamak, hemen güvenmemek.
4- Gerekli sitelerden URL kontrolü yapmak
5- Periyodik olarak bilgi güvenliği testleri yapmak.
