NEDİRTEKNOLOJİ

Sosyal Mühendislik Nedir? Saldırıları Neler?

İnternet, günümüzün en verimli, kullanışlı ve hızlı kaynaklarından bir tanesi.

İletişim, haberleşme, bilgi edinme, kitle iletişimi, eğlenceli aktiviteler ve gerek bilim için de oldukça yararlı bir araç. İnternetin faydalarına hepimiz hâkimiz, peki ya zararları?

İşte, bu noktada sosyal mühendislik diye tabir edilen kavramı biraz incelemek gerekecektir.

Sosyal Mühendislik Nedir?

Sosyal mühendislik nedir? Sosyal mühendislik dediğimiz şey, insanları gizli bilgilerini paylaşmaları için manipüle etme sanatıdır. Bilgisayarınıza korsanlık yapan siber zorbaların sizin bilgilerinizi ele geçirmek için sizinle iletişime geçmesine gerek yoktur. Ancak sosyal mühendisler, sizinle iletişime geçerek bazı bilgilerinizi ele geçirebilirler. Suçluların aradığı bilgi türleri değişkenlik gösterebilir.

Bu durumdan kurtulmak için kime ya da neye güvenileceğini bilmek önemlidir. Özellikle bankalardan bununla ilgili birçok SMS veya mail alırız. Sizden bankamızın adıyla şifre talep eden kişilere itibar etmeyiniz mesajı içeren SMS’leri düzenli olarak iletirler.

İletişim kurduğunuz kişinin kim olduğunu bilmek ve gerçekten o kişi olup olmadığını bilmek bu noktada önemlidir. Web sitesi kullanımları ve çevrimiçi iletişimler için de aynı şey geçerli olacaktır. Kullanmış olduğunuz web sitesinin meşruluğu konusunda emin olmalısınız.

Son zamanlarda kimlik avcıları, popüler web sitelerinin birebir taklitlerini yapmaya çalışarak bilgilerinizin peşine düşüyor. Ziyaret ettiğiniz web sitesinin o kuruma ait orijinal site olduğundan emin olarak hareket etmelisiniz.

Siber güvenlik konusunda en zayıf halkanın her zaman insan olduğunu söylemek yanlış olmayacaktır.

Sosyal Mühendislerin Amacı Nedir?

Hedef alınan kişilerden genellikle parolalarını veya banka bilgilerini elde etmeye çalışırlar. Sizi kandırarak bu bilgileri sizden temin etmeye ve dolandırmaya çalışırlar. Kötü amaçlı yazılımları gizlice yüklemek için bilgisayarınıza erişmeye de çalışabilirler. Şifreler ve banka bilgilerinizin yanı sıra, bilgisayarınız üzerinde de kontrol sağlayabilirler.

Sosyal mühendisler olarak tabir ettiğimiz bu siber suçlular, bir kişinin e-posta şifresini hacklemeyi ve sosyal olarak değiştirmeyi başarırsa, o kişinin kişi listesine erişebilir. Eğer, diğer sosyal ağlarında veya kullanmış olduğu diğer hesaplarda da aynı şifreyi kullanıyor ise kuşkusuz diğerlerine erişmesi de zor olmayacaktır.

Suçlunun eline geçen mail hesabı ile birçok kötü niyetli eylem gerçekleştirilebilir. O kişinin iletişimde olduğu kişilere mesaj bırakabilir, para isteyebilir, gizli bilgilerini ele geçirmeye çalışabilir veya diğer kötü niyetli eylemlerde bulunabilirler.

Sosyal Mühendislik Testi Nedir?

Artan sosyal mühendislik eylemleri, kişilerin bilinçlendirilmesi ve bu konuda tedbirli olması için kuruluşların harekete geçmesine sebep oldu. Sosyal mühendislik testi dediğimiz şey de bunun bir parçası olarak aracı oluyor. Zayıf noktaları erken tanımlamak ve düzeltmek için sosyal mühendislik testleri uygulanıyor. Özellikle şirket çalışanları için uygulanan bu test, uzaktan sahte bir mail veya araçlar ile ölçümleniyor.

Herkese açık kaynaklardan veriler toplanıyor. Bunlar sosyal medya, ilgi ve hobi siteleri de olabilir. Kamuya açık kayıtlarınız ve çeşitli çevrimiçi veritabanları inceleniyor. Bir saldırganın mantığıyla düşünülerek tüm bilgileriniz toplanıyor. Bir saldırganın ulaşabileceği tüm veriler analiz ediliyor. Bu bilgileri kullanarak oltalama dediğimiz (fishing) saldırılar uyarlanıyor.

SMS saldırıları da bunun bir parçası olabilir. Şirketler ve personeller için gerçekleştirilen bu testler ile zayıf halkalar tespit ediliyor. Değerlendirmenin sonunda ise güvenlik açıklarına dair bilgilendirme sağlanarak bilinçli personeller yetiştirilebilir. Aslında sizi deniyorlar diyebiliriz. İşte sosyal mühendislik testi…

Sosyal Mühendislik Saldırı Yöntemleri Nelerdir?

En bilinenleri arasında telefon sahtekarlığı ve e-posta kimlik avı yer alıyor. Günümüzde spam kutumuzda olası kimlik avı maillerini sıklıkla görmek mümkün. SMS saldırıları ve telefon ile arayan dolandırıcılar da bunun bir parçasıdır.

USA Kaspersky sayfasında sosyal mühendislik yöntemleri için birçok örnek sunuyor:

1.Kimlik Avı Saldırıları

a.Spam kimlik avı: Birçok kullanıcıyı hedefler ve şüphelenmeyen herhangi bir kullanıcı yakalamayı hedefler.

b.Spearpishing: olarak da adlandırılan ikinci yöntem, uzantı yolutla balina avı ve belirli kullanıcıları hedeflemek için kullanılır. Özellikle ünlüler, üst yöneticiler ve devlet yetkilileri hedef alınır.

Sesli Kimlik Avı: Telefon aramaları ile sizin hakkınızda topladıkları bilgiler ile banka şifreleriniz veya değerli bilgilerin peşine düşebilirler. Güveni ve aciliyeti arttırmak için sizinle konuşacaklardır.

SMS Kimlik Avı: Metinler ve mobil uygulama mesajları yoluyla (bu bazen web bağlantıları da olabilir.) sizi kandırmaya ve bilgilerinizi ele geçirmeye çalışırlar.

Eposta Kimlik Avı: Sizi mail gibi başka yollar aracılığıyla yanıtlamaya ve takip etmeye teşvik eden geleneksel yöntemlerden bir tanesidir.  Web bağlantıları, telefon numaraları ve kötü amaçlı yazılım ekleri ile sizi avlamaya çalışabilirler.

Angler Kimlik Avı: Güvenilir bir şirketin müşteri hizmetleri yetkilisiymiş gibi taklit edilerek sosyal medyada gerçekleştirilen bu av da oldukça tehlikelidir.

URL Kimlik Avı: Sizi çeşitli bağlantılar aracılığıyla kötü amaçlı sitelere yönlendirmeye çalışabilirler. Epostalarda, sosyal medyada veya çevrimiçi reklamlarda görebilirsiniz.

2.Yemleme

Kaba tabirle sizin merakınızı kullanarak yemlemeye çalışmalarıdır. Bir manipülasyondur. Kötü amaçlı yazılımlar, USB sürücüler ve hileli yazılımlar örnek verilebilir.

3.Fiziksel İhlaller

Meşru gibi görünen sahtekarlardır. Güvenilir kaynakların bir çalışanı gibi davranırlar.

4.Önceden Kurgulanmış

Bir tesis çalışanının kimliğine bürünerek sizi kandırmaya ve ikna etmeye çalışmalarını içerir.

5.Bindirme-Tailgating

Türkçe’de tam bir karşılığı yok ancak bindirme olarak tabir edilen bu sosyal mühendislik saldırısı, yetkili bir personelin takibini ve onlar için kapıyı tutmanızı sağlamak için sosyal nezaket gösterilerini içerir. Sizi o bölgede yetkili olduklarına inandırarak, ikna ederler ve kötü niyetli eylemler gerçekleştirebilirler.

6.İyiliğe Karşılık – İyilik

Quid Pro Quo olarak da adlandırılan bu sosyal mühendislik saldırısı, kişisel bilgilerinizi bir ödül veya bir hediye karşılığında değiş tokuş etmeyi içerir. Araştırma çalışmalarına katılma veya anketler buna örnek olarak verilebilir. Verilerinizi hiçbir ödül vermeden almaya çalışırlar.

7.DNS Sahtekarlığı ve Önbellek

Tarayıcınızın adres çubuğuna meşru bir URL girseniz de web sunucularının kötü amaçlı web sitelerine gitmeniz için yönlendirmesidir. Önbelleğiniz temizlenmedikçe hata devam edecektir.

8.Scareware

Sizi eylemde bulunmaya iten kötü amaçlı yazılımlardır. Aldatıcı bu mesajlar genelde cihazınıza kötü amaçlı yazılımların bulaştığını veya hesaplarınızın ele geçirildiğini söyler. Telefon kimlik avındaki gibi bir tehdit havası yaratabilir.

9.Watering Hole (Sulama Deliği)

Aynı anda birçok kullanıcıyı etkilemek amaçlanır. Popüler web sayfalarına kötü amaçlı yazılımların bulaştırılmasını içerir. Sitelerdeki açıkları kullanarak saldırganların yaptıkları planı hayata geçirmelerini kapsar. Bilinmeyen ve yamalanmayan güvenlik açıkları aranır, bu tür zayıflıklar sıfırıncı gün istismarları olara kabul edilirler. Altyapının güncellenmemesi de bunun bir örneği olabilir.

10.Sıradışı Yöntemler

Bazı yöntemler sosyal mühendislik konusunda bilgisi olan kişilerin dahi aklına gelmeyecek sosyal mühendislik saldırılarını içerebilir.

a.Faks tabanlı kimlik avı

Faks yoluyla yapılan sosyal mühendislik saldırılarıdır. Özellikle bankaların müşterilerine yönelik  bankayı taklit ederek yapılmaktadır.

b.Geleneksel posta kötü amaçlı yazılım dağıtımı

Japonya’da eve teslimle Truva atı içeren casus yazılımların olduğu CD’ler dağıtılmıştı…

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu