Tehditler ve Korunma Yöntemleri: Sosyal Mühendislik

Sosyal Mühendislik: Saldırı Yöntem ve Donanımları

Bir sosyal mühendisin temel özelliği, basit fakat genelde amacına ulaşan donanımlar ve teknikler kullanarak saldırı yapmasıdır.

Sosyal mühendislerden sahip oldukları bu yetenekleri ve teknikleri

  • iyi yönde kullananlar beyaz şapkalılar;
  • kötü niyetle kullanmak isteyenler ise siyah şapkalılar olarak

adlandırılır.

Sosyal Mühendislik Donanımları

Sosyal mühendislik saldırılarında kullanılan donanımlar basit ve etkili olmasının yanı sıra son derece kolay temin edilebilmektedir. Bu durum, saldırıların yapılma olasılığını ciddi oranda arttırır.

Aşağıdaki resimde saldırı amacı ile kullanılabilen bazı sosyal mühendislik donanımları vardır.

(Resim:) Sosyal Müh. saldırı donanımları

Zararsız görünen bilgiler / Zararlı olabilir mi?

Çoğu sosyal mühendis, zararsız gibi görünen günlük ve masum bilgileri el üstünde tutar, genellikle ilk olarak bu tarz bilgi ve belge elde etmeye çalışır çünkü bu bilgileri kullanarak daha inandırıcı olur ve daha kritik bilgilere ulaşabilirler.

Hangisi daha inandırıcı?

  • "Ben bilgi işlemde yeni çalışmaya başladım. Biriminizde yürütülen projeler hakkında bir kaç sorum olacaktı."
  • "Ben bilgi işlemde yeni çalışmaya başladım, ____ Bey şu anda ____ Bey ile bir toplantıda fakat toplantıya girerken tamamlamamı istediği bir rapor oldu. Bu rapora eklemem gereken ve biriminizde yürütülen projeler konusunda sizin bana yardımcı olabileceğinizi söyledi."

Yukarıdaki görüldüğü gibi boşluk olarak gösterilen yerlerde kullanılabilecek gerçek kişi isimleri ifadeyi daha inandırıcı kılıyor. Bu bilgiler yardımcı olmak adına paylaşılmış masum ve zararsız bilgiler olabilir.

Örneğin bir kişi yanlış numara çevirmiş gibi sizi arayıp bilgisayarı ile ilgili bir problemi danışabilir ve daha sonra da sizi rahatsız ettiği için özür dileyip bilgi işlemde kimi ya da kimleri araması gerektiğini sorabilir. Sizden öğrendiği bu masum bilgi ile de yukarıdaki gibi ifadelerle başka bir birimdeki kişiyi daha kritik bilgileri almak için ikna ediyor olabilir.

Doğrudan saldırı: “Sadece sormak!” / Farkedilmeyebilir mi?

Çoğu sosyal mühendislik saldırısını fark etmezsiniz bile. Hatta öyle ki bazı durumlarda hedeflenen bilgi doğrudan istendiği halde bile fark edilmeyebilir.

Bu gibi durumlar ancak sonradan analiz edildiğinde, sürecin göründüğünden son derece karmaşık olduğu anlaşılır.

Örneğin bir çok örnek uygulamada kişisel parolaların dahi bir telefon görüşmesinde karşı tarafın kim olduğundan emin olunmadan paylaşıldığı bir gerçektir.

Güven uyandırmak / Bu kadar kolay mı?

Sosyal mühendislerin başarılarının sırrı insanların aldatılmaya fazlasıyla açık olmasıdır. Çünkü insanlar belli şekillerde yönlendirildiklerinde yanlış şeylere güven duyabilirler.

Başarılı bir sosyal mühendis, kurbanın sorabileceği soruları önceden tahmin eder ve bu sorulara karşı daima hazırlıklı olur.

Size yardımcı olabilirim / Hızır gibi mi yetişti yoksa başka birşey mi var?

Bir sorununuz var ve size yardım etmek isteyen birisi var. Bu yardım teklifini reddeder miydiniz?

İşin doğrusu; reddetmekle kalmaz, saldırgana minnettar bile kalabilirsiniz. Oysa sorunun kaynağı saldırgan da olabilir.

Önce problem yaratıp, sonra da yardımcı olmayı teklif etmek sosyal mühendislerin sıklıkla uyguladıkları bir yöntemdir.

Bana yardımcı olabilir misiniz? / Özellikle de basit bir yardımı esirgeyebilir misiniz?

Saldırganlar bazen kendini acındırarak kurbandan yardım ister. Yardım talebini reddetmek ne zordur değil mi? Sonuç ise "hep başarı"!

Genellikle zor durumda olan insanlara yönelik taşıdığımız bu acıma duygusu, sosyal mühendisler için son derece cazip olabilmektedir.

Düzmece Siteler ve Tehlikeli Ekler / Ne kadar cazip veya merak uyandırıcı olabilir?

Bedava indirilebilen yazılımlar! Son derece cazip değil mi? Sosyal mühendisler insanları cezbedebilecek teklifler sunmayı çok severler.

Çok ucuz veya bedava şeylere duyulan heves gibi içeriği cazip gelen, merak uyandıran e-posta ekleri de sosyal mühendislerce kullanılmaktadır.

Örneğin, “zamlı maaşınızı öğrenmek için lütfen ekteki dosyaya tıklayın” konulu bir e-posta alıyorsanız eğer, ekini açmadan önce bir kez daha düşünmekte fayda var!

Konu Listesi / Menü

Bilgimi Koruyorum

Bilgi Güvenliği

Bilgisayar ve Erişim Güvenliği

Tehditler ve Korunma Yöntemleri

Internet ve Ağ Güvenliği

Sözlük *

  • Bilgisayar Korsanı (Hacker)
    Bilgisayar ve haberleşme teknolojileri konusunda bilgi sahibi olan,bilgisayar programlama alanında standartın üzerinde beceriye sahip bulunan ve böylece ileri düzeyde yazılımlar geliştiren ve onları kullanabilen kişidir. Amaçlarına göre farklı adlandırılırlar:
    Siyah Şapkalılar: Her türlü programı, siteyi veya bilgisayarı güvenlik açıklarından yararlanarak kırabilen bu en bilindik hacker'lar, sistemleri kullanılmaz hale getirir veya gizli bilgileri çalar. En zararlı hacker'lar siyah şapkalılardır.
    Beyaz Şapkalılar: Beyaz şapkalılar da her türlü programı, siteyi veya bilgisayarı güvenlik açıklarından yararlanarak kırabiliyor ancak kırdığı sistemin açıklarını sistem yöneticisine bildirerek, o açıkların kapatılması ve zararlı kişilerden korunmasını sağlıyorlar.
  • USB Bellek (USB Flash)
    Kapasiteleri 256 GB'a kadar ulaşabilen, küçük, hafif, çalışma esnasında sökülüp takılabilir ve taşınabilir veri depolama aygıtlarıdır.
  • Yazılım Yaması (Software Patch)
    Yazılımlarda oluşan bir hatayı ya da programın içeriğindeki hatalı bir fonksiyonu düzelten bir programcıktır.
  • Tuş Kaydedici (Keylogger)
    Bilgisayarda yazılanları siz farkında olmadan kaydedebilen yazılım veya donanımlardır.
Web Uygulama Güvenlik Sözlüğü:
(resim: Beyaz şapka/Siyah şapka)

Bir sosyal mühendisin favori araçları

DİKKAT!! Bu yöntemleri kullanan kişiler

  • kurum içi terimleri kullanabilir,
  • kurum çalışanı gibi davranabilir,
  • kendisini ortak iş yürütülen bir şirketin çalışanı gibi tanıtabilir
  • yetkili biri gibi davranış gösterebilir,
  • yardıma ihtiyacı olan, işe yeni girmiş biri rolüne girebilir,
  • bir sistem yaması yükletmek için çalışan bir sistem üreticisi gibi arıyor olabilir,
  • önce kendisi sorun yaratmış olup, sonra bu sorunu çözmeye çalışan bir kişi gibi karşınıza çıkabilir,
  • masum görünen bir e-posta ekinde zararlı bir yazılım göndermiş olabilir

Doktor önlüklü, teğmen kimlikli hacker yakalandı!

'Sosyal mühendislik' yöntemiyle dolandırıcılık yapan 10 kişilik dolandırıcılık çetesi çökertildi.
Haberi görmek için...

© 2011 Tüm hakları TUBİTAK-BİLGEM'e aittir. Kullanım Şartları yerine getirilmeden ve referans gösterilmeden alıntı yapılamaz.

Bu sayfa T.C. Kalkınma Bakanlığı tarafından desteklenen Ulusal Bilgi Sistemleri Güvenlik Programı kapsamında yapılmıştır.
Bilgi için