Etik Hacker

Etik Hacker – Sosyal Mühendislik Nedir? Saldırılar, Teknikler ve Önleme

Sosyal Mühendislik Nedir? Nasıl Yapılır?

Sosyal mühendislik, bir bilgisayar sistemine izinsiz erişim sağlamak için kullanılabilecek gizli bilgileri açığa çıkarmak için bir bilgisayar sistemi kullanıcılarını manipüle etme sanatıdır. Bu terim aynı zamanda sistemlerde kısıtlı erişim kazanma gibi faaliyetleri de içerebilir.

Bu derste, size ortak sosyal mühendislik tekniklerini ve bunlara karşı koymak için nasıl güvenlik önlemleri alabileceğinizi tanıtacağız.

Sosyal Mühendislik Döngüsü

Sosyal Mühendislik Döngüsü

Sosyal Mühendislik Döngüsü

  • Bilgi Topla : Bu ilk aşama, amaçlanan kurban hakkında elinden geldiğince bilgiler toplanmalı. Bilgiler şirket web sitelerinden, diğer yayınlardan ve bazen hedef sistemin kullanıcılarıyla konuşarak toplanır.
  • Saldırıyı Planla : Saldırganlar saldırıyı nasıl gerçekleştirmeyi planlamak için aklınızdan bir algoritma oluşturun.
  • Saldırı Araçlarını  Ayarla: Bunlar, saldırının başlatılması sırasında bir saldırganın kullanacağı bilgisayar programlarını veya scripleri içerir.
  • Saldır : Hedef sistemdeki zayıf yönleri araştır. Kısacası olata ve yemle taktiği.
  • Edinilen Bilgileri Kullanın : Hayvan isimleri, doğum günleri vb. Sosyal mühendislik taktikleri sırasında toplanan bilgiler, şifre tahmini gibi saldırılarda kullanılır. Bu bilgilerle en basit yol olarak wordlist oluşturarak kaba saldırı yapabilirsiniz.

Ortak Sosyal Mühendislik Teknikleri:

Sosyal mühendislik teknikleri pek çok şekilde olabilir. Yaygın olarak kullanılan tekniklerin listesi aşağıdadır.

  • Familiarity Exploit: Kullanıcılar, aşina oldukları insanlardan daha az şüphelenir. Bir saldırgan, sosyal mühendislik saldırısından önce kendisini hedef sistem kullanıcıları ile tanıştırabilir. Saldırgan, yemek sırasında, katılabildiği kullanıcılar sigara içerken, sosyal etkinliklerde vb. Kullanıcılarla etkileşime girebilir. Bu, saldırganı kullanıcılara aşina hale getirir. Kullanıcıların, tanıdık yüzlere güvendikleri için cevapları açıklamaları daha muhtemeldir.
  • Korkutucu Koşullar : İnsanlar, etraflarında başkalarını korkutmaktan kaçınma eğilimindedir. Bu tekniği kullanarak, saldırgan telefonda veya tartışmalı bir suç ortağı gibi hararetli bir tartışma yapmış gibi görünebilir. Saldırgan daha sonra kullanıcılardan, kullanıcıların sisteminin güvenliğini tehlikeye atmak için kullanılabilecek bilgiler isteyebilir. Kullanıcıların büyük olasılıkla saldırganla yüzleşmekten kaçınmak için doğru cevapları vermeleri muhtemeldir. Bu teknik, kredi kartı dolandırıcılığın da çok kullanılır. Haberlerde de görmüşünüzdür.
  • Kimlik Avı : Bu teknik, kullanıcılardan özel veriler elde etmek için  kullanır. Sosyal mühendis Yahoo gibi orijinal bir web sitesini taklit etmeye çalışabilir ve ardından kullanıcıdan hesap adlarını ve şifrelerini onaylamasını isteyebilir. Bu teknik, kredi kartı bilgileri veya diğer değerli kişisel verileri almak için de kullanılabilir. Fake script kullanarak kullanıcıyı bu linke yönlendirerek hesap bilgilerini giriş yaptıktan sonra log kaydı ile kişisel önemli bilgileri elde edebilirsiniz. Sosyal medya hesapları ele geçirmek için en çok kullanılan yöntemlerden biri.
  • İnsan Merakını Kullanma: Bu tekniği kullanarak, sosyal mühendis, virüs bulaşmış bir flash diski, kullanıcıların kolayca alabileceği bir alana kasten bırakabilir. Kullanıcı büyük olasılıkla flash diski bilgisayara takacaktır. İlgi çekici dosya ismi olabilir örnek olarak “gizli bilgi.txt” gibi bu dosyaya meraktan tıklayınca virüs bilgisayar bulaşmış olur ve keylogger yöntemiyle klavyeden basılan her bilgiyi e-posta adresinize yollayabilirsiniz.

Sosyal Mühendislik Karşı Tedbirler

Sosyal Mühendislik Karşı Tedbirler

Sosyal Mühendislik Karşı Tedbirler

Sosyal mühendisler tarafından kullanılan çoğu teknik, insan önyargılarını manipüle etmeyi içerir. Bu tür tekniklere karşı koymak için bir teknikler;

  • Göz korkutucu koşullar saldırılarına karşı koymak için, kullanıcıların hassas bilgiler için balık avlayan ve kibarca hayır diyen sosyal mühendislik tekniklerini tanımlamak için eğitilmesi gerekir. Bu durumlar da sikin olup “HAYIR” demeyi öğrenmelisiniz.
  • Kimlik avı tekniklerini önlemek için , Yahoo gibi pek çok site, verileri şifrelemek ve iddia ettikleri kişinin olduklarını kanıtlamak için güvenli bağlantılar kullanır. URL’yi kontrol etmek, sahte siteleri görmenize yardımcı olabilir . Kişisel bilgilerinizi vermenizi isteyen e-postalara cevap vermekten kaçının. SSL setifikalı güvenilir siteleri daima tercih ediniz.
  • Tailgating saldırılarına karşı koymak için, kullanıcıların başkalarına kısıtlı alanlara erişmek için güvenlik iznini kullanmalarına izin vermeyecek şekilde eğitilmelidir. Her kullanıcı kendi erişim iznini kullanmalıdır. Hesaplarına ikili doğrulama yapabilirler.
  • İnsan merakını gidermek için , yakalanan flash diskleri, tercihen izole bir makinede virüs veya diğer enfeksiyonlara karşı taraması gerekir.

Özet (Kısa Notlar)

  • Sosyal mühendislik, yetkili olmayan kaynaklara erişmek için insan unsurlarını kullanma sanatıdır.
  • Sosyal mühendisler, kullanıcıları hassas bilgileri ortaya çıkarmak için kandırmak için çeşitli teknikler kullanırlar.
  • Kurumlar, sosyal mühendislik önlemlerine sahip güvenlik politikalarına sahip olmalıdır.

Yazar Hakkında

Beytullah Toprak

Genç girişimci olarak web sitemde siz değerli okuyucularımıza elimden geldiğince bilgi aktarmak hem öğrenmek , hem sizlere öğretmek amaçlamaktayız.

Yorum Yap