Sosyal Mühendislik Nedir? Sosyal Mühendislik Saldırılarının Farklı Türleri Nelerdir?
Sosyal Mühendislik kelimesini duymuş olabilirsiniz. Ancak, tam olarak Sosyal Mühendislik nedir? Sosyal Mühendislik tekniklerinin türleri nelerdir? Öncelikle diğer insanları hacklemek isteyen veya saldırgana fayda sağlamak için belirli bir görev yapmalarını isteyen kişilerin amaçladığı bir dizi yöntem olarak kabul edilebilir.
Bununla birlikte, bunu yapmak için, çoğunlukla kodlama bölümüne bağlı kalmak istemezler. Sosyal Mühendislik dolandırıcılığı, kötü düşünen insanların açgözlülüğünü para veya başka bir şey için kullandıkları aldatma sanatıdır. Konuya başlamadan önce özlü bir atasözüne değinelim “Bedava peynir, sadece fare kapanında olur.”
Peki, Sosyal Mühendislik Nedir?
Kredi kartı teklifi veren kişilerden telefon görüşmeleri veya e-postalar almış olabilirsiniz. Hedeflerinin güvenlerini kazanmaya çalışırlar ve teklifleri ile ağır bir miktar ödemelerini sağlarlar. Biz buna sahtekarlık diyoruz. Bu, insanların hedefleri konusunda güven, püf noktaları denediği bir sosyal mühendislik örneği / türüdür.
Bu sosyal manipülasyon sadece finansal faydalar için değildir. Sosyal mühendislik, örneğin insanlardan bilgi toplamak gibi başka amaçlar için de yapılabilir. Bu tür sosyal mühendislik sadece bir şahıs değil bazen bütün bir ülke içinde kullanılabilir. İşlerin yapılması için bir yada birden fazla kişinin akıllarıyla oynamayı içerir. Örneğin kur manipülasyonu, bir çok haber sitesinde Amerikan dolarının artacağı veya düşeceği gibi haberler geçtiğinde şüphelenmeniz ve araştırmanız gerekir yoksa küresel manipülatörlerin oyuncağı olabilirsiniz.Bu sadece kur için değil bir çok para piyasası içinde söz konusudur. Korunmak için küresel ve bölgesel kaynakların hepsini takip etmek gerekir.
Her yerde sosyal mühendisler bulabilirsiniz. Yanınızda oturan arkadaşlarınız bile klavyenize yoğunlaşarak şifrelerinizi yazarken sosyal bir mühendistir. Sadece bu şey için sertifika verilmiyor elbette. Öyleyse size ayrıntılı olarak sosyal mühendislik türlerinin ne olduğunu söyleyelim.
Sosyal Mühendislik Saldırıları Türleri:
Uygulamak için kullanılan ortama bağlı olarak birçok sosyal mühendislik taktikleri vardır. Bu işin ortasında e-posta, web, telefon, USB sürücüler veya başka bir şey olabilir. Bu yüzden, size farklı sosyal mühendislik saldırıları türlerinden bahsedelim:
1. Kimlik Avı(Phishing)
Kimlik avı en yaygın sosyal mühendislik saldırısı türüdür. Saldırgan, tanınmış bir şirketin web sitesini veya destek portalını yeniden oluşturur ve hedeflerin bağlantısını e-posta veya sosyal medya platformları aracılığıyla gönderir. Gerçek saldırganı tam olarak tanımayan bir kişi, kişisel bilgilerden ve hatta kredi kartı bilgilerinden ödün vermek zorunda kalır.
E-posta hesaplarınızda spam filtreleri kullanarak kimlik avı e-postalarını önleyebilirsiniz. Çoğu e-posta sağlayıcısı bu günlerde varsayılan olarak bunu yapar. Ayrıca, güvenilmeyen bir kaynaktan gelen e-postaları açmayın veya şüpheli bulursanız hemen okumadan silin.
2. Mızrak Kimlik Avı(Spear Phishing)
Spear Phishing olarak bilinen bir sosyal mühendislik tekniği, Phishing’in bir alt kümesi olarak kabul edilebilir. Benzer bir saldırı olmasına rağmen, saldırganların tarafından ekstra bir çaba gerektirir. Hedefledikleri sınırlı sayıda kullanıcı için benzersizlik derecesine dikkat etmeleri gerekir. Zor iş karşılığını verirse, kullanıcıların sahte e-postalara düşme şansı, mızrak phishing durumunda oldukça yüksektir.
3. Vishing
Sahtekarlar veya sosyal mühendisler internette herhangi bir yerde olabilir. Fakat çoğu eski moda yolu tercih eder; telefonu kullanırlar. Bu tür bir sosyal mühendislik saldırısı Vishing olarak bilinir. Bir şirketin IVR (Etkileşimli Sesli Yanıt) sistemini yeniden oluştururlar. Ücretsiz bir numaraya eklerler ve insanları telefon numarasını aramaya ve ayrıntılarını girmeye kandırırlar. Bu konuda hemfikir misiniz? Çoğu insan, sözde güvenilen bir IVR sistemine gizli bilgi girmeden önce iki kez düşünmez, değil mi? O yüzden sizi bankadan veya emniyet güçlerinden aradıklarına ikna etmeye çalışırlar, yapacağınız ilk şey hiç bir bilgi vermeden telefonu kapatıp bankanızı ve emniyet güçlerini aramak olmalıdır. Hiç kimse bedavaya birşey vermez.
4. Hazırlıklı Taklit (Pretexting)
Pretexting, karşılaşabileceğiniz başka bir sosyal mühendislik örneğidir. PII’yi veya diğer bazı bilgileri çıkarmak için kullanılan, hedeflerin önünde sunulan bir senaryoya dayanmaktadır. Saldırgan başka bir kişiyi veya bilinen bir kişiyi taklit edebilir.
Dedektiflerin kişisel olarak yetkilendirilmedikleri yerlere girmek veya insanları kandırarak bilgi almak için bu tekniği kullandığı çeşitli TV şovları ve filmler izlemiş olabilirsiniz. Başka bir ön düzenleme örneği, uzak arkadaşlarınızdan paraya ihtiyacı olan sahte e-postalar olabilir. Muhtemelen, birileri hesabını kırar ya da sahte bir tane yarattır.
5. Tailgating
Benzer şekilde, bir kişinin RFID kimlik doğrulamasının veya başka bir elektronik engelin bulunduğu sınırlı alanlara erişim için yetkili bir kişinin yardımına başvurduğu Tailgating gibi başka sosyal mühendislik teknikleri de vardır.
6. Hemen teklif ver(Quid pro quo)
Diğer bir sosyal mühendislik yöntemi Quid pro quo teknik destek olarak poz veren insanları içerir. Bir şirketin çalışanlarına, bir sorunla ilgili olarak onlarla iletişim kurduğunu iddia ederek rastgele çağrılar yaparlar. Bazen, böyle insanlar mağdurun istediklerini yapmalarını sağlama şansına sahip olurlar. Ayrıca günlük insanlar için de kullanılabilir.
Quid pro quo, örneğin saldırganın kurbanının asıl sorununu çözmeye çalıştığı, hedefle ilgili bir şeyin değişimini içerir. Borsa bilgi karşılığında hediye gibi maddi şeyler içerebilir.
Kendinizi sosyal mühendislerden nasıl koruyabilirsiniz?
Geçmişte, Ivan Kwiatkowski’nin hikayesine rastlamış olabilirsiniz. Çok geç olmadan kötü bir müşteri destek çağrısı duymuştu. Diğer tarafta sözde yönetici olanı kandırmayı ve saldırganın bilgisayarına fidye yazılımı yüklemeyi başardı. Bu, bu tür insanlara karşı saldırı olarak düşünülebilir. Birisi sizden bilgi vermenizi istediğinde veya bilinmeyen bir kişi size ücretsiz olarak bir şey verdiğinde dikkatli olmalısınız.
Duygusal zekanızı geliştirin
Sosyal mühendisler ayrıca insanların beyninin duygusal yönlerini etkilemeye çalışabilirler. Sizi bir suçluluk yolculuğuna çıkarmaya, nostaljik hale getirmeye, hatta olumsuz yönde etkilemeye çalışabilirler. Durum endişe verici hale geliyor; insanlar onlara duygusal rahatlık vermeye çalışanların önünde açılma eğilimindedir.
Çevrenizden haberdar olun
Kendinizi farklı türdeki sosyal mühendislik dolandırıcılığından kurtarmaya dikkat etmeniz gereken bir şey daha internette yaptığınız şeydir. Çevrimiçi hesabınıza girmeye çalışan bir kişi Facebook profilinize bakabilir ve güvenlik sorularının cevapları ve hatta şifreniz hakkında bazı ipuçları bulabilir.
Harekete geçmeden önce düşün
Çoğunlukla, bu tür sorular evcil hayvan adları, okul adları, doğum yeri vb. Gibi daha az önemli şeyler içerir. Ayrıca, hangi web sayfalarını ziyaret ettiğinize veya hangi dosyaları indirdiğinize dikkat edin. Bilgilerinizi toplamak için kötü amaçlı araçlar içerebilirler.
Hesaplarınızı ve cihazlarınızı güvende tutun
Günümüzde elektronik cihazların ve internetin bolluğu ile, neredeyse herkes hakkında bilgi edinmek her zamankinden daha kolay. Örneğin, metroda veya sosyal mühendislik saldırıları sırasında tehlikeye girebilecek caddelerde size göz kulak olan bir kamera olabilir.
Bu yüzden önemli olan, güçlü şifreler ve iki faktörlü kimlik doğrulama gibi diğer yöntemler ekleyerek akıllı telefonlarınızı, bilgisayarlarınızı ve çevrimiçi hesaplarınızı güvende tutmaktır. Virüsten koruma yazılımı, güvenlik duvarı vb. gibi uygun güvenlik önlemlerini alın. Ayrıca, şifreleri ve finansal bilgileri yazma alışkanlığınızın olmadığından emin olun.
Bununla birlikte, bunlar kendini bir sosyal mühendis tarafından sömürülmekten korumanın genel yollarıdır. Büyük kuruluşlar bu tür senaryolarla başa çıkmak için daha resmi yöntemler geliştirmiştir. Bu, çalışanlara düzenli tatbikatlar yapmak, bu tür durumlarla başa çıkmak için onları eğitmek ve meşru personeli tanımlamak için uygun yöntemler oluşturmak gibi şeyleri içerebilir.
Kaynak: fossbytes.com