Sosyal Mühendislik (Social Engineering), günümüzde özellikle sosyal medya konularında sık sık dile getirilen bir saldırı aşamasıdır. Sosyal Mühendislik saldırılarına genel anlamda baktığımızda amaç hedef kişinin çeşitli teknikler ile aldatılarak istenilen verilerin ele geçirilmesi olarak söylenebilir. Sosyal Mühendislik, teknik bir terimden ziyade yapılacak olan saldırının aldatma ve bilgi toplama aşaması olarak değerlendirilebilir.
Bir sistemi ele geçirmek için hedef makinede çalışan servislerin veya web sitesinde kullanılan teknolojilerin, programlama dillerinin vb. yer alan açıkların taranması gerekmektedir. Ancak bazen hedefe gitmek için asıl zafiyet insan faktörü olabilmektedir ve sık kullanılan yöntemlerden birisidir. Sistemleriniz istediğiniz kadar üst düzey güvenlikte olsun şirketinizde çalışan bilinçsiz veya dalgın bir kişi basit bir sosyal mühendislik ile her şeyi berbat edebilir. Milyon dolarlar yatırılan güvenlik cihazları ve yazılımları bir anda çöp olabilir.
Sosyal Mühendislik Saldırıları Nasıl Yapılır?
Sosyal Mühendislik saldırılarının ilk aşamasında hedefe bizi en kolay götürecek kişi seçilmektedir. Sonrasında toplayabildiğimiz kadar bilgi toplamamız gerekmektedir. Daha sonra hedefe ve kişiye göre bir senaryo hazırlanmaktadır. Daha sonrasında ise çeşitli sosyal mühendislik teknikleri kullanılarak kişi ile iletişime geçilir. Örneğin, hedef büyük bir banka ve bu bankada yetkisi yüksek olan bir kurban seçilir. Phishing yöntemleri kullanılarak kurbana içerisinde malware, trojan veya oturum ele geçirme gibi çeşitli yöntemler yedirilmeye çalışılır. Bu yöntemlerden birisi çalıştığında örneğin, oturum ele geçirildiğinde hedefe zararlı dosyalar upload edilebilir ve buradan shell alma, sistemi ele geçirme, sunucuya sızma vs. gibi sonuçlar elde edilebilir.
Sosyal Mühendislik veya hedef kişiyi aldatma konusunda Kevin Mitnick’in kaleme aldığı ve okuması oldukça zevkli olan konuyla alakalı kitaplarına göz atabilirsiniz.
Sosyal Mühendislik Saldırılarından Korunma
Sosyal Mühendislik saldırılarından korunma yollarına baktığımızda aşağıdaki maddeleri uygulayabiliriz;
- Aceleci davranmamak,
- Kaynak Kontrolü yapmak,
- Yeterli bilgi edinmek,
- Kimlik kontrolü yapmak,
- Spam E-posta takibi,
- Gerçekçilik kontrolünü sağlamak.
Yukarıda saydığım maddeler çoğaltılabilir. Sosyal Mühendislik saldırılarından korunmak için yukarıdaki maddeler değerlendirildiğinde örneğin, saldırgan kişi sizin hakkınızda kimlik bilgilerinizi toplarken eksik bilgiye ulaşmış olabilir bu bilgiler sorgulanmalı, bir phishing tekniği kullanılıyorsa gelen maillerin kaynağı ve diğer bilgileri kontrol edilmelidir, sizi panik yaptırarak veya korkutarak aceleci davranmanıza ve bir şeyleri gözden kaçırmanıza zorlamak gibi çeşitli uygulamalar yapmalarına imkan verilmemesi gerekmektedir.
Unutmayın bir linke tıklamanız, bir programı çalıştırmanız veya bir word dosyasını okumanız size birçok şeyi kaybettirebilir.
Başka yazılarda görüşmek üzere.
