ANASAYFA

Sosyal Mühendislik Nedir? Nasıl yapılır?

Çoğumuzun Who Am I filminden veya Mr. Robot dizisinden aşina olduğumuz ve sürekli hacker konulu filmlerde/dizilerde bahsedilen sosyal mühendislik, insanların zafiyetlerinden faydalanarak muhtelif ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır ve insanların karar verme süreçlerini değiştirir. Sosyal mühendislik, insanlara psikolojik manipülasyonların yapılmasıyla yanlış kararlar verilmesine, hata yapmasına, hassas malumat vermesine neden olan bir taarruz yöntemidir.

Sosyal Mühendisliğin Planı

Her amacın,hedefin bir planı olduğu gibi sosyal mühendislik yapmak içinde bir plana ihtiyaç duyarız. Bu plan; araştırma, tuzak,ele geçirme/sömürme ve çıkış olmak üzere 4 başlık olmak üzerinde toplanabilir.

Araştırma: Kurbanı belirleme, arka planda bilgi toplayarak saldırı yönteminin seçilmesi.

Tuzak: Kurbanı tuzağa çektikten sonra bir hikaye uydurmak ve etkileşim kontrolünü ele geçirmek.

Sömürme/Ele geçirme: Kapsamı genişletmek, saldırıyı yürütmek ve verileri yok etmek.

Çıkış: Kötü amaçlı yazılım izlerini silmek,izlerin kapatılması ve her şeyi eski haline çevirmek.

Sosyal Mühendislik Teknikleri

Baiting – Can Sıkma : İnsanlarda merak duygusu uyandırarak, iyilik vaadi ile (örneğin; sanal ortamda yazılım güncellemesi istemek) kurbanı kandırmak.

Phishing – Oltalama: Kurbanların kişisel bilgilerini,finansal bilgilerini veya kullandıkları sistemleri ele geçirmek amacıyla sms, e-posta, anlık mesajlaşma ve SMS yolu ile yapılan sosyal mühendislik tekniğidir.

Scareware – Korkutma: Kullanıcının bilgisayarında zararlı yazılım olduğuna inandırarak korkuyla ve tedirginlik ile yönlendirebileceğiniz teknik.

Eavesdropping – Gizli Dinleme: Reel ortamda insanların aralarındaki özel veya gizli saklı konuşmalara kulak misafiri olarak kişi hakkında  bilgiler elde edebileceğimiz  sosyal mühendislik tekniğidir.

Pretexting – Ön Mesajlaşma: Saldırganın akıllıca hazırlamış olduğu yalanlarla kurbana kendisini yetkili bir kişiye benzer biçimde tanıtan sosyal mühendislik tekniğidir.

Dumpster DivingÇöp Karıştırma: Hedef müessesenin yada kişinin yakınlarındaki çöpleri karıştırılarak kişi yada müessese hakkında malumat barındıran ve imha edilmeyen belgelerin toplanarak kişisel, kurumsal yada finansal bilgilerin elde edilmesidir.

Tailgating – Bagaj Kapağı: Erişimin gözetimsiz olduğu veya erişimin elektronik olarak kontrol edildiği  kısıtlı bir alana girmek isteyen bir saldırganın, reel veya sanal alanda erişimi olan bir kişinin ardından sızması.

Shoulder Surfing – Omuz Sörfü: Genellikle kalabalık ortamlarda kullanılan; kişi hakkında bilgi almak için, kurbanın omzu üzerinden gözlemleyerek bilgi toplanılarak yapılan sosyal mühendislik türü.

Watering Hole – Sulama Deliği: Saldırganlar herkese açık olan web sitelerinin zafiyetlerini araştırdıktan sonra hedefledikleri kullanıcıların bilgisayarlarına truva atı yükleyerek backdoor oluşumuyla bilgilerini ele geçirir. Bir diğer adıyla kod enjeksiyon yöntemi yeni bir yöntem değildir.Eğer web sitesinde zafiyet bulamazlarsa bu işlemi Zero-day exploit kullanarak yapabilirler.

Something for Something – Bir Şey İçin Bir Şey: Bir diğer adıyla Quid Pro Quo olarak adlandırılan bu teknik; bir baiting çeşididir.Kullanıcıyı verilecek iyilik vaadinden farklı olarak, bir eylemin yürütülmesine dayanan bir hizmet veya yarar vaat ederek zararlı bir sürüm yükseltme veya yazılım yüklemesi sunar.

Bilgi Toplama Yöntemleri/Uygulamaları

Genel hatlarıyla sosyal mühendisliğin ne olduğunu öğrendiğimize göre artık bunu gerçekleştirebilmek (bilgi toplayabilmek) için bizlere yardımcı olacak bazı araçlara değinebiliriz. Örnekleri verirken kafamızın karışmaması için kurum ve şahıs olarak ikiye ayıracağız.

Bir kurum/firma hakkında bilgileri toplarken kullanabileceğiniz web siteleri:

http://robtex.com

http://mxtoolbox.com

http://netcraft.com

http://ripe.net / http://arin.net

http://shodan.io

archive.org

Şahıs/Kişi hakkındaki bilgileri toplarken kullanabileceğiniz web siteleri:

http://pipl.com

knowem.com

http://checkusernames.com

http://canarytokens.com

Kendimi/Şirketimi Nasıl Koruyacağım ?

Öğrendiğimiz bilgilerden sonra sorulması gereken en önemli sorulardan bir tanesi ise şirketlerimizi veya kendimizi nasıl koruyabileceğimiz olmasıdır. Sosyal mühendislik yapılarak kullanılan saldırılar oldukça fazla ve başarılı olmasına rağmen aslında birkaç küçük önlem ile bu saldırılara karşı korunmak mümkündür.

Şirketleri baz aldığımız taktirde;

  1. Çalışanlarınız içinde bilgi güvenliği farkındalığı sağlayın.
  2. Kurum güvenlik politikalarını açık,anlaşılabilir ve kolay olarak düzenleyin.
  3. Bilgisayarlarınıza ve cep telefonlarınıza siber güvenlik için yapacağınız yatırımları önemseyin. Firewall ve antivirüs uygulamalarını edinin.
  4. Önemli bilgilerin iletimi sırasında geri arama ve feedback yapmaya önem verin.
  5. Kurum içinde ki farklı birimlerin arasında iletişimsizlik olmaması konusunda hassas olun.
  6. Merkezi loglamaya önem verin. Kurum iç ağı ve müessese mensuplarının bilgisayarları ile konuk erişimlerinin denetlenmesinin yanı sıra kanunlara uygun bir şekilde loglama tutulması gereklidir.

Kendimizi korumak için neler yapabiliriz?

  1. E-mail adresinize gelen zararlı URL adreslerine dikkat edin
  2. Login bilgisi isteyen adreslerin URL bağlantısının güvenliğini kontrol etmeyi unutmayın.
  3. Sistemlerinizde ki kurulu antivirüs yazılımlarını güncel tutun.
  4. Bedava indirilen yazılımlara güvenmeyin; ücretsiz vpn,dns veren sitelere dikkatli yaklaşın.
  5. E-mailinize gelen postaların yazım diline,imla kurallarına dikkat edin.
  6. E-posta içindeki açılan sitelere veya pop-up pencerelere kesinlikle bilgilerinizi girmeyin.
  7. Önemli bir nokta olarak, bankalar ve kurumlar bilgilerinizi e-posta yoluyla istemezler.
  8. Ve son olarak en önemlisi, her zaman şüpheci olun.

4.7 3 votes
Article Rating
[Toplam: 4   Ortalama: 5/5]
1 Adet Yorum Yapıldı
1 Yorum
Inline Feedbacks
View all comments
trackback

[…] bularak, bizlere özellikle de MITM saldırılarında ve sosyal mühendislik yaparken (bkz:https://www.gencprogramci.org/sosyal-muhendislik-nedir-nasil-yapilir/) yardımcı olacak bir […]

To Top
1
0
Would love your thoughts, please comment.x
()
x