Sosyal Mühendislik ile ilgili bir yazı ile karşınızdayım. Her sosyal mühendislik yazısında dediğim gibi sürekli olarak yazı çıramıyorum ancak az ve öz olmasına dikkat ediyorum. Bu konuda kendi kalemimden bir yazı değilde Kevin Mitnick ‘in (efsane hacker) “Aldatma Sanatı” adlı kitabından küçük bir bölümü aktaracağım. Sosyal Mühendislikte amaç teknolojik ve mekanik güvenliği değil insanın güvenlik zaafiyetlerini kullanmaktır. Kevin Mitnick bunu kitabında Güvenliğin En Zayıf Halkası başlığı ile paylaşmış.
Devamını Oku
Ve evet, biraz aradan sonra tekrar bir Sosyal Mühendislik yazısı ile karşınızdayım. Bu girişi sevmedim.WordPress Destek kategorisine slogan buldum SM içinde bulsam iyi olacak.Neyse konuya geçiyorum.Sosyal Mühendislik yapan kişiler daha doğrusu bu işi bilinçli olarak yapanlar gayet iyi bilirki SM ‘de en önemli şey kurbanın güvenini kazanmaktır.Kurban değilde ” hedefin ” desem daha iyi olacak.
Tabi hedefimizin ne olduğu ve bu doğrultuda kimin üzerinden yola çıkacağımızı düşünüp bir strateji belirlemeliyiz.Şimdi biraz güven kazanmak için yapılabileceklerden bahsedeyim sizlere.
İlk olarak her zaman bir SM ‘in yapacağı işi yapacağız.Bilgi toplamak.Hedefimizle tanışmadan ve ona yaklaşmadan önce onunla ilgi edinebileceğimiz maksimum bilgiyi edinmeliyiz.Bunu yaparsak eğer tanıştığımızda sözleri karşısında daha temkinli olabilir daha çabuk yakınlık kurabiliriz.
Yine uzun bir aradan sonra Sosyal Mühendislik konusunda bir yazıyla karşınızdayım. Bu yazımda tüm dünyada ve özellikle ülkemizde çok yaygın bir sosyal ağ ortamında gerçekleştirilen ve gerçekleştirilebilecek Sosyam Mühendislik operasyonlarından bahsedeceğim.
Facebook ‘ta sosyal mühendislik nasıl yapılır ? Neler elde edilebilir ?
Diyelim ki ismini bildiğiniz birinin fotoğraflarına ulaşmak istiyorsunuz.Ancak bu kişi reel ortamda tanışmadığınız ve görmediğiniz bir kişi, bu yüzden fotoğrafını almanız oldukça zor.İşte burada Facebook devreye giriyor.Kurbanınızın bir facebook hesabı varsa işiniz kolaylaşabilir.
Şimdi ne yapabiliriz adım adım sıralayalım.
Sosyal Mühendislik Saldırıları (TÜBİTAK-UEKAE)
Kişileri gizli bilgi vermeleri ya da erişim sağlamaları için aldatma süreci olarak tanımlanabilecek sosyal mühendislik , çoğu güvenli ağ için önemli bir tehdittir. Sosyal mühendislik hakkında yeteri kadar bilgi olmasına rağmen, savunma yöntemleri genelde yeterli olmaktan uzaktır. Etkileme, zorlama, aldatıcı ilişkiler geliştirme, sorumluluğu, etik değerleri, dürüstlüğü ya da bağlılığı azaltma amacını güden yöntemler kullanarak başarı sağlayan sosyal mühendislik saldırılarına karşı güvenlik politikalarında, eğitimlerinde ve olay müdahale yöntemlerinde önlemler alınması gerekmektedir.
Tanımlar
Bilgisayar güvenliği terimleriyle Sosyal Mühendislik, insanlar arasındaki iletişimdeki ve insan davranışındaki açıklıkları tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir. Bu tanım çerçevesinde iletişim kavramından kasıt, kişiler arasında, kişiyle kurum arasında ya da kurumlar arasındaki etkileşimdir. İnsan davranışlarındaki açıklıklarsa, insanların gündelik sergiledikleri, niyetlerinden bağımsız hareketlerin güvenlik açısından istenmeyen durumlara sebep olması ihtimalleridir. Müdahale derken de güvenlik açısından kritik bilgileri elde etmek eylemini anlıyoruz.
Bir kuruma yönelik sosyal mühendislik saldırılarının tipik hedefleri, saldırganın suistimal edebileceği durumdaki personeldir.
Saldırılan profilleri aşağıdaki şekilde özetlenebilir:
“Önce ver sonra geri al tekniği (throw a ball technique)nde hedefe son derece cazip gelecek koşullar vaat edilir (ürün için oldukça düşük bir fiyat, uygun ödeme koşulları sunulması ya da oy isteyen biradayın seçmenlere en çok gereksinim duydukları toplumsal sorunları çözme sözü vermesi gibi). Bu vaadin etkisiyle hedef ürününüze, görüşünüze ya da adayınıza daha sıcak bakmaya başlar (Cialdini, 2001). Devamını Oku
