Sosyal Mühendislik ile Hesap Hacklemek
Sosyal Mühendislik ile Hesap Hacklemek istiyorum diyorsanız öncelikle kurban hakkında detaylı bilgi edinmeniz gerekmektedir. Bunun için sosyal mühendislik zekanızın olması gerekemektedir. Peki nedir bu sosyal mühendislik?
Sosyal mühendislik yani ingilizce tanımı “Social Engineering” olarak isimlendirilen en temel hacking yöntemlerinden biridir. Sosyal mühendislik temel olarak insan ilişkilerini veya insanların dikkatsizliklerini kullanarak hedef kişi yada kurum hakkında bilgi toplamak ve gereken yönergelerle kullanmak olarak tanımlanabilir. Bu olayda amaç hedef kurum veya kişi yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.
Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, hedef kişiyle dost olmak , olmadığı halde kendini kız gibi gösterip kişilerin zaaflarından yararlanmak bilinen en iyi örnekleridir.
Sosyal mühendislik aslında hack’in atası olarak bilinir bir nevi ilk hack atağıdır. Sosyal mühendisliğin mucidi olarak Kevin Mitnick bilinir ve bu alanda yazdığı kitapta sosyal mühendislikten bahsetmiştir. Hayatını Okuyup incelediğimiz kadarı ile girdiği sistemlerin %80 nine sosyal mühendislik yöntemleriyle ulaştığını gördük. Kevin Mitnick zamanında FBI tarafından 1. sırada aranan bilişim suçlusu haline gelmiştir ve yakalanmasında başrol oynayan ünlü güvenlik uzmanı Tsutomu Shimomura kevin ile girdiği mücadeleyi anlattığı takedown adlı kitabında özellikle bu yönteme değinmiştir. Sosyal mühendislik üzerine yapılan araştırmalarda kadın sesinin erkek sesinden daha şanslı Olduğunu göstermiştir. Kısaca Sosyal Mühendislik kişileri kandırarak elindeli gizli bilgileri sorularla veya farklı yollarla fark ettirmeden elinden almaktır.
Kevin Mitnick (Pentagon, Sun Microsystems, Motorola gibi birçok yeri kırarak FBI’ın en çok arananlar listesine giren ilk hacker): “Güvenlik zincirindeki en zayıf halka insandır.”
Sosyal Mühendislik Yöntemleri Kısaaca Şunlardır:
Sahte senaryolar uydurmak (pretexting)
• Güvenilir bir kaynak olduğuna ikna etmek (phishing)
• Truva atları (trojan)
• Güvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, … önermek
• Güven kazanarak bilgi edinmek
• Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak..
Güvenilir bir kaynak olduğuna ikna etmek:
• Genellikle e-posta üzerinden gerçekleşen bir yöntemdir.
• Saldırgan, amacına ulaşmak için güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırır.
• Hedef, saldırılanı bilgi vermeye zorlamak ya da hatalı bir hareket yapmaya (sahte web sitesine tıklamak, virüslü yazılım kurmak, …) yönlendirmektir.
Bilgi Karşılığı Başka Bir Şey Önermek:
• Hassas bilgiye ulaşmak için, kişinin hassasiyetlerini kullanan bir yöntemdir.
– Kurban, sonunda karlı (ya da zarar görmeden) çıkacağına ikna edildiği bir senaryoyla hassas bilgiyi verebilir, ya da saldırgan yerine zararlı işlemler yapabilir.
• Hediyeli anket,
• Ödüllü soru..
Güven Kazanmak:
• Saldırganın hedefine, iş dışında ya da iş sırasında güvenini sağlayacak şekilde iletişime geçip ikna ederek bilgi vermesine ya da istediğini yaptırmasına dayanan bir yöntemdir.
–Şirket/kuruma sağlayıcı olarak yaklaşıp erişim hakkı olan personelle güvene dayanan arkadaşlık kurmak,
– İş dışında oluşan ilişkileri suistimal etmek,
– Kurbanla ortak ilgileri / beğenileri paylaşıyor izlenimi vererek güven sağlamak..
Peki Sosyal Mühendislik Tehditleri Nelerdir?
• Yetkisiz Erişim
• Hizmet Hırsızlığı
• İtibar ve Güven Kaybı
• Dağıtık Hizmet Engelleme
• Hassas Bilgiye Erişim
• Veri Kaybı
• Yasal Yükümlülükler
• Hukuki Yaptırım ya da Cezalar
One Reply to “Sosyal Mühendislik ile Hesap Hacklemek”