Sosyal Mühendislik Nedir ?

Dikkat, bu bir tuzak: sosyal mühendislik nedir?

“Merhaba! Kendimi zor bir durumda buldum. Pazartesi’ye kadar 5.000 TL ödünç verebilir misiniz? “Sosyal ağlarda” arkadaşlar “dan böyle bir mesaj aldınız mı? Yani zaten sosyal mühendislikle karşılaştınız. Siber suçlular, değerli verileri (finansal durumunuz dahil) çalmak için bu tür yöntemleri giderek daha fazla kullanıyor, çünkü insan faktörü herhangi bir güvenlik sisteminde hala zayıf halkadır.

İstatistiklere göre 2020 yılında sosyal mühendislik kullanan saldırıların sayısı %147 arttı. Bu tekniklerin neler olduğunu ve kendinizi nasıl koruyacağınızı anlatıyoruz.

Sosyal mühendislik nedir ve nasıl ortaya çıkmıştır?

Sosyal mühendislik (sosyal mühendislik) veya “bir kişiye saldırı”, gizli bilgileri elde etmenizi sağlayan psikolojik ve sosyolojik tekniklerin, yöntemlerin ve teknolojilerin birleşimidir.

Bu teknikleri pratikte kullanan siber dolandırıcılara sosyal mühendisler denir. Bir sisteme veya değerli verilere erişim bulmaya çalışırken, en savunmasız bağlantıyı- bir kişiyi – kullanırlar. En basit örnek, bir saldırganın başka birinin kimliğine büründüğü, aboneden gizli bilgileri öğrenmeye çalıştığı, bir kişinin duygularıyla oynadığı, onu aldattığı veya şantaj yaptığı bir telefon görüşmesidir. Ne yazık ki, birçok insan bu tür oltalara düşmeye devam ediyor ve sosyal bilgisayar korsanlarına ihtiyaç duydukları her şeyi güvenle söylüyor. Ve dolandırıcıların cephaneliğinde birçok teknik ve püf noktası var. Onlardan biraz sonra bahsedeceğiz.

Şimdi sosyal mühendislik, siber suçla güçlü bir bağlantı elde etti, ancak aslında bu kavram uzun zaman önce ortaya çıktı ve başlangıçta belirgin bir olumsuz çağrışıma sahip değildi.

İnsanlar eski çağlardan beri sosyal mühendisliği kullanıyorlar. Örneğin, Antik Roma ve Antik Yunanistan’da, muhatabı “yanlış” olduğuna ikna edebilen özel olarak eğitilmiş konuşmacılara büyük saygı duyuldu. Bu insanlar diplomatik müzakerelere katıldılar ve devletlerinin iyiliği için çalıştılar.

Yıllar sonra, 1970’lerin başında, sadece bir şaka uğruna vatandaşların huzurunu bozan telefon holiganları ortaya çıkmaya başladı. Ancak birisi, bu şekilde önemli bilgileri oldukça kolay bir şekilde alabileceğinizi fark etti. Ve 70’lerin sonunda, eski telefon holiganları, insanları ustalıkla manipüle edebilen, komplekslerini ve korkularını yalnızca tonlamalarıyla tanımlayabilen profesyonel toplum mühendislerine (onlara inger denilmeye başlandı) dönüştüler.

Bilgisayarlar ortaya çıktığında, çoğu mühendis profilini değiştirerek sosyal bilgisayar korsanları haline geldi ve “sosyal mühendislik” ve “sosyal bilgisayar korsanları” kavramları eşanlamlı hale geldi.

Sosyal mühendisliğin çarpıcı örnekleri

Yetenekli bir toplum mühendisinin neler yapabileceğinin bir örneği sinematografide bulunabilir. Belki de efsanevi dolandırıcı Frank William Abagnale, Jr.’ın tarihine dayanan gerçek olaylara dayanan “Catch Me If You Can” filmini izlediniz. Beş yıllık suç faaliyeti boyunca, toplam 2,5 milyon dolarlık sahte çekleri dünya çapında 26 ülkede dolaşımdaydı. Abagnale, savcılıktan saklanarak, reenkarnasyonda inanılmaz yetenekler gösterdi, bir havayolu pilotu, sosyoloji profesörü, doktor ve avukat olarak poz verdi.

Bazen sadece istemek yeterlidir. Bir örnek, 2015 yılında Ubiquiti Networks’ten 40 milyon dolarlık hırsızlıktır. Hiç kimse işletim sistemlerine girmedi veya veri çalmadı- çalışanların kendileri güvenlik kurallarını ihlal etti. Dolandırıcılar, şirketin üst düzey bir yöneticisi adına bir e-posta gönderdi ve finansörlerden belirtilen banka hesabına büyük miktarda para aktarmalarını istedi.

2007’de dünyanın en pahalı güvenlik sistemlerinden biri hacklendi- şiddet yok, silah yok, elektronik cihaz yok. Saldırgan, cazibesi sayesinde Belçika bankası ABN AMRO’dan 28 milyon dolar değerinde elmas aldı. İsrail’de çalınan Arjantin pasaportlu dolandırıcı Carlos Hector Flomenbaum, olaydan bir yıl önce banka çalışanlarının güvenini kazanmıştı. İş adamı kılığına girmiş, hediyeler vermiş kısacası iletişim kurmuştur. Bir keresinde, çalışanlar ona 120.000 karatlık değerli taşlardan oluşan gizli bir kasaya erişim izni verdi.

Victor Lustig’in ABD’yi nasıl sahte banknotlarla doldurmadığını ve Al Capone’u “aptallara” nasıl bıraktığını, aynı zamanda Paris’in mülkünü- Eyfel Kulesi’ni nasıl sattığını duydunuz mu? Bu arada, iki kez;). Bütün bunlar sosyal mühendislik sayesinde mümkün oldu.

Sosyal mühendisliğin tüm bu gerçek yaşam örnekleri, her koşula ve her ortama kolayca uyarlanabileceğini göstermektedir. Bir kişinin kişisel nitelikleri veya profesyonellik eksikliği (bilgi eksikliği, talimatların cehaleti vb.) üzerinde oynamak, siber suçlular bir kişiyi kelimenin tam anlamıyla “hack”ler.

En popüler sosyal mühendislik teknikleri

Bir kişiye saldırı birçok senaryoda gerçekleştirilebilir, ancak siber suçlular tarafından kullanılan en yaygın tekniklerden birkaçı vardır.

E-dolandırıcılık

Üzerinde oynanmış duygu: dikkatsizlik

Yetkilendirme için kullanıcı kimlik bilgilerini toplama yöntemi genellikle toplu e-posta spam’idir. Klasik senaryoda, bazı tanınmış kuruluşlardan sahte bir mektup, kurbanın postasına bağlantıyı takip etme ve oturum açma talebiyle gelir. Daha fazla güven uyandırmak için, dolandırıcılar bağlantıya tıklamak için ciddi nedenler bulurlar: örneğin, kurbandan şifresini güncellemesini veya bazı bilgileri (ad, telefon numarası, banka kartı ve hatta CVV kodu!) girmesini isterler.

Ve görünen o ki kişi her şeyi mektupta söylendiği gibi yapıyor ama… Yakalandı! Suçlular onun her adımını düşündüler, bu yüzden insanları istediklerini yapmaya zorlamayı başardılar.

Truva atı

Üzerinde oynanmış duygu: açgözlülük

Virüsün adını antik Yunan mitinden Truva atı prensibinden alması boşuna değildir. Buradaki tek yem, hızlı karlar, kazançlar veya diğer “altın dağları” vaat eden bir e-posta mesajıdır- ancak sonuç olarak, bir kişi siber suçluların yardımıyla verilerini çaldığı bir virüs alır. Bu tür veri hırsızlığına neden sosyal mühendislik deniyor? Virüsün yaratıcıları, kötü niyetli bir programın nasıl gizleneceğini iyi bildiğinden, büyük olasılıkla istediğiniz bağlantıya tıklayacaksınız, dosyayı indirip çalıştırın.

Qwi pro quo

Üzerinde oynanmış duygu: saflık

Veya Latince quid pro quo’dan quid pro quo. Saldırgan bu yöntemi kullanarak kendisini teknik destek çalışanı olarak tanıtır ve gerçekte yazılımda hiçbir sorun olmamasına rağmen sistemde ortaya çıkan sorunları düzeltmeyi teklif eder. Kurban, arızaların varlığına inanır ve bilgisayar korsanının talimatlarını izleyerek kişisel olarak önemli bilgilere erişmesini sağlar.

Bahane

Üzerinde oynanmış duygu: saflık

Siber suçlular tarafından kullanılan başka bir tekniğe ön mesaj gönderme (önceden yazılmış bir komut dosyasına göre gerçekleştirilen bir eylem) adı verilir. Bir suçlu, bilgileri ele geçirmek için, önemli bir görevi yerine getirmek için bilgilerinize ihtiyaç duyduğu varsayılan tanıdığınız bir kişinin kimliğine bürünür.

Sosyal mühendisler, bankaların, kredi hizmetlerinin, teknik desteğin çalışanlarını veya arkadaşınızı, aile üyenizi- varsayılan olarak güvendiğiniz kişiyi- temsil eder. Daha fazla güvenilirlik için, potansiyel kurbana kendisi hakkında herhangi bir bilgi verirler: isim, banka hesap numarası, bu hizmetle daha önce iletişim kurduğu gerçek sorun. İyi bilinen bir örnek, büyük bankaların çalışanları kılığına girmiş mahkumların vatandaşları aradığı ve insanları para transfer etmeleri için kandırdığı siyah “çağrı merkezleridir”. En çarpıcı dava, dolandırıcıların aldatma yoluyla 7 milyon ruble aldığı Matrosskaya Tishina’da gerçekleşti.

Tersine sosyal mühendislik

Üzerinde oynanmış duygu: saflık, dikkatsizlik

Teknik, mağdurun kendisinin sosyal mühendise dönmesini ve ona gerekli bilgileri vermesini sağlamayı amaçlamaktadır. Bu, birkaç yolla başarılabilir:

Özel yazılımın uygulanması

İlk başta, program veya sistem düzgün çalışır, ancak daha sonra bir uzmanın müdahalesini gerektiren bir arıza meydana gelir. Durum, yardım istenecek uzman bir sosyal hacker olacak şekilde düzenlenmiştir. Dolandırıcı, yazılımın çalışmasını ayarlayarak, bilgisayar korsanlığı için gerekli manipülasyonları gerçekleştirir. Ve bir hack keşfedildiğinde, toplum mühendisi şüphenin üzerinde kalır (tam tersine size yardım etti).

Reklam

Saldırganlar, hizmetlerinin reklamını bilgisayar sihirbazları veya diğer profesyoneller olarak yapabilir. Mağdur hırsızla bizzat temasa geçer ve suçlu sadece teknik olarak çalışmakla kalmaz, aynı zamanda müvekkiliyle iletişim kurarak bilgi edinir.

Kendinizi nasıl korursunuz?

Başka bir sosyal mühendis kurbanı olmak istemiyorsanız, aşağıdaki koruma kurallarına uymanızı öneririz:

Şüpheci ve uyanık kalın.

Her zaman mektupları gönderen kişiye ve bazı kişisel verileri gireceğiniz sitenin adresine dikkat edin. Bu, büyük bir kuruluşun etki alanındaki postaysa, etki alanının tam olarak bu olduğundan ve yazım hatası olmadığından emin olun. Şüpheniz varsa, resmi kanallar aracılığıyla teknik desteğe veya kuruluş temsilcisine başvurun.

Yabancıların önünde önemli bilgilerle çalışmayın.

Dolandırıcılar, kurbanın omzu üzerinden bilgi çalındığında bir tür sosyal mühendislik olan omuz sörfü denilen yöntemi gözetleyerek kullanabilirler.

Şüpheli sitelere gitmeyin veya şüpheli dosyalar indirmeyin,

çünkü en iyi sosyal mühendislik araçlarından biri meraktır.

Harici ve kurumsal (iş) kaynaklarına erişmek için aynı parolayı kullanmayın.

Bir anti virüs kurun

Tüm büyük anti virüslerin kötü amaçlı kaynaklar için yerleşik bir taraması vardır.

Şirketinizin gizlilik politikasına göz atın.

Tüm çalışanlar, ziyaretçilerle nasıl başa çıkılacağı ve kurcalama tespit edilirse ne yapılması gerektiği konusunda bilgilendirilmelidir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir