Sosyal Mühendisler tarafından istismar edilen 7 insani zafiyet

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28
Social Engineering.jpg


Bilgisayar sistemlerine yönelik başarılı saldırıların birçoğu az ya da çok Sosyal Mühendislik saldırılarını içermektedir. Bugün insan kişiliğinin bizi bu tür saldırılara karşı az ya da çok savunmasız kılan 7 “hassas” noktasını göreceğiz.

Sosyal Mühendislik Nedir?​

Sosyal mühendislik, bilgi elde etmek amacıyla insanları sözlü olarak manipüle etme eylemidir. Hile veya basit dolandırıcılığa benzemekle birlikte, bu terim öncelikle bir bilgisayar sistemine erişim sağlamak için gerekli gizli bilgileri elde etmek amacıyla bireyleri kandırmakla ilişkilidir. Genellikle bunu uygulayan kişi, aldatan veya yanlış yönlendiren kişiyle asla yüz yüze gelmez. Bu terim doğru veya başarılı olmasa da artık yerleşmiştir.

Sosyal Mühendislik teriminin “babası” ve eski hacker Kevin Mitnick tarafından tanımlandığı gibi

Size bir sistem şifresi vermesi için birini kandırmak, şifreyi kırmaya çalışmaktan çok daha kolaydır

Kısacası, sosyal mühendislik birine yapmaması gereken bir şeyi yaptırmaktır.

Sosyal Mühendisler tarafından istismar edilen başlıca güvenlik açıkları nelerdir?​

Her bilgi sisteminde zayıflıklar vardır ve insanlar da istisna değildir. Bizi Sosyal Mühendislik saldırılarına açık hale getiren bazı davranış ve alışkanlıklarımıza bir göz atalım.

Açgözlülük​

Sosyal mühendislikte en sık kullanılan insani zayıflıklardan biri açgözlülüktür:

  • İnsanlara istedikleri bir şeyi vaat edersiniz.
Muhtemelen spam klasörünüzde sahipsiz duran büyük miktarda para olduğunu iddia eden e-postalarla karşılaşmışsınızdır.

Bu, saldırganın kurbanın açgözlülüğünden faydalanmaya çalıştığı en yaygın oltalama saldırısı türlerinden biridir.

Bu saldırıların yüzlerce çeşidi vardır ancak hepsinin ortak özelliği saldırganın isim, yaş ve telefon numarası gibi bazı temel bilgiler karşılığında kurbana büyük miktarda para vaat etmesidir. Saldırgan bunları elde ettikten sonra, daha hassas bilgiler isteyerek saldırıya devam eder.

Muhtemelen bu tür saldırıların artık gerçekleşmediğini düşünüyorsunuz. Her yıl yüz milyonlarca oltalama e-postası gönderiliyor. Saldırganın çabasının başarılı olması için bu potansiyel kurbanların yüzlercesi ya da binlercesinden yalnızca birinin “ısırması” gerekir.

Korku​

Bir diğer zayıflık ise korkudur. Korku birçok şekilde olabilir...

Giderek yaygınlaşan bu saldırı türünde, saldırgan bazı çok kişisel bilgilere sahip olduğunu iddia etmekte ve kurban fidye ödemediği takdirde bunları sızdırmakla tehdit etmektedir. 2015'teki Ashley Madison olayından sonra binlerce kurban, bir miktar bitcoin ödemeleri aksi takdirde en derin ve karanlık sırlarının kamuoyuna açıklanacağı tehdidini içeren e-postalar aldı. Utanç korkusu, düzinelerce kurbanının buna uymasına ve hiç de azımsanmayacak bir meblağ ödemesine yol açtı.

Korku gerçekten de güçlü bir araç olabilir ve kötü niyetli bir saldırganın elinde büyük hasara yol açabilir.

Acil Durum​

Bir sosyal mühendislik saldırısına zaman sınırı koymak kurbanın tepkilerini sınırlar. Eğer gerçekten hemen itaat etmeleri gerektiğine inanırlarsa, mantıklı davranmayabilir ve aksi takdirde kabul etmeyecekleri talepleri kabul edebilirler.

Elbette bu numara sadece bilgisayar korsanları tarafından değil, şirketler tarafından da bir şeyi hemen satın almanızı sağlamak için kullanılır. Muhtemelen bu hileden yararlanmaya çalışan reklamlar görmüşsünüzdür:
  • Teklif yalnızca önümüzdeki 24 saat için geçerlidir!
  • %20 indirim almak için şimdi arayın!
  • Acele edin çünkü sadece 5 tane kaldı!
Aciliyetten faydalanmak çoğu zaman kurbana başka türlü yapmayacağı bir şeyi yaptırma şansını artırabilir.

Merak​

Merakımızı sömürmenin en bariz örneği clickbait'tir. Bunun gibi başlıklar mutlaka görmüşsünüzdür:
  • Sonra ne olduğuna inanamayacaksınız!!
  • İnanılmaz, bizden ne sakladıklarını videoda görün!
Mucizevi estetik ve güzellik ürünleriyle ilgili reklam ve makalelerin klasik örneği! Çoğu insan elbette 61 yaşındaki bir kadının yüzüne bir krem sürüp cildinin 25 yaşındaki gibi görünmesini sağlayamayacağını bilir.

Elbette reklamcıların bir hedefi var, tıklamanızı sağlamak için ne gerekiyorsa yapıyorlar. Bu da merakımızı en çok sömürülen insani özelliklerden biri haline getiriyor.

Merhamet​

Merhameti bir zayıflık olarak görmeyebiliriz, ancak bunu istismar etmeye çalışacak kişiler kesinlikle vardır.

Bu tür saldırılar genellikle sosyal medya duvarımıza bir mesaj olarak gelir ve özellikle tanıdığınız ve güvendiğiniz birinden böyle bir şey geldiğini görürseniz tehlikeli olabilir. Genellikle sahte bir haberi paylaşarak ya da yardım için bir miktar para yatırarak yardım etmenizi ister.

Tanıdığımız birinden gelen bir mesaj gördüğümüzde hemen savunmaya geçeriz. Arkadaşlarımızın ya da iş arkadaşlarımızın bizi kandırmaya ve dolandırmaya çalışmasını beklemeyiz. Ve bu durum, özellikle de bir arkadaşımızın sosyal medya hesabını çalmayı başarmışsa, bir saldırganın bizden faydalanması için hala bir teknik sağlar.

Makama saygı​

Diyelim ki kapı çaldı ve elektrikçi üniforması giymiş birinin size elektrik şirketinden geldiğini söylediğini gördünüz. Sizce ev sahipleri bu kişilerin kimliğini ne sıklıkla kontrol eder?

Bir kişinin bir kıyafet giydiği ve belirli bir şekilde davrandığı iddia edildiğinde, otomatik olarak beklentiler oluşturmaya başlarız, geçmiş deneyimlerimize dayanarak zihnimizde bir imaj oluştururuz. Bu da başka bir kimlik avı biçimi yaratır

polis.png


Aynı şey, bir kamu hizmeti (örneğin polis) gibi davranan bir e-posta alırsanız da olabilir. E-postanın doğru logoları, ifadeleri içerdiğini ve eğitimsiz gözlere gerçek göründüğünü fark edeceksiniz. Çoğu insanın muhtemelen yerel polis müdürlüğünün adresinin ne olduğunu bilmediği gerçeğiyle birleştiğinde, bu saldırı oldukça tehlikeli olabilir.

Dikkatsizlik​

Sürekli tetikte olursak neredeyse tüm sosyal mühendislik saldırıları önlenebilir. Her sosyal mühendislik saldırısı, okuduğunuz bir şeyi gerçekten aramayan, yanlış bilgilendirilmiş, dikkatsiz ve saf olan sizi hedef alır.

Tarayıcınız site kötü niyetli görünüyorsa sizi uyarabilir, e-posta hizmetiniz en bariz saldırılar için bir filtre kullanabilir ve bunları spam klasörünüze taşıyabilir, ancak nihayetinde son alıcı ve yargıç sizsiniz.


Zayıflıklarımızı bilirsek, her türlü sosyal mühendislik saldırısına karşı kendimizi savunmak için daha iyi bir konumda oluruz. Bir şey size “iyi” gelmiyorsa, o anda tepki vermeyin, ancak bilebilecek ve gördüklerinden etkilenmeyen birine sorun.
 
Geri
Üst