- Katılım
- 21 Ocak 2024
- Mesajlar
- 164
- Tepkime puanı
- 36
- Puanları
- 28
Bilgisayar sistemlerine yönelik başarılı saldırıların birçoğu az ya da çok Sosyal Mühendislik saldırılarını içermektedir. Bugün insan kişiliğinin bizi bu tür saldırılara karşı az ya da çok savunmasız kılan 7 “hassas” noktasını göreceğiz.
Sosyal Mühendislik Nedir?
Sosyal mühendislik, bilgi elde etmek amacıyla insanları sözlü olarak manipüle etme eylemidir. Hile veya basit dolandırıcılığa benzemekle birlikte, bu terim öncelikle bir bilgisayar sistemine erişim sağlamak için gerekli gizli bilgileri elde etmek amacıyla bireyleri kandırmakla ilişkilidir. Genellikle bunu uygulayan kişi, aldatan veya yanlış yönlendiren kişiyle asla yüz yüze gelmez. Bu terim doğru veya başarılı olmasa da artık yerleşmiştir.Sosyal Mühendislik teriminin “babası” ve eski hacker Kevin Mitnick tarafından tanımlandığı gibi
Size bir sistem şifresi vermesi için birini kandırmak, şifreyi kırmaya çalışmaktan çok daha kolaydır
Kısacası, sosyal mühendislik birine yapmaması gereken bir şeyi yaptırmaktır.
Sosyal Mühendisler tarafından istismar edilen başlıca güvenlik açıkları nelerdir?
Her bilgi sisteminde zayıflıklar vardır ve insanlar da istisna değildir. Bizi Sosyal Mühendislik saldırılarına açık hale getiren bazı davranış ve alışkanlıklarımıza bir göz atalım.Açgözlülük
Sosyal mühendislikte en sık kullanılan insani zayıflıklardan biri açgözlülüktür:- İnsanlara istedikleri bir şeyi vaat edersiniz.
Bu, saldırganın kurbanın açgözlülüğünden faydalanmaya çalıştığı en yaygın oltalama saldırısı türlerinden biridir.
Bu saldırıların yüzlerce çeşidi vardır ancak hepsinin ortak özelliği saldırganın isim, yaş ve telefon numarası gibi bazı temel bilgiler karşılığında kurbana büyük miktarda para vaat etmesidir. Saldırgan bunları elde ettikten sonra, daha hassas bilgiler isteyerek saldırıya devam eder.
Muhtemelen bu tür saldırıların artık gerçekleşmediğini düşünüyorsunuz. Her yıl yüz milyonlarca oltalama e-postası gönderiliyor. Saldırganın çabasının başarılı olması için bu potansiyel kurbanların yüzlercesi ya da binlercesinden yalnızca birinin “ısırması” gerekir.
Korku
Bir diğer zayıflık ise korkudur. Korku birçok şekilde olabilir...Giderek yaygınlaşan bu saldırı türünde, saldırgan bazı çok kişisel bilgilere sahip olduğunu iddia etmekte ve kurban fidye ödemediği takdirde bunları sızdırmakla tehdit etmektedir. 2015'teki Ashley Madison olayından sonra binlerce kurban, bir miktar bitcoin ödemeleri aksi takdirde en derin ve karanlık sırlarının kamuoyuna açıklanacağı tehdidini içeren e-postalar aldı. Utanç korkusu, düzinelerce kurbanının buna uymasına ve hiç de azımsanmayacak bir meblağ ödemesine yol açtı.
Korku gerçekten de güçlü bir araç olabilir ve kötü niyetli bir saldırganın elinde büyük hasara yol açabilir.
Acil Durum
Bir sosyal mühendislik saldırısına zaman sınırı koymak kurbanın tepkilerini sınırlar. Eğer gerçekten hemen itaat etmeleri gerektiğine inanırlarsa, mantıklı davranmayabilir ve aksi takdirde kabul etmeyecekleri talepleri kabul edebilirler.Elbette bu numara sadece bilgisayar korsanları tarafından değil, şirketler tarafından da bir şeyi hemen satın almanızı sağlamak için kullanılır. Muhtemelen bu hileden yararlanmaya çalışan reklamlar görmüşsünüzdür:
- Teklif yalnızca önümüzdeki 24 saat için geçerlidir!
- %20 indirim almak için şimdi arayın!
- Acele edin çünkü sadece 5 tane kaldı!
Merak
Merakımızı sömürmenin en bariz örneği clickbait'tir. Bunun gibi başlıklar mutlaka görmüşsünüzdür:- Sonra ne olduğuna inanamayacaksınız!!
- İnanılmaz, bizden ne sakladıklarını videoda görün!
Elbette reklamcıların bir hedefi var, tıklamanızı sağlamak için ne gerekiyorsa yapıyorlar. Bu da merakımızı en çok sömürülen insani özelliklerden biri haline getiriyor.
Merhamet
Merhameti bir zayıflık olarak görmeyebiliriz, ancak bunu istismar etmeye çalışacak kişiler kesinlikle vardır.Bu tür saldırılar genellikle sosyal medya duvarımıza bir mesaj olarak gelir ve özellikle tanıdığınız ve güvendiğiniz birinden böyle bir şey geldiğini görürseniz tehlikeli olabilir. Genellikle sahte bir haberi paylaşarak ya da yardım için bir miktar para yatırarak yardım etmenizi ister.
Tanıdığımız birinden gelen bir mesaj gördüğümüzde hemen savunmaya geçeriz. Arkadaşlarımızın ya da iş arkadaşlarımızın bizi kandırmaya ve dolandırmaya çalışmasını beklemeyiz. Ve bu durum, özellikle de bir arkadaşımızın sosyal medya hesabını çalmayı başarmışsa, bir saldırganın bizden faydalanması için hala bir teknik sağlar.
Makama saygı
Diyelim ki kapı çaldı ve elektrikçi üniforması giymiş birinin size elektrik şirketinden geldiğini söylediğini gördünüz. Sizce ev sahipleri bu kişilerin kimliğini ne sıklıkla kontrol eder?Bir kişinin bir kıyafet giydiği ve belirli bir şekilde davrandığı iddia edildiğinde, otomatik olarak beklentiler oluşturmaya başlarız, geçmiş deneyimlerimize dayanarak zihnimizde bir imaj oluştururuz. Bu da başka bir kimlik avı biçimi yaratır
Aynı şey, bir kamu hizmeti (örneğin polis) gibi davranan bir e-posta alırsanız da olabilir. E-postanın doğru logoları, ifadeleri içerdiğini ve eğitimsiz gözlere gerçek göründüğünü fark edeceksiniz. Çoğu insanın muhtemelen yerel polis müdürlüğünün adresinin ne olduğunu bilmediği gerçeğiyle birleştiğinde, bu saldırı oldukça tehlikeli olabilir.
Dikkatsizlik
Sürekli tetikte olursak neredeyse tüm sosyal mühendislik saldırıları önlenebilir. Her sosyal mühendislik saldırısı, okuduğunuz bir şeyi gerçekten aramayan, yanlış bilgilendirilmiş, dikkatsiz ve saf olan sizi hedef alır.Tarayıcınız site kötü niyetli görünüyorsa sizi uyarabilir, e-posta hizmetiniz en bariz saldırılar için bir filtre kullanabilir ve bunları spam klasörünüze taşıyabilir, ancak nihayetinde son alıcı ve yargıç sizsiniz.
Zayıflıklarımızı bilirsek, her türlü sosyal mühendislik saldırısına karşı kendimizi savunmak için daha iyi bir konumda oluruz. Bir şey size “iyi” gelmiyorsa, o anda tepki vermeyin, ancak bilebilecek ve gördüklerinden etkilenmeyen birine sorun.