Batuhan Pekdur tarafından yazılmıştır.
Sosyal mühendislik, halk arasında da bilinen adıyla dolandırıcılıktır. Sosyal mühendis, bir diğer deyişle söz sanatçısıdır. Sistemleri kaba kuvvet yada zafiyetler yoluyla hacklenemezler. Sosyal mühendisler, ihtiyaçları olan verileri, yetkisi bulunan insanlardan elde etmeye çalışırlar. Sosyal mühendisler, özellikle insanların duygularından yararlanarak onları dolandırmayı amaçlar. 2018 verilerine göre bir şirkette en çok sosyal mühendislik saldırısına insan kaynakları, santral ve teknik destek elemanlarına maruz kalmaktadır. Gündelik (son kullanıcının) yanı sıra özellikle insanlarla iletişimi çok olan şirket birimlerine sosyal mühendislik farkındalık eğitim verilmelidir. Son yıllarda ülkemizde BTK sayesinde sosyal mühendislik farkındalığı için, kamu spotu ve bilgilendirici reklamlar yapılmaktadır.
anket sonuçları
Sosyal mühendis isteklerini elde etmek için, kişilerin yardım, korku yada bir şeyi kazanma (başarma) duygularını sömürür. Bu genellikle bir siteden, mağazadan pahalı bir ödül kazanmak yada kişinin kimlik bilgilerinin çalındığını haberdar eden bir oltalama saldırısı olabilir. Fake maillerin/sms’lerin yanı sıra bu saldırılar sesli iletişim kaynakları yada yüz yüze de gerçekleşebilir. Yazılı olan mail/sms tipi saldırılar, genellikle size bir linke tıklamanızı ister. Ekte yollanan dosyayı açmanızı isteyen benzerileri de bulunmaktadır. Bu isteğin gerçekleşmesi sonucunda,cihazınıza zararlı bir kod parçacığı enfekte olabilir. Bir diğer ihtimal ise sizi 2. bir siteye (gerçeğe benzeyen bir kopya) yönlendirirler. Şifrenizi ve kullanıcı adınızı yazıp giriş yapmanız istenir.
sms
Örnekte de görebileceğiniz sms, linke tıklayıp siteye gitmezseniz puanlarınızı kaybedeceğinizi söyleyen bir oltalama saldırısı örneğidir. Bu sms, bir şeye sahip olduğunuz ve kaybetme ihtimalinizin olduğundan bahsederek sizi kandırmaya çalışmakta. Bu noktada yapılması gereken özellikle numarayı kontrol etmek ve gönderilen linkin alan adına bakmaktır. Bu tip bankacılık veya benzeri mesajlar geri dönülemez (reply edilemez) şeklindedir. Ayrıca numaraları açık bir şekilde gözükmeyecektir(kurumsal numara). Link kısmında ise genellikle bu tür linkler http:// protokolü ile başlamaktadır, nedeni ise doğrulama ve SSL sertifikası alamamış olmalarıdır. Elimizdeki örnekte saldırgan bir SSL sertifikası almış, bu sayede inandırıcılığını arttırmış. Böyle bir durumda kontrol etmeniz bir diğer kısım ise domain olmalıdır.
Öncelikle bir sosyal mühendis, anahtar kelimeleri çok fazla kullanır ve kendisini bahsettiği konuda yetkinmiş gibi göstermeye çalışır. Bu sayede iletişim kurduğunuz sosyal mühendis sizi kendisine inandırır. O kişinin gerçekten o olup olmadığını sorgulamazsınız. Bu noktada dikkat etmeniz gereken kendisinden yetkisi olduğuna dair geçerli bir kimlik yada referans istemek/doğrulamaktır.
Kendisine sonradan tekrar ulaşmanız için bir numara yada iletişim kaynağı vermemesidir. Biri sizi telefon araması yoluyla kandırmaya çalışabilir. Kendisini ele verdirmenin en iyi yolu, ona şuan işinizin olduğu söylemektir. Ayrıca onların geri iletişim için kullanılabilecek bir iletişim hattı vermesini istemeniz. Sonrasında sizin onlara geri döneceğinizi söylemenizdir. Sosyal mühendis size bir numara yada iletişim kaynağı vermekten çekinecektir. Verecek olursa bu iletişim kaynağının ilgili birim ile bağlantısı olup olmadığını kontrol etmelisiniz.
Sizden telefonunuza gelecek bir kod, yetkisi olmayan bir yere erişim için anahtar yada sizin onu oraya erişmesini sağlamanızı isteyebilirler. Bu noktada sosyal mühendis genellikle isteğinin acil olduğu belirtecek. Hemen gerçekleşmezse kötü şeyler doğuracağından bahseder. Sizi aceleye getirmeye ve istediğini almaya çalışır. Yapmanız gereken kişinin istediği şeye erişme yetkisinin olup olmadığını sorgulamaktır. Kesinlikle bir kimlik doğrulaması yapmadan oraya erişmemesini sağlamalısınız.
click
Sosyal mühendisler genellikle yetkisi olmayan bir yere girmek için bu tekniği kullanırlar (tailgating). Şirket yada kurumlarda bazı güvenlik önlemleri bulunmaktadır. Bunlar kartla açılan bir kapı yada kimlik doğrulaması ile erişilen kapılar ve odalardır. Sosyal mühendis erişim hakkı olan bir kişinin peşine takılır. Kişinin kapıyı ona buyur etmesi ile yetkileri olmayan yerlere girerler. Yetkili kişi onun hemen arkadan geldiğini görünce kapıyı kapatmaz ve geçmesini bekler. Bu durum, yetkili kişinin karşısındakine yardım duygusunun kötüye kullanımına örnektir.
Bu maddeler dışında dikkat etmeniz gereken bir diğer unsur ise size gelen teklif yada istek, gerçek olamayacak kadar iyi görünüyorsa, muhtemelen değildir…
[TR] Sosyal Mühendislik Metodolojisi ve Korunma Yolları
Sosyal mühendislik, halk arasında da bilinen adıyla dolandırıcılıktır. Sosyal mühendis, bir diğer deyişle söz sanatçısıdır. Sistemleri kaba kuvvet yada zafiyetler yoluyla hacklenemezler. Sosyal mühendisler, ihtiyaçları olan verileri, yetkisi bulunan insanlardan elde etmeye çalışırlar. Sosyal mühendisler, özellikle insanların duygularından yararlanarak onları dolandırmayı amaçlar. 2018 verilerine göre bir şirkette en çok sosyal mühendislik saldırısına insan kaynakları, santral ve teknik destek elemanlarına maruz kalmaktadır. Gündelik (son kullanıcının) yanı sıra özellikle insanlarla iletişimi çok olan şirket birimlerine sosyal mühendislik farkındalık eğitim verilmelidir. Son yıllarda ülkemizde BTK sayesinde sosyal mühendislik farkındalığı için, kamu spotu ve bilgilendirici reklamlar yapılmaktadır.
anket sonuçları
Sosyal mühendis isteklerini elde etmek için, kişilerin yardım, korku yada bir şeyi kazanma (başarma) duygularını sömürür. Bu genellikle bir siteden, mağazadan pahalı bir ödül kazanmak yada kişinin kimlik bilgilerinin çalındığını haberdar eden bir oltalama saldırısı olabilir. Fake maillerin/sms’lerin yanı sıra bu saldırılar sesli iletişim kaynakları yada yüz yüze de gerçekleşebilir. Yazılı olan mail/sms tipi saldırılar, genellikle size bir linke tıklamanızı ister. Ekte yollanan dosyayı açmanızı isteyen benzerileri de bulunmaktadır. Bu isteğin gerçekleşmesi sonucunda,cihazınıza zararlı bir kod parçacığı enfekte olabilir. Bir diğer ihtimal ise sizi 2. bir siteye (gerçeğe benzeyen bir kopya) yönlendirirler. Şifrenizi ve kullanıcı adınızı yazıp giriş yapmanız istenir.
sms
Örnekte de görebileceğiniz sms, linke tıklayıp siteye gitmezseniz puanlarınızı kaybedeceğinizi söyleyen bir oltalama saldırısı örneğidir. Bu sms, bir şeye sahip olduğunuz ve kaybetme ihtimalinizin olduğundan bahsederek sizi kandırmaya çalışmakta. Bu noktada yapılması gereken özellikle numarayı kontrol etmek ve gönderilen linkin alan adına bakmaktır. Bu tip bankacılık veya benzeri mesajlar geri dönülemez (reply edilemez) şeklindedir. Ayrıca numaraları açık bir şekilde gözükmeyecektir(kurumsal numara). Link kısmında ise genellikle bu tür linkler http:// protokolü ile başlamaktadır, nedeni ise doğrulama ve SSL sertifikası alamamış olmalarıdır. Elimizdeki örnekte saldırgan bir SSL sertifikası almış, bu sayede inandırıcılığını arttırmış. Böyle bir durumda kontrol etmeniz bir diğer kısım ise domain olmalıdır.
Sosyal mühendisin kendini ele vermesini sağlayan unsurlar
Öncelikle bir sosyal mühendis, anahtar kelimeleri çok fazla kullanır ve kendisini bahsettiği konuda yetkinmiş gibi göstermeye çalışır. Bu sayede iletişim kurduğunuz sosyal mühendis sizi kendisine inandırır. O kişinin gerçekten o olup olmadığını sorgulamazsınız. Bu noktada dikkat etmeniz gereken kendisinden yetkisi olduğuna dair geçerli bir kimlik yada referans istemek/doğrulamaktır.
Sosyal mühendisi ele veren en büyük özellik
Kendisine sonradan tekrar ulaşmanız için bir numara yada iletişim kaynağı vermemesidir. Biri sizi telefon araması yoluyla kandırmaya çalışabilir. Kendisini ele verdirmenin en iyi yolu, ona şuan işinizin olduğu söylemektir. Ayrıca onların geri iletişim için kullanılabilecek bir iletişim hattı vermesini istemeniz. Sonrasında sizin onlara geri döneceğinizi söylemenizdir. Sosyal mühendis size bir numara yada iletişim kaynağı vermekten çekinecektir. Verecek olursa bu iletişim kaynağının ilgili birim ile bağlantısı olup olmadığını kontrol etmelisiniz.
Aceleci davranma yada aciliyetten bahsetme
Sizden telefonunuza gelecek bir kod, yetkisi olmayan bir yere erişim için anahtar yada sizin onu oraya erişmesini sağlamanızı isteyebilirler. Bu noktada sosyal mühendis genellikle isteğinin acil olduğu belirtecek. Hemen gerçekleşmezse kötü şeyler doğuracağından bahseder. Sizi aceleye getirmeye ve istediğini almaya çalışır. Yapmanız gereken kişinin istediği şeye erişme yetkisinin olup olmadığını sorgulamaktır. Kesinlikle bir kimlik doğrulaması yapmadan oraya erişmemesini sağlamalısınız.
click
Yardım iç güdünüzün kötüye kullanılması
Sosyal mühendisler genellikle yetkisi olmayan bir yere girmek için bu tekniği kullanırlar (tailgating). Şirket yada kurumlarda bazı güvenlik önlemleri bulunmaktadır. Bunlar kartla açılan bir kapı yada kimlik doğrulaması ile erişilen kapılar ve odalardır. Sosyal mühendis erişim hakkı olan bir kişinin peşine takılır. Kişinin kapıyı ona buyur etmesi ile yetkileri olmayan yerlere girerler. Yetkili kişi onun hemen arkadan geldiğini görünce kapıyı kapatmaz ve geçmesini bekler. Bu durum, yetkili kişinin karşısındakine yardım duygusunun kötüye kullanımına örnektir.
Bu maddeler dışında dikkat etmeniz gereken bir diğer unsur ise size gelen teklif yada istek, gerçek olamayacak kadar iyi görünüyorsa, muhtemelen değildir…
Moderatör tarafında düzenlendi: