Sosyal Mühendislik Metodolojisi ve Korunma Yolları

PwnLab.Me

Admin
Katılım
21 Ocak 2024
Mesajlar
203
Tepkime puanı
10
Puanları
18
Batuhan Pekdur tarafından yazılmıştır.

[TR] Sosyal Mühendislik Metodolojisi ve Korunma Yolları​


Sosyal mühendislik, halk arasında da bilinen adıyla dolandırıcılıktır. Sosyal mühendis, bir diğer deyişle söz sanatçısıdır. Sistemleri kaba kuvvet yada zafiyetler yoluyla hacklenemezler. Sosyal mühendisler, ihtiyaçları olan verileri, yetkisi bulunan insanlardan elde etmeye çalışırlar. Sosyal mühendisler, özellikle insanların duygularından yararlanarak onları dolandırmayı amaçlar. 2018 verilerine göre bir şirkette en çok sosyal mühendislik saldırısına insan kaynakları, santral ve teknik destek elemanlarına maruz kalmaktadır. Gündelik (son kullanıcının) yanı sıra özellikle insanlarla iletişimi çok olan şirket birimlerine sosyal mühendislik farkındalık eğitim verilmelidir. Son yıllarda ülkemizde BTK sayesinde sosyal mühendislik farkındalığı için, kamu spotu ve bilgilendirici reklamlar yapılmaktadır.

anket sonuçları

anket sonuçları

Sosyal mühendis isteklerini elde etmek için, kişilerin yardım, korku yada bir şeyi kazanma (başarma) duygularını sömürür. Bu genellikle bir siteden, mağazadan pahalı bir ödül kazanmak yada kişinin kimlik bilgilerinin çalındığını haberdar eden bir oltalama saldırısı olabilir. Fake maillerin/sms’lerin yanı sıra bu saldırılar sesli iletişim kaynakları yada yüz yüze de gerçekleşebilir. Yazılı olan mail/sms tipi saldırılar, genellikle size bir linke tıklamanızı ister. Ekte yollanan dosyayı açmanızı isteyen benzerileri de bulunmaktadır. Bu isteğin gerçekleşmesi sonucunda,cihazınıza zararlı bir kod parçacığı enfekte olabilir. Bir diğer ihtimal ise sizi 2. bir siteye (gerçeğe benzeyen bir kopya) yönlendirirler. Şifrenizi ve kullanıcı adınızı yazıp giriş yapmanız istenir.



sms

sms



Örnekte de görebileceğiniz sms, linke tıklayıp siteye gitmezseniz puanlarınızı kaybedeceğinizi söyleyen bir oltalama saldırısı örneğidir. Bu sms, bir şeye sahip olduğunuz ve kaybetme ihtimalinizin olduğundan bahsederek sizi kandırmaya çalışmakta. Bu noktada yapılması gereken özellikle numarayı kontrol etmek ve gönderilen linkin alan adına bakmaktır. Bu tip bankacılık veya benzeri mesajlar geri dönülemez (reply edilemez) şeklindedir. Ayrıca numaraları açık bir şekilde gözükmeyecektir(kurumsal numara). Link kısmında ise genellikle bu tür linkler http:// protokolü ile başlamaktadır, nedeni ise doğrulama ve SSL sertifikası alamamış olmalarıdır. Elimizdeki örnekte saldırgan bir SSL sertifikası almış, bu sayede inandırıcılığını arttırmış. Böyle bir durumda kontrol etmeniz bir diğer kısım ise domain olmalıdır.

Sosyal mühendisin kendini ele vermesini sağlayan unsurlar​


Öncelikle bir sosyal mühendis, anahtar kelimeleri çok fazla kullanır ve kendisini bahsettiği konuda yetkinmiş gibi göstermeye çalışır. Bu sayede iletişim kurduğunuz sosyal mühendis sizi kendisine inandırır. O kişinin gerçekten o olup olmadığını sorgulamazsınız. Bu noktada dikkat etmeniz gereken kendisinden yetkisi olduğuna dair geçerli bir kimlik yada referans istemek/doğrulamaktır.

Sosyal mühendisi ele veren en büyük özellik


Kendisine sonradan tekrar ulaşmanız için bir numara yada iletişim kaynağı vermemesidir. Biri sizi telefon araması yoluyla kandırmaya çalışabilir. Kendisini ele verdirmenin en iyi yolu, ona şuan işinizin olduğu söylemektir. Ayrıca onların geri iletişim için kullanılabilecek bir iletişim hattı vermesini istemeniz. Sonrasında sizin onlara geri döneceğinizi söylemenizdir. Sosyal mühendis size bir numara yada iletişim kaynağı vermekten çekinecektir. Verecek olursa bu iletişim kaynağının ilgili birim ile bağlantısı olup olmadığını kontrol etmelisiniz.

Screenshot_1.jpg


Aceleci davranma yada aciliyetten bahsetme


Sizden telefonunuza gelecek bir kod, yetkisi olmayan bir yere erişim için anahtar yada sizin onu oraya erişmesini sağlamanızı isteyebilirler. Bu noktada sosyal mühendis genellikle isteğinin acil olduğu belirtecek. Hemen gerçekleşmezse kötü şeyler doğuracağından bahseder. Sizi aceleye getirmeye ve istediğini almaya çalışır. Yapmanız gereken kişinin istediği şeye erişme yetkisinin olup olmadığını sorgulamaktır. Kesinlikle bir kimlik doğrulaması yapmadan oraya erişmemesini sağlamalısınız.

click

click

Yardım iç güdünüzün kötüye kullanılması


Sosyal mühendisler genellikle yetkisi olmayan bir yere girmek için bu tekniği kullanırlar (tailgating). Şirket yada kurumlarda bazı güvenlik önlemleri bulunmaktadır. Bunlar kartla açılan bir kapı yada kimlik doğrulaması ile erişilen kapılar ve odalardır. Sosyal mühendis erişim hakkı olan bir kişinin peşine takılır. Kişinin kapıyı ona buyur etmesi ile yetkileri olmayan yerlere girerler. Yetkili kişi onun hemen arkadan geldiğini görünce kapıyı kapatmaz ve geçmesini bekler. Bu durum, yetkili kişinin karşısındakine yardım duygusunun kötüye kullanımına örnektir.

Bu maddeler dışında dikkat etmeniz gereken bir diğer unsur ise size gelen teklif yada istek, gerçek olamayacak kadar iyi görünüyorsa, muhtemelen değildir…
 
Moderatör tarafında düzenlendi:
Geri
Üst