image
Sosyal mühendislik insan davranışlarındaki yanlışları veya zaafları kötüye kullanarak bir sistemin ele geçirilmesi işlemidir.
Sosyal mühendislik, bir sistem içerisinde yetki sahibi veya çalışan olan kullanıcıyı manipüle ederek şirket hakkında önemli veya hassas bilgileri sızdırmalarını sağlayarak sistem içerisinde izinsiz bir giriş sağlamaktır. Bunu insanların iyi niyetini su istimal ederek, insanların aç gözlülüklerini ve meraklarını kullanarak yaparlar. Bu şekilde sistemin içine girerler ve kullanıcılara bir backdoor yani arka kapı yazılımı kurdururlar. Böylelikle kullanıcı teknik olarak kendi kendini hacklemiş olur.

Sosyal mühendislik saldırıları internet tarihinin en eski ve en tehlikeli saldırı türlerinden biridir. Günümüze kadar gelen sosyal mühendislik saldırılarında en popüler olan hikayelere bakıldığında bilgisayar korsanı Kevin Mitnick’in adı ön plana çıkmaktadır. Bilgisayar tarihinin en eski bilgisayar korsanı olan Kevin Mitnick bir sosyal mühendislik dehası olarak anılmaktadır. Kevin Mitnick’in popüler hale getirdiği sosyal mühendislik terimi, ilk olarak insanları istemedikleri şeyleri kendi istekleri ile yapmaya ya da gizli bilgilerini vermeye kandırma eylemi olarak tanımlanmıştır.

Sosyal Mühendislikte kuşkusuz bir anda olup biten bir durum değildir. Bu işlemleri yapıp karşı taraftaki kandırmak veya aldatmak için belli başlı adımları ve yolları takip etmektedir. Aşağıdaki adımları izlemektedirler :
  1. Bilgi Toplama: Öncelikle aldatılacak olan kurbanın hakkında maksimum seviyede bilgi toplanır ve birçok özellik araştırılır. Elde edilen bilgiler şirket web sitelerinden, diğer yayınlardan ve sık olmamakla birlikte hedef sistemde çalışan işcilerle konuşarak birçok bilgi toplanır.
  2. Saldırıyı planlama: Saldırgan yapacağı saldırının şemasını oluşturur.
  3. Saldırma Araçları: Saldırganın saldırıyı başlatırken kullanacağı bilgisayar programlarını içermektedir.
  4. Saldırı: Hedeflenen sistemin açıklarını tespit etme ve sızma adımıdır.
  5. Bilgileri Kullanma: Ev hayvanı isimleri, organizasyon kurucularının doğum tarihleri gibi birçok sosyal mühendislik taktikleri sırasında toplanan bilgiler, parola tahminlerinde kullanılabilir.

Sosyal Mühendislik Saldırılarının Ortaya Çıkartacağı Zararlar
  1. Yetkisiz Erişim Elde Etmek: Saldırganlar erişim sağlamak için gerekli bilgileri elde ederek sistemlere izinsiz olarak erişim sağlayabilirler.
  2. İtibar ve Güven Kaybı: Siber saldırganlar sistemleri ele geçirdiklerinde kurum veya şirket itibarını zadeleyebildikleri gibi kurumun hizmet sunduğu şirket veya kişilerin gözünde itibarına büyük zararlar verebildiklerine de şahit olmaktayız.
  3. Veri Hırsızlığı: Ele geçirilen parolalar veya erişim bilgileri ile şirketlerin iş süreçleri aksatılabilir, fidye istenebilir veyahut verileri çalınarak internet üzerinden satılabilir.
  4. Hizmet Durdurma: Ele geçirilen sistemler çoğu zamana siber saldırganlar tarafından hizmet verilemez hale getirilmektedir. Bu noktada şirketler büyük maddi kayıplar yaşayabilir.
  5. Yasal Yaptırımlar: Kurum müşterilerinin veyahut kişisel verilerin ihlali sonucunda bazı kanunlar sebebiyle şirketlere devletler veya ulusal çaptaki standartlar çeşitli yaptırımlar veya para cezaları kesebilmektedirler.

Tavsiye-1: Sosyal mühendislik işlerini ustası olan Kevin D. Mitnick’in  Kablolardaki Hayalet kitabını inceleyip okumanızı tavsiye ederim.

Tavsiye-2: Sosyal Mühendisliği farklı şekilde ele alan Who Am I? Hacker isimli filmi de izleyebilirsiniz.
 
İlk oyu sen ver!
Önceki BlogEL CEZERİ

Yorum yapabilmek için Üye Girişi yapın.

Yorumlar (0)

Hiç yorum yapılmamış. İlk yorumu yapan sen ol.