Kıymetli yöneticilerim ve değerli forum üyeleri hepinize merhaba, iyi forumlar diliyorum.
Geçenlerde okuduğum ve ilgimi çokça cezbeden bir sosyal mühendislik örneğini sizlerle paylaşmak istedim. Olay 2011 yılında kaleme alınmış. O yüzden günümüz şartlarına göre değerlendirerek değil de o zamana göre düşünürsek okurken daha fazla zevk alabilirsiniz. Dilim döndüğünce makaleyi çevirmeye çalışacağım, İyi okumalar.
Jim Stickley profesyonel bir sosyal mühendis, biraz sonraki olayda kendisini yangın güvenliği uzmanı olarak tanıtarak şirketin önemli bilgilerinin nasıl kolay hedef olduğunu gösteriyor.
Bir firma sosyal mühendislik için bizi kiraladığında bizden, şirketin önemli bilgilerine ulaşmamızı istiyorlar.
Diyelim ki bir yangın müfettişi kılığına giriyorum. Sahip olmam gereken en önemli şeyler rozetli bir üniforma ve bir telsiz. Dışarıda arabanın içinde oturan bir adamımız daha olacak. Başlangıçta görevi telsiz ile konuşmak (daha inandırıcı olması için) ve içeride konuştuklarımızı kayıt etmek.
Binanın içine giriyoruz. Telsizimin sesli olması çok önemli. Etraftakilerin benim buraya ne için geldiğimi anlamaları ve işimde ciddi olduğumu anlamaları için kasıtlı yapıyorum. Bir süre sonra etraftakiler telsizimden dolayı beni süzmeye başlıyor, artık özür dileyip telsizi kısmanın zamanı.
Danışmandaki kişiye rozetimi gösterip hal hatır sorduktan sonra yangın denetimi için orada olduğumu söylüyorum. Gayet sıcak karşılayıp bize eşlik etmesi için birini görevlendiriyorlar. Ona yakınlaşmak için konuşmaya, flört etmeye ne gerekirse yapmaya başlıyorum.
Ben bize eşlik eden kişiyle konuşurken partnerimin işi bizden bir an önce uzaklaşmak. Çoğu durumda refakatçimiz uyararak birlikte durmamız gerektiğini söyler. Fakat bu bizim için bir şey ifade etmez. Arkadaşım refakatçimiz bıkana kadar iki, üç kere daha aynı işi tekrar ediyor. Ardından refakatçi ne hali varsa görsün nasıl olsa itfaiyeci diyerek artık uyarı yapmaktan vazgeçiyor.
Bu aşamada partnerimin görevi etrafta çalabileceği her şeyi çantasına atmak ve bilgisayar masasının altına girip keylogger kurulumu yapmak. Benim görevim ise refakatçim ile kalıp onları eğlendirmek ve yangın ile ilgili tavsiyeler vermek. Çok fazla bilgim olmamasına rağmen herhangi bir kabloyu çıkarıp 'bunlar çok tehlikeli gözüküyor' diyerek muhtemelen dünyanın en kötü tavsiyelerini veriyorum.
Birkaç sene önce Home Depot'dan bir alet aldım. Şerit metre görevi görüyor fakat görüntüsü çok farklı. Star Trek'deki Tricorder gibi lazerli bir alet. Büyülü aletimi soketlerden birine tutup 'buradan çok fazla akım geçiyor' diyorum. Alet de beni doğrulayacak şekilde bip sesleri çıkarıyor.
Bu sürede partnerim masaların altına girmeye devam ediyor. Eğer masanın başında bir çalışan varsa 'merhaba, yangın tehlikesine karşın masanın altına bakmamda bir sakınca var mı' diyerek izin istiyor. Çalışan 'masanın altında ne gibi bir yangın tehlikesi olabilir ki' diye karşılık verebilir. Bunun üzerine partnerim 'bilgisayar fanlarını biliyorsun, eğer bunlardan birisi durursa yangın tehlikesi oluşturur.' diyerek kulağa mantıklı gelen bir açıklama yapıyor.
Arkadaşım masanın altına girip çantasındaki bir sürü dongle'dan birisini bilgisayara takıyor. Şimdi bütün bilgiler kendi cihazına akıyor. Partnerim aşağıda işlerini hallederken çalışanlar genellikle onları orda yalnız bırakırlar.
Partnerim işini bitirdikten sonra buluşuruz ve gördüklerimizi sesli olarak tartışırız. 'masaların altını kontrol ettim' diyecek. Bu yolla yaptıklarımız hakkında bir fikrimiz olur. Ardından ben refakatçim yanımda olduğu için ilgilenemediğim yerleri belirterek 'benim için bir iyilik yapıp gerideki şurayı ve şurayı da kontrol eder misin' diyeceğim.
Çıkarken, işlerimizi tamamen bitirdiğimizi anlamalarını istemiyoruz. Geri geleceğimizin sinyallerini veriyoruz. Bu noktada arabadaki adamımız telsizden bize yangın anonsu geçiyor. Refakatçimize bakıp 'üzgünüm, geri geleceğiz' diyerek orayı terk ediyoruz.
Birkaç gün sonra bir ziyaret daha gerçekleştiriyoruz. Orijinal denetleme formumuzu kaybettiğimizi belirterek önceki kontrol noktalarımıza hızlı bir tur gerçekleştiriyoruz. Görevlerini yapmış dongle'ları hızlıca topluyoruz. Raporumuzu kendilerine mail olarak göndereceğimizi söyleyip oradan ayrılıyoruz.
İşlem tamam, kayda değer şeyler çaldık. Keylogger sayesinde oturum açma bilgileri ve şifreleri elde ettik. Online sitelerine, kablosuz ağlarına ve yerel hesaplarına erişim sağlayıp hackledik.
Yapmamız gereken işleri yaptıktan sonra son bir şey daha kaldı. Çöp kutusuna dalış yapıyoruz. Orda karşılaşacağınız bilgiler şaşırtıcı derecede gizli olabilir.
Müşteri ile anlaşma sağlandıktan sonra bulgularımızı sunmak için buluşuyoruz. Bu aşamada çalışanların yüzlerinde şok ifadesi oluyor. Bu olaydan önce böyle bir şeyin başlarına geleceğini asla düşünmezlerdi. Ancak umut ediyoruz ki bu bir öğrenme deneyimi olmuştur ve herkes bundan bir şeyler öğrenir.
Okuduğunuz için teşekkür ederim.
Geçenlerde okuduğum ve ilgimi çokça cezbeden bir sosyal mühendislik örneğini sizlerle paylaşmak istedim. Olay 2011 yılında kaleme alınmış. O yüzden günümüz şartlarına göre değerlendirerek değil de o zamana göre düşünürsek okurken daha fazla zevk alabilirsiniz. Dilim döndüğünce makaleyi çevirmeye çalışacağım, İyi okumalar.
Jim Stickley profesyonel bir sosyal mühendis, biraz sonraki olayda kendisini yangın güvenliği uzmanı olarak tanıtarak şirketin önemli bilgilerinin nasıl kolay hedef olduğunu gösteriyor.
Bir firma sosyal mühendislik için bizi kiraladığında bizden, şirketin önemli bilgilerine ulaşmamızı istiyorlar.
Diyelim ki bir yangın müfettişi kılığına giriyorum. Sahip olmam gereken en önemli şeyler rozetli bir üniforma ve bir telsiz. Dışarıda arabanın içinde oturan bir adamımız daha olacak. Başlangıçta görevi telsiz ile konuşmak (daha inandırıcı olması için) ve içeride konuştuklarımızı kayıt etmek.
Binanın içine giriyoruz. Telsizimin sesli olması çok önemli. Etraftakilerin benim buraya ne için geldiğimi anlamaları ve işimde ciddi olduğumu anlamaları için kasıtlı yapıyorum. Bir süre sonra etraftakiler telsizimden dolayı beni süzmeye başlıyor, artık özür dileyip telsizi kısmanın zamanı.
Danışmandaki kişiye rozetimi gösterip hal hatır sorduktan sonra yangın denetimi için orada olduğumu söylüyorum. Gayet sıcak karşılayıp bize eşlik etmesi için birini görevlendiriyorlar. Ona yakınlaşmak için konuşmaya, flört etmeye ne gerekirse yapmaya başlıyorum.
Ben bize eşlik eden kişiyle konuşurken partnerimin işi bizden bir an önce uzaklaşmak. Çoğu durumda refakatçimiz uyararak birlikte durmamız gerektiğini söyler. Fakat bu bizim için bir şey ifade etmez. Arkadaşım refakatçimiz bıkana kadar iki, üç kere daha aynı işi tekrar ediyor. Ardından refakatçi ne hali varsa görsün nasıl olsa itfaiyeci diyerek artık uyarı yapmaktan vazgeçiyor.
Bu aşamada partnerimin görevi etrafta çalabileceği her şeyi çantasına atmak ve bilgisayar masasının altına girip keylogger kurulumu yapmak. Benim görevim ise refakatçim ile kalıp onları eğlendirmek ve yangın ile ilgili tavsiyeler vermek. Çok fazla bilgim olmamasına rağmen herhangi bir kabloyu çıkarıp 'bunlar çok tehlikeli gözüküyor' diyerek muhtemelen dünyanın en kötü tavsiyelerini veriyorum.
Birkaç sene önce Home Depot'dan bir alet aldım. Şerit metre görevi görüyor fakat görüntüsü çok farklı. Star Trek'deki Tricorder gibi lazerli bir alet. Büyülü aletimi soketlerden birine tutup 'buradan çok fazla akım geçiyor' diyorum. Alet de beni doğrulayacak şekilde bip sesleri çıkarıyor.
Bu sürede partnerim masaların altına girmeye devam ediyor. Eğer masanın başında bir çalışan varsa 'merhaba, yangın tehlikesine karşın masanın altına bakmamda bir sakınca var mı' diyerek izin istiyor. Çalışan 'masanın altında ne gibi bir yangın tehlikesi olabilir ki' diye karşılık verebilir. Bunun üzerine partnerim 'bilgisayar fanlarını biliyorsun, eğer bunlardan birisi durursa yangın tehlikesi oluşturur.' diyerek kulağa mantıklı gelen bir açıklama yapıyor.
Arkadaşım masanın altına girip çantasındaki bir sürü dongle'dan birisini bilgisayara takıyor. Şimdi bütün bilgiler kendi cihazına akıyor. Partnerim aşağıda işlerini hallederken çalışanlar genellikle onları orda yalnız bırakırlar.
Partnerim işini bitirdikten sonra buluşuruz ve gördüklerimizi sesli olarak tartışırız. 'masaların altını kontrol ettim' diyecek. Bu yolla yaptıklarımız hakkında bir fikrimiz olur. Ardından ben refakatçim yanımda olduğu için ilgilenemediğim yerleri belirterek 'benim için bir iyilik yapıp gerideki şurayı ve şurayı da kontrol eder misin' diyeceğim.
Çıkarken, işlerimizi tamamen bitirdiğimizi anlamalarını istemiyoruz. Geri geleceğimizin sinyallerini veriyoruz. Bu noktada arabadaki adamımız telsizden bize yangın anonsu geçiyor. Refakatçimize bakıp 'üzgünüm, geri geleceğiz' diyerek orayı terk ediyoruz.
Birkaç gün sonra bir ziyaret daha gerçekleştiriyoruz. Orijinal denetleme formumuzu kaybettiğimizi belirterek önceki kontrol noktalarımıza hızlı bir tur gerçekleştiriyoruz. Görevlerini yapmış dongle'ları hızlıca topluyoruz. Raporumuzu kendilerine mail olarak göndereceğimizi söyleyip oradan ayrılıyoruz.
İşlem tamam, kayda değer şeyler çaldık. Keylogger sayesinde oturum açma bilgileri ve şifreleri elde ettik. Online sitelerine, kablosuz ağlarına ve yerel hesaplarına erişim sağlayıp hackledik.
Yapmamız gereken işleri yaptıktan sonra son bir şey daha kaldı. Çöp kutusuna dalış yapıyoruz. Orda karşılaşacağınız bilgiler şaşırtıcı derecede gizli olabilir.
Müşteri ile anlaşma sağlandıktan sonra bulgularımızı sunmak için buluşuyoruz. Bu aşamada çalışanların yüzlerinde şok ifadesi oluyor. Bu olaydan önce böyle bir şeyin başlarına geleceğini asla düşünmezlerdi. Ancak umut ediyoruz ki bu bir öğrenme deneyimi olmuştur ve herkes bundan bir şeyler öğrenir.
Okuduğunuz için teşekkür ederim.
Orjinalini okumak isterseniz buradan ulaşabilirsiniz.
ayrıca 2 saat çevirmek için uğraştığım yazıdan fazla tepki almanız kalbimi çıt ettirdi 
tik %yüzde 100 
