Sosyal Mühendislik (Social Engineering) Nedir?
Sosyal Mühendislik; yukarıda da dediğim gibi en temel hack yöntemlerinden birisidir. Hackerlar karmaşık kod parçacıkları ve sistemlerin yanı sıra bazen de en basit yöntemlerden biri olan Sosyal Mühendisliki kullanarak çok can yakmaktadır. Sosyal Mühendislik, insanları hedef almaktadır. Yani Sosyal Mühendislikte sistemde bulunan zaafiyete vs. bakılmaz. Sosyal Mühendislik, insan ilişkilerini ve insanların zaafiyetlerini ele alarak hedef kişi, kişiler veya kurum üzerinde bilgi toplamak ve toplanan bilgiler doğrultusunda hareket etmek için kullanılır. Benim görüşüme göre ise Sosyal Mühendislik, yalan söyleme ve aldatma sanatıdır.
İki şeyin sonsuz olduğundan eminim. Birincisi evrenin sonsuzluğu, ikincisi insanın aptallığı. Ama birincisinden o kadar da emin değilim.
Albert Einstein
Sosyal Mühendislik dendiğinde film gibi senaryolar yazılabiliyor genelde. Ama bazen bu imkansız gibi gelen senaryoların yaşandığına dair haberler duyuyoruz. Hedef kişiyle dost olmak, hedef kurumdan teknik destek talebi almak, kendinizi olmayan birisi gibi göstermek en sık kullanılan yöntemlerdendir.
Kevin Mitnick
Aramızda Kevin Mitnicki duymayan var mı? Bilmeyenler için tek cümleyle bir zamanlar FBIın 1. numaralı arananlar listesinde yer alan efsanevi hacker olarak tanımlayabilirim Kevin Mitnick. İşte Sosyal Mühendislikin atası olarak Kevin Mitniki gösterebiliriz. Ve bu alanda yazmış olduğu birçok kitabı bulunmaktadır. Kevin Mitnick sızmış olduğu sistemlerin çok büyük kısmına Sosyal Mühendislik kullanarak sızmış bulunmaktadır. Sizcede şaşırtıcı değil mi?
Sosyal Mühendislik; İnsanları istemedikleri bir şeyler yapmaya ya da gizli bilgilerini vermeye kandırma eylemidir.
Wikipedia
Sosyal Mühendislik Türleri
Çok ama çok fazla Sosyal Mühendislik türü bulunmaktadır aslında. Bu sadece sizin hayalgücünüze bağlıdır. Kafanızda canlandırabilirdiğiniz senaryo sayısı kadar türü vardır Sosyal Mühendisliğin.
Sosyal Mühendislik cephanemdeki en güçlü silahlardan biriydi.
Kevin Mitnick
Gerçek Bir Sosyal Mühendislik Hikayesi (Alıntıdır)
Bundan bir kaç yıl önce bir sabah, bir grup yabancı büyük bir gemi taşıma firmasına hiç bir zorluk olmadan kolaylıkla yürüyerek girdiler ve firma içi ağa ait giriş hakkı ile orayı terk ettiler. Bunu nasıl yaptılar? Bu firmadaki farklı çalışan numarasıyla azar azar küçük giriş miktarı ile elde ettiler. İlk olarak, binanın içine girmeden önce girişimde bulunmak için iki gün boyunca şirket hakkında araştırma yaptılar. Örneğin, İnsan kaynaklarını arayarak anahtar işçi isimlerini öğrendiler.Sonra, ön kapıda anahtarlarını kaybetmiş numarasıyaptılar ve bir adam onları içeri girmesine izin verdi. Sonra, yabancılar kimlik rozetlerini kaybettiklerine inandırıp üçüncü güvenli bölgeye girdiler, gülümsediler ve dost canlısı bir işçi onlara kapıyı açtı.
turkhackteam.org
Yabancılar binanın dışından CFOyu biliyordu. Bu yüzden onlar onun ofisine girebilirlerdi ve kilidi açılmış bilgisayardanfinansal bilgilerini alabilirlerdi. Bütün kullanışlı dökümanları bulabilmek için, şirkete ait çöpleri karıştırdılar. Bir hademeye çöp kutusunun sordular. Buldukları içerikleri çöpe yerleştirip ve bu verilerin binanın dışına elleriyle taşıdılar. Yabancılar, ümitsizce ağ şifrelerine ihtiyaç duydukları için CFO sun çalışanlarının sesini çalıştılar. Böylelikle telefonda bir koşuşturma anında bir CFOlu oldular. Oradan, olağan hack araçlarını kullanarak sitemde super-user girişi kazandılar.
Aslında, yabancılar CFOnun güvenliğini çalışanların bilgileri olmadankontrol eden network danışmanlarıydı. CFO hakkında ayrıcalıklı bilgi verilmemişti onlara, fakat istedikleri bütün girişleri sosyal mühendislik aracılığı ile elde ettiler(Bu hikayeyi Kapil Raina anlatmıştır, şuanda Verisign da güvenlik uzmanı ve Ticaret Güvenliği: Başlangıç Rehberinin yazarıdır, eski iş yeri çalışanları ile birlikte gerçek işyeri tecrübelerinedayanır)
Faydalı olması dileğiyle
DOMBIRA
Sosyal Mühendislik; yukarıda da dediğim gibi en temel hack yöntemlerinden birisidir. Hackerlar karmaşık kod parçacıkları ve sistemlerin yanı sıra bazen de en basit yöntemlerden biri olan Sosyal Mühendisliki kullanarak çok can yakmaktadır. Sosyal Mühendislik, insanları hedef almaktadır. Yani Sosyal Mühendislikte sistemde bulunan zaafiyete vs. bakılmaz. Sosyal Mühendislik, insan ilişkilerini ve insanların zaafiyetlerini ele alarak hedef kişi, kişiler veya kurum üzerinde bilgi toplamak ve toplanan bilgiler doğrultusunda hareket etmek için kullanılır. Benim görüşüme göre ise Sosyal Mühendislik, yalan söyleme ve aldatma sanatıdır.
İki şeyin sonsuz olduğundan eminim. Birincisi evrenin sonsuzluğu, ikincisi insanın aptallığı. Ama birincisinden o kadar da emin değilim.
Albert Einstein
Sosyal Mühendislik dendiğinde film gibi senaryolar yazılabiliyor genelde. Ama bazen bu imkansız gibi gelen senaryoların yaşandığına dair haberler duyuyoruz. Hedef kişiyle dost olmak, hedef kurumdan teknik destek talebi almak, kendinizi olmayan birisi gibi göstermek en sık kullanılan yöntemlerdendir.
Kevin Mitnick
Aramızda Kevin Mitnicki duymayan var mı? Bilmeyenler için tek cümleyle bir zamanlar FBIın 1. numaralı arananlar listesinde yer alan efsanevi hacker olarak tanımlayabilirim Kevin Mitnick. İşte Sosyal Mühendislikin atası olarak Kevin Mitniki gösterebiliriz. Ve bu alanda yazmış olduğu birçok kitabı bulunmaktadır. Kevin Mitnick sızmış olduğu sistemlerin çok büyük kısmına Sosyal Mühendislik kullanarak sızmış bulunmaktadır. Sizcede şaşırtıcı değil mi?
Sosyal Mühendislik; İnsanları istemedikleri bir şeyler yapmaya ya da gizli bilgilerini vermeye kandırma eylemidir.
Wikipedia
Sosyal Mühendislik Türleri
Çok ama çok fazla Sosyal Mühendislik türü bulunmaktadır aslında. Bu sadece sizin hayalgücünüze bağlıdır. Kafanızda canlandırabilirdiğiniz senaryo sayısı kadar türü vardır Sosyal Mühendisliğin.
Sosyal Mühendislik cephanemdeki en güçlü silahlardan biriydi.
Kevin Mitnick
Gerçek Bir Sosyal Mühendislik Hikayesi (Alıntıdır)
Bundan bir kaç yıl önce bir sabah, bir grup yabancı büyük bir gemi taşıma firmasına hiç bir zorluk olmadan kolaylıkla yürüyerek girdiler ve firma içi ağa ait giriş hakkı ile orayı terk ettiler. Bunu nasıl yaptılar? Bu firmadaki farklı çalışan numarasıyla azar azar küçük giriş miktarı ile elde ettiler. İlk olarak, binanın içine girmeden önce girişimde bulunmak için iki gün boyunca şirket hakkında araştırma yaptılar. Örneğin, İnsan kaynaklarını arayarak anahtar işçi isimlerini öğrendiler.Sonra, ön kapıda anahtarlarını kaybetmiş numarasıyaptılar ve bir adam onları içeri girmesine izin verdi. Sonra, yabancılar kimlik rozetlerini kaybettiklerine inandırıp üçüncü güvenli bölgeye girdiler, gülümsediler ve dost canlısı bir işçi onlara kapıyı açtı.
turkhackteam.org
Yabancılar binanın dışından CFOyu biliyordu. Bu yüzden onlar onun ofisine girebilirlerdi ve kilidi açılmış bilgisayardanfinansal bilgilerini alabilirlerdi. Bütün kullanışlı dökümanları bulabilmek için, şirkete ait çöpleri karıştırdılar. Bir hademeye çöp kutusunun sordular. Buldukları içerikleri çöpe yerleştirip ve bu verilerin binanın dışına elleriyle taşıdılar. Yabancılar, ümitsizce ağ şifrelerine ihtiyaç duydukları için CFO sun çalışanlarının sesini çalıştılar. Böylelikle telefonda bir koşuşturma anında bir CFOlu oldular. Oradan, olağan hack araçlarını kullanarak sitemde super-user girişi kazandılar.
Aslında, yabancılar CFOnun güvenliğini çalışanların bilgileri olmadankontrol eden network danışmanlarıydı. CFO hakkında ayrıcalıklı bilgi verilmemişti onlara, fakat istedikleri bütün girişleri sosyal mühendislik aracılığı ile elde ettiler(Bu hikayeyi Kapil Raina anlatmıştır, şuanda Verisign da güvenlik uzmanı ve Ticaret Güvenliği: Başlangıç Rehberinin yazarıdır, eski iş yeri çalışanları ile birlikte gerçek işyeri tecrübelerinedayanır)
Faydalı olması dileğiyle
DOMBIRA