Sosyal Mühendislik nedir?
Bir bilgisayar sisteminin bütün güvenliğini sağladığınızı varsayın sisteminizde hiçbir açık yok ama yarın bir kalkıyorsunuz ki sistem yerle bir şirketin bütün bilgileri çalınmış. Geçmiş olsun Belki de bir olasılığı unutmuşsunuzdur sistemin en zayıf halkası olan insanı!
Sosyal mühendisliğe kısaca sistem hakkında elektronik ortam dışındaki bilgi toplama yönteminiz diyebiliriz. Kevin Mitnick’in şu sözünü unutmayın “Güvenlik zincirindeki en zayıf halka
insandır.”
Saldırı yöntemleri
1. Zararsız gibi görünen bilgiler
2. Güven uyandırmak
3. Duyguları kullanmak
4. Doğrudan istemek
5. “Size yardımcı olabilir miyim?”
6. Ters dalavere
7. Düzmece siteler
1.Zararsız gibi görünen bilgiler
Saldırgan ilk önce zararsız gibi görünen bilgileri alır sonra bu bilgileri kullanarak diğer yöntemleri uygular. Genellikle konu hakkında bilgisi olmayan ve verdiği bilginin önemini kavrayamayanlara veya gerçekten önemsiz bilgiyi başkalarına güven kazandırmak istendiği için alınır.
2.Güven uyandırmak
Güven uyandırma yöntemi değişik metotlarla uygulanabilir kendinizi anketör olarak tanıtabilirsiz, başka bir şirket elemanı olarak veya müşteri olarak tanıtıp bir şekilde güven uyandırarak önemli bilgileri ele geçirebilirsiniz.
3.Duyguları kullanmak
Bu yöntemde en çok kullanılan zor durumda kalmış bir müşteri rolü yapmaktır(Acındırma). Saldırgan kendini acındırarak, personele suçluluk duygusu hissettirerek veya sindirerek önemli bilgileri ele geçirir.
4.Doğrudan istemek
Güven uyandırma ve duyguları kullanma yöntemine benzer. Saldırgan ama lafı dolandırmadan direk bilgiyi ister.
5.”Size yardımcı olabilir miyim?”
Karşınızdaki kişiye yardım etmek istermiş gibi yaklaşıp bilgi aldığınız yöntemdir. Mağdur kişiye sizin iyi niyetli olduğunu düşündürebilirseniz ondan önemli bilgileri kolayca elde edebilirsiniz. Şu sıralarda da çok karşılaştığımız telefonla arayıp yüksek limitli çok kazançlı kredi kartı vermek isteyen yardımsever(!) çalışanlar sizin TC Kimlik numaranızı isteyebilir.
6.Ters dalavere
Ters dalavere yönteminde saldırgan saldırıya uğrayan kişinin veya kurumun kendisinden yardım istemesini sağlayarak önemli bilgiler eder veya sisteme sızar.
7.Düzmece siteler
Düzmece siteler(phishing) asıl sitelerin benzer adreslerini kullanırlar ve siz o sitedeki formlara bilgileri yazdığınızda işiniz bitmiştir.
Bir bilgisayar sisteminin bütün güvenliğini sağladığınızı varsayın sisteminizde hiçbir açık yok ama yarın bir kalkıyorsunuz ki sistem yerle bir şirketin bütün bilgileri çalınmış. Geçmiş olsun Belki de bir olasılığı unutmuşsunuzdur sistemin en zayıf halkası olan insanı!
Sosyal mühendisliğe kısaca sistem hakkında elektronik ortam dışındaki bilgi toplama yönteminiz diyebiliriz. Kevin Mitnick’in şu sözünü unutmayın “Güvenlik zincirindeki en zayıf halka
insandır.”
Saldırı yöntemleri
1. Zararsız gibi görünen bilgiler
2. Güven uyandırmak
3. Duyguları kullanmak
4. Doğrudan istemek
5. “Size yardımcı olabilir miyim?”
6. Ters dalavere
7. Düzmece siteler
1.Zararsız gibi görünen bilgiler
Saldırgan ilk önce zararsız gibi görünen bilgileri alır sonra bu bilgileri kullanarak diğer yöntemleri uygular. Genellikle konu hakkında bilgisi olmayan ve verdiği bilginin önemini kavrayamayanlara veya gerçekten önemsiz bilgiyi başkalarına güven kazandırmak istendiği için alınır.
2.Güven uyandırmak
Güven uyandırma yöntemi değişik metotlarla uygulanabilir kendinizi anketör olarak tanıtabilirsiz, başka bir şirket elemanı olarak veya müşteri olarak tanıtıp bir şekilde güven uyandırarak önemli bilgileri ele geçirebilirsiniz.
3.Duyguları kullanmak
Bu yöntemde en çok kullanılan zor durumda kalmış bir müşteri rolü yapmaktır(Acındırma). Saldırgan kendini acındırarak, personele suçluluk duygusu hissettirerek veya sindirerek önemli bilgileri ele geçirir.
4.Doğrudan istemek
Güven uyandırma ve duyguları kullanma yöntemine benzer. Saldırgan ama lafı dolandırmadan direk bilgiyi ister.
5.”Size yardımcı olabilir miyim?”
Karşınızdaki kişiye yardım etmek istermiş gibi yaklaşıp bilgi aldığınız yöntemdir. Mağdur kişiye sizin iyi niyetli olduğunu düşündürebilirseniz ondan önemli bilgileri kolayca elde edebilirsiniz. Şu sıralarda da çok karşılaştığımız telefonla arayıp yüksek limitli çok kazançlı kredi kartı vermek isteyen yardımsever(!) çalışanlar sizin TC Kimlik numaranızı isteyebilir.
6.Ters dalavere
Ters dalavere yönteminde saldırgan saldırıya uğrayan kişinin veya kurumun kendisinden yardım istemesini sağlayarak önemli bilgiler eder veya sisteme sızar.
7.Düzmece siteler
Düzmece siteler(phishing) asıl sitelerin benzer adreslerini kullanırlar ve siz o sitedeki formlara bilgileri yazdığınızda işiniz bitmiştir.
