Bir sosyal mühendisin temel özelliği, basit fakat genelde amacına ulaşan donanımlar ve teknikler kullanarak saldırı yapmasıdır.
Sosyal mühendislerden sahip oldukları bu yetenekleri ve teknikleri
- iyi yönde kullananlar beyaz şapkalılar;
- kötü niyetle kullanmak isteyenler ise siyah şapkalılar olarak
adlandırılır.
Sosyal Mühendislik Donanımları
Sosyal mühendislik saldırılarında kullanılan donanımlar basit ve etkili olmasının yanı sıra son derece kolay temin edilebilmektedir. Bu durum, saldırıların yapılma olasılığını ciddi oranda arttırır.
Aşağıdaki resimde saldırı amacı ile kullanılabilen bazı sosyal mühendislik donanımları vardır.
Zararsız görünen bilgiler / Zararlı olabilir mi?
Çoğu sosyal mühendis, zararsız gibi görünen günlük ve masum bilgileri el üstünde tutar, genellikle ilk olarak bu tarz bilgi ve belge elde etmeye çalışır çünkü bu bilgileri kullanarak daha inandırıcı olur ve daha kritik bilgilere ulaşabilirler.
Hangisi daha inandırıcı?
"Ben bilgi işlemde yeni çalışmaya başladım. Biriminizde yürütülen projeler hakkında bir kaç sorum olacaktı."
"Ben bilgi işlemde yeni çalışmaya başladım, ____ Bey şu anda ____ Bey ile bir toplantıda fakat toplantıya girerken tamamlamamı istediği bir rapor oldu. Bu rapora eklemem gereken ve biriminizde yürütülen projeler konusunda sizin bana yardımcı olabileceğinizi söyledi."
Yukarıdaki görüldüğü gibi boşluk olarak gösterilen yerlerde kullanılabilecek gerçek kişi isimleri ifadeyi daha inandırıcı kılıyor. Bu bilgiler yardımcı olmak adına paylaşılmış masum ve zararsız bilgiler olabilir.Yani ilk işlem karşınızda ki kişi hakkında gerçek doğru bilgilere ulaşmanızdır bu adımı tamamladıktan sonra ikinci adım bilgileri bir araya getirerek işleminize başlayabilirsiniz.
Örneğin; bir kişi yanlış numara çevirmiş gibi sizi arayıp bilgisayarı ile ilgili bir problemi danışabilir ve daha sonra da sizi rahatsız ettiği için özür dileyip bilgi işlemde kimi ya da kimleri araması gerektiğini sorabilir. Sizden öğrendiği bu masum bilgi ile de yukarıdaki gibi ifadelerle başka bir birimdeki kişiyi daha kritik bilgileri almak için ikna ediyor olabilir.
Doğrudan saldırı: “Sadece sormak!” / Farkedilmeyebilir mi?
Çoğu sosyal mühendislik saldırısını fark etmezsiniz bile. Hatta öyle ki bazı durumlarda hedeflenen bilgi doğrudan istendiği halde bile fark edilmeyebilir.
Bu gibi durumlar ancak sonradan analiz edildiğinde, sürecin göründüğünden son derece karmaşık olduğu anlaşılır.Bu yöntem genelde en son kullanılan bir adımdır,son derece profesyonel kişilerin kullanabileceği bir işlem olduğundan ve sosyal mühendislik başlı başına ayrı bir konu olması nedeni ile yapacak olduğunuz işlemin sonucunu hesap etmeden yapmayın.
Örneğin; bir çok örnek uygulamada kişisel parolaların dahi bir telefon görüşmesinde karşı tarafın kim olduğundan emin olunmadan paylaşıldığı bir gerçektir.
Güven uyandırmak / Bu kadar kolay mı?
Sosyal mühendislerin başarılarının sırrı insanların aldatılmaya fazlasıyla açık olmasıdır. Çünkü insanlar belli şekillerde yönlendirildiklerin de yanlış şeylere güven duyabilirler.
Başarılı bir sosyal mühendis, kurbanın sorabileceği soruları önceden tahmin eder ve bu sorulara karşı daima hazırlıklı olur.
Size yardımcı olabilirim / Hızır gibi mi yetişti yoksa başka birşey mi var?
Bir sorununuz var ve size yardım etmek isteyen birisi var. Bu yardım teklifini reddeder miydiniz?
İşin doğrusu; reddetmekle kalmaz, saldırgana minnettar bile kalabilirsiniz. Oysa sorunun kaynağı saldırgan da olabilir.
Önce problem yaratıp, sonra da yardımcı olmayı teklif etmek sosyal mühendislerin sıklıkla uyguladıkları bir yöntemdir.
Bana yardımcı olabilir misiniz? / Özellikle de basit bir yardımı esirgeyebilir misiniz?
Saldırganlar bazen kendini acındırarak kurbandan yardım ister. Yardım talebini reddetmek ne zordur değil mi? Sonuç ise "hep başarı"!
Genellikle zor durumda olan insanlara yönelik taşıdığımız bu acıma duygusu, sosyal mühendisler için son derece cazip olabilmektedir.
Düzmece Siteler ve Tehlikeli Ekler / Ne kadar cazip veya merak uyandırıcı olabilir?
Bedava indirilebilen yazılımlar! Son derece cazip değil mi? Sosyal mühendisler insanları cezbedebilecek teklifler sunmayı çok severler.
Çok ucuz veya bedava şeylere duyulan heves gibi içeriği cazip gelen, merak uyandıran e-posta ekleri de sosyal mühendislerce kullanılmaktadır.
Örneğin, “zamlı maaşınızı öğrenmek için lütfen ekteki dosyaya tıklayın” konulu bir e-posta alıyorsanız eğer, ekini açmadan önce bir kez daha düşünmekte fayda var!
Blogumuza Abone Olun
Yeni Yazılar e-posta Adresinize Gelsin
Hiç yorum yok:
Yorum Gönder