Bir sistemi hacklemek için o sistemin nasıl çalıştığını bilip zayıf veya açık bırakılan yerlerini tespit edilerek saldırı gerçekleştirilir. Sosyal Mühendislikte de insanların zayıf yönleri veya savunmasız hale getirilebilecek yanları tespit edilerek saldırıda bulunulur.
Güncel olayları incelediğimizde saldırılarda insanların dört duygusuna hitap eden girişimlerin fazlalığı dikkat çektiği görülüyor.
- Korku, bir belirsizlik karşısında tehdit algısı ile tetiklenen, rahatsız edici ve olumsuz bir his. Korku belirli bir ağrı veya tehdit olarak algılanan bir olay sonucunda, uyarıcı bir tepki olarak ortaya çıkan yaşamsal bir mekanizmadır. Korku görünüşte evrensel bir duygudur.
Sosyal Mühendislikte korku bir insanı manipüle ve motive etmek için kullanılabilecek en etkin duygulardan birisidir. Bir bankadan geliyormuş gibi gösterilen arama, sms veya eposta ile insanlara şifrelerinin çalındığı, hesabından harcama yapıldığı veya kişisel bilgilerinin terör örgütlerince kullanıldığını söylerseniz istediğiniz bilgiyi almakta veya istediğinizi yaptırmakta zorluk çekilmediğini haberlerden görebiliyoruz.
- İtaat kelimesi birine uymaktan kaynaklanır ve sırf dışa yansıyan davranıştan içten gelen bir tutumdur. İtaat, prensip olarak emir veya yasaklara uymaktır. İtaat, bir otoritenin isteklerine boyun eğmek, bir emire uymak, bir talebi yerine getirmek veya yasaklanan bir şeyi terk etmektir. Otorite, genelde bir kişi veya birlik olursa da ikna eden bir ide, bir yaratan veya kişinin vicdanı olabilir.
İtaat saldırıda bulunan sosyal mühendisin genellikle bir e-posta, anlık ileti veya kişinin çalıştığı bir kişinin ya da üstün gibi kolluk olarak otorite, ya da bir yönetici grubundan hatta bir telefon görüşmesi ya da sesli kayıttan iletişime geçilmiş ve bir şeyi yapmanız gerektiğinin bildirilmesi ve hedefi yetkililere güven duygusundan gelen talimata uygun hareket etmesi ve istekleri yerine getirmesi ile kullanılmaktadır.
Ülkemizde genel de bu savcı ve polis gibi insanları arayarak kullanılmaktadır. Daha önceden de hosting firması yetkilisi gibi arayarak kişilerden istenilen bilgiler elde edilebiliyordu.
- Açgözlülük, bir şey için yoğun ve bencil arzu (özellikle zenginliğe ve güce) olarak tanımlanır.
Sosyal Mühendislikte en çok kullanılan yöntemlerden biri bu duyguya dayalı olarak gerçekleştirilmektedir. Bir çoğumuz şahit olmuştur; Afrikadaki zengin olduğu halde yurtdışına çıkmayan ve sizden bu serveti veya mirası yurt dışına çıkarmak için yardım isteyen epostalara.
Telefonun karşı ucunda kart aidatlarınızı geri alabileceklerini, kredi dosya masraflarını tahsil edeceklerini yada 3000 TL lik telefonu size 299 TL ye satacaklarını söyleyen bir ses ile karşılaşabiliyorsunuz. Burada insanların kolay yoldan para kazanacakları veya pahalı bir şeyi ucuza alınabileceği algısı ile insanları yönlendirebiliyorlar.
- Yardımseverlik, diğer insanlara yardım etmek için istekli olmak olarak tanımlanır.
Bu yöntem genellikle firma çalışanlarına yönelik yapılan saldırılarda kullanılmaktadır. Sorun yaşayan bir müşteri gibi iletişime geçilerek hedefinize ilişkin bilgilere erişimde kullanılmaktadır. Gerçi son yıllarda güvenlik amaçlı doğrulamalarla bu duygu kullanımına esas alan saldırılarda başarı oranı biraz düşüktür.
Yukarıda kısa olarak anlatmaya çalıştığım bu dört duyguyu kullanarak hedeflere sosyal mühendislik saldırıları yapılmaktadır. Özellikle ülkemizde bu dört duyguya birden dayanan saldırılar artmaya başlamıştır. Ben bu tuzaklara düşmem diyecek insanlar bile ikna edilebilmiştir.
Örneğin Bursada şeyhine cennete yakın olmak isteyenler milyonlarca lira kaptırdı. Para kaptıranların bir çoğu hukukçu ve üst gelire sahip meslek grubundaki okumuş elit bir kesimdi.
Ayrıca saldırganların hedefi kişisel değilse rastgele 100 kişiden 1 kişiye karşı başarı elde etmesi bile onun için yeterli bir başarı olacaktır.
Güncel olayları incelediğimizde saldırılarda insanların dört duygusuna hitap eden girişimlerin fazlalığı dikkat çektiği görülüyor.
- Korku, bir belirsizlik karşısında tehdit algısı ile tetiklenen, rahatsız edici ve olumsuz bir his. Korku belirli bir ağrı veya tehdit olarak algılanan bir olay sonucunda, uyarıcı bir tepki olarak ortaya çıkan yaşamsal bir mekanizmadır. Korku görünüşte evrensel bir duygudur.
Sosyal Mühendislikte korku bir insanı manipüle ve motive etmek için kullanılabilecek en etkin duygulardan birisidir. Bir bankadan geliyormuş gibi gösterilen arama, sms veya eposta ile insanlara şifrelerinin çalındığı, hesabından harcama yapıldığı veya kişisel bilgilerinin terör örgütlerince kullanıldığını söylerseniz istediğiniz bilgiyi almakta veya istediğinizi yaptırmakta zorluk çekilmediğini haberlerden görebiliyoruz.
- İtaat kelimesi birine uymaktan kaynaklanır ve sırf dışa yansıyan davranıştan içten gelen bir tutumdur. İtaat, prensip olarak emir veya yasaklara uymaktır. İtaat, bir otoritenin isteklerine boyun eğmek, bir emire uymak, bir talebi yerine getirmek veya yasaklanan bir şeyi terk etmektir. Otorite, genelde bir kişi veya birlik olursa da ikna eden bir ide, bir yaratan veya kişinin vicdanı olabilir.
İtaat saldırıda bulunan sosyal mühendisin genellikle bir e-posta, anlık ileti veya kişinin çalıştığı bir kişinin ya da üstün gibi kolluk olarak otorite, ya da bir yönetici grubundan hatta bir telefon görüşmesi ya da sesli kayıttan iletişime geçilmiş ve bir şeyi yapmanız gerektiğinin bildirilmesi ve hedefi yetkililere güven duygusundan gelen talimata uygun hareket etmesi ve istekleri yerine getirmesi ile kullanılmaktadır.
Ülkemizde genel de bu savcı ve polis gibi insanları arayarak kullanılmaktadır. Daha önceden de hosting firması yetkilisi gibi arayarak kişilerden istenilen bilgiler elde edilebiliyordu.
- Açgözlülük, bir şey için yoğun ve bencil arzu (özellikle zenginliğe ve güce) olarak tanımlanır.
Sosyal Mühendislikte en çok kullanılan yöntemlerden biri bu duyguya dayalı olarak gerçekleştirilmektedir. Bir çoğumuz şahit olmuştur; Afrikadaki zengin olduğu halde yurtdışına çıkmayan ve sizden bu serveti veya mirası yurt dışına çıkarmak için yardım isteyen epostalara.
Telefonun karşı ucunda kart aidatlarınızı geri alabileceklerini, kredi dosya masraflarını tahsil edeceklerini yada 3000 TL lik telefonu size 299 TL ye satacaklarını söyleyen bir ses ile karşılaşabiliyorsunuz. Burada insanların kolay yoldan para kazanacakları veya pahalı bir şeyi ucuza alınabileceği algısı ile insanları yönlendirebiliyorlar.
- Yardımseverlik, diğer insanlara yardım etmek için istekli olmak olarak tanımlanır.
Bu yöntem genellikle firma çalışanlarına yönelik yapılan saldırılarda kullanılmaktadır. Sorun yaşayan bir müşteri gibi iletişime geçilerek hedefinize ilişkin bilgilere erişimde kullanılmaktadır. Gerçi son yıllarda güvenlik amaçlı doğrulamalarla bu duygu kullanımına esas alan saldırılarda başarı oranı biraz düşüktür.
Yukarıda kısa olarak anlatmaya çalıştığım bu dört duyguyu kullanarak hedeflere sosyal mühendislik saldırıları yapılmaktadır. Özellikle ülkemizde bu dört duyguya birden dayanan saldırılar artmaya başlamıştır. Ben bu tuzaklara düşmem diyecek insanlar bile ikna edilebilmiştir.
Örneğin Bursada şeyhine cennete yakın olmak isteyenler milyonlarca lira kaptırdı. Para kaptıranların bir çoğu hukukçu ve üst gelire sahip meslek grubundaki okumuş elit bir kesimdi.
Ayrıca saldırganların hedefi kişisel değilse rastgele 100 kişiden 1 kişiye karşı başarı elde etmesi bile onun için yeterli bir başarı olacaktır.
