hepiniz merhaba THT AİLESİ bugün sosyal mühendislik hakkında konuşacağız
sosyal mühendislik nedir
Sosyal mühendislik, insan etkileşimleri yoluyla gerçekleştirilen çok çeşitli kötü niyetli faaliyetler için kullanılan bir terimdir. Kullanıcıları güvenlik hataları yapmaları veya hassas bilgileri vermeleri için kandırmak için psikolojik manipülasyon kullanır.
Sosyal mühendislik saldırıları bir veya daha fazla adımda gerçekleşir. Bir fail, saldırıya devam etmek için gerekli olan potansiyel giriş noktaları ve zayıf güvenlik protokolleri gibi gerekli arka plan bilgilerini toplamak için öncelikle hedeflenen kurbanı araştırır. Ardından saldırgan, kurbanın güvenini kazanmak ve hassas bilgileri ifşa etmek veya kritik kaynaklara erişim vermek gibi güvenlik uygulamalarını ihlal eden sonraki eylemler için teşvik sağlamak için harekete geçer.
Sosyal Mühendislik Saldırısı Yaşam Döngüsü
Sosyal mühendisliği özellikle tehlikeli yapan şey, yazılım ve işletim sistemlerindeki güvenlik açıklarından ziyade insan hatasına dayanmasıdır. Meşru kullanıcıların neden olduğu hatalar çok daha öngörülemezdir ve kötü amaçlı yazılım tabanlı izinsiz girişlere göre onları tanımlamayı ve engellemeyi zorlaştırır.
Sosyal mühendislik saldırı teknikleri
Sosyal mühendislik saldırıları birçok farklı biçimde gelir ve insan etkileşiminin söz konusu olduğu her yerde gerçekleştirilebilir. Aşağıdakiler, dijital sosyal mühendislik saldırılarının en yaygın beş biçimidir.
baiting
Adından da anlaşılacağı gibi, yemleme saldırıları, kurbanın açgözlülüğünü veya merakını kışkırtmak için sahte bir söz kullanır. Kullanıcıları kişisel bilgilerini çalan veya sistemlerine kötü amaçlı yazılım bulaştıran bir tuzağa çekiyorlar.
Tuzaklamanın en çok eleştirilen biçimi, kötü amaçlı yazılımları dağıtmak için fiziksel medyayı kullanır. Örneğin, saldırganlar yemi (genellikle kötü amaçlı yazılım bulaşmış flash sürücüler) potansiyel kurbanların onları göreceğinden emin oldukları göze çarpan alanlarda (ör. banyolar, asansörler, hedeflenen bir şirketin otoparkı) bırakırlar. Yem, şirketin bordro listesi olarak sunan bir etiket gibi özgün bir görünüme sahiptir.
Kurbanlar yemi meraktan alır ve bir iş veya ev bilgisayarına yerleştirir ve bu da sisteme otomatik olarak kötü amaçlı yazılım yüklenmesine neden olur.
Baiting dolandırıcılıklarının mutlaka fiziksel dünyada yapılması gerekmez. Çevrimiçi yemleme biçimleri, kötü amaçlı sitelere yönlendiren veya kullanıcıları kötü amaçlı yazılım bulaşmış bir uygulamayı indirmeye teşvik eden baştan çıkarıcı reklamlardan oluşur.
Scareware
Scareware, kurbanların yanlış alarmlar ve hayali tehditlerle bombardıman edilmesini içerir. Kullanıcılar, sistemlerine kötü amaçlı yazılım bulaştığını düşünerek aldatılır ve onlardan gerçek bir faydası olmayan (fail dışında) veya kötü amaçlı yazılımın kendisi olan bir yazılım yüklemelerini ister. Scareware ayrıca aldatma yazılımı, haydut tarayıcı yazılımı ve dolandırıcılık yazılımı olarak da adlandırılır.
Yaygın bir korkutma yazılımı örneği, web'de gezinirken tarayıcınızda görünen ve "Bilgisayarınıza zararlı casus yazılım programları bulaşmış olabilir" gibi bir metin görüntüleyen meşru görünen açılır başlıklardır. Ya aracı (genellikle kötü amaçlı yazılım bulaşmış) sizin için yüklemeyi teklif eder ya da sizi bilgisayarınıza virüs bulaştığı kötü amaçlı bir siteye yönlendirir.
Scareware, sahte uyarılar veren veya kullanıcılara değersiz/zararlı hizmetler satın almaları için teklifler sunan spam e-posta yoluyla da dağıtılır.
bahane
Burada bir saldırgan, zekice hazırlanmış bir dizi yalan aracılığıyla bilgi edinir. Dolandırıcılık genellikle, kritik bir görevi yerine getirmek için bir kurbandan hassas bilgilere ihtiyaç duyuyormuş gibi davranan bir fail tarafından başlatılır.
Saldırgan genellikle iş arkadaşlarını, polisi, banka ve vergi memurlarını veya bilgi edinme yetkisine sahip diğer kişileri taklit ederek kurbanıyla güven tesis ederek başlar. Bahaneci, kurbanın kimliğini doğrulamak için görünüşte gerekli olan ve önemli kişisel verileri topladıkları sorular sorar.
Sosyal güvenlik numaraları, kişisel adres ve telefon numaraları, telefon kayıtları, personel tatil tarihleri, banka kayıtları ve hatta fiziksel bir tesisle ilgili güvenlik bilgileri gibi her türlü ilgili bilgi ve kayıt bu dolandırıcılık kullanılarak toplanır.
E-dolandırıcılık
En popüler sosyal mühendislik saldırı türlerinden biri olan kimlik avı dolandırıcılıkları, kurbanlarda aciliyet, merak veya korku duygusu yaratmayı amaçlayan e-posta ve kısa mesaj kampanyalarıdır. Ardından, onları hassas bilgileri açığa çıkarmaya, kötü amaçlı web sitelerinin bağlantılarını tıklamaya veya kötü amaçlı yazılım içeren ekleri açmaya teşvik eder.
Bir örnek, bir çevrimiçi hizmetin kullanıcılarına gönderilen ve gerekli parola değişikliği gibi derhal eyleme geçmelerini gerektiren bir politika ihlali konusunda onları uyaran bir e-postadır. Görünüş olarak yasal sürümüyle neredeyse aynı olan ve şüphelenmeyen kullanıcıdan mevcut kimlik bilgilerini ve yeni şifresini girmesini isteyen gayri meşru bir web sitesine bir bağlantı içerir. Form gönderildikten sonra bilgiler saldırgana gönderilir.
Kimlik avı kampanyalarında tüm kullanıcılara aynı veya neredeyse aynı mesajlar gönderildiğinden, tehdit paylaşım platformlarına erişimi olan posta sunucuları için bunları tespit etmek ve engellemek çok daha kolaydı
