SOSYAL MÜHENDİSLİK
SOSYAL MÜHENDİSLİK NEDİR
Sosyal mühendislik istenileni elde etme , bilgileri ifşa etmeye yönelik pskolojik manipülasyonudur. Dolandırma , kandırma sanatıdır. Bilgi toplamayı veya sistemde kalıcı olmayı amaçlar.
SOSYAL MÜHENDİS NASIL BİRİ OLMALI
Bambaşka bir insana dönüşebilmelisiniz , bir şirkette CEO gibi de görünebilmelisiniz ortaokuldaki bir öğrenci de.
Bu yönden anonimlik de bu alanda çok önemlidir. Anonim olabiliyorsan kimse senin bir şirket ceosu yada öğrenci olamayacağını düşünemez
Bilgi toplama işleminde hiçbir bilginin boş olmadığını bilip her türlü bilgiyi senaryona yakıştırabilmelisin.
Bu yönden anonimlik de bu alanda çok önemlidir. Anonim olabiliyorsan kimse senin bir şirket ceosu yada öğrenci olamayacağını düşünemez
Bilgi toplama işleminde hiçbir bilginin boş olmadığını bilip her türlü bilgiyi senaryona yakıştırabilmelisin.
SOSYAL MÜHENDİSLİK KULLANIM ALANLARI
Sosyal mühendislik , çoğunlukla sosyal medya hesabı hacklemek için kullanılsa da birçok yerde de kullanılan bir saldırı yöntemidir.
Mail hackleme , virüs atma , web sitesi hackleme , tc kimlik numarası öğrenme , sistemde yöneticilik elde etme , gizlilik edinme , wifi ve çeşitli platformlardaki hesaplar veya herhangi bir bilgi belgeyi hacklemek için de bu yöntem kullanılabilir.
Mail hackleme , virüs atma , web sitesi hackleme , tc kimlik numarası öğrenme , sistemde yöneticilik elde etme , gizlilik edinme , wifi ve çeşitli platformlardaki hesaplar veya herhangi bir bilgi belgeyi hacklemek için de bu yöntem kullanılabilir.
SOSYAL MÜHENDİSLİK İLE PSİKOLOJİ ARASINDAKİ BAĞ NEDİR
Psikoloji , insanın duygu , düşüncesini inceleyen çok kapsamlı bir bilim dalıdır.
Bir insanın psikolojisini kontrol altına almak onu yönetmekten farklı bir şey değildir yani psikolojisini kontrol ettiğin kişinin T.C kimlik numarasından tut tüm sosyal ağ hesaplarının şifrelerine kadar ulaşabilirsin. Sosyal mühendislik de bunu amaçlar.
Bir insanın psikolojisini kontrol altına almak onu yönetmekten farklı bir şey değildir yani psikolojisini kontrol ettiğin kişinin T.C kimlik numarasından tut tüm sosyal ağ hesaplarının şifrelerine kadar ulaşabilirsin. Sosyal mühendislik de bunu amaçlar.
SOSYAL MÜHENDİSLİK YÖNTEMLERİ NELERDİR
Omuz Sörfü
Çöp Karıştırma
Tersine Sosyal Mühendislik
Phishing (Oltalama)
Rol Yapma
+ Trojan-Rat
şimdi bunları sırasıyla ele alalım...
Çöp Karıştırma
Tersine Sosyal Mühendislik
Phishing (Oltalama)
Rol Yapma
+ Trojan-Rat
şimdi bunları sırasıyla ele alalım...
OMUZ SÖRFÜ
Omuz sörfü'ne bir çeşit fiziksel sosyal mühendislik de denilebilir.
Kişiyi kuşkulandırmadan izleyerek şifrelerini veya önemli bilgilerini öğrenmek için kullanılır.
ATM'lerde , internet kafelerde , restaurantlarda , havalimanlarında , genelde topluma açık mekanlarda bununla karşı karşıya gelebiliriz.
Bir arkadaşınızın hesabına veya bilgilerine erişim sağlamak istiyorsanız kullanabileceğiniz bir yöntemdir.
Kişiyi kuşkulandırmadan izleyerek şifrelerini veya önemli bilgilerini öğrenmek için kullanılır.
ATM'lerde , internet kafelerde , restaurantlarda , havalimanlarında , genelde topluma açık mekanlarda bununla karşı karşıya gelebiliriz.
Bir arkadaşınızın hesabına veya bilgilerine erişim sağlamak istiyorsanız kullanabileceğiniz bir yöntemdir.
ÇÖP KARIŞTIRMA
İsminden de anlaşılacağı üzere kişinin gereksiz gördüğü bilgileri toplayarak bambaşka bir boyuta taşıma yöntemi de diyebiliriz.
Karşı tarafa göre önemsiz bilgiler bir sosyal mühendislik senaryosuna konu olabilmekte.
Örneğin , kişinin sosyal medya hesabında paylaştığı , önemsiz gördüğü pasaport fotoğrafını düşünün buradan bir sosyal mühendislik senaryosu çıkarılabilir , bu bilgiden bilgiye göre elbette değişiklik gösterecektir fakat bizim için önemli olan küçük bilgileri es geçmemek olacaktır.
Karşı tarafa göre önemsiz bilgiler bir sosyal mühendislik senaryosuna konu olabilmekte.
Örneğin , kişinin sosyal medya hesabında paylaştığı , önemsiz gördüğü pasaport fotoğrafını düşünün buradan bir sosyal mühendislik senaryosu çıkarılabilir , bu bilgiden bilgiye göre elbette değişiklik gösterecektir fakat bizim için önemli olan küçük bilgileri es geçmemek olacaktır.
TERSİNE SOSYAL MÜHENDİSLİK
Gelelim tersine sosyal mühendisliğe
En sevdiğim yöntemlerden biridir. Bu yöntemde karşı tarafın bizden destek istemesi için bazı bozukluklar yaratmamız gerekmektedir.
3 farklı adımımız bulunmakta
Sabotaj , Pazarlama ve Destek
Bunu sizlere küçük bir senaryo ile anlatmak isterim.
Bir web sitesini hacklemek (basitleştirilmiş senaryo ile) istiyoruz ve sosyal mühendislik kullanacağız.
İlk adımımız sabotaj ,
sitede bozukluklar yaratmamız gerekiyor. Sanırım DDOS işimize yarayacaktır , bunu bir devlet sitesinde denemeyeceğimize göre bu doğru bir seçim olacaktır.
2. adımımız pazarlama
Burada DDOS için cloudflare kullanmıyorsa destek verebileceğinizi söyleyebilirsiniz yada biraz onun anlamayacağı dilden konuşmanız onu ikna etmek için yeterli olacaktır
3. adım destek
Eğer ki güzel bir senaryo ile yaklaşırsanız size sitenin hosting bilgilerini vs. verecektir. Siz de sitede tam erişim ile siteye index atabilir , tüm bilgilerini değiştirebilir , sunucudaki sitelere erişim sağlayabilir , site sahibinin bilgilerine ulaşabilirsiniz.
En sevdiğim yöntemlerden biridir. Bu yöntemde karşı tarafın bizden destek istemesi için bazı bozukluklar yaratmamız gerekmektedir.
3 farklı adımımız bulunmakta
Sabotaj , Pazarlama ve Destek
Bunu sizlere küçük bir senaryo ile anlatmak isterim.
Bir web sitesini hacklemek (basitleştirilmiş senaryo ile) istiyoruz ve sosyal mühendislik kullanacağız.
İlk adımımız sabotaj ,
sitede bozukluklar yaratmamız gerekiyor. Sanırım DDOS işimize yarayacaktır , bunu bir devlet sitesinde denemeyeceğimize göre bu doğru bir seçim olacaktır.
2. adımımız pazarlama
Burada DDOS için cloudflare kullanmıyorsa destek verebileceğinizi söyleyebilirsiniz yada biraz onun anlamayacağı dilden konuşmanız onu ikna etmek için yeterli olacaktır
3. adım destek
Eğer ki güzel bir senaryo ile yaklaşırsanız size sitenin hosting bilgilerini vs. verecektir. Siz de sitede tam erişim ile siteye index atabilir , tüm bilgilerini değiştirebilir , sunucudaki sitelere erişim sağlayabilir , site sahibinin bilgilerine ulaşabilirsiniz.
PHISHING (Oltalama)
Sosyal mühendisliğin gözdesi olan phishing , iletişimi e-postalar üzerinden gerçekleştirerek yaptığımız bir saldırıdır.
İnandırıcı mail adresleri , senaryolar ve senaryo için önceden topladığımız bilgiler ile süslenebilecek çok kullanışlı bir yöntemdir.
Çöp karıştırma , aktif veya pasif bilgi toplama ile senaryonuzu daha inandırıcı oluşturabilir ve kurbanın ikna olmaması için hiçbir gerekçe kalmayacak hale getirebilirsiniz.
Phishing e-posta üzerinden yapılan bir sosyal mühendislik olduğu için çoklu e-posta da gönderilebilir.
İşin içine bir de fake script dediğimiz sahte sayfalar da girince kurbanımız işin içinden çıkamayacak hale geliyor.
Python kullanarak kurbanınıza instagram adı altında bir mail gönderebilirseniz güvenmemesi için bir neden kalmıyor gibi gözüküyor
İnandırıcı mail adresleri , senaryolar ve senaryo için önceden topladığımız bilgiler ile süslenebilecek çok kullanışlı bir yöntemdir.
Çöp karıştırma , aktif veya pasif bilgi toplama ile senaryonuzu daha inandırıcı oluşturabilir ve kurbanın ikna olmaması için hiçbir gerekçe kalmayacak hale getirebilirsiniz.
Phishing e-posta üzerinden yapılan bir sosyal mühendislik olduğu için çoklu e-posta da gönderilebilir.
İşin içine bir de fake script dediğimiz sahte sayfalar da girince kurbanımız işin içinden çıkamayacak hale geliyor.
Python kullanarak kurbanınıza instagram adı altında bir mail gönderebilirseniz güvenmemesi için bir neden kalmıyor gibi gözüküyor
ROL YAPMA
Rol yapma genelde dolandırıcıların kullandığı bir yöntem olsa da bazen hackerların da son çaresi olabiliyor.
Genellikle telefon üzerinden gerçekleştirilen bir yöntemdir. Kendini karşı tarafın ilgi duyduğu veya bağlantılı olduğu bir ortamda yetkili olarak göstermek baş roldedir.
Özellikle de dolandırıcıların kendini banka yetkilisi gibi göstermesi bu yöntemin ne kadar tehlikeli olduğunu göstermekte.
Genellikle telefon üzerinden gerçekleştirilen bir yöntemdir. Kendini karşı tarafın ilgi duyduğu veya bağlantılı olduğu bir ortamda yetkili olarak göstermek baş roldedir.
Özellikle de dolandırıcıların kendini banka yetkilisi gibi göstermesi bu yöntemin ne kadar tehlikeli olduğunu göstermekte.
TRUVA ATI / RAT
Truva atı aslında herkesin bildiğini sandığı fakat bambaşka boyutta bir virüsdür. Truva atları masum kullanıcıya kullanışlı veya ilginç programlar gibi görünebilir ancak yürütüldüklerinde zararlıdırlar.
RAT (Remote Access Trojan) , hackerların sisteme zarar vermekten ziyade içerideki bilgileri çekmek ve sistemde root olmak için kullandığı bir virüsdür.
Bu virüsler sosyal mühendisliğin her bir köşesine sığdırabileceğimiz virüslerdir.
RAT'ı mail yoluyla (phishing ile) veya herhangi bir bağlantı kurabileceğiniz platformdan kurbanınıza gönderebilir ; şifresini alabilir , masaüstünü veya kamerasını izleyebilir , sesini dinleyebilir ve dosyalarını indirebilirsiniz.
Bunun dışında bir usb veya cd ye yükleyebilir kurbanınızın ilgisini çekebileceği bir yere usb yi koyabilirsiniz. Kurbanınız merak edip usb'yi bilgisayarında çalıştırdığında iş işten geçmiş olacaktır. Bu usb yi ekibiniz varsa iş birliği ile kurbanınızın bilgisayarında siz de çalıştırabilirsiniz.
Sosyal Mühendislik Hafife Alınabilecek En Son Şeydir.
Tersine sosyal mühendislik , phishing ve virüsler bu konudaki en kritik yöntemlerdir.
Gelen hiçbir maile veya mesaja güvenmeyin. Kaynağı kontrol edin , sanalda güvenliğiniz olmadığı sürece reel hayatınızdaki güvenliğiniz söz konusu olamaz!
RAT (Remote Access Trojan) , hackerların sisteme zarar vermekten ziyade içerideki bilgileri çekmek ve sistemde root olmak için kullandığı bir virüsdür.
Bu virüsler sosyal mühendisliğin her bir köşesine sığdırabileceğimiz virüslerdir.
RAT'ı mail yoluyla (phishing ile) veya herhangi bir bağlantı kurabileceğiniz platformdan kurbanınıza gönderebilir ; şifresini alabilir , masaüstünü veya kamerasını izleyebilir , sesini dinleyebilir ve dosyalarını indirebilirsiniz.
Bunun dışında bir usb veya cd ye yükleyebilir kurbanınızın ilgisini çekebileceği bir yere usb yi koyabilirsiniz. Kurbanınız merak edip usb'yi bilgisayarında çalıştırdığında iş işten geçmiş olacaktır. Bu usb yi ekibiniz varsa iş birliği ile kurbanınızın bilgisayarında siz de çalıştırabilirsiniz.
Sosyal Mühendislik Hafife Alınabilecek En Son Şeydir.
Tersine sosyal mühendislik , phishing ve virüsler bu konudaki en kritik yöntemlerdir.
Gelen hiçbir maile veya mesaja güvenmeyin. Kaynağı kontrol edin , sanalda güvenliğiniz olmadığı sürece reel hayatınızdaki güvenliğiniz söz konusu olamaz!
Son düzenleme:
