- 1 Ara 2018
- 880
- 48
Sosyal Mühendislikte Duygular ve Motivasyonlar
Sosyal mühendislik alanı büyük ölçüde insan motivasyonu ile ilgilenir. İnsanların davranışlarını ve duygularını etkilemek için bu konuda bazı temel teorilere ve araştırmalara aşina olmak faydalıdır.
Duygu, bir kişinin motivasyonunun oluşumunda büyük bir rol oynayabilir. Araştırmacılar tarafından sorulduğunda , denekler güneşli olduğunda hayatlarına daha olumlu, yağmurlu olduğunda daha olumsuz bir görüş bildirmektedir. Hava durumu kadar basit bir şey, güneşli veya yağmurlu gökyüzü arasındaki farkın bir kişinin hayatına bakışını değiştirebileceği bakış açısını etkileyebilir. Bu etki açıkça geçicidir, ancak insanların o andaki hissettikleri düşünce ve davranış biçimlerini etkiler.
Araştırmacılar bize, iyi ya da kötü bir ruh halinin , insanların kazanma şansının az ya da çok olduğunu düşünüp düşünmediklerini etkileyebileceğini gösterdi. Duygularımız bizi belirli yönlere işaret ediyor ve iyi hissettiğimizde başarabileceğimizi düşünüyoruz. Kötü ruh halleri bizi daha az şanslı olacağımıza inandırır.
Olumlu ve olumsuz etkinin, bireylerin kendilerinin iyi ya da kötü şeylerin olacağına inanıp inanmadığını da etkilediği gösterilmiştir. Olumlu haber makaleleri gösterilen araştırma katılımcıları, hoş olayların olasılığını ve risk için azalan bir uyarıyı abartıyor. Buna karşılık, hem ölümcül hem de ölümcül olmayan kazalardan oluşan negatif makaleler gösteren deneklerin, olumsuz olayların sıklığını abartması ve artan bir risk algısı algılaması muhtemeldir.
İnsanların nasıl hissettiklerine daha çok dikkat ederseniz daha fazla bilgi ile çalışmanız gerekir. Akıllı bahane yaratmak ve cana yakın olmak sosyal mühendislik alanında kesinlikle yardımcı olabilir, ancak bir kişinin ruh hali ve bunun sizin için ne anlama gelebileceği gibi basit ayrıntılara dikkat etmeyi unutmayın.
Sosyal Mühendisliğin Tehlikeleri
Her ne kadar sahtekarlar ve dolandırıcılar sosyal medyadan çok önce gelmiş olsa da, masum insanlardan bilgi edinmenin yollarını yeniden keşfediyorlar. Hileden yanlış sunumlara kadar, sizi sosyal ve kişisel olarak hedeflemek için hakkınızda bilgi toplayan bu çevrimiçi dolandırıcılara avlanmak kolaydır.
En İyi 6 Sosyal Mühendislik Ekseni Hakkında Bilgili Olun:
Yanlış yerleştirilmiş flash bellek: Ofis otoparkınıza bırakılan bir flash sürücüye rastladınız. Şirket bilgisayarına takmayı iki kez düşünün. Şirketinizin dijital altyapısına sızabilecek kötü amaçlı yazılım barındırıyor olabilir.
Kimlik Avı Dolandırıcılığı: Dolandırıcıların özensiz dil bilgisi veya kelime bilgisi göz önüne alındığında kolayca tanımlanır. Ancak, epostalar sizi bir bağlantıyı tıklamaya veya kişisel bilgi göndermeye ikna etmek için oluşturulduğundan kimlik avı çok daha karmaşık hale gelir. Kişisel bilgi isteyen epostalara dikkat edin.
Sosyal Medya Platformları: Dolandırıcıların bilgilerinize erişmesini ve arkadaşlarınızı tehlikeye atmak için kullanılması her zamankinden daha kolay hale getirildi. Arkadaşlarınızın normalde göndermeyeceği ekleri içeren şüpheli epostalara dikkat edin.
Ring-a-Ling: Dolandırıcılık sosyal medyadan kaynaklansa da, bilgisayar korsanları ek bilgi temin etmek için eski okul yöntemlerini kullanmıştır. Telefon numaranızı bulduktan sonra, sizi sosyal medya profilinizden yeterince tanıyacaklar ve daha ne kadar açıklayacağınızı görmek için sizi arayacaklar ve şifreler, kredi kartı bilgileri, ek kişisel ayrıntılar istiyeceklerdir. Arayan kişi kişisel bilgi istemeye başlarsa, kişisel bilgileri paylaşmayın, telefon numarasını isteyin ve geri arama teklifinde bulunun.
Eposta Hesabınızı Koruyun: E-postada neleri sakladığınızı düşünün şüphesiz bir bilgi hazinesidir. Finansal bilgilerden kredi kartı numaralarına kadar, eposta hesapları bilgisayar korsanları için çok önemlidir. Güçlü parolalar belirleyin, herkese açık kablosuz ağ kullanmayın ve şüpheli etkinlikler için izleme yapmayın.
Teknik Destek Çağrısı: Teknik desteğe ihtiyacınız olduğunu belirten herhangi bir istenmeyen çağrı alırsanız dikkatli olun. Dolandırıcılar, kurbanlarını kötü niyetli bir saldırıyı araştıran saygın bir şirkettenmiş gibi yapıyor. Kullanıcıları uzak masaüstü erişimi vermeye ikna etmeye çalışırlar. İçeri girdikten sonra, neler olabileceğini tahmin edemezsiniz.
Sosyal Mühendislerin Yararlandığı Dört İnsan Niteliği ve Bu Nitelikleri Kötüye Kullandıkları Davranışlar
SANS Enstitüsüne göre, sosyal mühendisler insanların dört psikolojik özelliğinden birini veya birkaçını kullanıyor; bunlar dikkatsizlik, konfor bölgelerinde güvenlik hissi, yardım etme arzusu ve korku.
İnsanların dikkatsizliğinden istifade edilebilir, çünkü insanlar genellikle uygun savunma mekanizmaları oluşturma konusunda kayıtsız kalırlar. Dikkatsizliğimize yönelik saldırılara örnek olarak, çöp kutusunun belirli bir hedeften toplanması ve imha edilmeden orada bırakılan imzalarla atılan belgeler gibi yararlı bilgiler için çöp torbasına bile bakılabilir.
İnsan dikkatsizliğinin sömürülmesi genellikle daha karmaşık bir saldırıya giden ilk adımdır ve sıklıkla saldırının keşif aşamasının bir parçasıdır.
Bu istismarın diğer örnekleri, mümkün olan parola hırsızlığıdır, çünkü şirketlerdeki insanlar genellikle parolalarını düzenli olarak yenilemek zorundadır ve en azından bazı harfleri, özel karakterleri ve sayıları içeren ve parola gücü konusunda ve çalışan olarak katı bir standarda sahiptirler. her değişiklikten sonra yeni şifrelerini hatırlamak için beyinlerini yorarlar bir kağıda yazarlar ve oturum açtıklarında kağıdı rahatça tutabilirler ve şifrelerini yazabilirler. Bu, sosyal mühendisin ofis bilgisayarının yalnızca yakın çevresini, örneğin sandalyenin altında, masa çekmecesinde, klavyenin altında, bilgisayar ekranının veya makinenin kendisinde, bir resmin veya defter ya da bunun gibi bir şey olabilir.
Böylece, Sosyal mühendislerin sömürdüğü bir sonraki insan kalitesi, çoğu durumda çalışma ortamını içeren bir kişinin konfor bölgesinde güvenlik hissidir. İnsanlar işyerlerinde daha fazla veya daha az ölçüde kendilerini güvende hissederler ve bu güvenlik duygusunu kullanan olası tehditleri, hilekarlıkları ve tehlikeleri daha az algılamaları daha olasıdır.
Bir kişinin konfor bölgesinin yaygın olarak kötüye kullanılması içeriden bir kişiyi taklit etmektedir. En yaygın kimliğe bürünme BT personelidir, çünkü şirketteki insanlar genellikle BT sistemlerinin nasıl korunduğuna dair daha az bilgiye sahiptir ve bu alanda cahil bir şekilde. Sosyal mühendisler ayrıca kapıcı, tamirci, hatta itfaiyeci gibi davranabilirler. BT personelinin giydiği bir gömlek giyen bir kişi görürseniz, gardiyanın aşağıya ineceği için orada çalıştığını varsayacaksınız. BT ekibinden geliyormuş gibi davranan bu kişi daha sonra bilgisayarınızda bazı yazılım güncellemeleri yapmayı kolayca isteyebilir ve siz kendinize uzaktan erişim sağladığınızı bilmeden ya da yeterince güvenli olup olmadığını kontrol etmek için parolanızı isteyebilir ve bir tipik bir kişi tehdidi hissetmezdi. Ayrıca güvenilirlik oluşturmak için isim düşürmeyi kullanabilir ve yem ayarlanmıştır. Tuvalette BT personelinin bir parçası olarak giyinerek aldatmaca yapabilirsiniz.
İnsanların konfor bölgesinin istismar edilmesinin bir başka yolu omuz sörfüdür. Bu, hem bir kişinin konfor bölgesinin sömürülmesini hem de dikkatsizliğini içerir, çünkü insanlar birilerinin arkalarında durmasını beklemezler, klavyede parolalarını ve kullanıcı adlarını yazarken izlerler, çünkü masalarında olduklarında kendilerini güvende hissederler ve iş yerinde ve görevlerine odaklanmaya başladığında, görüşlerinin dışında olanların dikkatsizliğinden dolayı.
Sosyal mühendislerin yapabileceği başka bir şey, bir dizüstü bilgisayar, rozet, cüzdan, çanta, akıllı telefon, harici sabit sürücü, USB veya işle ilgili diğer makineler, araçlar ve giriş kartlarının gerçek hırsızlığına güvenmektir. Güvenlik duygusu işten sonra bile kaldığı için, kişi en sevdiği restoran veya barda meslektaşları ile içtiği zaman, kurbanı biraz sarhoşken, rozeti (yetkili kartı), cüzdanı Cuma günü kolayca çalınabilir. dikkatini daha da azaltacak ve eğer sadece rozeti çalınırsa muhtemelen sadece Pazartesi günü fark edecek ve bu sosyal mühendisin binalara girmesi için bir zaman aralığı bırakıyor.
Farklı bir konfor bölgesi tehdidi fiziksel güvenliktir. Örneğin, sigara içilen yerlerde, insanlar genellikle birkaç dakika boyunca her dışarı çıktıklarında kartlarını kaydırmak zorunda kalmadan duman için dışarı çıkabilmeleri için kapıyı açık bırakırlar, bu da penetrasyon için bir zaman penceresi bırakır. Bu, özellikle şirket çok fazla iş gücü kullanıyorsa geçerlidir. Bu tür şirketler birden fazla sigara içme alanına sahip olabilir ve bazıları sigara içen çalışanları kolaylaştırmak için erişim kontrollerinden tamamen yoksun olabilir.
Bir temizlikçi adamı olarak giyinen ve temizlik için araçlar taşıyan kişi hakkında söylediğimizde, daha sonra girdiğinizde sizi ele geçirip onun için kapıyı tutmanızı istediğimizde ilk yöntemi tartıştık. Muhtemelen ondan rozetini veya giriş kartını istemeyeceksin, ama gitmesine izin vereceksin ve bunun sebebi, tıpkı birileri senin için aynısını yapsaydı sevdiğin gibi, yardım etme isteğin yüzünden. Temizlik araçları ve bir temizlikçi adamı olmak zorunda değildir, sosyal mühendis bir teslimatçı olarak giyinebilir ve büyük bir kutu taşıyabilir ve hatta isim bırakmayı bile kullanabilir.
Sosyal Mühendisin Kurbanlarını Manipüle Etmek İçin Sahip Olması Gereken Özellikler Nelerdir?
Mağduru başarılı bir şekilde manipüle etmek için, sosyal mühendis, kötü niyetli niyetlerini gizleme, üzerinde gerçekleştireceği tekniği akıllıca seçebilmek için hedeflerin zayıflıklarını bilmeli ve bunu yapamayacak kadar acımasız olmalıdır. ilişki geliştirme aşamasında mağdurun zarar görmesi konusunda ikinci düşünceleri vardır.
Sosyal Mühendislerin Kurbanları Manipüle Etmek İçin Kullandıkları Teknikler
Bunlar çok ama en çok kullanılanlardan bahsedeceğiz. Birincisi yalan söylemek; bununla mücadele etmek için tüm insanların dürüst ve dürüst olmadığının farkında olmalısınız. İnsanlar insanlar gibi düşünürler çünkü başkalarını içsel niteliklerine bağlı olarak yargılarlar, bu yüzden yalan söyleme alışkanlıkları yoksa muhtemelen başkalarının da yalan söylemesini beklemezlerdi. Ayrıca, belirli kişilik türlerine (psikopatlar gibi) sahip kişilerin yalan söyleme konusunda yetkin olduklarını ve yalan söyleme konusunda herhangi bir pişmanlıkları ya da kısıtlamaları olmadığını da bilmelidirler.
Başka bir teknik gerçeği söylemek, ancak bazı bölümlerini atlamaktır. Bu, yalan söylemeye alışkın olmayan ve daha önce söyledikleri yalanları takip edemeyen kişiler için iyi bir tekniktir.
Ayrıca, sosyal mühendis, şüpheli olmanın yanlış olduğuna inanana kadar, balıklı bir şey olduğundan şüphelenirseniz, ona ileri sürdüğünüz iddiaları reddetmeye devam edebilir.
Bir sonraki teknik, bazı araştırmalar için bir neden vermektir. Saldırgan rasyonelleştirme yapar ve sihirli kelime "çünkü" kullanırsa, nedeni salak olsa bile ona vermeniz daha olasıdır. Rasyonalizasyonu içeren bir çalışma vardı. Özellikle fotokopi makinesini kullanmak için bir kütüphanede ve sırada gerçekleşti. Hatta çok sayıda insan vardı ve bir kişi geldi ve çizgiyi kesmesini istedi. İlk grupta sıraya girmek isteyen kişi diğerlerine Affedersiniz, beş sayfam var. Xerox makinesini acele ettiğim için kullanabilir miyim? " ve katılımcıların %94'ü sayfalarını kendilerinden önce kopyalamasına izin verdi. Farklı bir grupta bir kişi "Affedersiniz. Beş sayfam var. Xerox makinesini kullanabilir miyim? Ve yalnızca %60'ı sıraya girmesine izin verdi. Son gruptaki kişi "Affedersiniz, beş sayfam var. Xerox makinesini kullanabilir miyim, çünkü proje yapmam gerekiyor " dedi ve %93 kişi sıraya girmesine izin verdi. Bu açıkça çünkü kullanımının, insanların sıraya girmesi için geçerli bir nedeni olduğunu düşünmesine yetecek kadar olduğunu ve hatta nedenini işlemediğini açıkça göstermektedir. Bunun gibi bir sürü örnek gösterebiliriz.
Son düzenleme:
