Diger

Sosyal Mühendislik Nedir?

07 Ağustos 2014

En temel hack yöntemlerinden birisi olan Sosyal Mühendisliğin temel hatlarıyla ne olduğuna değineceğim bugün. Hiç uzatmadan konumuza geçiyorum. Keyifli okumalar.

 

Sosyal Mühendislik (Social Engineering) Nedir?

Sosyal Mühendislik; yukarıda da dediğim gibi en temel hack yöntemlerinden birisidir. Hackerlar karmaşık kod parçacıkları ve sistemlerin yanı sıra bazen de en basit yöntemlerden biri olan Sosyal Mühendislik’i kullanarak çok can yakmaktadır. Sosyal Mühendislik, insanları hedef almaktadır. Yani Sosyal Mühendislik’te sistemde bulunan zaafiyete vs. bakılmaz. Sosyal Mühendislik, insan ilişkilerini ve insanların zaafiyetlerini ele alarak hedef kişi, kişiler veya kurum üzerinde bilgi toplamak ve toplanan bilgiler doğrultusunda hareket etmek için kullanılır. Benim görüşüme göre ise Sosyal Mühendislik, yalan söyleme ve aldatma sanatıdır.

İki şeyin sonsuz olduğundan eminim. Birincisi evrenin sonsuzluğu, ikincisi insanın aptallığı. Ama birincisinden o kadar da emin değilim.

Albert Einstein

Sosyal Mühendislik dendiğinde film gibi senaryolar yazılabiliyor genelde. Ama bazen bu imkansız gibi gelen senaryoların yaşandığına dair haberler duyuyoruz. Hedef kişiyle dost olmak, hedef kurumdan teknik destek talebi almak, kendinizi olmayan birisi gibi göstermek en sık kullanılan yöntemlerdendir.

Kevin Mitnick

Aramızda Kevin Mitnick’i duymayan var mı? Bilmeyenler için tek cümleyle bir zamanlar FBI’ın 1. numaralı arananlar listesinde yer alan efsanevi hacker olarak tanımlayabilirim Kevin Mitnick. İşte Sosyal Mühendislik’in atası olarak Kevin Mitnik’i gösterebiliriz. Ve bu alanda yazmış olduğu birçok kitabı bulunmaktadır. Kevin Mitnick sızmış olduğu sistemlerin çok büyük kısmına Sosyal Mühendislik kullanarak sızmış bulunmaktadır. Sizcede şaşırtıcı değil mi?

Sosyal Mühendislik; İnsanları istemedikleri bir şeyler yapmaya ya da gizli bilgilerini vermeye kandırma eylemidir.

Wikipedia

Sosyal Mühendislik Türleri

Çok ama çok fazla Sosyal Mühendislik türü bulunmaktadır aslında. Bu sadece sizin hayalgücünüze bağlıdır. Kafanızda canlandırabilirdiğiniz senaryo sayısı kadar türü vardır Sosyal Mühendisliğin.

Sosyal Mühendislik cephanemdeki en güçlü silahlardan biriydi.

Kevin Mitnick

Gerçek Bir Sosyal Mühendislik Hikayesi (Alıntıdır)

Bundan bir kaç yıl önce bir sabah, bir grup yabancı büyük bir gemi taşıma firmasına hiç bir zorluk olmadan kolaylıkla yürüyerek girdiler ve firma içi ağa ait giriş hakkı ile orayı terk ettiler. Bunu nasıl yaptılar? Bu firmadaki farklı çalışan numarasıyla azar azar küçük giriş miktarı ile elde ettiler. İlk olarak, binanın içine girmeden önce girişimde bulunmak için iki gün boyunca şirket hakkında araştırma yaptılar. Örneğin, İnsan kaynaklarını arayarak anahtar işçi isimlerini öğrendiler.Sonra, ön kapıda anahtarlarını kaybetmiş numarasıyaptılar ve bir adam onları içeri girmesine izin verdi. Sonra, yabancılar kimlik rozetlerini kaybettiklerine inandırıp üçüncü güvenli bölgeye girdiler, gülümsediler ve dost canlısı bir işçi onlara kapıyı açtı. 
turkhackteam.org 
Yabancılar binanın dışından CFO’yu biliyordu. Bu yüzden onlar onun ofisine girebilirlerdi ve kilidi açılmış bilgisayardanfinansal bilgilerini alabilirlerdi. Bütün kullanışlı dökümanları bulabilmek için, şirkete ait çöpleri karıştırdılar. Bir hademeye çöp kutusunun sordular. Buldukları içerikleri çöpe yerleştirip ve bu verilerin binanın dışına elleriyle taşıdılar. Yabancılar, ümitsizce ağ şifrelerine ihtiyaç duydukları için CFO’ sun çalışanlarının sesini çalıştılar. Böylelikle telefonda bir koşuşturma anında bir CFO’lu oldular. Oradan, olağan hack araçlarını kullanarak sitemde super-user girişi kazandılar.turkhackteam.org 
Aslında, yabancılar CFO’nun güvenliğini çalışanların bilgileri olmadankontrol eden network danışmanlarıydı. CFO hakkında ayrıcalıklı bilgi verilmemişti onlara, fakat istedikleri bütün girişleri sosyal mühendislik aracılığı ile elde ettiler(Bu hikayeyi Kapil Raina anlatmıştır, şuanda Verisign da güvenlik uzmanı ve Ticaret Güvenliği: Başlangıç Rehberinin yazarıdır, eski iş yeri çalışanları ile birlikte gerçek işyeri tecrübelerinedayanır)

Faydalı olması dileğiyle…

You Might Also Like

Henüz Yorum Yok

Bir Yorum Bırak

3 × 3 =