Nedir Sosyal mühendislik? Dikkat Edilmesi Gereken 11 Örnek
İçindekiler
Zaten Sosyal Mühendislik tam olarak nedir?
Sosyal mühendislik, gizli bilgilerini elde etmek için insanları manipüle etme eylemini ifade eder. Suçluların aradığı bilgi türü değişebilir. Genellikle, kişiler banka bilgileri veya hesap şifreleri için hedef alınır. Suçlular ayrıca kötü amaçlı yazılım yüklemek için kurbanın bilgisayarına erişmeye çalışır. Bu yazılım daha sonra ihtiyaç duyabilecekleri herhangi bir bilgiyi çıkarmalarına yardımcı olur.
Suçlular, sosyal mühendislik taktiklerini kullanır çünkü bir kişinin güvenini kazanarak onu istismar etmek ve kişisel bilgilerini vermeye ikna etmek genellikle kolaydır. Bu, bilgisi olmadan birinin bilgisayarına doğrudan girmekten daha uygun bir yoldur.
Sosyal Mühendislik Örnekleri
Toplum mühendisliğinin farklı şekillerde yapıldığı konusunda bilgi sahibi olarak kendinizi daha iyi koruyabileceksiniz.
1. bahane
Suçlu, kritik bir görevi yerine getirmek için kurbandan hassas bilgilere erişmek istediğinde bahane kullanılır. Saldırgan, bilgileri özenle hazırlanmış birkaç yalanla elde etmeye çalışır.
Suçlu, kurbanla güven ilişkisi kurarak başlar. Bu, bu tür hassas bilgileri isteyebilecek arkadaşlarının, meslektaşlarının, banka görevlilerinin, polisin veya diğer yetkililerin kimliğine bürünerek yapılabilir. Saldırgan, kimliğini doğrulama bahanesiyle onlara bir dizi soru sorar ve bu süreçte kişisel verileri toplar.
Bu yöntem, bir kişiden her türlü kişisel ve resmi ayrıntıyı çıkarmak için kullanılır. Bu tür bilgiler, kişisel adresleri, sosyal güvenlik numaralarını, telefon numaralarını, telefon kayıtlarını, banka bilgilerini, personelin tatil tarihlerini, işletmelerle ilgili güvenlik bilgilerini vb. içerebilir.
2. Saptırma Hırsızlığı
Bu, genellikle kargo ve nakliye şirketlerini hedef alan bir dolandırıcılık türüdür. Suçlu, teslimat paketini başlangıçta planlanandan farklı bir teslimat konumuna göndermelerini sağlayarak hedef şirketi kandırmaya çalışır. Bu teknik, posta yoluyla teslim edilen değerli malları çalmak için kullanılır.
Bu aldatmaca hem çevrimdışı hem de çevrimiçi olarak gerçekleştirilebilir. Paketleri taşıyan personele yaklaşılabilir ve teslimatı farklı bir yere bırakması için ikna edilebilir. Saldırganlar ayrıca çevrimiçi dağıtım sistemine erişim sağlayabilir. Daha sonra teslimat programına müdahale edebilir ve üzerinde değişiklikler yapabilirler.
3. Kimlik avı
Kimlik avı, sosyal mühendisliğin en popüler biçimlerinden biridir. Kimlik avı dolandırıcılıkları, kurbanlarda merak, korku veya aciliyet duygusu yaratabilecek e-posta ve metin mesajlarını içerir. Metin veya e-posta, onları cihazlarına kötü amaçlı yazılım yükleyecek kötü amaçlı web sitelerine veya eklere yönlendiren bağlantılara tıklamaya teşvik eder.
Örneğin, bir çevrimiçi hizmetin kullanıcıları, parolalarını hemen değiştirmelerini gerektiren bir ilke değişikliği olduğunu iddia eden bir e-posta alabilir. Posta, orijinal web sitesiyle aynı olan yasa dışı bir web sitesine bir bağlantı içerecektir. Kullanıcı daha sonra hesap kimlik bilgilerini meşru olduğunu düşünerek bu web sitesine girecektir. Ayrıntıları gönderdikten sonra, bilgilere suçlu erişebilir.
4. Mızrak Kimlik Avı
Bu, daha çok belirli bir kişiyi veya kuruluşu hedef alan bir tür kimlik avı dolandırıcılığıdır. Saldırgan, mesajlarını kurbanla ilgili iş pozisyonlarına, özelliklerine ve sözleşmelerine göre özelleştirir, böylece daha samimi görünebilirler. Spear phishing, suçlu açısından daha fazla çaba gerektirir ve normal phishing'den çok daha fazla zaman alabilir. Ancak, tespit edilmesi daha zordur ve daha iyi bir başarı oranına sahiptirler.
Örneğin, bir kuruluşta hedef odaklı kimlik avı girişiminde bulunan bir saldırgan, firmanın BT danışmanı gibi davranan bir çalışana bir e-posta gönderir. E-posta, danışmanın nasıl yaptığına tamamen benzer bir şekilde çerçevelenecektir. Alıcıyı aldatmaya yetecek kadar gerçekçi görünecektir. E-posta, çalışana, bilgilerini kaydedecek ve saldırgana gönderecek kötü amaçlı bir web sayfasına bağlantı sağlayarak parolasını değiştirmesini isteyecektir.
5. Su Tutma
Su kuyusu dolandırıcılığı, pek çok kişi tarafından düzenli olarak ziyaret edilen güvenilir web sitelerinden yararlanır. Suçlu, hangi web sitelerini sıklıkla ziyaret ettiklerini belirlemek için hedeflenen bir grup insan hakkında bilgi toplayacaktır. Bu web siteleri daha sonra güvenlik açıkları için test edilecektir. Zamanla, bu grubun bir veya daha fazla üyesi enfekte olacaktır. Saldırgan daha sonra bu virüslü kullanıcıların güvenli sistemine erişebilecektir.
Adını, hayvanların susadıklarında güvendikleri yerlerde toplanarak su içmelerine benzetmesinden gelmektedir. Önlem alırken ikinci kez düşünmezler. Avcılar bunun farkındadır, bu yüzden gardları düştüğünde onlara saldırmak için yakınlarda beklerler. Dijital ortamdaki su kuyusu, bir grup savunmasız kullanıcıya aynı anda en yıkıcı saldırılardan bazılarını yapmak için kullanılabilir.
6. Yemleme
Adından da anlaşılacağı gibi, yemleme, kurbanın merakını veya açgözlülüğünü tetiklemek için yanlış bir sözün kullanılmasını içerir. Kurban, suçlunun kişisel bilgilerini çalmasına veya sistemlerine kötü amaçlı yazılım yüklemesine yardımcı olacak bir dijital tuzağa çekilir.
Yemleme, hem çevrimiçi hem de çevrimdışı ortamlarda gerçekleşebilir. Çevrimdışı bir örnek olarak, suçlu, göze çarpan konumlarda kötü amaçlı yazılım bulaşmış bir flash sürücü biçiminde yem bırakabilir. Bu, hedeflenen şirketin asansörü, banyosu, otoparkı vb. olabilir. Flash sürücü, kurbanın onu alıp iş veya ev bilgisayarına takmasını sağlayacak özgün bir görünüme sahip olacaktır. Flash sürücü daha sonra kötü amaçlı yazılımı otomatik olarak sisteme aktaracaktır.
Çevrim içi yem biçimleri, kurbanları tıklamaya teşvik edecek çekici ve baştan çıkarıcı reklamlar şeklinde olabilir. Bağlantı, bilgisayarlarına kötü amaçlı yazılım bulaştıracak kötü amaçlı programları indirebilir.
7. Bedelini Öde
Quid pro quo saldırısı, "bir şey için bir şey" saldırısı anlamına gelir. Yemleme tekniğinin bir çeşididir. Mağdurları bir fayda vaadiyle tuzağa düşürmek yerine, karşılıksız saldırı, belirli bir eylemin gerçekleştirilmesi durumunda bir hizmet sözü verir. Saldırgan, erişim veya bilgi karşılığında kurbana sahte bir avantaj sunar.
Bu saldırının en yaygın biçimi, bir suçlunun bir şirketin BT personelinin kimliğine bürünmesidir. Suçlu daha sonra şirketin çalışanlarıyla iletişime geçer ve onlara yeni bir yazılım veya sistem yükseltmesi önerir. Daha sonra çalışandan, yükseltmeyi istiyorsa virüsten koruma yazılımını devre dışı bırakması veya kötü amaçlı yazılım yüklemesi istenecektir.
8. Arkada Kalma
Bir kuyruklama saldırısına piggybacking de denir. Uygun kimlik doğrulama önlemlerine sahip olmayan kısıtlı bir konuma suçlunun giriş yapmasını içerir. Suçlu, alana girmesine izin verilen başka bir kişinin arkasından yürüyerek erişim sağlayabilir.
Örnek olarak, suçlu, elleri paketlerle dolu olan bir teslimat sürücüsünün kimliğine bürünebilir. Yetkili bir çalışanın kapıdan girmesini bekler. Sahte teslimat görevlisi daha sonra çalışandan kapıyı kendisi için tutmasını ister ve böylece herhangi bir izin almadan içeri girmesine izin verir.
9. Bal kapanı
Bu numara, suçlunun çevrimiçi olarak çekici bir kişi gibi davranmasını içerir. Kişi, hedefleriyle arkadaş olur ve onlarla çevrimiçi bir ilişki numarası yapar. Suçlu daha sonra kurbanlarının kişisel bilgilerini almak, onlardan borç para almak veya bilgisayarlarına kötü amaçlı yazılım yüklemelerini sağlamak için bu ilişkiden yararlanır.
'Honeytrap' adı, kadınların erkekleri hedef almak için kullanıldığı eski casus taktiklerinden gelir.
10. Haydut
Hileli yazılım, hileli kötü amaçlı yazılımdan koruma, hileli tarayıcı, hileli korkutma yazılımı, casus yazılım önleme vb. Bu tür bilgisayar kötü amaçlı yazılımları, kullanıcıları kötü amaçlı yazılımları kaldırmayı vaat eden simüle edilmiş veya sahte bir yazılım için ödeme yapmaya yönlendirir. Hileli güvenlik yazılımı son yıllarda artan bir endişe haline geldi. Şüphelenmeyen bir kullanıcı, bol miktarda bulunan bu tür yazılımların kurbanı olabilir.
11. Malware
Kötü amaçlı yazılım saldırısının amacı, kurbanın sistemlerine kötü amaçlı yazılım yüklemesini sağlamaktır. Saldırgan, kurbanın kötü amaçlı yazılımın bilgisayarlarına girmesine izin vermesini sağlamak için insan duygularını manipüle eder. Bu teknik, kimlik avı mesajları göndermek için anlık mesajların, kısa mesajların, sosyal medyanın, e-postanın vb. kullanımını içerir. Bu mesajlar, kurbanı kötü amaçlı yazılım içeren bir web sitesini açacak bir bağlantıya tıklaması için kandırır.
Mesajlar için genellikle korkutma taktikleri kullanılır. Hesabınızla ilgili bir sorun olduğunu ve hesabınıza giriş yapmak için hemen verilen bağlantıya tıklamanız gerektiğini söyleyebilirler. Bağlantı daha sonra, kötü amaçlı yazılımın bilgisayarınıza yükleneceği bir dosyayı indirmenizi sağlar.
Farkında Kalın, Güvende Kalın
Kendinizi bilgilendirmek, kendinizi korumanın ilk adımıdır. sosyal mühendislik saldırıları. Temel bir ipucu, şifrenizi veya finansal bilgilerinizi isteyen mesajları yok saymaktır. Bu tür e-postaları işaretlemek için e-posta hizmetlerinizle birlikte gelen spam filtrelerini kullanabilirsiniz. Güvenilir bir anti-virüs yazılımı edinmek, sisteminizin güvenliğini daha da artırmanıza yardımcı olacaktır.
