0

Sosyal mühendislik diğer adı ile Toplum Mühendisliği güven ve minnet gibi duyguları istismar ederek elde edilen bilgileri menfaat amacı ile kullanmak olarak tanımlana bilir. Diğer hacking yöntemlerinin aksine birebir temas ile elde edilmek istenen bilgiler alınır. Örnek olarak telefon görüşmesi , e-posta ,sms vb iletişim yolları kullanılarak yapılmaktadır.

Temel inanç sistemi kıramıyorsan sistemin içinde bulanan zayıf halkadan ( insan ) unsurundan faydalanmaktır.

Sosyal mühendislik genel olarak demografik sosyolojik olarak insanları inceleyerek ve analiz ederek yakınlaşma ve iletişime geçme yolarını aramaktadır.

Demografi genel anlamda Halk bilimi etimilojik kökenine baktımızda demos = halk graphein = yazmak anlamalarını taşıyor Demografi Dünya’da veya bir ülkede bulunan nüfusun yapısını, durumunu, dinamik özelliklerini inceleyen bilim dalı.

Peki sosyal mühendislikle alakası nedir.? Sosyal mühendisler hedef aldıkları kişileri kurum veya organizasyonları bu bilim dallarının ögreti ve teknikleri ile inceler birçok sosyal mühendis farkında olmadan bu teknikleri kendi şahsi çıkarları için uygular

İnsan zafiyetini ele alırken sosyolojide belirli toplulugu incelerken kullanılan teknikleri kurum ve kuruluşlarda kullanıyorlar Örnek vermek gerekirse;

A noktasında bulunan bir şirket incelendiğinde çevresi ile olan etkileşimi göze çarpıyor çalışanların nerelerde yemek yedikleri ve bu alanda kullanılar ortamların ne oldugu bir wifi kullanıp kullanmadıkları, bu ortamda konuşulan konular lokanta çalışanlarına olan güven duyguları şirket içerisine sızma girişimlerinde etkili olabilecek unsurlardan bu bizlere çok uçarı gelsede test edildiğinde çok uçarı olmadıgı gözlemlenmekte “Okan YILDIZ , Alperen BAŞARAN’ın yazdıgı sosyal mühendislik saldırıları yayınında

Örnek Senaryo;

Saldırgan hedef aldığı kurumdaki personellerin takıldığı kafe, spor salonları ve ya yemek yediği lokantalar gibi yerlerde ilgi çekici sahte bir kampanya ile ilgili broşür dağıtır. Kampanya ile ilgili detaylı bilgi almak isteyen personeller bir siteye yönlendirilir ve karşılarına çıkan sitede kampanyadan yararlanmak için siteye kayıt olmalarını ister. Hedefteki personellerimiz bu siteye kayıt olur. Buraya karşı her şey normal görünüyor ama bilinmeyen bir şey var ki biz insanlar parola oluşturmada fazlasıyla üşengeç davranıyoruz ve her kullandığımız site ve ya sistemlere de bu şifrelerle giriş yapıyoruz. ve sonuç olarak kurumumuzun belki de altın anahtarı sayılabilecek olan personel şifrelerini kendi ellerimizle saldırgana teslim etmiş oluyoruz. “

demografik anlamda inceleme yapmamız gerektiğinde bir parola kırma saldırı yapılıcaksa kişi tahmini olarak oluşturulan wordliste bölgesel bazda en çok kullanılan parolları ekliyecektir

15 Temmuz 2015 de hacklenen Ashley Madison adlı arkadaşlık sitesine ait parolalar yayınlandı ve çalınan 11 milyon parola üzerinde yapılan incelemelerde en sık kullanılan ilk 3 parola şu şekildedir;

1. 120 bin kişi ile “123456”

2. 48 bin kişi ile “12345”

3. 39 bin kişi ile “password”

Demografik anlamda incelemelerde ülkemeizde 1 milyon hesabın güvende olmadıgı belirtiliyor

1 milyon kişinin hesabı güvende değil

Ülkemizde de 1 milyondan fazla kişinin şifre ve e-posta adresleri biliniyor. Araştırmalara göre, ülkemizde en çok kullanılan parolanın ‘123456’ olduğu belirtildi. Türkiye’de 4.219 dernek ve vakıf, 269.902 ticari, 39.469 üniversite, 38.461 devlet kurumu ve 472 belediyeye ait e-posta adresi kayıtlı. Ayrıca ülkemizde en çok kullanılan parolaların dünya geneline göre benzerlik gösterdiği ortaya çıktı.

  • 123456

  • 123456789

  • Qwerty

  • Password

  • 11111

  • 12345678

  • Abc123

  • 1234567

  • Password1

  • 1234567890

İşte Türkiye’de en çok kullanılan parolalar

Bireysel siber güvenlik ve sosyal mühendislik yazımda belirtiğim gibi artık parola ve şifre arasında ki farkı anlamalıyız

ŞİFRE:Normal olarak okunduğunda biranlam ifade etmeyen,kişiden kişiye farklık gösteren

metinlerin çeşitli algoritmalar ile oluşturulup geridönüştürülebilir ve ya geri

dönüştürülemez hallerde kullanıldığı metinlerdir .örneğin sha-1 ,md5 ,base64 ,md4, rsa,

idea gibi algoritmalar şifrelemede sıklıkla kullanılan çeşitlerdir.

PAROLA:Okunduğunda anlamifade eden, kişinin kendininde bildiği, kendinin seçip

kullandığı kelimelerdir .Örneğin: 123456 ,password ,qwerty, merhabadünya gibikelimeler

buna örnek verilebilir.

Sosyal mühendislikte kullanılan tekniler yetersiz gelmeye başladıgında artık psikografik olayın içerisine dahil olmakta sagırgan çevresel faktörleride içerisine alarak kişilerin neye göre karar veriklerini ,kararlarını etkileyecek unsurların ne oldugu ,bu kararrı vermeye nasıl teşvik edebileceklerini kişilerin psikografisini inceleyerek vermeye başladıklarını gözlemleriyoruz artık saldırılar daha detaylı ve kişiye yönelik çalışmakta

Kısacası demografik ve sosyolojik anlamda kişilerin “ Erkek mi ? Kadın mı ? , Hangi bölge, ülke ,şehir ve ya semtte yaşıyor ? ,Hangi inaçta Hangi dili konuşuyor kaç dil biliyor , evlimi bekarmı gibi özelliklere bakılırken

Psikografik anlamda kişilerin bir konuda karar verir ken nelere dikkat ettiğine, Hobileri nelerdir?, Değerleri nelerdir?, Tutum ve davranışları nelerdir?, Yaşam tarzları nasıldır?,Nerelere giderler?, İnternet’te nerededirler?,Nereden bilgi edinirler?,İşinizle ilgili en büyük problemleri nedir?,İşinizle ilgili konularda en büyük istekleri nelerdir? Sorularının cevabı bizlere kişinin psikografik analizini veriyor

Buda Sosyal mühendislikte saldırı tekniklerini buna göre düzenlenmesi hedef alınan kişilerin sosyal hayatlarının daha fazla ön plana çıkması demek

Sosyal mühendislikte izlenen adımlar : Bilgi toplama => İyi ilişikiler kurma ve güven kazanama =>

Güveni istismar etmek => Bilgiye erişim,Bilgiyi kullanmak

Bilgi Toplama: Sosyal mühendisin yapacağı ilk iş budur. Kurum hakkında internetten, gazetelerden hatta bazen sizden kurum işleyişini ve kurum içinde kullanılan argümanları öğrenir. Bunu yapmasının amacı sorulan sorulara kısa zamanda doğru cevapları vermek ve kurum içinde kullanılan argümanları sıkça kullanmaktır. Bu şekilde inandırıcılığını artmasını sağlayabilir ve erişmek istediği bilgiye hızlıca erişebilir.

İyi İlişkiler Kurmak, Güven Kazanmak: Saldırgan bu evre de hedef olarak belirlediği kişi ile iş saatinde ve ya iş saatleri dışında iyi ilişkiler kurmayı amaçlayabilir. İş saatlerinde kişi ile güvene dayalı bir arkadaşlık kurmayı tercih edebilir ve ya iş saatler dışında gelişen kişisel ilişkileri istismar edebilir. Bunlardan bağımsız olarak kendini o bilgiye erişmek için yetkili kişi olduğuna ikna edebilir ya da kendini güvenli bir kaynak olarak tanıtabilir.

Güveni İstismar Etmek: Saldırgan artık kurum hakkında yeterli bilgilere mevcut ve buna ek olarak ta bu bilgileri kullanarak şirket içinde kendine gerekli bilgileri sağlayabilecek güvenini kazandığı birilerini buldu. Artık tek yapması gereken özenle hazırladığı soruları hedefteki personele özenle yönelterek ondan gerekli bilgileri toplamaktır.

Bilgiyi Kullanma: Kurban tarafından edinilen bilginin tutarlılığına bakılır. Eğer bilgi istenilen bilgiyse saldırı amacına ulaşmıştır ve bilgiyi lehine kullanmaya başlayabilir. Saldırı amacına ulaşmamış ise önceki evrelere dönerek istenilen bilgiyi tekrar elde etmeye çalışır.

Peki neden sosyal mühendislik ? Çok iyi korunan sisteme girmek için yeterli bilgi yoksa bunu fark edilme ihtimali olan sistemler yerine bilgi güvenliğinin zayıf halkası insan unsuru daha mantıklıdır.

Kurum kuruluşlar güvenlik sistemlerini yeterli görürü

İnsanlar EGO’su itibari ile kazanmaya odaklıdır ve asla kandırılamayacaklarını düşünürler.

Sosyal mühendislikte kullanılan yöntemler;

  • Kurumun herhangi bir bölümünde ki çalışan gibi davranmak

  • Üst düzey yetkili gibi davranmak

  • Yardıma ihtiyacı olan bir personel gibi davranmak

  • Kendini acındırmak

  • Omuz sörfü

  • Personele içinde zararlı yazılım bulunan bir usb bellek hediye etmek

  • Kurbanı zararlı olan bedava bir yazılımı indirmeye ikna etmek

  • Güven kazanmak için şirket içi terimler kullanmak

  • Onu önceden tanıyormuş gibi yapmak

  • Karşı cinsi etkilemeye çalışmak

  • E-Posta ekinde keylogger ya da trojen gibi zararlı yazılımlar göndermek

  • Kullanıcının yeniden parola bilgilerini girmesini sağlayan sahte pencereler açmak

  • Kendini Emniyet, İstihbarat mensubu gibi tanıtmak

  • Teknik destek sağlamak için aradığını ve belli başlı adımları izlemesi gerektiğine ikna etmek

  • Kurumun içerisine fiziksel olarak sızmak

Bu yöntemler saldırganlar tarafından karma olarak kullanıla bilir.

Pazarlama sektöründe çalışan insanlar sosyal mühendislik tekniklerini kullandıkları bilinmekte onlar buna pazarlama teknikleri desede içerisinde ikna etmeye dayalı teknikler sosyal mühendislik teknikleri ile benzerlik göstermektedir.

Bir sonraki yazıda ” Sosyal mühendislikle birey keşfi “konusunu inceliycez

LS Komutu bilenler için linux 101-4

Previous article

QR kodu Nedir?

Next article

You may also like

Comments

Bir Cevap Yazın

More in Anasayfa