Sosyal Mühendislik (Social engineering), internet korsanlarının hedeflerinde yer alan kişiyi aldatarak, istediği bilgileri ele geçirmesini sağlayan bir saldırı tekniğidir. Diğer siber korsanlık terimlerinin aksine sosyal mühendislik teknik olmayan bir terimdir.
İnternet korsanlarının bir sisteme giriş yapmak için çoğu zaman yalnızca bilgisayarlarını ve kara kodlarla hazırladıkları özel yazılımlarını kullandıklarını zannederiz. Oysa siber suçlular istedikleri bilgileri elde edebilmek ve sistemlere sızabilmek için daha farklı ve daha tehlikeli yollara da başvururlar. Sosyal mühendislikte bunlardan biridir.
Sosyal mühendislikte hedef alınan şey bir sistem değil, sisteme giriş yapmak için hedef alınan gerçek kişilerdir. Her sistem bir kişi tarafından hazırlanır ve bu sisteme giriş yapabilme yetkisi sadece belli kişilere verilir. Bu nedenle aşılması en imkansız olan sistemler (Bankalar gibi.) bile gerekli materyaller sağlandığında kolaylıkla geçilebilir hale gelir. Sosyal mühendislik tekniği bu giriş yapma yetkisi olan kişilere yönlendirildiğinde yalnızca dakikalar içerisinde kötü nyetli kişiler istenilen verilerle doğru şifreye ulaşılabilir veya doğrudan bir şifreye ulaşılabilir.
Sosyal Mühendislik Neden Yapılır?
Sosyal mühendislik saldırıları sırasında sadece dil yeterli olmayabilir. Bu nedenle sosyal mühendislik daha kuvvetli hale getirilmek için sisteme giriş yapmaya yardımcı olabilecek senaryolarla bezenir. Bunun en yaygın örneği, sosyal mühendislik taktikleri uygulanarak karşı taraftaki kişinin bilgisayarında bir virüs, trojan veya malware yazılımı çalıştırmaktır. Mail Phishing benzeri yöntemlerle birlikte sosyal mühendislik saldırısı sonucunda istenen sistemin bir kısmına giriş yapılabilir. Bu parçadan sonra ana sunuculara ve diğer bilgisayarlara sızmak en tecrübesiz internet korsanı için bile çok daha kolay olacaktır.
Sosyal Mühendislik Nasıl Yapılır?
Sosyal mühendislik, tıpkı bir senaryo üretmek gibidir. Üretilecek bu senaryonun tek bir amacı vardır; o da sisteme giriş yapabilmek için yeteri kadar bilgiyi ele geçirebilmektir. Sosyal mühendislik saldırılarında genellikle insanların zaafları, korkuları ve dikkatsizlikleri en büyük silah olarak kullanılır. İstenilen bilgiyi ele geçirmek için size farklı biri olarak ulaşabilir, güveninizi kazanmak için arkadaş olabilir ve hatta dahi randevulaşabilir.
Örneğin sisteme giriş yapmak isteyen bir hacker, bir şekilde iç hatlara erişerek herhangi bir kullanıcıyı arayıp BT'den aradığını ve sisteme giriş için bilgilerin onaylanması gerektiğini öne sürebilir. Bunun sonucunda korsanın hiçbir ekstradan hamle yapmasına gerek kalmaksızın istediği bilgilerin tümünü ele geçirebilir. Buna benzer daha birçok senaryo gerçekten gerçekleşmiş ve siber korsanlar istedikleri başarıya doğrudan ulaştırmıştır.
Kaynak: https://wmaraci.com/nedir/sosyal-muhendislik
Hiç yorum yok:
Yorum Gönder