Sosyal Mühendislik(Social Engineering) internet korsanlarının hedeflerinde yer alan kişiyi aldatarak, istediği bilgileri ele geçirmesini sağlayan bir saldırı tekniğidir.
Siber suçluların bir sisteme giriş yapmak için çoğu zaman yalnızca bilgisayarlarını ve kara kodlarla hazırladıkları özel yazılımlarını kullandıklarını zannederiz. Oysa siber suçlular, istedikleri bilgileri elde edebilmek ve sistemlere sızabilmek için daha farklı ve daha tehlikeli yollara da başvururlar. Sosyal mühendislik saldırıları da bunlardan biridir.
Sosyal mühendislikte hedef alınan şey bir sistem değil, sisteme giriş yapmak için hedef alınan gerçek kişilerdir. Her sistem bir kişi tarafından hazırlanır ve bu sisteme giriş yapabilme yetkisi sadece belli kişilere verilir. Bu nedenle aşılması en imkansız olan sistemler (Bankalar gibi.) bile gerekli araçlar için sağlandığında kolaylıkla geçilebilir hale gelir.
Sosyal mühendislik tekniği bu giriş yapma yetkisi olan kişilere yönlendirildiğinde yalnızca dakikalar içerisinde kötü niyetli kişiler istenilen verilerle doğru şifreye ulaşılabilir veya doğrudan bir şifreye ulaşılabilir.
Hedef alınan sisteme girebilmenin en kısa yolları aranır
Sosyal mühendislik atakları sırasında sadece yazılım dili yeterli olmayabilir. Bu nedenle gerçekleştirilen saldırıları daha kuvvetli hale getirilmek için sisteme giriş yapmaya yardımcı olabilecek senaryolarla bezenir. Bunun en yaygın örneği, sosyal mühendislik taktikleri uygulanarak karşı taraftaki kişinin bilgisayarında bir virüs, trojan veya malware yazılımı çalıştırmaktır.
Mail Phishing benzeri yöntemlerle birlikte sosyal mühendislik saldırısı sonucunda istenen sistemin bir kısmına giriş yapılabilir. Bu parçadan sonra ana sunuculara ve diğer bilgisayarlara sızmak en tecrübesiz internet korsanı için bile çok daha kolay olacaktır.
Bu saldırılarda genellikle insanların zaafları kullanılır
Sosyal mühendislik, tıpkı bir senaryo üretmek gibidir. Üretilecek bu senaryonun tek bir amacı vardır; o da sisteme giriş yapabilmek için yeteri kadar bilgiyi ele geçirebilmektir. Bu tarz saldırılarda genellikle insanların zaafları, korkuları ve dikkatsizlikleri en büyük silah olarak kullanılır. İstenilen bilgiyi ele geçirmek için size farklı biri olarak ulaşabilir, güveninizi kazanmak için arkadaş olabilir ve hatta dahi randevulaşabilir.
Örneğin; sisteme giriş yapmak isteyen bir hacker, bir şekilde iç hatlara erişerek herhangi bir kullanıcıyı arayıp Bilgi Teknolojilerinden aradığını ve sisteme erişim için bilgilerin onaylanması gerektiğini öne sürebilir. Bunun sonucunda korsanın hiçbir ekstradan hamle yapmasına gerek kalmaksızın istediği bilgilerin tümünü ele geçirebilir. Buna benzer daha birçok senaryo gerçekten gerçekleşmiş ve siber korsanlar istedikleri başarıya doğrudan ulaştırmıştır.
1 Trackback / Pingback
Yorumlar kapatıldı.