Sosyal Mühendislik Nedir?

Sosyal mühendislik kelimesini birçoğunuz bu yazı ile ilk defa duyacak ve belki de mühendislik kelimesini görünce bu teknik bir yazı diye düşünüp okumak istemeyeceksiniz. Ancak okudukça birçok tekniği farkına varmadan zaten gündelik yaşamınızda kullandığınızı göreceksiniz. Bu yazı belki sizi bir sosyal mühendis yapmayacak ama kötü adamların sizi kandırmak için neler yaptığını öğreneceğinizden emin olabilirsiniz.

Sosyal mühendislik en çok bilinen tanımıyla, teknolojiyi kullanarak ya da teknolojiyi kullanmadan insanları aldatma sanatıdır. İnsanları aldatarak bilgi alma ya da menfaat sağlamanın yeni olmadığını düşününce, sosyal mühendisliğin tarihine de insanlığın tarihi ile başlatmamız yanlış olmaz.

Sosyal Mühendislik Nedir Ne Değildir

Sosyal Mühendisliğin günümüzdeki kullanımını ilk olarak 1978 yılında Kevin Mitnick ve arkadaşları Roscoe, Susan ve Steven‘ın ABD deki telefon sistemlerine illegal yollarla sızma, bilgi çalma ve çeşitli yönlendirmeler yaparak şirketleri zarara uğratmaları ile gördük.

Başka bir tanımda ise sosyal mühendislik “İnsanları eylemde bulunmaları veya gizli bilgileri ifşa etmeleri için psikolojik olarak manipüle etme eylemidir.” denilmektedir.

Webster’s Dictionary, toplumsal kelimesini “bir topluluktaki insanların hayatı, refahı ve ilişkilerine dair” olarak tanımlıyor. Mühendislik kelimesini ise, “fizik ya da kimya gibi kuramsal bilimlerin bilgi birikimini pratik olarak uygulama sanatı ya da bilimi, örneğin motorların, köprülerin, binaların, madenlerin, gemilerin ve kimya tesislerinin yapılması; becerikli ya da sanatsal icat; manevra yapma,” olarak tanımlıyor.

Bu iki tanımı birleştirdiğinizde, sosyal mühendisliğin insanoğlunu hayatlarının harekete geçmesi için becerikli bir şekilde yönlendirme sanatı ya da daha da iyisi, yönlendirme bilimi olduğunu kolayca görebilirsiniz.(1)

Sosyal mühendislik her zaman olumsuz olmadığı gibi hem iyi hem de kötü amaçlar için nasıl kullanıldığına dair daha yakından bakmayı hak eder. Eşinizi veya çocuklarınızı ikna etmek için kullanılan yöntemlerin aynısını sosyal mühendislerin sizin ya da kurumunuzun bilgi, para ve diğer değerli varlıklarını ele geçirmek için kullandığını görebilirsiniz.

Sosyal Mühendislik Saldırı Yöntemleri

Sosyal mühendislik saldırıları temelde aynı sistem üzerinden ilerlemesine rağmen, saldırıları insan ve teknoloji tabanlı olmak üzere ikiye ayırabiliriz. Birçok yöntem tanımlanmakla birlikte ben sizlere en sık karşılaşılanlarını aktaracağım.

Kimlik Avı

Kimlik avı, genellikle bankalar, GSM firmaları, sosyal medya siteleri gibi güvenilir bir kaynaktan olduğunu iddia eden sitelerin taklitleri üzerinden saldırılması ile oluşur. Kişi cihazına kötü amaçlı yazılım yüklemek veya kişisel, finansal kurum bilgilerini paylaşmak için kandırılır. E-posta, kimlik avı saldırıları için en popüler iletişim biçimi olmasına rağmen, sohbet uygulamaları, sosyal medya, telefon aramaları veya sahte web sitelerini de kullanabilir.

Vishing (Sesli Kimlik Avı)

Vishing aslında telefonda yapılan bir kimlik avıdır. Banka bilgilerini ve kredi kartı numaraları gibi kişisel bilgileri ele geçirmek için kişileri teşvik etmek amacıyla, telefon görüşmeleri yapmaktır. Sosyal mühendisler bu yönetimi kullanmaktan bıkmayacaklar. Çünkü profesörler, doktorlar, hukukçular vb, uzman iyi eğitimli kişiler bile bu tuzaklara kolaylıkla düşmektedir. Korku, ödül, yardım etme isteği gibi kişisel zaaflarımız kötü niyetli kişiler için fırsat anlamına gelmektedir.

Sesli Kimlik Avı Banka Bilgilerini Çalma

Üst düzey bir yetkili veya çalışan gibi davranmak

Sosyal mühendis, hedefi ikna etmek için son kullanıcı veyahut mühim bir pozisyonda çalışan biri gibi davranarak daha önceden elde edilen bilgileri kullanarak daha fazla bilgi alabilmek için hedefe psikolojik baskı kurar.

Omuz Sörfü

Omuz sörfü hedefi gözlemleyerek parola veya kurum için değerli bilgileri elde etme çabasıdır.

Çöp Karıştırmak & Eski Donanımları Kurcalamak

Çöp karıştırma yöntemi, atılan önemli bir bilgiyi ya da donanımı (genellikle kurum dışında) personelin zaaflarını yansıtabilecek herhangi bir materyali bulmak amacıyla kullanılmaktadır.

Baiting Yöntemi

Saldırganlar, USB ya da CD gibi kötü amaçlı yazılım barındıran bir cihazı, insanların bulabileceği bir yerde bıraktıklarında baiting saldırıları gerçekleşir. Bir baiting saldırısının başarısı, aygıtı bulan kişinin bilgisayarına bilmeden kötü amaçlı yazılımı yükleyeceği kurgusu üzerinedir. Yüklendikten sonra, kötü amaçlı yazılım saldırganın kurbanın sistemini ele geçirmesini sağlar.

Baiting Yöntemi Bilgileri Calma

Sosyal Mühendislik Saldırılarından Korunma Yöntemleri

Görüldüğü gibi donanım güvenliğini sağlamak, sosyal mühendislik saldırılarından korunmaktan daha kolay görünüyor. Dünyanın ilk sosyal mühendislik sistemi olan www.social-engineer.org web sitesini geliştiren öncü kişi Christopher Hadnagy’ye göre sosyal mühendislik saldırılarını önlemek ya da hafifletmek için atabilecek altı adım şöyle:

  • Sosyal mühendislik saldırılarını tespit etmeyi öğrenmek

  • Bir kişisel güvenlik farkındalık programı oluşturmak

  • Sosyal mühendislerin peşinde oldukları bilginin değerine ilişkin bir farkındalık yaratmak

  • Yazılımı güncel tutmak

  • Senaryolar geliştirmek

  • Sosyal mühendislik denetimleri yapmak

Sosyal Mühendislik Saldırısını Nasıl Tanırız?

  • Bir geri arama numarasıvermekten kaçınılması

  • Sıra dışı taleplerde bulunulması

  • Yetkili olduğunun öne sürülmesi

  • Aciliyetin üzerine vurgu yapılması

  • İsteğin yerine getirilmemesi durumunda kötü sonuçlar doğacağının söylenmesi

  • Soru sorulduğundarahatsız olunması

  • İltifat edilmesive hediyeler verilmesi

Yazılanlar bazılarımızı korkutup paronayak hale getirebilir. Yazdıklarımın en azından sağlıklı bir korku oluşturmasını umuyorum. Ancak, başta da belirttiğim gibi sosyal mühendislik tekniklerini bilerek veya bilmeyerek, iyi veya kötü amaçlarımız için kullanıyoruz. Sosyal mühendislik saldırı yöntemlerini sadece Hackerlar değil, Penetrasyon Testerlar, Casuslar, Kimlik Hırsızları, Hükümetler, İş Verenler, Pazarlamacılar, Ebevenyler, Çocuklar ve aslında bir şekilde hepimiz kullanıyoruz.

Sosyal mühendislik saldırılarına karşı en etkili korunma yöntemi eğitim ve kişisel olarak farkındalığımızın oluşmasıdır.

Güvenli kalmanız ve güvende hissetmeniz dileğiyle…

Kaynaklar

  • Hadnagy, Christopher, Sosyal Mühendislik – İnsan Kandırma Sanatı, s.28

  • Bağcı, Hasan, Sosyal Mühendislik ve Denetim Makalesi

  • Ar. Gör. Enis Karaarslan, Abdullah Teke, Prof. Dr. Halil Şengonca, Bilgisayar Ağlarında Güvenlik Politikalarının Uygulaması

Yazıyı Paylaş

Son Yazılarım

Görüş ve önerileriniz benim için çok değerli. Birkaç dakikanızı ayırarak yorumunuzu bırakırsanız çok sevinirim :)