Sosyal mühendislik

Published · Updated

Sosyal Mühendislik Nedir?

Sosyal mühendislik, kişisel bilgilere ve korunan sistemlere erişim sağlamak için insan zayıflıklarından yararlanma eylemidir. Sosyal mühendislik, bir hedefin hesabına sızmak için bilgisayar sistemlerini hacklemek yerine bireyleri manipüle etmeye dayanır.

Sosyal Mühendisliği Anlamak

Örneğin, bir kadın bir erkek kurbanın bankasını arayabilir ve karısı gibi davranarak acil bir durum olduğunu iddia edebilir ve hesabına erişim talep edebilir. Kadın, temsilcinin empatik eğilimine başvurarak bankanın müşteri hizmetleri temsilcisini sosyal olarak başarılı bir şekilde düzenleyebilirse, erkeğin hesabına erişmeyi ve parasını çalmayı başarabilir. Benzer şekilde, bir saldırgan, bir e-posta sağlayıcısının müşteri hizmetleri departmanıyla iletişime geçerek, saldırganın bir hedefin e-posta hesabını hacklemek yerine kontrol etmesini mümkün kılan bir parola sıfırlaması elde edebilir.

Sosyal mühendislik, bir hedefin önemli bilgilerden vazgeçmeleri için manipüle edilmesini ifade eder. Bir bireyin kimliğini çalmaya veya bir kredi kartı veya banka hesabını tehlikeye atmaya ek olarak, bir şirketin ticari sırlarını elde etmek veya ulusal güvenliği kullanmak için sosyal mühendislik uygulanabilir.

Potansiyel hedeflerin önlenmesi için sosyal mühendislik zordur. Hesaplar için iki faktörlü kimlik doğrulamanın kullanılması gibi önlemler  kullanılır, ancak hesaplar, banka çalışanları gibi hesaplarına erişimi olan üçüncü şahıslar tarafından yine de tehlikeye atılabilir. Ancak bireyler, gizli bilgileri vermekten kaçınarak, sosyal medyada bilgi paylaşırken temkinli davranarak, şifreleri tekrarlamayarak, iki faktörlü kimlik doğrulama kullanarak, hesap güvenliği sorularına sahte veya tahmin edilmesi zor cevaplar kullanarak ve hesapları, özellikle finansal hesapları yakından izleyin.

Saldırganlar, insanlardan yardım istemek gibi sosyal mühendislik planlarında genellikle şaşırtıcı derecede basit taktikler kullanırlar. Diğer bir taktik, afet kurbanlarından kişisel olarak tanımlanabilen bilgileri daha sonra kimlik hırsızlığı için kullanılabilecek bilgileri – sağlamalarını isteyerek sömürülmektir.

Kötü niyetli bir ek içeren görünüşte meşru bir e-posta göndermek gibi, bir teknik destek uzmanı veya teslimat görevlisi olarak poz vermek, bir hesaba yetkisiz erişim elde etmenin kolay yollarıdır. Bu tür e-postalar genellikle insanların bilinmeyen bir gönderenden şüphelenme olasılığının daha düşük olduğu bir iş e-posta adresine gönderilir.

E-postalar, aslında bir bilgisayar korsanı tarafından gönderildiğinde, bilinen bir gönderenden geliyormuş gibi görünecek şekilde gizlenebilir. Belirli insanları hedefleyen daha ayrıntılı taktikler, ilgi alanlarını öğrenmeyi ve ardından hedefe bu ilgi ile ilgili bir bağlantı göndermeyi içerebilir. Bağlantı, kişisel bilgileri bilgisayarlarından çalabilen kötü amaçlı kod içerebilir. Popüler sosyal mühendislik teknikleri arasında kimlik avı, kedi balıkçılığı, kuyruk kapama ve yemleme bulunur.