Sosyal Muhendislik Nedir ?

      Sosyal mühendislik (Social Engineering) nedir?

     Arkadaslar bu yazimda bir saldiri teknigi olan Sosyal Muhendislikten temel birkac bilgi bahsedecegim ..

     Bilgisayar guvenligi terimleriyle Sosyal Mukendislig’in tanimi soyle :

     Insanlar   arasindaki    iletisimdeki ve insan davranisindaki modelleri acikliklar olarak tanimlayip ,  bunlardan faydalanarak guvenlik sureclerini atlatma yontemine dayanan mudahalelere verilen isimdir

-Yöntemleri ? (Bu yazida yontemlere deyinecegim..)
-Olusturabildigi Tehtidler ?
-Alinabilecek Onlemler ?

Arkadaslar aslında hack’in atası olarak bilinir sosyal mühendislik bir nevi ilk hack atağıdır.

ilk olarak tarihte olanlardan yola cikalim kimler neler yapmis bir goz talim ..

Kevin Mitnick : Sosyal Muhendisligin mucidi olarak bilinir.. Pentagon , Sun Microsystems , motorola gibi bircok buyuk sirketin savunma sistemini asarak FBI’in en cok arananlar listesine giren ilk hacker .
Guvenlik aciklari konusunda en zayif halkanin ”Insan Faktoru” oldugunu soylemistir…

Yontemlerden biraz bahsedersek bircok yontemi var ama en temel nokta insan faktoru ‘dur .Assagida farkli yontemlere bakalim birazda ..

• Sosyal mühendislikte kısa bir zaman önce çok popüler olan ve hala da geçerliliğini sürdüren yöntemlerden biri phishing saldırılarıdır. Phishin: İngilizcede “balık tutma” anlamına gelen “Fishing” sözcüğünün ’f’ harfinin yerine ’ph’ harflerinin konulmasıyla oluşmuş bir terimdir. Oltayı attığınız zaman en azından bir balık yakalayabileceğiniz düşüncesinden esinlenerek oluşturulmuştur. Aslında bu terimin Türkçe karşılığı “yemlemedir.” Bu yöntemi kullanma mantığı da şöyledir: Bankaların, elektronik postaların veya bunun gibi bilgi girmenizi gerektiren bir kuruluşun web sayfasının bir kopyasını yapıp kullanıcının hesap bilgilerini çalmayı amaçlayan bir yöntemdir. Örneğin hesabınızın bulunduğu bir sitenin kopyasını yapılır ve içine birkaç parça kod yazılır, bilgilerinizi güncellemeniz isteğiyle elektronik posta aracılığıyla kullanıcılara gönderilir. Eğer kullanıcı dikkatsizlik veya bilinçsizlik sonucu bilgilerini girerse sosyal mühendis amacına ulaşacaktır. Bu yöntemle bir sosyal mühendisin, kredi kartı şifrelerini, bankamatik kartı şifrelerini, bir siteye ait account bilgilerini yani internet ortamında kullanılan şifreleri çalması mümkündür.

• Günümüzde geçerliliğini koruyan yöntemlerden bir tanesi de internette birebir ikna yöntemidir. Bu yöntemle sosyal mühendis, kurbanla anlık iletişim programları , telefon vs. araclar aracılığıyla iletişime geçer ve çeşitli yollarla kurbanın kişisel bilgilerini vermesini sağlar.

• Ayrıca günümüzde geçerliliğini koruyan ve gelecekte de koruyacak olan, sosyal mühendisliğin belki de en tehlikeli saldırılarından biri olan reelde ikna çalışmalarıdır. Bu yöntem, reelde sosyal mühendisin kendini -veya bir başkasını- kurbanın ilgili olduğu konularda yetkili gibi göstererek kurbandan ya da kurbanla ilgili olan kişilerden bilgileri almasıdır. Bu yöntemle sosyal mühendis tahmin edilmeyecek kadar bilgiye ulaşabilir. Günümüzde de kişilerin hiç beklenilmeyen bir anda yüksek miktarlarda borçlu çıkmasında sosyal mühendisliğin bir hayli fazla yeri vardır.

• Omuz sörfü — Şifreyi yazarken, erişimi kısıtlı sistemlere erişirken kurbanı izlemek

• Çöp karıştırmak — Çöpe atılmış CD, disket, kağıt, ajanda, not, post-it, … gibi eşyaları incelemek

• Eski donanımları kurcalamak — Hurdayaçıkmış, ikinci el satış sitelerinde satışasunulmuş, çöpe atılmış, kullanılmadığı için hibe edilmiş donanımın içeriğini incelemek

Bu yazimda Sosyal muhendislik hakkinda temel bilinmesi gereken isin edebiyat kismindan bahsettim biraz insallah gelecek yazilarimda daha derinliklerine inecegiz .

Kendinize iyi bakın . Görüşmek Üzere…

Mehmet KILIC
Java ₰ J2EE