- Sosyal mühendislik etkileme ve ikna etme kabiliyetlerini kullanarak kurbandan bilgi alma yada istenilen işleri yapmasını sağlamaktır.
- Firmalar kimlik doğrulama işlemleri , firewallar ,VPN ler ve network izleme yazılımlarına rağmen tehlike altındadırlar.
- Çalışan bilinçsizce önemli bilgiyi email ile yada telefonla veya iş vaktinden sonra klupte eski iş arkadaşlarıyla paylaşabilirler.
Kullanma Sanatı
- Sosyal mühendislik değerli bilgiyi ,atanmamış erişim yetkisinini , güven ilişkisi kurarak dışarıya taşınmasıdır.
- Sosyal mühendisiliğin amacı kandırarak değerli bilgiyi yada değerli bigiye erişimini birini kandırarak ulaşmaktır.
- İnsan Doğasının kalitesine bağlı olarak , yardım istermiş gibi gözükme , herkeze güvenme eğiliminde ve belaya bulaşmaktan korkan kişiler gibi.
İnsan Zayıflıkları
- İnsanlar genellikle zincirin en zayıf halkasıdırlar.
- Başarılı bir savunma , iyi policylerin oluşturulmasına ,çalışanları eğitmeye ve policylere uymaya bağlıdır.
- Sosyal mühendislik savunulması en zor saldırı biçimidir çünkü donanım yada yazılım ile savunulmaz.
Sosyal mühendisliğin Genel çeşitleri
- Sosyal mühendisilik 2 çeşittir : İnsan Tabanlı ve Bilgisayar Tabanlı
- İnsan tabanlı sosyal mühendislik insani ilişkiler kurarak istenilen bilgiye ulaşmaktır.
- Bilgisayar tabanlı sosyal mühendislik : Bilgisayar yazılımı kullanarak istenilen bilgiye ulaşmaktır
İnsan Tabanlı – Rol yapma , Canlandırma
- İnsan Tabanlı sosyal mühendislik Aşağıdaki şekilde kategorize edilebilir
- Rol yapma ,
- Önemli bir kulanıcıymış gibi davranma
- 3. kişi yaklaşımı
- Teknik Destek
- Kişisel olarak
- Çöpleri Kurcalama
- Omuz üstünden bakmak
Örnek
-Biri firmanın help deskini arar ve şifresini unuttuğunu söyler.
-Panik içersinde büyük reklam projesinin son gününü kaçırdığını ve patronun onu kovacağını ekler.
-Help desk çalışanı onun için üzülür ve şifresini resetler ,istemeden hackera firmasına erişim hakkını verir.
Örnek
Firmanın arkasında , firmanın çöplerini kurcalayan biri , çöplerin içinde çalışan isimleri telefon numaraları ,satış planları ve son finansal verilere ulaşabilir.
Bu bilgiler sosyal mühendislik saldırısı için yeterlidir
Bilgisayar tabanlı sosyal mühendislik
Aşağıdaki kategorilere ayrılırlar
- Mail ekleri
- Pop up Pencereleri
- Websiteler , Bahisler
- Spam Maillar .
Ters Sosyal mühendislik
- Daha iler bir yöntem olarak bilinen yasadışı bilgiye ulaşma yöntemide Ters Sosyal mühendislik olarak bilinir.
- Hacker sanki yüksek yönetimden miş gibi kullanıcıların danıştıkları bir kişilik oluşturur .
- Ters sosyal mühendisliğin bölümleri , sabotaj , reklam yapma ve yardım etme dir .
Policy ve Prosüdürler
- Policy ler bigi güvenliğinin en kritik bileşenidir.
- İyi policy ve prosüdürler eğer zorlanmasza effektif olamazlar
Üzerlerinde durmaya ve önemlerinin vurgulanmasına ihtiyaç duyarlar. Eğitim aldıktan sonra çalışanalr anladıklarına dair anlaşma imzalamalıdırlar.
Güvenlik Policy Check listi
- Hesap Ayarları
- Şifre Değiştirme Policysi
- Help Desk Prosüdürleri
- Erişim Yetkileri
- Uymamanın Cezaları
- Çalışan Tanımları
- Gizlilik Policyleri
- Kağıt ve Dökümanlar
- Modemler
- Fiziksel Erişim Kısıtlamaları