Sosyal Mühendislik Nedir ?

Yunus Gök (Embesil)

Yasaklı Üye
Katılım
9 Haz 2011
Mesajlar
9,160
Tepkime puanı
0
Puanları
0
Yaş
32
Konum
Zile/Sivas/Türkiye
- Sosyal mühendislik etkileme ve ikna etme kabiliyetlerini kullanarak kurbandan bilgi alma yada istenilen işleri yapmasını sağlamaktır.
- Firmalar kimlik doğrulama işlemleri , firewallar ,VPN ler ve network izleme yazılımlarına rağmen tehlike altındadırlar.
- Çalışan bilinçsizce önemli bilgiyi email ile yada telefonla veya iş vaktinden sonra klupte eski iş arkadaşlarıyla paylaşabilirler.


Kullanma Sanatı

- Sosyal mühendislik değerli bilgiyi ,atanmamış erişim yetkisinini , güven ilişkisi kurarak dışarıya taşınmasıdır.
- Sosyal mühendisiliğin amacı kandırarak değerli bilgiyi yada değerli bigiye erişimini birini kandırarak ulaşmaktır.
- İnsan Doğasının kalitesine bağlı olarak , yardım istermiş gibi gözükme , herkeze güvenme eğiliminde ve belaya bulaşmaktan korkan kişiler gibi.



İnsan Zayıflıkları

- İnsanlar genellikle zincirin en zayıf halkasıdırlar.
- Başarılı bir savunma , iyi policylerin oluşturulmasına ,çalışanları eğitmeye ve policylere uymaya bağlıdır.
- Sosyal mühendislik savunulması en zor saldırı biçimidir çünkü donanım yada yazılım ile savunulmaz.


Sosyal mühendisliğin Genel çeşitleri

- Sosyal mühendisilik 2 çeşittir : İnsan Tabanlı ve Bilgisayar Tabanlı
- İnsan tabanlı sosyal mühendislik insani ilişkiler kurarak istenilen bilgiye ulaşmaktır.
- Bilgisayar tabanlı sosyal mühendislik : Bilgisayar yazılımı kullanarak istenilen bilgiye ulaşmaktır



İnsan Tabanlı – Rol yapma , Canlandırma

- İnsan Tabanlı sosyal mühendislik Aşağıdaki şekilde kategorize edilebilir
- Rol yapma ,
- Önemli bir kulanıcıymış gibi davranma
- 3. kişi yaklaşımı
- Teknik Destek
- Kişisel olarak
- Çöpleri Kurcalama
- Omuz üstünden bakmak


Örnek
-Biri firmanın help deskini arar ve şifresini unuttuğunu söyler.
-Panik içersinde büyük reklam projesinin son gününü kaçırdığını ve patronun onu kovacağını ekler.
-Help desk çalışanı onun için üzülür ve şifresini resetler ,istemeden hackera firmasına erişim hakkını verir.


Örnek
Firmanın arkasında , firmanın çöplerini kurcalayan biri , çöplerin içinde çalışan isimleri telefon numaraları ,satış planları ve son finansal verilere ulaşabilir.
Bu bilgiler sosyal mühendislik saldırısı için yeterlidir


Bilgisayar tabanlı sosyal mühendislik

Aşağıdaki kategorilere ayrılırlar
- Mail ekleri
- Pop up Pencereleri
- Websiteler , Bahisler
- Spam Maillar .

Ters Sosyal mühendislik

- Daha iler bir yöntem olarak bilinen yasadışı bilgiye ulaşma yöntemide Ters Sosyal mühendislik olarak bilinir.
- Hacker sanki yüksek yönetimden miş gibi kullanıcıların danıştıkları bir kişilik oluşturur .
- Ters sosyal mühendisliğin bölümleri , sabotaj , reklam yapma ve yardım etme dir .


Policy ve Prosüdürler

- Policy ler bigi güvenliğinin en kritik bileşenidir.
- İyi policy ve prosüdürler eğer zorlanmasza effektif olamazlar
Üzerlerinde durmaya ve önemlerinin vurgulanmasına ihtiyaç duyarlar. Eğitim aldıktan sonra çalışanalr anladıklarına dair anlaşma imzalamalıdırlar.


Güvenlik Policy Check listi

- Hesap Ayarları
- Şifre Değiştirme Policysi
- Help Desk Prosüdürleri
- Erişim Yetkileri
- Uymamanın Cezaları
- Çalışan Tanımları
- Gizlilik Policyleri
- Kağıt ve Dökümanlar
- Modemler
- Fiziksel Erişim Kısıtlamaları
 
Üst