Sosyal Mühendislik Nedir ve Bundan Nasıl Kaçınabilirsiniz?

Kötü amaçlı yazılım, endişelenecek tek çevrimiçi tehdit değildir. Sosyal mühendislik büyük bir tehdittir ve sizi herhangi bir işletim sisteminde vurabilir. Aslında sosyal mühendislik telefonda ve yüz yüze durumlarda da gerçekleşebilir.

Sosyal mühendisliğin farkında olmak ve tetikte olmak önemlidir. Güvenlik programları sizi çoğu sosyal mühendislik tehdidinden koruyamaz, bu nedenle kendinizi korumanız gerekir.

Sosyal Mühendislik Açıklaması

Geleneksel bilgisayar tabanlı saldırılar, genellikle bir bilgisayarın kodunda bir güvenlik açığı bulmaya bağlıdır. Örneğin, Adobe Flash'ın güncel olmayan bir sürümünü kullanıyorsanız veya tanrı korusun, Cisco'ya göre 2013'teki saldırıların %91'inin nedeni olan Java'yı kullanıyorsanız, kötü amaçlı bir web sitesini ve o web sitesini ziyaret edebilirsiniz. bilgisayarınıza erişmek için yazılımınızdaki güvenlik açığından yararlanır. Saldırgan, belki de yükledikleri bir keylogger ile özel bilgilere erişmek ve toplamak için yazılımdaki hataları manipüle ediyor.

Sosyal mühendislik hileleri farklıdır çünkü bunun yerine psikolojik manipülasyon içerirler. Başka bir deyişle, yazılımlarını değil insanları sömürüyorlar.

İLGİLİ: Çevrimiçi Güvenlik: Kimlik Avı E-postasının Anatomisini Yıkmak

Bir sosyal mühendislik biçimi olan kimlik avını muhtemelen duymuşsunuzdur. Bankanızdan, kredi kartı şirketinizden veya başka bir güvenilir işletmeden geldiğini iddia eden bir e-posta alabilirsiniz. Sizi gerçek gibi görünecek şekilde gizlenmiş sahte bir web sitesine yönlendirebilir veya kötü amaçlı bir program indirip yüklemenizi isteyebilirler. Ancak bu tür sosyal mühendislik hilelerinin sahte web siteleri veya kötü amaçlı yazılımlar içermesi gerekmez. Kimlik avı e-postası, sizden özel bilgiler içeren bir e-posta yanıtı göndermenizi isteyebilir. Bir yazılımdaki bir hatadan yararlanmaya çalışmak yerine, normal insan etkileşimlerinden yararlanmaya çalışırlar. Hedefli kimlik avı, belirli kişileri hedeflemek için tasarlanmış bir kimlik avı biçimi olduğundan daha da tehlikeli olabilir.

İLGİLİ: Typosquatting nedir ve Dolandırıcılar Nasıl Kullanır?

Sosyal Mühendislik Örnekleri

Sohbet hizmetlerinde ve çevrimiçi oyunlarda popüler bir numara, “Yönetici” gibi bir adla bir hesap açmak ve insanlara “UYARI: Birinin hesabınızı ele geçirdiğini tespit ettik, kimliğinizi doğrulamak için şifrenizle yanıt verin” gibi korkutucu mesajlar göndermektir. Bir hedef parolasıyla yanıt verirse, tuzağa düşmüşlerdir ve saldırganın artık hesap parolası vardır.

Birinin sizinle ilgili kişisel bilgileri varsa, bunları hesaplarınıza erişmek için kullanabilir. Örneğin, doğum tarihiniz, sosyal güvenlik numaranız ve kredi kartı numaranız gibi bilgiler genellikle sizi tanımlamak için kullanılır. Birisi bu bilgiye sahipse, bir işletmeyle iletişime geçebilir ve sizmişsiniz gibi davranabilir. Bu numara, bir saldırgan tarafından Sarah Palin'in Yahoo! 2008'de posta hesabı, Yahoo!'nun parola kurtarma formu aracılığıyla hesaba erişim sağlamak için yeterli kişisel ayrıntıyı göndererek. İşletmenin kimliğinizi doğrulamak için ihtiyaç duyduğu kişisel bilgilere sahipseniz, aynı yöntem telefonda da kullanılabilir. Bir hedef hakkında bazı bilgilere sahip olan bir saldırgan, onlarmış gibi davranabilir ve daha fazla şeye erişim sağlayabilir.

Sosyal mühendislik de şahsen kullanılabilir. Saldırgan bir işletmeye girebilir, sekretere yetkili ve ikna edici bir ses tonuyla tamirci, yeni çalışan veya yangın müfettişi olduklarını bildirebilir ve ardından koridorlarda dolaşabilir ve kurumsal casusluk yapmak için potansiyel olarak gizli verileri veya tesis hatalarını çalabilir. Bu numara, saldırganın kendilerini olmadığı biri gibi sunmasına bağlıdır. Bir sekreter, kapıcı veya sorumlu başka biri çok fazla soru sormazsa veya çok yakından bakmazsa, numara başarılı olacaktır.

İLGİLİ: Saldırganlar Gerçekte Çevrimiçi Hesapları Nasıl "Hackler" ve Kendinizi Nasıl Korursunuz?

Sosyal mühendislik saldırıları, sahte web siteleri, dolandırıcılık amaçlı e-postalar ve kötü niyetli sohbet mesajlarını, telefonda veya yüz yüze birinin kimliğine bürünmeye kadar uzanır. Bu saldırılar çok çeşitli biçimlerde gelir, ancak hepsinin ortak bir noktası vardır: psikolojik hilelere dayanırlar. Sosyal mühendislik, psikolojik manipülasyon sanatı olarak adlandırılmıştır. Bilgisayar korsanlarının çevrimiçi hesapları gerçekten "hacklemelerinin" ana yollarından biridir.

Sosyal Mühendislikten Nasıl Kaçınılır?

Sosyal mühendisliğin var olduğunu bilmek, onunla savaşmanıza yardımcı olabilir. Özel bilgi isteyen istenmeyen e-postalardan, sohbet mesajlarından ve telefon görüşmelerinden şüphelenin. Mali bilgileri veya önemli kişisel bilgileri asla e-posta yoluyla ifşa etmeyin. Bir e-posta önemli olduğunu iddia etse bile, potansiyel olarak tehlikeli e-posta eklerini indirmeyin ve çalıştırmayın.

Ayrıca, hassas web sitelerine giden bir e-postadaki bağlantıları izlememelisiniz. Örneğin, bankanızdan geliyormuş gibi görünen bir e-postadaki bir bağlantıya tıklayıp oturum açmayın. Bu, sizi bankanızın sitesi gibi görünen, ancak biraz farklı bir URL'ye sahip sahte bir kimlik avı sitesine götürebilir. Bunun yerine doğrudan web sitesini ziyaret edin.

Şüpheli bir talep alırsanız - örneğin, bankanızdan kişisel bilgilerinizi isteyen bir telefon - talebin kaynağıyla doğrudan iletişime geçin ve onay isteyin. Bu örnekte, bilgileri bankanız olduğunu iddia eden birine açıklamak yerine bankanızı arayıp ne istediklerini soracaksınız.

E-posta programları, web tarayıcıları ve güvenlik paketlerinde genellikle, bilinen bir kimlik avı sitesini ziyaret ettiğinizde sizi uyaracak kimlik avı filtreleri bulunur. Tek yapabilecekleri, bilinen bir kimlik avı sitesini ziyaret ettiğinizde veya bilinen bir kimlik avı e-postası aldığınızda sizi uyarmak ve oradaki tüm kimlik avı siteleri veya e-postaları hakkında bilgi sahibi değiller. Çoğunlukla, kendinizi korumak size kalmış - güvenlik programları ancak biraz yardımcı olabilir.

Özel veri talepleriyle ve sosyal mühendislik saldırısı olabilecek başka herhangi bir şeyle ilgilenirken sağlıklı bir şüphe kullanmak iyi bir fikirdir. Şüphe ve ihtiyat, hem çevrimiçi hem de çevrimdışı olarak korunmanıza yardımcı olacaktır.

Resim Kredisi: Flickr'da Jeff Turnet