Sosyal mühendislik bir network’e girmek için en zayıf unsur olan insan zayıflığını kullanmaktır. Genelde güvenlik zincirinin en zayıf halkası olarak adlandırılan insan unsuru network filtreleme cihazları, anti virüs yazılımları ve tüm güvenlik sağlama yöntemlerine rağmen en büyük tehlikelerden biridir.
Temel olarak insan doğasında bulunan güven, korku ve yardım etme duygularının kullanılması ile gerçekleştirilen bir saldırı türüdür.
Genelde bu saldırılarda tercih edilen kişiler;
Yardıma ihtiyaç duyan kişiler
Herkese güvenme eğilimindeki kişiler
Başının derde girmesinden korkan kişiler
Sosyal mühendislik savunulması en güç saldırı biçimidir, çünkü donanım ya da yazılım ile savunulması mümkün değildir.
Başarılı savunma iyi kuralların oluşturulması, çalışanların periyodik bir şekilde eğitilmesi ve herkesin kurallara uyması ile sağlanmaktadır.
Sosyal Mühendislik Çeşitleri
Sosyal mühendislik saldırıları iki şekilde uygulanabilir.
1. İnsan Tabanlı
2. Bilgisayar Tabanlı
Bu makalede sadece insan tabanlı sosyal mühendisliğe değinilecektir.
İnsan Tabanlı Sosyal Mühendislik
İnsani ilişkiler kurarak istenilen bilgiye ulaşmaktır.
Öncelikle İnsan tabanlı sosyal mühendisliğin en önemli bireyleri olan iletişim ve ikna kelimelerinin tanımlamalarına bakmamızda fayda var.
İletişim insanların birbirlerini etkileme ve birbirlerinden etkilenme yoludur (Krauss ve Fussell).
İletişim sürecinin amacına odaklanarak yapılan bu ve benzeri birçok tanımda, iletişimin temel işlevinin “hedef üzerinde belirli bir etki yaratmak” olduğu vurgulanmaktadır.
İkna bir bireyin etkisiyle birey ya da bireylerin biliş, tutum ya da davranışlarında değişiklik yaratılmasıdır (Raven ve Haley).İkna Teknikleri
Aşağıda belirtilen ikna teknikleri sıklıkla satış personellerini eğitim amaçlı kullanılan bir içerikten alınmıştır, aynı zamanda saldırganlar tarafından izlenen ikna yöntemlerini daha iyi anlamamızı sağlayacağından burada bahsetmemizde fayda olacaktır.
- Önce küçük sonra büyük rica tekniği
- Önce büyük sonra küçük rica tekniği
- Gitgide artan ricalar tekniği
- Sadece o değil tekniği
- Evet- evet tekniği
- Acaba” değil “hangi” tekniği
- Soruya soruyla yanıt verme tekniği
- Yer etme tekniği
- Borca sokma tekniği
Kısaca bu tekniklerden bahsetmemiz gerekirse;
Önce küçük sonra büyük rica tekniği;
İkna tekniklerinden biri olan bu teknikte kaynak hedeften önce küçücük, onu zora sokmayacak, kabul edilme olasılığı yüksek bir talepte bulunur. Ardından da adım adım daha büyük taleplerde bulunma yolunda ilerler.
Önce Büyük sonra küçük rica tekniği;
Bu ikna etme tekniğinde süreç, hedeften yüksek ve sonuç olarak da reddedilme olasılığı çok yüksek olan bir talepte bulunup, ardından beklentiyi düşürerek hedefi razı etme şeklinde işler.
Gitgide artan ricalar tekniği;
Hedefe önce kabul edilebilir bir öneri sunulur, ardından da evet diyeceği noktaya kadar öneri adım adım büyütülür. Örnek olarak fiyatı cazip olarak görünen bir ürünü hedefe cazip kılmak ve içeriye çektikten sonra ürün üzerinde ekstra özellikler ve vergi gibi farklar eklenerek satılması verilebilir.
Sadece o değil tekniği;
Önce küçük sonra büyük rica tekniğinde olduğu gibi karşılıklılık ilkesi vardır; birisi sizin için bir iyilik yaptığında, indirime ya da hediye verme yoluna gittiğinde, siz de onun iyilikseverliğine karşılık verme yönünde bir sorumluluk hissedersiniz, bahsedilen bu insan özelliğini kullanan bir ikna yöntemidir.
Evet- evet tekniği;
Hedefe üst üste evet yanıtı verme olasılığı yüksek olan sorular sorulur ve asıl talep en sona bırakılır.
Acaba” değil “hangi” tekniği;
Hedefe herhangi bir ürüne gereksinim duyup duymadığı ya da herhangi bir konu hakkında seçim yapmak isteyip istemediği sorulmadan, doğrudan seçenekler sunulur ve bir anlamda emrivaki yapılarak içlerinden birini seçmesi beklenir. Örnek vermek gerekirse “ Seninle görüşmek istiyorum Çarşamba mı Perşembemi görüşelim?”
Soruya soruyla yanıt verme tekniği;
İkna süreci her zaman kaynağın hedeflediği gibi işlemez. Kimi zaman tıkanıp kalan kaynak kişi ya da kişiler, zaman kazanmaya gereksinim duyarlar. Soruya soruyla yanıt verme tekniği bu aşamada devreye girer. Örnek vermemiz gerekirse “Böyle düşündüğüm kanısına nereden vardınız?” ya da “Siz bu konuda ne düşünüyorsunuz?”gibi sorular zaman kazanmayı sağlayacaktır.
Yer etme tekniği;
Reklamlarda sıklıkla başvurulan yer etme tekniğinde, beş duyudan en az birine hitap ederek hedefin zihninde yer etmek hedeflenmektedir. Örneğin yiyecek reklamlarında “sıcacık çorba”, “kıpkırmızı domates”, “çıtır çıtır patates” gibi vurgularla bu amaca ulaşılır. Bu tekniğin etkisi daha çok algısal çağrışımla açıklanmaktadır. “Kıpkırmızı”, “buz gibi” olmakla, “mis gibi” kokmakla bir ürünü eşleştirdiğimizde, çağrışım yoluyla ürüne ilişkin her yeni bilgide bu ayrıntıları, bu nitelendirmelerde de her zaman ürünü hatırlarız.
Borca sokma tekniği;
Karşılıklılık ilkesine göre (Cialdini, 1975) karşımızdaki birey bizim için birçok zahmete girer, emek harcarsa kendimizi borçlu hissetmeye başlarız. Aramızdaki eşitlik, denge bozulur ve bunu telafi etmek için ne gerekiyorsa yapmaya hazır hale geliriz. Bunun bilincinde olanlar da amaçlarına ulaşmak için hedefe bu dengesizliği hissettirip borçluluk duygusu uyandırmak için, onun talebi olmaksızın çaba harcarlar. Örnek olarak peşinizde gezip birçok ürün öneren satıcıya karşı emeğinden dolayı kendinizi borçlu hissedersiniz
Saldırgan iletişim ve ikna kabiliyetini kullanarak hedef sistem içinde yer alan kullanıcılardan gözüne kestirdiklerinden bilgi almaya çalışacaktır. Kurbanların seçilmesi konusunda sosyal paylaşım siteleri ona ihtiyacı olduğundan fazla bilgi sağlayabilir.
İnsan Tabanlı Sosyal mühendislik saldırıları aşağıdaki gibi kategorize edilebilir.
Son kullanıcıymış gibi davranma
Önemli bir kullanıcıymış gibi davranma
Teknik Destek
Çöpleri Kurcalama
Omuz üstünden bakmak
Son kullanıcıymış gibi davranma
Bilgi İşlem Departmanının ve içeride çalışan herhangi bir kullanıcının bilgilerine sahip bir saldırgan Bilgi İşlemi arar;
Hacker: Merhabalar, Ben Ahmet, Muhasebe Departmanından Şifremi unuttum, Acil olarak patronun beklediği evrakları hazırlamam gerekiyor, Şifremi alabilir miyim?
Önemli Bir kullanıcıymış gibi davranma
Bilgi İşlem Departmanının numarasını ve şirket üst düzey yöneticilerinden birinin ismini ve görevini bilen saldırgan Bilgi İşlemi arar;
Hacker: Merhaba, Ben Ali, Genel müdür asistanı, Acil bir proje üzerinde çalışıyorum, Şifremi unuttum bana yardım etmelisin.
Teknik Destek
Herhangi bir kullanıcının ismini bilen saldırgan Teknik birim’den arıyormuş gibi davranarak kullanıcının bilgilerini talep eder.
Hacker: Merhabalar Ben Teknik Departmandan arıyorum, dün akşam sistemlerimizde oluşan bir arıza yüzünden veri kaybı yaşayıp yaşamadığınızı test ediyoruz, Kullanıcı adı ve şifrenizi almalıyım?
Çöpleri Kurcalama ( Dumpster Diving )
Saldırgan hedef hakkında bilgi toplamak ve hedefin verilerine ulaşmak için çöpleri kontrol edebilir. Hedef hakkında muhasebe verisi, fotokopi belgeler, iletişim adresleri ve kullanıcıların % 60’ ının şifrelerini unutmamak için kağıtlara yazdığını düşünürsek saldırı aşamasında kullanabileceği pek çok veriye ulaşabilir.
Omuz Üstünden Bakmak ( Shoulder Surfing )
Omuz üstünden bakmak adıyla adlandırılan sosyal mühendislik saldırı yöntemi kullanıcının şifre veya oturum bilgisinin arkasından ya da başka bir yerden izlenerek ele geçirilmesi ya da bilgi sahibi olunmasıdır. Microsoft özellikle güvenlik eğitimlerinde bu tarz saldırılara karşı korunmak adına klavye ve monitörlerin pencere kenarlarında yer almasının engellenmesi gereğinden bahsetmektedir.
Kaynaklar: Bilişimin Karanlık Yüzü ,
0 yorum:
Yorum Gönder