Sosyal Mühendislik Nedir?

Sosyal mühendislik yani ingilizce tanımı “Social Engineering” olarak isimlendirilen en temel hacking yöntemlerinden biridir...Sosyal mühendislik temel olarak insan ilişkilerini veya insanların dikkatsizliklerini kullanarak hedef kişi yada kurum hakkında bilgi toplamak ve gereken yönergelerle kullanmak olarak tanımlanabilir. Bu olayda amaç hedef kurum veya kişi yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri , şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.

Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, hedef kişiyle dost olmak , olmadığı halde kendini kız gibi gösterip kişilerin zaaflarından yararlanmak bilinen en iyi örnekleridir.

Sosyal mühendislik aslında hack’in atası olarak bilinir bir nevi ilk hack atağıdır. Sosyal mühendisliğin mucidi olarak Kevin Mitnick bilinir ve bu alanda yazdığı kitapta sosyal mühendislikten bahsetmiştir. Hayatını Okuyup incelediğimiz kadarı ile girdiği sistemlerin %80 nine sosyal mühendislik yöntemleriyle ulaştığını gördük. Kevin Mitnick zamanında FBI tarafından 1. sırada aranan bilişim suçlusu haline gelmiştir ve yakalanmasında başrol oynayan ünlü güvenlik uzmanı Tsutomu Shimomura kevin ile girdiği mücadeleyi anlattığı takedown adlı kitabında özellikle bu yönteme değinmiştir.
Sosyal mühendislik üzerine yapılan araştırmalarda kadın sesinin erkek sesinden daha şanslı Olduğunu göstermiştir. Kısaca Sosyal Mühendislik kişileri kandırarak elindeli gizli bilgileri sorularla veya farklı yollarla fark ettirmeden elinden almaktır...


GERÇEK BİR HİKAYE

Bundan bir kaç yıl önce bir sabah, bir grup yabancı büyük bir gemi taşıma firmasına hiç bir zorluk olmadan kolaylıkla yürüyerek girdiler ve firma içi ağa ait giriş hakkı ile orayı terk ettiler. Bunu nasıl yaptılar? Bu firmadaki farklı çalışan numarasıyla azar azar küçük giriş miktarı ile elde ettiler. İlk olarak, binanın içine girmeden önce girişimde bulunmak için iki gün boyunca şirket hakkında araştırma yaptılar. Örneğin, İnsan kaynaklarını arayarak anahtar işçi isimlerini öğrendiler.Sonra, ön kapıda anahtarlarını kaybetmiş numarasıyaptılar ve bir adam onları içeri girmesine izin verdi. Sonra, yabancılar kimlik rozetlerini kaybettiklerine inandırıp üçüncü güvenli bölgeye girdiler, gülümsediler ve dost canlısı bir işçi onlara kapıyı açtı.
turkhackteam.org
Yabancılar binanın dışından CFO’yu biliyordu. Bu yüzden onlar onun ofisine girebilirlerdi ve kilidi açılmış bilgisayardanfinansal bilgilerini alabilirlerdi. Bütün kullanışlı dökümanları bulabilmek için, şirkete ait çöpleri karıştırdılar. Bir hademeye çöp kutusunun sordular. Buldukları içerikleri çöpe yerleştirip ve bu verilerin binanın dışına elleriyle taşıdılar. Yabancılar, ümitsizce ağ şifrelerine ihtiyaç duydukları için CFO’ sun çalışanlarının sesini çalıştılar. Böylelikle telefonda bir koşuşturma anında bir CFO’lu oldular. Oradan, olağan hack araçlarını kullanarak sitemde super-user girişi kazandılar.turkhackteam.org
Aslında, yabancılar CFO’nun güvenliğini çalışanların bilgileri olmadankontrol eden network danışmanlarıydı. CFO hakkında ayrıcalıklı bilgi verilmemişti onlara, fakat istedikleri bütün girişleri sosyal mühendislik aracılığı ile elde ettiler(Bu hikayeyi Kapil Raina anlatmıştır, şuanda Verisign da güvenlik uzmanı ve Ticaret Güvenliği: Başlangıç Rehberinin yazarıdır, eski iş yeri çalışanları ile birlikte gerçek işyeri tecrübelerinedayanır)




SOSYAL MÜHENDİSLİĞİ HERYERDE KULLANABİLİRSİNİZ.

Sosyal Mühendislik ile ilgili WhoAmI Filmini izleyebilirsiniz.

Sağlıcakla...