× Daha fazlası İçin Aşağı Kaydır
☰ Kategoriler

Sosyal mühendislik kavramı en temel haliyle teknoloji kullanılarak ya da kullanılmayarak bilgi edinmek amacıyla insanlardan faydalanma işidir. Biraz daha detaylandıracak olursak, bu kavram normalde insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır ve teknolojinin kullanımından çok insanların hile ile kandırılarak onlardan faydalanılması ve bilgi edinilmesidir. Sosyal mühendisler, etkileme ve ikna yöntemleri kullanmaktadırlar. Bu mühendislerin en büyük silahı insan zafiyetleridir ve insanın güvenliğin en zayıf halkası olduğu düşünülürse bu işlem bu amaçla hareket eden insanlar için oldukça mantıklı ve bizler için de bir o kadar tehlikelidir. Bu işlemde başarılı olunmasının en önemli nedeni çoğu insanın kandırılma olasılığının çok düşük olduğunu düşünmesidir. Bu sebeple bu ortak inancın bilincinde olan saldırgan da isteğini o kadar akıllıca sunar ve hiç kuşku uyandırmaz. Bu sayede kurbanının güvenini sömürür.

            Sosyal mühendislik süreci dört aşamadan oluşmaktadır. Bu alanlar sırasıyla, bilgi toplama, ilişki oluşturma, istismar ve uygulamadır. Bilgi toplama alanı sosyal mühendisin kurbanına karşı inandırıcılığını arttırmak adına onun ve gerekli bazı çevreler hakkında araştırma yaptığı ve bilgi edindiği alandır. İlişki oluşturma aşaması ise saldırganın kurban hakkında elde ettiği bilgileri kullanarak onun güvenini kazanmaya çalıştığı alandır. Bu alanda başarılı olmak adına kurbanın kendine özgü olan ve birinci aşamada saldırganın elde ettiği bilgileri kullanır. Bu aşamada başarılı olduğu durumda üçüncü aşama olan istismar aşamasına geçilmektedir. Bu aşamada kurbanın saldırganın taleplerini yerine getirmeye ikna edildiği aşamadır. Son aşama olan uygulama aşamasında ise saldırgan amacına ulaşmıştır.

            Sosyal mühendislik yöntemleri olarak pek çok yöntem bulunmaktadır. Bu yöntemlerden en sık tercih edileni sahte senaryolar uydurmaktır. Bu senaryoların içeriği ise insan vicdanına ve kişisel bilgiler kullanılmak suretiyle güvenine yönelik olmaktadır. Bunun dışında saldırganın kullandığı bir diğer yöntem de phishing olarak da anılan kendisinin güvenilir bir kaynak olduğuna ikna etme işlemidir. Bu yapıya ek olarak Truva atları da kullanılmaktadır. Sosyal mühendislerin kullandığı bir diğer yöntem ise güvenilir bilgi karşılığında para, hediye gibi tekliflerde bulunmaktır ki çoğu insan bu tarz tekliflerle hiç farkında olmadan tuzağa düşmektedir. Sosyal mühendisler kullandıkları yöntemler ne olursa olsun kurbanlarının güvenini kazanarak onlardan bilgi edinirler ancak omuz sörfü, çöp karıştırmak ve eski donanımları kurcalamak gibi yöntemlerle de kurban ya da hakkında bilgi edinmek istediği şey her ne ise o konu hakkında bilgi edinebilmektedirler. Sosyal mühendisler saldırılarında usb bellek, kameralı kalem, kameralı gözlük gibi pek çok teknolojik cihazı da kullanabilmektedir.

            Sosyal mühendislik hayatımızın bu kadar içerisinde ve bizler saldırıya bu kadar açık bir konumda iken bu konu hakkında önlemler alıp korunma yoluna gitmek kaçınılmazdır. Güvenlik sistemleri ne kadar güçlü olursa olsun güvenliğin en zayıf halkası kullanıcılardır ve bu konu hakkında bilgilendirilmeleri gereklidir. Kullanıcıların kurumun her an saldırıya uğrayabileceği ve sorunun sadece teknolojik kaynaklar olmayacağının bilincinde olması gereklidir. Bu sebeple kullanıcılarda tanınmayan kişilerden gelen isteklere karşı temkinli davranmak ve şifre gibi kişisel bilgilerin kimseyle paylaşılmaması gerektiği hakkında farkındalık oluşturulmalıdır. 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir