Азино777

Sosyal Mühendislik: Saldırı Teknikleri ve Önleme

Sosyal mühendislik, bir failin, ayrıcalıklı bilgileri şüphelenmeden ifşa etmesi için bir kişiyi manipüle etmek amacıyla aldatma sanatını kullanmasıdır. Sosyal mühendislik aynı zamanda saldırganın bir şirketin kritik kaynaklarına erişim sağlamasına yol açan bir süreci başlatmak için kullanılan tekniklere de atıfta bulunabilir.

Çevrimiçi bir kullanıcı olduğunuz sürece her an sosyal mühendisliğin hedefi olabilirsiniz. Bu nedenle, güvenlik uzmanlarının neden her zaman çevrimiçi kullanıcıları dikkatli olmaya teşvik ettiği şaşırtıcı değil. Örneğin çevrimiçi slot oynuyorsanız, uygun bir lisans kullanarak çalışan 7Slots Casino gibi güvenilir bir platformda oynadığınızdan emin olmalısınız. Ve o zaman bile, saldırganların size ulaşmasını zorlaştırmak için iki faktörlü ve çok faktörlü kimlik doğrulama gibi yöntemleri kullanarak hesabınızın güvenlik erişimini güçlendirin. Ancak elbette çevrimiçi kullanıcıların güvenliklerini artırabilecekleri pek çok başka yol var; ancak daha fazla önleme önlemine geçmeden önce saldırganların bunu nasıl yaptığına bakalım.

Başarılı bir sosyal güvenlik saldırısı başlatmak, son uygulama öncesinde dikkatli bir planlama ve insan psikolojisi ile sosyolojik kalıpların incelenmesini gerektirir. Sosyal mühendislerin girişimlerinde başarılı olmalarını sağlamak için kullanacakları çeşitli yöntemler vardır. Bir kez daha iyi haber şu ki, tüm bu saldırılar önlenebilir. En yaygın sosyal mühendislik saldırı yaklaşımlarından bazıları şunlardır kimlik avı ve balıkçı kimlik avı.

E-dolandırıcılık

Kimlik avı, sürekli olarak işe yaradığı için sosyal mühendislik saldırılarının en popüler biçimidir. Sosyal tabanlı bilgisayar korsanlığının %77'si e-posta kimlik avı yoluyla yapılıyor. Diğer yaygın kimlik avı türleri, kurbanın sesli aramayla hedef alındığı vishing ve dikkatsiz bir muhbirden bilgi istemek için kısa mesajların gönderildiği SMiShing'dir. Burada amaç, hedefin meşru bir kişi tarafından kendisiyle temasa geçildiğine inandırılması ve sonuçta kendisinin veya bir başkasının kimliğinin çalınmasıdır. Kimlik avı, genellikle rastgele e-postalar veya mesajlar göndermeye ve saf bir "kimlik avının" kancayı ısırması için dua etmeye dayanır.

Yemleme kancası

Kimlik avının en etkili teknik olduğunu düşünürsek, çoğu kimlik avı saldırısını belirli kişi gruplarına göre şekillendirir. Bu tür üst düzey saldırılara, özellikle ilgili kişileri hedef aldıkları için hedef odaklı kimlik avı adı verilir. Hedef odaklı kimlik avına ilişkin bazı örnekler şunlardır:

Balıkçı Kimlik Avı

Burada saldırgan, saygın bir şirketin sahte müşteri hizmetleri hesabını kullanıyor ve memnun olmayan müşterileri hedef alarak, gelecekteki daha ayrıntılı bir saldırıda kullanılmak üzere kritik kişisel verileri çıkarmaya çalışıyor.

Ticari E-posta Güvenliğinin İhlali (BEC Kimlik Avı)

Fail, bir şirkette üst düzey yönetici kılığına girerek, kıdemsiz çalışanların şirketin dolandırılmasına yol açacak eylemlerde bulunmasını sağlamaya çalışmaktadır. Üst düzey bir yöneticinin talebini reddetmenin olası sonuçları üzerinde düşünmek, daha kıdemsiz personelin herhangi bir durum tespiti yapmadan hareket etmesine ve banka havalesi başlatmasına veya hassas bilgileri ifşa etmesine neden olacaktır.

Balina Avcılığı veya CEO Dolandırıcılığı

Kimlik avcısı doğrudan yönetim kurulu üyeleri veya CEO'lar gibi üst düzey yetkililerden oluşan 'büyük kimlik avına' yönelir. Bu, bireyleri incelemeye zaman ayırmayı, hatta mümkün olduğunca meşru görünen e-postalar göndermeden önce genellikle sosyal medya sayfalarını tarayarak bazı temel bilgileri toplamayı gerektirir.

Bahane uydurma

Bu, saldırganın inandırıcı bir hikaye ortaya çıkardığı, mağdurun kullandığı BT departmanından veya finans kurumundan biri gibi mağdurun zaten güvendiği tarafların kimliğine büründüğü klasik bir stratejidir. Genellikle hacker ilk karşılaşmadan önce hedef üzerinde biraz araştırma yapmış olur ve tanıdık karakterleri ve ayrıntıları dahil ederek güven oluşturmak parkta yürüyüş yapmak gibidir. Bu, hedefin, bahanenin planına dayanarak mümkün olduğu kadar çok bilgiyi isteyerek ifşa etmesine yol açar. Bu, dolandırıcı için en yüksek riski oluşturan bir telefon görüşmesi yoluyla veya şahsen yapılabilir.

Baiting ve Quid Pro Quo Saldırıları

Yemleme, hedefin dikkatini direnmeyi zorlaştıracak şekilde çekmeyi içerdiğinden oldukça hesaplı bir şekilde yapılır. Bu durumda kurbanlar genellikle hızlı bir şekilde zengin olma veya marketlerde çılgın indirimler alma arzusuyla hareket eden bireylerdir. Yemlemede, bir ödül vaadi veya ilginç bir isme sahip bir USB belirteci, hedefin ciddi hasara yol açacak eylemlerde bulunmasına neden olabilir.

Quid Pro Quo ise bir eylem veya bazı bilgiler karşılığında ödül vaat ediyor. Örneğin, WhatsApp mesajlarında paylaşılan ve hızlı para kazanma şansı için sizi en az 10 kişiye yönlendirmenizi isteyen bağlantılarla karşılaşmış olabilirsiniz. Ne yazık ki, bu tür bağlantıları paylaşırsanız, saldırganla karşılıklı bir işlem yapmış olursunuz ve bağlantılara daha fazla tıklarsanız, yemi yutmuş ve cihazınızı kötü amaçlı yazılımlara maruz bırakmış olursunuz.

Korku yazılımı

Diğer yöntemler yemlemeyi veya kibarca sormayı içerirken, korkutma yazılımı, yakın sonuçlarla tehdit ederek aciliyet duygusu yaratmak için korku taktiklerini kullanır. Amaç, bir güvenlik sorununu çözdüğünü düşünerek kullanıcıyı gereksiz ürünler satın almaya veya bilmeden kötü amaçlı yazılım yüklemeye teşvik etmek olabilir. Dolandırıcılık yazılımı, bilgisayarlarını ücretsiz olarak optimize etmeye yardımcı olarak kullanıcıya fayda sağlamayı vaat eden bir kayıt defteri temizleyicisi olabilir. Ancak kullanıcı temizleme işlemini başlattıktan sonra ancak mağdurun bir tür paket satın alması durumunda çözülebilecek hatalar olacaktır.

Sosyal Mühendislik Saldırılarını Önleme

Çoğu kuruluş, sosyal mühendislik saldırıları konusunda bilgilidir ve çalışanlarına, dikkat edilmesi gereken farklı saldırılar konusunda düzenli olarak eğitim verir. Bir insan kendini nasıl koruyabilir?

  1. Karşı taraftaki kişiden kesinlikle emin olmadığınız sürece asla e-posta veya telefon görüşmesi yoluyla kişisel verilerinizi paylaşmayın. Aynı şekilde, geçerliliğini doğrulamadan bilgileri yanıt adresine iletmeyin.
  2. Yasal kaynaklardan geldiğini iddia eden, finansal ayrıntılar, şifreler veya bu tür kişisel verileri isteyen istenmeyen e-postalara veya mesajlara karşı dikkatli olun.
  3. Her ne kadar cazip gelse de, emin olmadığınız kaynaklardan hiçbir ek indirmeyin. Sosyal medyada çok fazla bilgi paylaşmayın.
  4. Bilgisayarınızda kötü amaçlı yazılım tespit ettiğini iddia eden rastgele web siteleri tarafından önerilen yazılımları asla yüklemeyin. Web sitelerinde cihazınızdaki güvenlik sorunları hakkında bilgi yoktur. Bunun yerine saygın bir kaynaktan bir virüsten koruma programı edinin ve işletim sistemi yamalarını hazır olur olmaz yüklemeye devam edin.
  5. Bir siteye herhangi bir kişisel veri girmeden önce URL'nin HTTPS ile başlayıp başlamadığını kontrol ederek bilgilerin geçerli ve güvenli olduğundan emin olun.
  6. Aldatıcı siteleri ziyaret ettiğinizde sizi uyaracak tarayıcı uyarılarına dikkat edin ve dikkate alın.
  7. Kullanıcı hesaplarınızı MFA veya 2FA ile güvence altına alın; böylece bir parola yanlışlıkla sızdırılırsa güvenlik hiyerarşisindeki bir sonraki seviye saldırıyı durdurur.

Güvende kal!

Sosyal mühendislik bugünlerde yeni bir haber değil. Şirkete ait kişisel verileri ve kritik belgeleri korumak, kötü sonuçları önlemek vb. için siber güvenliğinize dikkat etmeniz önemlidir. Bu nedenle önerilerimize uyarak dijital güvenliğinizi önemli ölçüde artıracaksınız.