Yakın tarihli bir haber, insan duygu ve düşüncelerinin nasıl başkalarının yararına kullanılabileceğini (veya kullanılabileceğini) anlamamı sağladı. NSA'in^(NSA) dünyayı gözetleyen muhbiri Edward Snowden'ı^{(Edward Snowden)} neredeyse her biriniz tanıyorsunuz . Reuters, daha sonra sızdırdığı bazı verileri kurtarmak için yaklaşık 20-25 NSA çalışanına^(NSA) şifrelerini teslim ettiğini bildirdi [1]. En güçlü ve en iyi güvenlik yazılımıyla bile kurumsal ağınızın ne kadar kırılgan olabileceğini hayal edin !^(Imagine)

Sosyal Mühendislik Nedir?

İnsan^(Human) zayıflığı, merakı, duyguları ve diğer özellikleri, herhangi bir endüstride olsun, verilerin yasa dışı olarak çıkarılmasında sıklıkla kullanılmıştır. Ancak BT Endüstrisi^{(IT Industry)} ona sosyal mühendislik adını verdi. Sosyal mühendisliği şöyle tanımlıyorum:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

İşte aynı haberden [1] alıntı yapmak istediğim başka bir satır – “ Güvenlik kurumları, bir sonraki hücredeki adamın güvenilir olmayabileceği fikriyle zor zamanlar geçiriyor^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ”. İfadeyi buradaki bağlama sığdırmak için biraz değiştirdim. Haberin tamamına Referanslar^(References) bölümündeki linkten ulaşabilirsiniz.

Başka bir deyişle, sosyal mühendislik, bununla başa çıkmak için kullanılan tekniklerden çok daha hızlı gelişirken, kuruluşlarınızın güvenliği üzerinde tam bir kontrole sahip değilsiniz. Sosyal^(Social) mühendislik, teknik destek olduğunuzu söyleyen birini arayıp oturum açma bilgilerini istemek gibi bir şey olabilir. Piyangolar, Orta Doğu^{(Mid East)} ve Afrika'daki^(Africa) iş ortakları isteyen zengin insanlar ve size ayrıntılarınızı sormak için iş teklifleri hakkında kimlik avı e-postaları alıyor olmalısınız.

Kimlik avı saldırılarından farklı olarak, sosyal mühendislik doğrudan kişiden kişiye etkileşimdir. İlki (phishing) bir yem kullanır – yani, “balık tutan” insanlar, sizin buna kanacağınızı umarak size bir şey teklif eder. Sosyal^(Social) mühendislik, ihtiyaç duyduğunuz şirket ayrıntılarını açıklamaları için şirket içi çalışanların güvenini kazanmakla ilgilidir.

Okuyun: ^(Read:) Popüler Sosyal Mühendislik yöntemleri .

Bilinen Sosyal Mühendislik Teknikleri

Birçoğu var ve hepsi herhangi bir organizasyonun veri tabanına girmek için temel insan eğilimlerini kullanıyor. En çok kullanılan (muhtemelen modası geçmiş) sosyal mühendislik tekniği, insanları aramak ve onlarla tanışmak ve onları, bilgisayarınızı kontrol etmesi gereken teknik destekten olduklarına inandırmaktır. Ayrıca güven oluşturmak için sahte kimlik kartları da oluşturabilirler. Bazı durumlarda, suçlular devlet memuru gibi davranmaktadır.

Bir başka ünlü teknik, kişiyi hedef kuruluşta bir çalışan olarak istihdam etmektir. Bu dolandırıcı senin meslektaşın olduğuna göre şirket detayları konusunda ona güvenebilirsin. Dış çalışan size bir konuda yardımcı olabilir, bu yüzden kendinizi zorunlu hissedersiniz ve o zaman maksimumu yapabilirler.

Ayrıca elektronik hediye kullanan kişiler hakkında bazı raporlar okudum. Şirket adresinize teslim edilen şık bir USB bellek veya arabanızda duran bir kalem sürücü felaketlere yol açabilir. Bir durumda, birisi bazı USB sürücülerini kasıtlı olarak yem olarak park yerinde bıraktı [2].

Şirket ağınızın her düğümde iyi güvenlik önlemleri varsa, kutsanmışsınız demektir. Aksi takdirde, bu düğümler kötü amaçlı yazılımlar için - bu hediye veya “unutulmuş” kalem sürücülerde - merkezi sistemlere kolay bir geçiş sağlar.

Bu nedenle, kapsamlı bir sosyal mühendislik yöntemleri listesi sağlayamıyoruz. Bu, özünde bir bilim, tepede sanatla birleşmiş. Ve bilirsiniz ki hiçbirinin sınırı yoktur. Sosyal mühendislik çalışanları, şirketin ^(Social)Wi-^(Wi-Fi) Fi'sine erişim sağlayan kablosuz cihazları da kötüye kullanabilen yazılımlar geliştirirken yaratıcı olmaya devam ediyor .

Okuyun: ^(Read:) Sosyal Olarak Tasarlanmış Kötü Amaçlı Yazılım Nedir ?

Sosyal Mühendisliği Önle

Şahsen, yöneticilerin sosyal mühendislik saldırılarını önlemek için kullanabileceği herhangi bir teorem olduğunu düşünmüyorum. Sosyal mühendislik teknikleri değişmeye devam ediyor ve bu nedenle BT yöneticilerinin neler olduğunu takip etmesi zorlaşıyor.

Tabii ki, sosyal mühendislik haberlerini takip etmek gerekiyor, böylece uygun güvenlik önlemleri alacak kadar bilgi sahibi olunuyor. Örneğin, USB aygıtları söz konusu olduğunda, yöneticiler USB sürücülerini yalnızca daha iyi bir güvenlik sistemine sahip sunucuda izin vererek ayrı düğümlerdeki USB sürücülerini engelleyebilir . Benzer şekilde^(Likewise) , Wi-Fi , yerel ^(Wi-Fi)ISS'lerin^(ISPs) çoğunun sağladığından daha iyi şifrelemeye ihtiyaç duyar .

Çalışanları eğitmek ve farklı çalışan grupları üzerinde rastgele testler yapmak, organizasyondaki zayıf noktaların belirlenmesine yardımcı olabilir. Zayıf bireyleri eğitmek ve uyarmak kolay olurdu. Uyanıklık^(Alertness) en iyi savunmadır. Baskı ne olursa olsun, oturum açma bilgilerinin ekip liderleriyle bile paylaşılmaması gerektiği vurgulanmalıdır. Bir ekip liderinin bir üyenin oturum açma bilgilerine erişmesi gerekiyorsa, bir ana parola kullanabilir. Bu, güvende kalmak ve sosyal mühendislik saldırılarından kaçınmak için yalnızca bir öneri.

Sonuç olarak, kötü amaçlı yazılımlar ve çevrimiçi bilgisayar korsanlarının yanı sıra, BT çalışanlarının da sosyal mühendislikle ilgilenmesi gerekiyor. Yöneticiler, bir veri ihlalinin yöntemlerini belirlerken (parola yazmak vb. gibi), ayrıca personelinin bundan tamamen kaçınmak için bir sosyal mühendislik tekniği tanımlayacak kadar akıllı olduğundan emin olmalıdır. Sizce sosyal mühendisliği önlemenin en iyi yöntemleri nelerdir? İlginç bir durumla karşılaştıysanız, lütfen bizimle paylaşın.

Microsoft tarafından yayınlanan Sosyal Mühendislik Saldırıları hakkındaki bu e-kitabı indirin ve kuruluşunuzda bu tür saldırıları nasıl tespit edip önleyebileceğinizi öğrenin.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Referanslar^(References)

[1] Reuters , Snowden NSA Çalışanlarını Giriş ^{(NSA Employees Into)}Bilgilerini^(Info) Elde Etmeye İkna Etti

[2] Boing Net , Kötü Amaçlı Yazılımları Yaymak^{(Spread Malware)} için Kullanılan Kalem^(Pen) Sürücüler .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news made me realize how human emotions and thoughts сan be (or, are) used for others’ benefit. Almost eνery one of you knows Εdward Snowden, the whistleblower of NSA snоoping the world оver. Reuters reported that he got around 20-25 NSA people to hand oνer their passwоrds to him for recovеring somе data he leaked later [1]. Imagine how fragile your corporate network can be, even with thе strongest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet and Social Networking Sites addiction

• Fake News Web Siteleri: Büyüyen bir sorun ve bugünün dünyasında ne demek

• nasıl kurulur, kayıt, düzenleme Instagram Reels yayımlamak

• Nasıl Reddit account için iki faktörlü kimlik doğrulamayı etkinleştirmek için

• Windows Club ile bağlantı kurun

• Microsoft Store mevcut Windows 10 için 5 Best Social Media apps

• Music, Effects, Enhancements Instagram Reels'e nasıl eklenir?

• Nasıl Facebook Ad Preferences yönetmek ve Ad Tracking devre dışı bırakmak üzere

• Nasıl Instagram bir Influencer olmak

• Yammer Features & Where kullanabilirsiniz

• StalkFace and StalkScan Facebook arkadaşları daha iyi anlamanıza yardımcı olur

• Instagram and WhatsApp için Facebook Page bağlamak için nasıl

• power user için en iyi Yammer Tips and Tricks

• Instagram Reels'nizi Draft and Edit'da nasıl kaydedilir?

• Phutbing nedir ve kişisel ilişkiler için ne demektir?

• Reddit account'yı kalıcı olarak PC'de nasıl devre dışı bırakılır?

• Photoshop yılında Instagram Carousel Hazırlanışı: Başlangıç ​​dostu öğretici

• UniShare Facebook, Twitter ve LinkedIn'te bir kerede paylaşmanıza izin verir

• Online Accounts'nize ne olur, ölürken: Digital Assets Management

• Instagram, LinkedIn, Dropbox'ten üçüncü taraf erişimini kaldırın