Sosyal Mühendisliği Anlayın - İnsan Hackine Karşı Koruma

Yakın tarihli bir haber, insan duygu ve düşüncelerinin nasıl başkalarının yararına kullanılabileceğini (veya kullanılabileceğini) anlamamı sağladı. NSA'in(NSA) dünyayı gözetleyen muhbiri Edward Snowden'ı(Edward Snowden) neredeyse her biriniz tanıyorsunuz . Reuters, daha sonra sızdırdığı bazı verileri kurtarmak için yaklaşık 20-25 NSA çalışanına(NSA) şifrelerini teslim ettiğini bildirdi [1]. En güçlü ve en iyi güvenlik yazılımıyla bile kurumsal ağınızın ne kadar kırılgan olabileceğini hayal edin !(Imagine)

sosyal mühendislik

Sosyal Mühendislik Nedir?

İnsan(Human) zayıflığı, merakı, duyguları ve diğer özellikleri, herhangi bir endüstride olsun, verilerin yasa dışı olarak çıkarılmasında sıklıkla kullanılmıştır. Ancak BT Endüstrisi(IT Industry) ona sosyal mühendislik adını verdi. Sosyal mühendisliği şöyle tanımlıyorum:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

İşte aynı haberden [1] alıntı yapmak istediğim başka bir satır – “ Güvenlik kurumları, bir sonraki hücredeki adamın güvenilir olmayabileceği fikriyle zor zamanlar geçiriyor(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ”. İfadeyi buradaki bağlama sığdırmak için biraz değiştirdim. Haberin tamamına Referanslar(References) bölümündeki linkten ulaşabilirsiniz.

Başka bir deyişle, sosyal mühendislik, bununla başa çıkmak için kullanılan tekniklerden çok daha hızlı gelişirken, kuruluşlarınızın güvenliği üzerinde tam bir kontrole sahip değilsiniz. Sosyal(Social) mühendislik, teknik destek olduğunuzu söyleyen birini arayıp oturum açma bilgilerini istemek gibi bir şey olabilir. Piyangolar, Orta Doğu(Mid East) ve Afrika'daki(Africa) iş ortakları isteyen zengin insanlar ve size ayrıntılarınızı sormak için iş teklifleri hakkında kimlik avı e-postaları alıyor olmalısınız.

Kimlik avı saldırılarından farklı olarak, sosyal mühendislik doğrudan kişiden kişiye etkileşimdir. İlki (phishing) bir yem kullanır – yani, “balık tutan” insanlar, sizin buna kanacağınızı umarak size bir şey teklif eder. Sosyal(Social) mühendislik, ihtiyaç duyduğunuz şirket ayrıntılarını açıklamaları için şirket içi çalışanların güvenini kazanmakla ilgilidir.

Okuyun: (Read:) Popüler Sosyal Mühendislik yöntemleri .

Bilinen Sosyal Mühendislik Teknikleri

Birçoğu var ve hepsi herhangi bir organizasyonun veri tabanına girmek için temel insan eğilimlerini kullanıyor. En çok kullanılan (muhtemelen modası geçmiş) sosyal mühendislik tekniği, insanları aramak ve onlarla tanışmak ve onları, bilgisayarınızı kontrol etmesi gereken teknik destekten olduklarına inandırmaktır. Ayrıca güven oluşturmak için sahte kimlik kartları da oluşturabilirler. Bazı durumlarda, suçlular devlet memuru gibi davranmaktadır.

Bir başka ünlü teknik, kişiyi hedef kuruluşta bir çalışan olarak istihdam etmektir. Bu dolandırıcı senin meslektaşın olduğuna göre şirket detayları konusunda ona güvenebilirsin. Dış çalışan size bir konuda yardımcı olabilir, bu yüzden kendinizi zorunlu hissedersiniz ve o zaman maksimumu yapabilirler.

Ayrıca elektronik hediye kullanan kişiler hakkında bazı raporlar okudum. Şirket adresinize teslim edilen şık bir USB bellek veya arabanızda duran bir kalem sürücü felaketlere yol açabilir. Bir durumda, birisi bazı USB sürücülerini kasıtlı olarak yem olarak park yerinde bıraktı [2].

Şirket ağınızın her düğümde iyi güvenlik önlemleri varsa, kutsanmışsınız demektir. Aksi takdirde, bu düğümler kötü amaçlı yazılımlar için - bu hediye veya “unutulmuş” kalem sürücülerde - merkezi sistemlere kolay bir geçiş sağlar.

Bu nedenle, kapsamlı bir sosyal mühendislik yöntemleri listesi sağlayamıyoruz. Bu, özünde bir bilim, tepede sanatla birleşmiş. Ve bilirsiniz ki hiçbirinin sınırı yoktur. Sosyal mühendislik çalışanları, şirketin (Social)Wi-(Wi-Fi) Fi'sine erişim sağlayan kablosuz cihazları da kötüye kullanabilen yazılımlar geliştirirken yaratıcı olmaya devam ediyor .

Okuyun: (Read:) Sosyal Olarak Tasarlanmış Kötü Amaçlı Yazılım Nedir ?

Sosyal Mühendisliği Önle

Şahsen, yöneticilerin sosyal mühendislik saldırılarını önlemek için kullanabileceği herhangi bir teorem olduğunu düşünmüyorum. Sosyal mühendislik teknikleri değişmeye devam ediyor ve bu nedenle BT yöneticilerinin neler olduğunu takip etmesi zorlaşıyor.

Tabii ki, sosyal mühendislik haberlerini takip etmek gerekiyor, böylece uygun güvenlik önlemleri alacak kadar bilgi sahibi olunuyor. Örneğin, USB aygıtları söz konusu olduğunda, yöneticiler USB sürücülerini yalnızca daha iyi bir güvenlik sistemine sahip sunucuda izin vererek ayrı düğümlerdeki USB sürücülerini engelleyebilir . Benzer şekilde(Likewise) , Wi-Fi , yerel (Wi-Fi)ISS'lerin(ISPs) çoğunun sağladığından daha iyi şifrelemeye ihtiyaç duyar .

Çalışanları eğitmek ve farklı çalışan grupları üzerinde rastgele testler yapmak, organizasyondaki zayıf noktaların belirlenmesine yardımcı olabilir. Zayıf bireyleri eğitmek ve uyarmak kolay olurdu. Uyanıklık(Alertness) en iyi savunmadır. Baskı ne olursa olsun, oturum açma bilgilerinin ekip liderleriyle bile paylaşılmaması gerektiği vurgulanmalıdır. Bir ekip liderinin bir üyenin oturum açma bilgilerine erişmesi gerekiyorsa, bir ana parola kullanabilir. Bu, güvende kalmak ve sosyal mühendislik saldırılarından kaçınmak için yalnızca bir öneri.

Sonuç olarak, kötü amaçlı yazılımlar ve çevrimiçi bilgisayar korsanlarının yanı sıra, BT çalışanlarının da sosyal mühendislikle ilgilenmesi gerekiyor. Yöneticiler, bir veri ihlalinin yöntemlerini belirlerken (parola yazmak vb. gibi), ayrıca personelinin bundan tamamen kaçınmak için bir sosyal mühendislik tekniği tanımlayacak kadar akıllı olduğundan emin olmalıdır. Sizce sosyal mühendisliği önlemenin en iyi yöntemleri nelerdir? İlginç bir durumla karşılaştıysanız, lütfen bizimle paylaşın.

Microsoft tarafından yayınlanan Sosyal Mühendislik Saldırıları hakkındaki bu e-kitabı indirin ve kuruluşunuzda bu tür saldırıları nasıl tespit edip önleyebileceğinizi öğrenin.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

Referanslar(References)

[1] Reuters , Snowden NSA Çalışanlarını Giriş (NSA Employees Into)Bilgilerini(Info) Elde Etmeye İkna Etti

[2] Boing Net , Kötü Amaçlı Yazılımları Yaymak(Spread Malware) için Kullanılan Kalem(Pen) Sürücüler .



About the author

Ben bir bilgisayar uzmanıyım ve iOS cihazlarında uzmanım. 2009'dan beri insanlara yardım ediyorum ve Apple ürünleriyle olan deneyimim, onların teknoloji ihtiyaçlarına yardımcı olmak için beni mükemmel bir insan yapıyor. Becerilerim şunları içerir: - iPhone'ları ve iPod'ları onarma ve yükseltme - Apple yazılımını yükleme ve kullanma - İnsanların iPhone'ları ve iPod'ları için en iyi uygulamaları bulmalarına yardımcı olma - Çevrimiçi projeler üzerinde çalışma



Related posts