Sosyal Mühendisliği Anlayın - İnsan Hackine Karşı Koruma
Yakın tarihli bir haber, insan duygu ve düşüncelerinin nasıl başkalarının yararına kullanılabileceğini (veya kullanılabileceğini) anlamamı sağladı. NSA'in(NSA) dünyayı gözetleyen muhbiri Edward Snowden'ı(Edward Snowden) neredeyse her biriniz tanıyorsunuz . Reuters, daha sonra sızdırdığı bazı verileri kurtarmak için yaklaşık 20-25 NSA çalışanına(NSA) şifrelerini teslim ettiğini bildirdi [1]. En güçlü ve en iyi güvenlik yazılımıyla bile kurumsal ağınızın ne kadar kırılgan olabileceğini hayal edin !(Imagine)
Sosyal Mühendislik Nedir?
İnsan(Human) zayıflığı, merakı, duyguları ve diğer özellikleri, herhangi bir endüstride olsun, verilerin yasa dışı olarak çıkarılmasında sıklıkla kullanılmıştır. Ancak BT Endüstrisi(IT Industry) ona sosyal mühendislik adını verdi. Sosyal mühendisliği şöyle tanımlıyorum:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
İşte aynı haberden [1] alıntı yapmak istediğim başka bir satır – “ Güvenlik kurumları, bir sonraki hücredeki adamın güvenilir olmayabileceği fikriyle zor zamanlar geçiriyor(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ”. İfadeyi buradaki bağlama sığdırmak için biraz değiştirdim. Haberin tamamına Referanslar(References) bölümündeki linkten ulaşabilirsiniz.
Başka bir deyişle, sosyal mühendislik, bununla başa çıkmak için kullanılan tekniklerden çok daha hızlı gelişirken, kuruluşlarınızın güvenliği üzerinde tam bir kontrole sahip değilsiniz. Sosyal(Social) mühendislik, teknik destek olduğunuzu söyleyen birini arayıp oturum açma bilgilerini istemek gibi bir şey olabilir. Piyangolar, Orta Doğu(Mid East) ve Afrika'daki(Africa) iş ortakları isteyen zengin insanlar ve size ayrıntılarınızı sormak için iş teklifleri hakkında kimlik avı e-postaları alıyor olmalısınız.
Kimlik avı saldırılarından farklı olarak, sosyal mühendislik doğrudan kişiden kişiye etkileşimdir. İlki (phishing) bir yem kullanır – yani, “balık tutan” insanlar, sizin buna kanacağınızı umarak size bir şey teklif eder. Sosyal(Social) mühendislik, ihtiyaç duyduğunuz şirket ayrıntılarını açıklamaları için şirket içi çalışanların güvenini kazanmakla ilgilidir.
Okuyun: (Read:) Popüler Sosyal Mühendislik yöntemleri .
Bilinen Sosyal Mühendislik Teknikleri
Birçoğu var ve hepsi herhangi bir organizasyonun veri tabanına girmek için temel insan eğilimlerini kullanıyor. En çok kullanılan (muhtemelen modası geçmiş) sosyal mühendislik tekniği, insanları aramak ve onlarla tanışmak ve onları, bilgisayarınızı kontrol etmesi gereken teknik destekten olduklarına inandırmaktır. Ayrıca güven oluşturmak için sahte kimlik kartları da oluşturabilirler. Bazı durumlarda, suçlular devlet memuru gibi davranmaktadır.
Bir başka ünlü teknik, kişiyi hedef kuruluşta bir çalışan olarak istihdam etmektir. Bu dolandırıcı senin meslektaşın olduğuna göre şirket detayları konusunda ona güvenebilirsin. Dış çalışan size bir konuda yardımcı olabilir, bu yüzden kendinizi zorunlu hissedersiniz ve o zaman maksimumu yapabilirler.
Ayrıca elektronik hediye kullanan kişiler hakkında bazı raporlar okudum. Şirket adresinize teslim edilen şık bir USB bellek veya arabanızda duran bir kalem sürücü felaketlere yol açabilir. Bir durumda, birisi bazı USB sürücülerini kasıtlı olarak yem olarak park yerinde bıraktı [2].
Şirket ağınızın her düğümde iyi güvenlik önlemleri varsa, kutsanmışsınız demektir. Aksi takdirde, bu düğümler kötü amaçlı yazılımlar için - bu hediye veya “unutulmuş” kalem sürücülerde - merkezi sistemlere kolay bir geçiş sağlar.
Bu nedenle, kapsamlı bir sosyal mühendislik yöntemleri listesi sağlayamıyoruz. Bu, özünde bir bilim, tepede sanatla birleşmiş. Ve bilirsiniz ki hiçbirinin sınırı yoktur. Sosyal mühendislik çalışanları, şirketin (Social)Wi-(Wi-Fi) Fi'sine erişim sağlayan kablosuz cihazları da kötüye kullanabilen yazılımlar geliştirirken yaratıcı olmaya devam ediyor .
Okuyun: (Read:) Sosyal Olarak Tasarlanmış Kötü Amaçlı Yazılım Nedir ?
Sosyal Mühendisliği Önle
Şahsen, yöneticilerin sosyal mühendislik saldırılarını önlemek için kullanabileceği herhangi bir teorem olduğunu düşünmüyorum. Sosyal mühendislik teknikleri değişmeye devam ediyor ve bu nedenle BT yöneticilerinin neler olduğunu takip etmesi zorlaşıyor.
Tabii ki, sosyal mühendislik haberlerini takip etmek gerekiyor, böylece uygun güvenlik önlemleri alacak kadar bilgi sahibi olunuyor. Örneğin, USB aygıtları söz konusu olduğunda, yöneticiler USB sürücülerini yalnızca daha iyi bir güvenlik sistemine sahip sunucuda izin vererek ayrı düğümlerdeki USB sürücülerini engelleyebilir . Benzer şekilde(Likewise) , Wi-Fi , yerel (Wi-Fi)ISS'lerin(ISPs) çoğunun sağladığından daha iyi şifrelemeye ihtiyaç duyar .
Çalışanları eğitmek ve farklı çalışan grupları üzerinde rastgele testler yapmak, organizasyondaki zayıf noktaların belirlenmesine yardımcı olabilir. Zayıf bireyleri eğitmek ve uyarmak kolay olurdu. Uyanıklık(Alertness) en iyi savunmadır. Baskı ne olursa olsun, oturum açma bilgilerinin ekip liderleriyle bile paylaşılmaması gerektiği vurgulanmalıdır. Bir ekip liderinin bir üyenin oturum açma bilgilerine erişmesi gerekiyorsa, bir ana parola kullanabilir. Bu, güvende kalmak ve sosyal mühendislik saldırılarından kaçınmak için yalnızca bir öneri.
Sonuç olarak, kötü amaçlı yazılımlar ve çevrimiçi bilgisayar korsanlarının yanı sıra, BT çalışanlarının da sosyal mühendislikle ilgilenmesi gerekiyor. Yöneticiler, bir veri ihlalinin yöntemlerini belirlerken (parola yazmak vb. gibi), ayrıca personelinin bundan tamamen kaçınmak için bir sosyal mühendislik tekniği tanımlayacak kadar akıllı olduğundan emin olmalıdır. Sizce sosyal mühendisliği önlemenin en iyi yöntemleri nelerdir? İlginç bir durumla karşılaştıysanız, lütfen bizimle paylaşın.
Microsoft tarafından yayınlanan Sosyal Mühendislik Saldırıları hakkındaki bu e-kitabı indirin ve kuruluşunuzda bu tür saldırıları nasıl tespit edip önleyebileceğinizi öğrenin.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)
Referanslar(References)
[1] Reuters , Snowden NSA Çalışanlarını Giriş (NSA Employees Into)Bilgilerini(Info) Elde Etmeye İkna Etti
[2] Boing Net , Kötü Amaçlı Yazılımları Yaymak(Spread Malware) için Kullanılan Kalem(Pen) Sürücüler .
Related posts
Internet and Social Networking Sites addiction
Fake News Web Siteleri: Büyüyen bir sorun ve bugünün dünyasında ne demek
nasıl kurulur, kayıt, düzenleme Instagram Reels yayımlamak
Nasıl Reddit account için iki faktörlü kimlik doğrulamayı etkinleştirmek için
Windows Club ile bağlantı kurun
Microsoft Store mevcut Windows 10 için 5 Best Social Media apps
Music, Effects, Enhancements Instagram Reels'e nasıl eklenir?
Nasıl Facebook Ad Preferences yönetmek ve Ad Tracking devre dışı bırakmak üzere
Nasıl Instagram bir Influencer olmak
Yammer Features & Where kullanabilirsiniz
StalkFace and StalkScan Facebook arkadaşları daha iyi anlamanıza yardımcı olur
Instagram and WhatsApp için Facebook Page bağlamak için nasıl
power user için en iyi Yammer Tips and Tricks
Instagram Reels'nizi Draft and Edit'da nasıl kaydedilir?
Phutbing nedir ve kişisel ilişkiler için ne demektir?
Reddit account'yı kalıcı olarak PC'de nasıl devre dışı bırakılır?
Photoshop yılında Instagram Carousel Hazırlanışı: Başlangıç dostu öğretici
UniShare Facebook, Twitter ve LinkedIn'te bir kerede paylaşmanıza izin verir
Online Accounts'nize ne olur, ölürken: Digital Assets Management
Instagram, LinkedIn, Dropbox'ten üçüncü taraf erişimini kaldırın