Sosyal Mühendislik Nedir?
Bunu bir örnekle açıklamak istiyorum, mesela; Forumda görmüşsünüzdür çoğu kişi dm basıyor. Peki nedir bu dm basma; Dm basma yani kendini İnstagram gibi gösterip hesap çalmadır. Hesap Çalmak isteyen kişi öncelikle fake bir site açar, kurbana bunu gönderir ve bunu gören kurbanda bunu instagram sanar ve bilgilerini girer ve hoop hesap çalınmıştır. Peki bu örneği niye verdim çünkü "sosyal Mühendislik" kısa bir değişle insanları kandırma ve manipüle etme sanatıdır. Verdiğim örnek de bunu kanıtlıyor zaten.
Örnek Senaryo?
Burda bir diziden alıntı yaparak devam edeceğim (Mr.Robot). Tam hatırlamıyorum 1. Sezon olması lazımdı, blackhat hackerımız elliot bir adama fena halde kafayı takmıştı banka kartlarını ve sosyal medya hesaplarını patlatmak istiyordu... Peki nasıl yapacaktı? Tabiki de sosyal mühendislik ile... Tabiki de bunu yapmadan önce kurbanı tanıması lazımdı bunun içinde interneti kullanarak kurban hakkında bilgi edindi.. şimdi harekete geçme zamanıydi elliot dışarı çıktı ve kurbanının yanına gidip telefonunun şarjının bittiğini ve annesini aramasını söyledi, peki bunu neden yaptı? Çünkü numarasını öğrenmesi lazımdı ve telefonunda ona karşı kullanabileceği bir koz olması lazımdı... Elliot telefonu aldı ve ana ekranda x banka firmasını gördü... Ve evet bir taşla iki kuş vurmuş oldu(Adamın hem numarasını öğrenmişti, hemde hangi bankayı kullandığını) Elliot yavaşça telefonu adama verdi ve hemen eve gitti... Ve adamı arayıp "ben x bankasından arıyorum şifreniz ifşa oldu, güvenlik için size birkaç soru sormalıyım dedi" ve adamda tabiki şakır şakır öttü... Peki elliotun sorduğu sorular neydi? Adama hobilerini, köpeğinin ismini, doğum tarihini ve tuttuğu takımı sordu ve adamda söyledi... Peki bu ne işe yarayacaktı? Çünkü bu bilgilerle kapsamlı bir şifre (wordlist) oluşturup adamın zaaflarından ve açıklarından yararlanarak sosyal medya ve banka hesaplarını hackleyecekti... Bu da bir sosyal mühendislik örneğidir.
Sosyal Mühendislik Saldırı Türleri?
Kimlik Avı Saldırıları
Bu saldırıda genellikle size fake bir e posta gönderilir... Ama aslında bu e posta kötü amaçlı bir bağlantıdır.( Örneğin mail basma)
Vishing (Sesli Kimlik Avı)
Vishing , kurbanları telefonda hassas bilgileri vermeleri için kandırmaya çalışır. Çoğu durumda saldırgan, hedeflerine ulaşmak için korku, sempati ve açgözlülük gibi insani duyguları stratejik olarak manipüle eder.( Örnek senaryoda elliotun yaptığı yöntem)
Smishing (SMS Saldırısı)
SMS metin mesajlarını kullanan bir siber saldırıdır.
URL'ler, kısa bir bağlantıya metin mesajına gömülebilir ve kullanıcıyı çoğu durumda kötü amaçlı bir siteye yönlendirme olan bağlantıya tıklamaya davet edebilir.(Facebook,Google, İnstagram,devlet şu son zamanda popüler olan sağlık bakanlığı)
Bunu bir örnekle açıklamak istiyorum, mesela; Forumda görmüşsünüzdür çoğu kişi dm basıyor. Peki nedir bu dm basma; Dm basma yani kendini İnstagram gibi gösterip hesap çalmadır. Hesap Çalmak isteyen kişi öncelikle fake bir site açar, kurbana bunu gönderir ve bunu gören kurbanda bunu instagram sanar ve bilgilerini girer ve hoop hesap çalınmıştır. Peki bu örneği niye verdim çünkü "sosyal Mühendislik" kısa bir değişle insanları kandırma ve manipüle etme sanatıdır. Verdiğim örnek de bunu kanıtlıyor zaten.
Örnek Senaryo?
Burda bir diziden alıntı yaparak devam edeceğim (Mr.Robot). Tam hatırlamıyorum 1. Sezon olması lazımdı, blackhat hackerımız elliot bir adama fena halde kafayı takmıştı banka kartlarını ve sosyal medya hesaplarını patlatmak istiyordu... Peki nasıl yapacaktı? Tabiki de sosyal mühendislik ile... Tabiki de bunu yapmadan önce kurbanı tanıması lazımdı bunun içinde interneti kullanarak kurban hakkında bilgi edindi.. şimdi harekete geçme zamanıydi elliot dışarı çıktı ve kurbanının yanına gidip telefonunun şarjının bittiğini ve annesini aramasını söyledi, peki bunu neden yaptı? Çünkü numarasını öğrenmesi lazımdı ve telefonunda ona karşı kullanabileceği bir koz olması lazımdı... Elliot telefonu aldı ve ana ekranda x banka firmasını gördü... Ve evet bir taşla iki kuş vurmuş oldu(Adamın hem numarasını öğrenmişti, hemde hangi bankayı kullandığını) Elliot yavaşça telefonu adama verdi ve hemen eve gitti... Ve adamı arayıp "ben x bankasından arıyorum şifreniz ifşa oldu, güvenlik için size birkaç soru sormalıyım dedi" ve adamda tabiki şakır şakır öttü... Peki elliotun sorduğu sorular neydi? Adama hobilerini, köpeğinin ismini, doğum tarihini ve tuttuğu takımı sordu ve adamda söyledi... Peki bu ne işe yarayacaktı? Çünkü bu bilgilerle kapsamlı bir şifre (wordlist) oluşturup adamın zaaflarından ve açıklarından yararlanarak sosyal medya ve banka hesaplarını hackleyecekti... Bu da bir sosyal mühendislik örneğidir.
Sosyal Mühendislik Saldırı Türleri?
Kimlik Avı Saldırıları
Bu saldırıda genellikle size fake bir e posta gönderilir... Ama aslında bu e posta kötü amaçlı bir bağlantıdır.( Örneğin mail basma)
Vishing (Sesli Kimlik Avı)
Vishing , kurbanları telefonda hassas bilgileri vermeleri için kandırmaya çalışır. Çoğu durumda saldırgan, hedeflerine ulaşmak için korku, sempati ve açgözlülük gibi insani duyguları stratejik olarak manipüle eder.( Örnek senaryoda elliotun yaptığı yöntem)
Smishing (SMS Saldırısı)
SMS metin mesajlarını kullanan bir siber saldırıdır.
URL'ler, kısa bir bağlantıya metin mesajına gömülebilir ve kullanıcıyı çoğu durumda kötü amaçlı bir siteye yönlendirme olan bağlantıya tıklamaya davet edebilir.(Facebook,Google, İnstagram,devlet şu son zamanda popüler olan sağlık bakanlığı)
