- Mesajlar
- 64
- Credits
- 0
İKNA ETME
Hackerlar kendi kendilerine ataklarda psikolojik bir etki kurabilmek için sosyal mühendislik ile nasıl mükemmelbir psikolojik etki oluşturabileceklerini çalışırlar. İkna edebilmenin basit yolları: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadaş olarak görünebilmektir. Her şeye rağmen bu metotların kullanımının ana konusu insanların gizlice bilgilerini öğrenebilmek için inandırıcı olmaktır. Bu sosyal mühendisliktir.
Taklit etme genel olarak bazı karakterleri oluşturup, onların rollerini oynamaktır. En basit rol en iyisidir. Bazen bizi sizi arayıp ‘Ben MIS den John, şifrenize ihtiyacım var’ diyebilir. Fakat bu her zaman çalışmaz. Bir yandan hacker lar organizasyon daki gerçek bir bireyi çalışırlar ve o kişi yerine telefon edbilmek için o kişinin binadan çıkmasını beklerler. Bir hacker yaygın objeleri yazar, konuşma esnasında sesleerini gizlemek için küçük kutular kullanır ve konuşma biçimlerini, organizsayon tablosuna çalışır. Bence bu çok az inandırıcı bir ataktır. Çünkü çok fazla hazırlık ister. Ama yinede yapılmaktadır.
Taklit etme yönteminde kullanılan en yaygın rollar şunlardır: tamircilik, IT başkanı, yönetici, güvenli bir 3. parti elemanı (Örneğin başkanın yetkili asistanı sizi arıyor ve bşkanın gerekli bilgileri teyit ettirmek istediğini söylüyor) ve herhangi bir şirket elemanı. Büyük bir şirkette bunları kullanmak zor değildir çünkü herkesi tanıyamazlar. ID ler fake edilebilir. Bir çok çalışan patronlarına kendilerini sevdirmek ister bu nedenlede, kariyer sahibi birinin ihtiyaçlarını sağlamakiçin çok çalışırlar.
Riayet gruba dayalıdır. Fakat, inandırıcı bir kişiile tek başında kullanılabilir. Bu kullanıcılar hacker lara aynı gerekli bilgileri verir. Örneğin hacker IT yönetici rolünü oynuyorsa.
Şüphesiz sosyal mühendisik ile en iyi bilgi edinme yolundan biride arkadaş canlısı olmaktır. Buradaki anafikir telefonda meslektaşlarına inandırıcı olabilmek ve yardım istemektir. Bu nedenle hacker ihtiyaç duyduğu tek şey inandırıcı olabilmektir. Öte yandan bir çok çaşılan telefonlara cevap vermektedirler özelliklede bayanlar.
Bazen bir gülümseme, kibar bir teşekkür yada ‘kafam karıştı bana yardım edebilir misiz?’ cümlesi size çok yardımcı olacaktır.
ON-LINE SOSYAL MÜHENDİSLİK
İnternet aradığımız şifreleri sosyal mühendisilik ile elde etmek için verimli bir alandır. Bir çok kullanıcının yaptığı başlıca hata aynı şifreyi bir çok account ta kullanmasıdır: gmail, yahoo vs. . Bir hacker bir kullanıcının şifresini elde ettiği zaman onu bir çok accountta dener.Hacker ın bunu yapmasının bir yolu on-line forumlardır. Mesela hackerlar bazı para kazandıran kumar bilgilerini bu form ile gönderir ve kullanıcıdan isim ve şifre yazmasını ister.(email adresi içeren, keza şifrede) Bu formlar mail ile gönderilir. Mail iyi bir görünüm verir ve para kazandıran kumar da kanuni bir yatırım gibi görünür.
Diğer bir yöntemde hacker network admini gibi görünür ve size networkten bir şifre gönderip şifrenizi sorar. Bu tarz sosyal mühendislik atakları genelde çalışmaz. Kullanıcılar on-line iken hackerdan haberdardır. Ama genelde not bırakırlar. Ayrıca hacker larnetworkun bir kısmına benzeyen, şifre ve kullanıcı adınızı girmenizi istiyen pop-up pencereleri kurabilirler. Şu noktaya da değinelim, bir çok kullanıcı temiz bir text ile şifresini göndermez. Fakat nadiren sistem adminlerin güvenlik ölçümünün geri kalanına sahiptir. Daha iyisi, bazen sistem adminleri kullanıcılarını şifrelerini gizlemeleri, diğer bir yandan yüz yüze güvenilir ve yetkili bir çalışanla konuşma yapmaları konusunda uyarıda bulunmaktadır.
Ayrıce e-mail bir sisteme başarı ile girebilmek için direkt bir yoldur. Örneğin, yetkili kişinin mail e yaptığı eklentilerde virüs, worm, trojan atı bulunur. Buna en iyi örnek VIGILANT tarafından dokumantasyonedilen AOL hackidir: “Öyleyse bir hacker kendini AOL teknik destekleyicisi gibi tanır, bir saat kurbanla konuşur. Konuşma esnasında kendisini satışta olan çok ucuz bir arabası oldugunu söyler. Kurbanın ilgisini çeker ve hacker araba resminin olduğu bir e-mail gönderir. Araba resmi yerine mail bir backdoor exploit çalıştırmaktadır. Bu exploit AOL dışından firewall arasından bir bağlantı kurmaktadır ”.
Hackerlar kendi kendilerine ataklarda psikolojik bir etki kurabilmek için sosyal mühendislik ile nasıl mükemmelbir psikolojik etki oluşturabileceklerini çalışırlar. İkna edebilmenin basit yolları: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadaş olarak görünebilmektir. Her şeye rağmen bu metotların kullanımının ana konusu insanların gizlice bilgilerini öğrenebilmek için inandırıcı olmaktır. Bu sosyal mühendisliktir.
Taklit etme genel olarak bazı karakterleri oluşturup, onların rollerini oynamaktır. En basit rol en iyisidir. Bazen bizi sizi arayıp ‘Ben MIS den John, şifrenize ihtiyacım var’ diyebilir. Fakat bu her zaman çalışmaz. Bir yandan hacker lar organizasyon daki gerçek bir bireyi çalışırlar ve o kişi yerine telefon edbilmek için o kişinin binadan çıkmasını beklerler. Bir hacker yaygın objeleri yazar, konuşma esnasında sesleerini gizlemek için küçük kutular kullanır ve konuşma biçimlerini, organizsayon tablosuna çalışır. Bence bu çok az inandırıcı bir ataktır. Çünkü çok fazla hazırlık ister. Ama yinede yapılmaktadır.
Taklit etme yönteminde kullanılan en yaygın rollar şunlardır: tamircilik, IT başkanı, yönetici, güvenli bir 3. parti elemanı (Örneğin başkanın yetkili asistanı sizi arıyor ve bşkanın gerekli bilgileri teyit ettirmek istediğini söylüyor) ve herhangi bir şirket elemanı. Büyük bir şirkette bunları kullanmak zor değildir çünkü herkesi tanıyamazlar. ID ler fake edilebilir. Bir çok çalışan patronlarına kendilerini sevdirmek ister bu nedenlede, kariyer sahibi birinin ihtiyaçlarını sağlamakiçin çok çalışırlar.
Riayet gruba dayalıdır. Fakat, inandırıcı bir kişiile tek başında kullanılabilir. Bu kullanıcılar hacker lara aynı gerekli bilgileri verir. Örneğin hacker IT yönetici rolünü oynuyorsa.
Şüphesiz sosyal mühendisik ile en iyi bilgi edinme yolundan biride arkadaş canlısı olmaktır. Buradaki anafikir telefonda meslektaşlarına inandırıcı olabilmek ve yardım istemektir. Bu nedenle hacker ihtiyaç duyduğu tek şey inandırıcı olabilmektir. Öte yandan bir çok çaşılan telefonlara cevap vermektedirler özelliklede bayanlar.
Bazen bir gülümseme, kibar bir teşekkür yada ‘kafam karıştı bana yardım edebilir misiz?’ cümlesi size çok yardımcı olacaktır.
ON-LINE SOSYAL MÜHENDİSLİK
İnternet aradığımız şifreleri sosyal mühendisilik ile elde etmek için verimli bir alandır. Bir çok kullanıcının yaptığı başlıca hata aynı şifreyi bir çok account ta kullanmasıdır: gmail, yahoo vs. . Bir hacker bir kullanıcının şifresini elde ettiği zaman onu bir çok accountta dener.Hacker ın bunu yapmasının bir yolu on-line forumlardır. Mesela hackerlar bazı para kazandıran kumar bilgilerini bu form ile gönderir ve kullanıcıdan isim ve şifre yazmasını ister.(email adresi içeren, keza şifrede) Bu formlar mail ile gönderilir. Mail iyi bir görünüm verir ve para kazandıran kumar da kanuni bir yatırım gibi görünür.
Diğer bir yöntemde hacker network admini gibi görünür ve size networkten bir şifre gönderip şifrenizi sorar. Bu tarz sosyal mühendislik atakları genelde çalışmaz. Kullanıcılar on-line iken hackerdan haberdardır. Ama genelde not bırakırlar. Ayrıca hacker larnetworkun bir kısmına benzeyen, şifre ve kullanıcı adınızı girmenizi istiyen pop-up pencereleri kurabilirler. Şu noktaya da değinelim, bir çok kullanıcı temiz bir text ile şifresini göndermez. Fakat nadiren sistem adminlerin güvenlik ölçümünün geri kalanına sahiptir. Daha iyisi, bazen sistem adminleri kullanıcılarını şifrelerini gizlemeleri, diğer bir yandan yüz yüze güvenilir ve yetkili bir çalışanla konuşma yapmaları konusunda uyarıda bulunmaktadır.
Ayrıce e-mail bir sisteme başarı ile girebilmek için direkt bir yoldur. Örneğin, yetkili kişinin mail e yaptığı eklentilerde virüs, worm, trojan atı bulunur. Buna en iyi örnek VIGILANT tarafından dokumantasyonedilen AOL hackidir: “Öyleyse bir hacker kendini AOL teknik destekleyicisi gibi tanır, bir saat kurbanla konuşur. Konuşma esnasında kendisini satışta olan çok ucuz bir arabası oldugunu söyler. Kurbanın ilgisini çeker ve hacker araba resminin olduğu bir e-mail gönderir. Araba resmi yerine mail bir backdoor exploit çalıştırmaktadır. Bu exploit AOL dışından firewall arasından bir bağlantı kurmaktadır ”.
