- Mesajlar
- 64
- Credits
- 0
TERS MÜHENDİSLİĞİ
Son olarak, yasadışı bilgi edinme için daha gelişmiş kazanç metotlarından biri ‘ters sosyal mühendisliği’ olarak bilinir. Bu, hacker yetkili bir kişinin karakterterini oluşturduğu zaman olur. Bu nedenle işçiler diğer yoldan ziyade ona bazı bilgiler için soru sorarlar. Şayet inceden inceye araştırılıp, planlanır ve iyi çalışılırsa, ters sosyal mühendislik atakları belki hacker a işçilerden daha şansla değerli verileri elde etmek için gösterilebilir. Fakat bu istek çok büyük hazırlık, araştırma ve ön Hack forum için kürek çekmektir.
Rick Nelson’un raporuna göre ters sosyal mühendisliği üç kısımdan oluşmuştur: sabotaj yapmak, reklam yapmak ve yardım etmektir. Hacker lar bir networku sabote ederken bir problem artışı olabilir. Hacker sabit problem ile uygun iletişime geçer ve o çalışanlardan kesin bilgileri ister ve gerçekte elde etmek için geldiği şeyi elde eder. Onlar bilir ki aslında o kişi hacker dır. Çünkü diğer müşterilerinin network sisteminden bir sorunları yoktur ve mutludurlar.
SONUÇ
Elbette ki, hiçbir sosyal mühendislik ile ilgili makale Kevin Mitnick in anmadan bitirilmez: Bir makaleden alınmış yazı ile sonuçlandıralım.”Sizler servislere ve teknolojiye bir servet harcayabilirsiniz.. Sizin ağ teknolojiniz hala eskiye karşı savunmasız kalabilir-şekillendirilmiş idare”
----------------------------------------------------------------------------------------------------------------
1. Seneryo: Hacker: Alo, iyi günler. Ben bilgi işlem bölümünden arıyorum. Sizin bilgisayarınızda bir sorun olduğu görünüyor. Sorunu çözmek için de yardımınıza ihtiyacımız var..
Kullanıcı: Aaa öylemi? Peki nasıl yardımcı olabilirim?
Hacker: Lütfen kullanıcı isminizi ve şifrenizi söyler misiniz?
Kullanıcı: Tabii, kullanıcı ismim X, şifrem de 12345.
2. Seneryo:
Hacker: İyi günler. Ben X internet hizmetlerinden (Superonline, Turk.net, E-kolay.net...) arıyorum. Bilgi işlem yetkilisiyle görüşebilir miyim?
Yetkili: Ben bilgi işlem şefi X X, Buyurun...
Hacker: X Bey bildiğiniz gibi son zamanlarda hızla artan virusler internet ve ağ güvenliğini ciddi bir şekilde tehdit eder hale geldi. Biz de bu tehlikeden hem kendimizi hem de siz müşterilerimizi korumak istiyoruz. Bu amaçla e-posta yoluyla gelen virüslere karşı bir önlem olarak, tüm müşterilerimizin e-postalarını taramak istiyoruz. Kesinlikle e-postaların içeriğine bakılmayacak ve bu hizmet için ekstra ücret istenmeyecektir. Bu konuda sizin fikrinizi almak istiyoruz.
Yetkili: Gerçekten çok güzel bir olay. Tabii ki biz de bu hizmetten yararlanmak isteriz..
Hacker: Güzel, X Bey öncelikle bizdeki bilgilerinizi doğrulamak için lütfen şu sorulara cevap veriniz. Doğum yeriniz, doğum tarihiniz ve annenizin kızlık soyadı?
Yetkili: X, XX.XX.XXXX, X
Hacker: Tamam, kullanıcı isminiz ve şifreniz?
Yetkili: X, X.
3. Senaryo:
Hacker: Alo, iyi günler. Ben şirketin reklam bölümünde bugün işe başladım. Bilgisayara girebilmem için bir kullanıcı ismine ve şifreye ihtiyacım var. Bana yardımcı olabilirmisiniz?
Yetkili: Tabii, adınızı söyler misiniz?
Hacker: X X.
Yetkili: Peki X Hanım, kullanıcı isminiz X, şifrenizde X
Yukarıda anlatılan hayali senaryolar, aslında günlük hayatta sıkça karşılaşılan Sosyal Mühendislik yöntemlerini göstermektedir. Sosyal Mühendislik hacker'lar arasında sıkça kullanılan bir terimdir. Genellikle
telefon görüşmesi vasıtasıyla, kullanıcının zafiyetinden yararlanarak şifreleri, kullanıcı isimlerini ya da önemli bilgileri almak için kullanılan bir yöntemdir.
Sosyal Mühendislik yöntemi, çabuk sonuca ***ürmesi, hızlı ve basit olması nedeniyle hacker'lar tarafından sıkça kullanılır. Gelmiş geçmiş en iyi ve en ünlü hacker'lardan biri olarak kabul edilen Kevin Mitnick'in
de bir Sosyal Mühendislik dehası olduğu söylenir. Hatta Mitnick'in girdiği sistemlerin % 85'ine Sosyal Mühendislik yöntemleriyle ulaştığı bilinir. Mitnick'in yakalanmasında başrol oynayan ünlü güvenlik
uzmanı Tsutomu Shimomura, Kevin Mitnick ile girdiği mücadeleyi anlattığı "Takedown" adlı eserinde Mitnick'in bu yönüne işaret etmektedir. (TAKEDOWN). Mitnick, hapisten çıktıktan
sonra yazdığı "The Art of Deception: Controlling the Human Element of Security" adlı kitabında, Sosyal Mühendisliğin sırlarını anlatmış ve yazdığı pek çok hayali senaryolarla güvenlikte insan faktörünün ne denli önemli olduğunu vurgulamıştır.
Hacker Sosyal Mühendislik yöntemine başvurmadan önce şirket hakkında kısa bir araştırma yapmak zorundadır. Şirketin ne üzerine çalıştığını, bölümlerini ve yapısını bilmelidir. Aksi halde hiç reklam bölümü
olmayan bir şirketi arayıp, "Bugün reklam bölümünde işe başladım, bilgisayara girmek için kullanıcı ismine ve şifreye ihtiyacım var." derse, başaramayacağı ve üstüne hakaretler yiyeceği de kesindir.
Sosyal Mühendislik yöntemleri üzerine yapılan araştırmalar, bu konuda kadın sesinin her zaman erkek sesinden daha şanslı olduğunu ve karşıdaki kişininde daha çabuk etkilendiğini göstermiştir. Bu yüzden Sosyal Mühendislik yöntemini kullanacak olan hacker, genellikle kız arkadaşlarından yardım alır (tabii kendisi kız değilse). Bu konuda kimseden yardım almak istemeyenler ise kendi seslerini "voice changer" denilen cihaz ve programlarla kadın sesine dönüştürürler. Nitekim bu ses dönüştürme işi, iyi bir ses kartı, hoparlör ve bir mikrofonla kolaylıkla yapılabilir.
Son olarak, yasadışı bilgi edinme için daha gelişmiş kazanç metotlarından biri ‘ters sosyal mühendisliği’ olarak bilinir. Bu, hacker yetkili bir kişinin karakterterini oluşturduğu zaman olur. Bu nedenle işçiler diğer yoldan ziyade ona bazı bilgiler için soru sorarlar. Şayet inceden inceye araştırılıp, planlanır ve iyi çalışılırsa, ters sosyal mühendislik atakları belki hacker a işçilerden daha şansla değerli verileri elde etmek için gösterilebilir. Fakat bu istek çok büyük hazırlık, araştırma ve ön Hack forum için kürek çekmektir.
Rick Nelson’un raporuna göre ters sosyal mühendisliği üç kısımdan oluşmuştur: sabotaj yapmak, reklam yapmak ve yardım etmektir. Hacker lar bir networku sabote ederken bir problem artışı olabilir. Hacker sabit problem ile uygun iletişime geçer ve o çalışanlardan kesin bilgileri ister ve gerçekte elde etmek için geldiği şeyi elde eder. Onlar bilir ki aslında o kişi hacker dır. Çünkü diğer müşterilerinin network sisteminden bir sorunları yoktur ve mutludurlar.
SONUÇ
Elbette ki, hiçbir sosyal mühendislik ile ilgili makale Kevin Mitnick in anmadan bitirilmez: Bir makaleden alınmış yazı ile sonuçlandıralım.”Sizler servislere ve teknolojiye bir servet harcayabilirsiniz.. Sizin ağ teknolojiniz hala eskiye karşı savunmasız kalabilir-şekillendirilmiş idare”
----------------------------------------------------------------------------------------------------------------
1. Seneryo: Hacker: Alo, iyi günler. Ben bilgi işlem bölümünden arıyorum. Sizin bilgisayarınızda bir sorun olduğu görünüyor. Sorunu çözmek için de yardımınıza ihtiyacımız var..
Kullanıcı: Aaa öylemi? Peki nasıl yardımcı olabilirim?
Hacker: Lütfen kullanıcı isminizi ve şifrenizi söyler misiniz?
Kullanıcı: Tabii, kullanıcı ismim X, şifrem de 12345.
2. Seneryo:
Hacker: İyi günler. Ben X internet hizmetlerinden (Superonline, Turk.net, E-kolay.net...) arıyorum. Bilgi işlem yetkilisiyle görüşebilir miyim?
Yetkili: Ben bilgi işlem şefi X X, Buyurun...
Hacker: X Bey bildiğiniz gibi son zamanlarda hızla artan virusler internet ve ağ güvenliğini ciddi bir şekilde tehdit eder hale geldi. Biz de bu tehlikeden hem kendimizi hem de siz müşterilerimizi korumak istiyoruz. Bu amaçla e-posta yoluyla gelen virüslere karşı bir önlem olarak, tüm müşterilerimizin e-postalarını taramak istiyoruz. Kesinlikle e-postaların içeriğine bakılmayacak ve bu hizmet için ekstra ücret istenmeyecektir. Bu konuda sizin fikrinizi almak istiyoruz.
Yetkili: Gerçekten çok güzel bir olay. Tabii ki biz de bu hizmetten yararlanmak isteriz..
Hacker: Güzel, X Bey öncelikle bizdeki bilgilerinizi doğrulamak için lütfen şu sorulara cevap veriniz. Doğum yeriniz, doğum tarihiniz ve annenizin kızlık soyadı?
Yetkili: X, XX.XX.XXXX, X
Hacker: Tamam, kullanıcı isminiz ve şifreniz?
Yetkili: X, X.
3. Senaryo:
Hacker: Alo, iyi günler. Ben şirketin reklam bölümünde bugün işe başladım. Bilgisayara girebilmem için bir kullanıcı ismine ve şifreye ihtiyacım var. Bana yardımcı olabilirmisiniz?
Yetkili: Tabii, adınızı söyler misiniz?
Hacker: X X.
Yetkili: Peki X Hanım, kullanıcı isminiz X, şifrenizde X
Yukarıda anlatılan hayali senaryolar, aslında günlük hayatta sıkça karşılaşılan Sosyal Mühendislik yöntemlerini göstermektedir. Sosyal Mühendislik hacker'lar arasında sıkça kullanılan bir terimdir. Genellikle
telefon görüşmesi vasıtasıyla, kullanıcının zafiyetinden yararlanarak şifreleri, kullanıcı isimlerini ya da önemli bilgileri almak için kullanılan bir yöntemdir.
Sosyal Mühendislik yöntemi, çabuk sonuca ***ürmesi, hızlı ve basit olması nedeniyle hacker'lar tarafından sıkça kullanılır. Gelmiş geçmiş en iyi ve en ünlü hacker'lardan biri olarak kabul edilen Kevin Mitnick'in
de bir Sosyal Mühendislik dehası olduğu söylenir. Hatta Mitnick'in girdiği sistemlerin % 85'ine Sosyal Mühendislik yöntemleriyle ulaştığı bilinir. Mitnick'in yakalanmasında başrol oynayan ünlü güvenlik
uzmanı Tsutomu Shimomura, Kevin Mitnick ile girdiği mücadeleyi anlattığı "Takedown" adlı eserinde Mitnick'in bu yönüne işaret etmektedir. (TAKEDOWN). Mitnick, hapisten çıktıktan
sonra yazdığı "The Art of Deception: Controlling the Human Element of Security" adlı kitabında, Sosyal Mühendisliğin sırlarını anlatmış ve yazdığı pek çok hayali senaryolarla güvenlikte insan faktörünün ne denli önemli olduğunu vurgulamıştır.
Hacker Sosyal Mühendislik yöntemine başvurmadan önce şirket hakkında kısa bir araştırma yapmak zorundadır. Şirketin ne üzerine çalıştığını, bölümlerini ve yapısını bilmelidir. Aksi halde hiç reklam bölümü
olmayan bir şirketi arayıp, "Bugün reklam bölümünde işe başladım, bilgisayara girmek için kullanıcı ismine ve şifreye ihtiyacım var." derse, başaramayacağı ve üstüne hakaretler yiyeceği de kesindir.
Sosyal Mühendislik yöntemleri üzerine yapılan araştırmalar, bu konuda kadın sesinin her zaman erkek sesinden daha şanslı olduğunu ve karşıdaki kişininde daha çabuk etkilendiğini göstermiştir. Bu yüzden Sosyal Mühendislik yöntemini kullanacak olan hacker, genellikle kız arkadaşlarından yardım alır (tabii kendisi kız değilse). Bu konuda kimseden yardım almak istemeyenler ise kendi seslerini "voice changer" denilen cihaz ve programlarla kadın sesine dönüştürürler. Nitekim bu ses dönüştürme işi, iyi bir ses kartı, hoparlör ve bir mikrofonla kolaylıkla yapılabilir.
