Siber alem denince herkesin aklına ilk olarak hackerlar gelir. Çünkü medyada en çok kullanılan siber alem terimi hackerdır. Peki hiç sosyal mühendis diye bir şey duydunuz mu veya sosyal mühendislik diye bir şey? Duymadıysanız veya sosyal mühendislik hakkında bilgi sahibi değilseniz merak etmeyin, sadece okumaya devam edin.
İnternet ortamında, insanların zafiyetlerini kullanarak onlardan istenilen bilgiyi, ikna yöntemlerini kullanarak alınmasına sosyal mühendislik denir. Bunu yapan kişiye ise sosyal mühendis denir. Ayrıca bir hacker da sosyal mühendislik yöntemlerini kullanarak istediği bilgiyi hedefinden elde edebilir.
Sosyal Mühendisler Nasıl Çalışır?
Bir sosyal mühendis hedefine adeta bir ajan edasıyla yaklaşır. Bir hacker nasıl sisteme kimsenin ruhu duymadan sızıyorsa, bir sosyal mühendiste hedefi hiçbir şey anlamadan sızmayı gerçekleştirir. Yalnız hackerlar ile sosyal mühendislerin arasındaki tek ve en büyük fark; hackerların hedefinin bilgisayar sistemleri, sosyal mühendislerin hedefinin ise insanlar olmasıdır. Sosyal mühendislerin hedefinin insanlar olmasının nedeni ise insanların, güvenliğin en zayıf halkası olmasıdır. Bir hacker karşısına çıkan şifreyi saatlerce hatta günlerce çözmeye çalışırken, bir sosyal mühendis hedefinden sadece ikna yöntemlerini kullanarak o şifreyi elde edebilir. Peki sosyal mühendisler iknadan başka hangi yöntemleri kullanır? Bunu da maddeler halinde açıklayalım;
- İkna Yöntemleri: Yukarıda bahsettiğim ve sosyal mühendisliğin temel yöntemi olan ikna yöntemini biraz açmakta fayda var. İkna yöntemleri dediğimiz zaman kişinin korkularından yararlanma, kişinin zaaflarından (+18 içerik düşkünlüğü, bahis düşkünlüğü, oyun düşkünlüğü vb.) yararlanma, kişiyle yakınlık kurma gibi yöntemler aklımıza gelmelidir. İşte bahsettiğim bu tür ikna yöntemlerinden biri sosyal mühendis tarafından hedefe göre seçilir ve saldırı sohbet -genelde- yöntemiyle başlar. Eğer hedef ikna edilebilirse (kandırılabilirse) elde edilmek istenen bilgiler sosyal mühendisin eline geçer ve daha sonra sosyal mühendis amacına göre bu bilgileri kullanır.
- Oltalama (Phishing) Yöntemi: Oltalama veya phishing denen bu yöntemde sosyal mühendisimiz hedefin e-posta adresine veya cep telefonuna bir mesaj göndererek hedefi bir linke tıklamaya ikna eder (Bu bir banka mesajı vb. şekillerde olur) ve daha sonra hedef o linke tıklarsa kişisel bilgileri veya şifreleri sosyal mühendisimize gitmiş olur daha sonra mühendisimizin arzusu neyse bilgileriniz o arzuda kullanılır.
- Telefon Yöntemi: Bir sosyal mühendis hedefini herhangi bir çağrı merkezi gibi arayabilir ve hedeften istediği kişisel bilgileri elde edebilir. Zaten günlük hayatta haberlerde sık sık karşımıza çıkan telefon dolandırıcıları denen kişilerde bir nevi sosyal mühendisliğin bir yönteminden faydalanır.
- Sahte Web Sitesi Yöntemi: Aslında oltalama ve sahte web sitesi yöntemi hackerların da kullandığı yöntemlerden olsa da temelde her ikisi de birer sosyal mühendislik yöntemidir. Sahte web sitesi yönteminde adından da anlaşılabileceği gibi bir sahte web sitesi kurulur (Bu bir bankanın sahtesi de olabilir, popüler bir sitenin sahtesi de olabilir) ve hedeflerin siteye girmesi beklenir hedefler siteye girdikten sonra ise ya hedeflerin kişisel bilgileri elde edilmiş olur (e-posta adresi, banka şifresi vb.) ya da hedeflerin bilgisayarlarına trojanların bulaşması sağlanır. Daha sonra ise elde edilen bilgilerle sosyal mühendisimiz istediği amaca ulaşmış olur.
Son olarak, sosyal mühendislik yöntemlerinden korunmanın dikkatli olmaktan geçtiğini unutmamamız gerektiğini söylemek istiyorum. Siz siz olun internette dolaşırken her zaman dikkatli olun.
Yorumlar