Sosyal Mühendislik Nedir ve Nasıl Kaçının?
Kötü amaçlı yazılım, endişelenecek tek çevrimiçi tehdit değildir. Sosyal mühendislik büyük bir tehdittir ve herhangi bir işletim sisteminde size zarar verebilir. Aslında, sosyal mühendislik telefonla ve yüz yüze durumlarda da gerçekleşebilir..
Sosyal mühendisliğin farkında olmak ve uyanık olmak önemlidir. Güvenlik programları sizi çoğu sosyal mühendislik tehdidinden koruyamayacağından, kendinizi korumanız gerekir.
Sosyal Mühendislik Açıklaması
Geleneksel bilgisayar tabanlı saldırılar genellikle bilgisayar kodunda bir güvenlik açığını bulmaya bağlıdır. Örneğin, Adobe Flash’ın güncel olmayan bir sürümünü kullanıyorsanız - ya da Cisco’ya göre 2013’teki saldırıların% 91’inin sebebi olan tanrıyı yasaklayan Java - kötü amaçlı bir web sitesini ve o web sitesini ziyaret edebilirsiniz. bilgisayarınıza erişmek için yazılımınızdaki güvenlik açığından yararlanır. Saldırgan, belki de yükledikleri bir keylogger'la erişim sağlamak ve özel bilgileri toplamak için yazılımdaki hataları kullanıyor..
Sosyal mühendislik püf noktaları farklıdır çünkü bunun yerine psikolojik manipülasyon içerirler. Başka bir deyişle, yazılımlarını değil insanları kullanıyorlar.
Muhtemelen zaten bir sosyal mühendislik şekli olan kimlik avı bilgisini duymuşsunuzdur. Bankanızdan, kredi kartı şirketinizden veya güvenilir başka bir işletmeden geldiğinizi iddia eden bir e-posta alabilirsiniz. Sizi gerçek gibi görünmek üzere gizlenmiş sahte bir web sitesine yönlendirebilir veya kötü niyetli bir program indirip yüklemenizi isteyebilir. Ancak bu tür sosyal mühendislik hileleri sahte web sitelerini veya kötü amaçlı yazılımları içermelidir. Kimlik avı e-postası sizden özel bilgileri içeren bir e-posta yanıtı göndermenizi isteyebilir. Bir yazılımda bir hatadan yararlanmaya çalışmak yerine, normal insan etkileşimlerinden yararlanmaya çalışırlar. Mızrak kimlik avı, belirli kişileri hedef almak için tasarlanmış bir kimlik avı şekli olduğundan daha tehlikeli olabilir..
Sosyal Mühendislik Örnekleri
Sohbet hizmetlerindeki ve çevrimiçi oyunlardaki popüler numaralardan biri “Yönetici” gibi bir ada sahip bir hesaba kaydolmak ve insanlara “UYARI: Birinin hesabınızı çiğneyebileceğini, şifrenizi kullanarak kimliğinizi doğrulamak için yanıt verebileceğini” tespit ettik. Bir hedef kendi şifresiyle cevap verirse, numara için düşmüşlerdir ve saldırgan şimdi kendi kullanıcı şifresine sahiptir..
Birisi hakkında kişisel bilgileriniz varsa, hesaplarınıza erişmek için bunu kullanabilirler. Örneğin, doğum tarihiniz, sosyal güvenlik numaranız ve kredi kartı numaranız gibi bilgiler sizi tanımlamak için sıklıkla kullanılır. Birisi bu bilgiye sahipse, bir şirketle iletişim kurabilir ve sizin gibi davranabilir. Bu numara ünlü bir saldırgan tarafından Sarah Palin’in Yahoo! Mail hesabına 2008 yılında, Yahoo! 'Nun şifre kurtarma formu aracılığıyla hesaba erişmek için yeterli kişisel bilgiyi gönderin. İşletmenin sizi doğrulaması için gereken kişisel bilgilere sahipseniz, aynı yöntem telefon üzerinden de kullanılabilir. Bir hedef hakkında bazı bilgiler içeren bir saldırgan, onlar gibi davranabilir ve daha fazla şeye erişebilir.
Sosyal mühendislik de şahsen kullanılabilir. Bir saldırgan, bir işletmeye girebilir, sekretere tamirci, yeni çalışan veya itfaiye müfettişi olarak yetkili ve ikna edici bir tonda olduklarını söyleyebilir ve daha sonra salonlarda dolaşabilir ve potansiyel olarak gizli verileri veya tesis hatalarını şirket casusluğu yapmak için çalabilir. Bu numara, saldırganın kendilerini olmadıkları biri olarak göstermesine bağlıdır. Bir sekreter, kapıcı veya başkasının sorumlusu çok fazla soru sormaz veya çok yakından bakmazsa, hile başarılı olacaktır..
Sosyal mühendislik saldırıları, sahte web sitelerini, sahte e-postaları ve alçakgönüllü sohbet mesajlarını, birisini telefonda veya şahsen taklit etmeye kadar uzanıyor. Bu saldırılar çok çeşitli şekillerde ortaya çıkıyor, ancak hepsinin ortak bir yanı var - psikolojik hilelere bağlı. Sosyal mühendislik psikolojik manipülasyon sanatı olarak adlandırılmıştır. “Hacker'ların” aslında çevrimiçi hesap kesmelerinin “hack” yapmasının ana yollarından biridir..
Sosyal Mühendislikten Kaçının
Sosyal mühendisliğin var olduğunu bilmek, onunla savaşmanıza yardımcı olabilir. İstenmeyen e-postalardan, sohbet mesajlarından ve özel bilgi isteyen telefon görüşmelerinden şüphelenmeyin. Finansal bilgileri veya önemli kişisel bilgileri asla e-postayla açıklama. Potansiyel olarak tehlikeli e-posta eklerini indirmeyin ve bir e-posta önemli olduklarını iddia etse bile onları çalıştırmayın.
Ayrıca bir e-postadaki hassas web sitelerine bağlantılar izlememelisiniz. Örneğin, bankanızdan görünen ve giriş yapan bir e-postadaki bir bağlantıyı tıklamayın. Bu, sizi bankanızın sitesi olarak görünmek üzere gizlenmiş sahte bir kimlik avı sitesine götürebilir, ancak oldukça farklı bir URL'ye sahip olabilir. Bunun yerine doğrudan web sitesini ziyaret edin.
Şüpheli bir istek alırsanız (örneğin, bankanızdan bir telefon görüşmesi kişisel bilgilerinizi ister) doğrudan isteğin kaynağına başvurun ve onay isteyin. Bu örnekte, bankanızı arar ve bilgileri bankanız olduğunu iddia eden birine açıklamak yerine ne istediğinizi sorarsınız..
E-posta programları, web tarayıcıları ve güvenlik süitlerinde genellikle bilinen bir phishing sitesini ziyaret ettiğinizde sizi uyaracak phishing filtreleri bulunur. Yapabilecekleri tek şey, bilinen bir phishing sitesini ziyaret ettiğinizde veya bilinen bir phishing e-postasını aldığınızda sizi uyarır ve oradaki tüm phishing sitelerini veya e-postalarını bilmiyorlar. Genelde, kendinizi korumak size kalmış - güvenlik programları sadece biraz yardımcı olabilir.
Özel veri talepleriyle ve sosyal mühendislik saldırısı olabilecek herhangi bir şeyle uğraşırken sağlıklı bir şüphe uyandırmak iyi bir fikirdir. Şüphe ve dikkat, çevrimiçi ve çevrimdışı olmanıza yardımcı olur.
Resim Kredisi: Flickr'da Jeff Turnet