Sosyal Mühendislik – Sizi İnsan Yapan Nedir?

Siz ofistesiniz ve kapıyı açmaya çalışan bir hanımefendiye rastlıyorsunuz ancak bir elinde laptop diğerinde birkaç kitap taşıdığı için kimlik kartına ulaşamıyor. Kapının kilidini açmak için kimlik kartını çıkarmak için çaresizce cebine ulaşmaya çalışırken, kimlik kartınızı kullanarak içeri girmesine yardım etmek için acele ediyorsunuz. Peki ya bunların hepsi ofise check-in yapmadan girmek için planlanmış bir girişimse? Nazik hareketiniz birdenbire başınızı belaya soktu. Artık bir sosyal mühendislik kurbanısınız!

Sosyal mühendislik, siber güvenlik uzmanları veri hırsızlığına karşı savunmasız olduğumuz birçok yönden bahsettiklerinde duyduğunuz yaygın bir terimdir. Sosyal mühendislik terimi genellikle suçlunun amacına hizmet etmeye ihtiyacı olan birine yardım etmek için insan içgüdüsünden yararlanma süreci anlamına gelir.

Sosyal mühendislik sorunu uzun yıllardır evrim geçiriyor ancak bugün siber saldırıların ve siber terörizmin ana kaynağıdır. Teknik bir kusur aracılığıyla yüklenen kötü amaçlı yazılımlar, örneklerin yalnızca% 3’ünü oluştururken, sosyal mühendislik saldırıları% 97’lik devasa bir oran oluşturur. Bilgisayar korsanlığı modeli, yazılım veya donanımın hedeflenmesinden insan güvenlik açıklarına daha fazla odaklanmaya doğru değişiyor.

Farklı Sosyal Mühendislik Saldırıları Türleri

E-dolandırıcılık

Veri ihlallerinin% 91’i kimlik avı şeklinde gelir ve bu da onu sosyal mühendisliğin en çok istismar edilen şekli yapar. [2]

Kimlik avı, bireyleri kişisel bilgileri, bankacılık ve kredi kartı bilgilerini, e-posta veya sosyal medya hesap şifrelerini veya diğer gizli bilgileri sağlamaya ikna etmek için hedefe e-postaların gönderildiği bir siber suç türüdür.

Kimlik avı dolandırıcılıkları genellikle aşağıdaki özellikleri gösterir:

  • Kişisel bilgileri, parolaları veya banka ile ilgili diğer ayrıntıları elde etmeye çalışmak.
  • Ayrıntılarınızı takip edebilecek, güvenliği ihlal edilmiş web sitelerine yönlendirecek kısaltılmış bağlantılar göndermek.
  • Kurbanı düşünmeden önce tepki vermesi için manipüle etmek için aciliyet, tehdit veya korku duygusu içeren.

Bu tür bir sosyal mühendislik saldırısının mükemmel bir örneği, suçluların vergi beyannamesi ayrıntılarını soran yanıltıcı e-postalar gönderdiği 2018’deki Vergi Günü’nden bir ay sonra meydana gelen kimlik avı dolandırıcılığıdır. Bu, hesaplara erişim sağlamak, hileli vergi beyannameleri vermek için bilgi çalmak ve satmak için yapıldı. [3]

Kimliğe bürünme

Siber suçlular, genellikle insan olan bir sistemi tehlikeye atmak için en zayıf halkayı ararlar. Kimliğe bürünme, hedefi anlamak ve saldırıyı planlamak için çok çaba gerektirir, bu nedenle bu, sosyal mühendisliğin en az yaygın biçimidir.

Bir taklitçinin saldırıyı uygulamak için üstlenebileceği bazı ortak roller, bir BT yöneticisi, bir yönetici, bir denetçi veya bir çalışan arkadaştır. Kimliğe bürünme saldırıları genellikle yetkili rollere odaklanır, çünkü insanlar yetkili kişilerden bilgi paylaşma isteği aldıklarında, gönderenin gerçek kimliğini doğrulamadan hemen harekete geçerler.

Kimliğe bürünme, diğer sosyal mühendislik saldırı biçimleriyle karşılaştırıldığında yaygın olarak yapılmasa da, saldırılar 2017’de yaklaşık% 400 arttı. [4]

Vishing

Sesli kimlik avı veya vishing, bir sosyal mühendislik biçimi olarak hızla büyüyor. Vishing saldırıları, bir saldırganın hedef kurumu arayacağı ve telefon üzerinden bilgi ve kimlik bilgileri elde etmeye çalışacağı yerdir. Başka bir Vishing dolandırıcılığı, saldırganın telefonun diğer ucundaki kişiyi bilgisayarında bazı eylemler gerçekleştirmeye ikna etmeye çalışmasıdır. Bu eylemler, masaüstü komut dosyalarını çalıştırmayı ve virüslü web sitelerini görüntülemeyi içerir. Bu saldırıların izlenmesi ve izlenmesi zordur ve ne yazık ki İK departmanlarında, müşteri hizmetlerinde, satış ve pazarlama vb. Alanlarda çalışan çalışanlar bu saldırılara karşı oldukça savunmasızdır.

2012’den 2016’ya kadar bir grup siber suçlu, büyük bir IRS vishing dolandırıcılığı düzenledi. Bu dört yıl boyunca, Amerika Birleşik Devletleri’nde 15.000’den fazla kurban, bu sofistike dolandırıcılık nedeniyle “yüz milyonlarca” dolar kaybetti ve 50.000’den fazla kişinin kişisel bilgileri ele geçirildi. [5]

Smishing

Smishing, phishing’e benzeyen ancak metin mesajları yoluyla gerçekleştirilen bir “SMS phishing” portmanteusudur. Smishing suçlular normalde web’de gezinme, veri ihlalleri veya rastgele sayı üreteçleri gibi çeşitli siyah şapka teknikleriyle elde ettikleri iletişim numaralarına mesajlar gönderir. Dolandırıcılar tarafından gönderilen mesajlar, peşinde oldukları bilgileri paylaşmanızı sağlamak için farklı teknikler kullanır. İstenilen ürünlerde kuponlar veya indirimler vaat edebilirler veya bankanız hesap bilgilerinizi doğrulamak istiyormuş gibi görünebilirler. Ayrıca, “5000” gibi şüpheli numaralardan veya otomatikleştirilebilecek e-postadan metne hizmetlere bağlı diğer numaralardan metinler de alabilirsiniz.

NBC Nightly News tarafından bildirildiği üzere, kurbanlardan telefon üzerinden özel bilgilerini girerek yeni kredi kartlarını etkinleştirmeleri istendi. Başka bir smishing dolandırıcılığında, kullanıcılara çevrimiçi hesaplarının süresinin dolduğu ve şifrelerini sahte bir web sitesine girerek hesaplarını yenilemeleri gerektiği bildirildi. [6]

Sosyal Mühendislik Saldırıları Nasıl Planlanır?

Yazılımdaki herhangi bir güvenlik açıkından değil, insan hatasına dayalı olduklarından, siber saldırıların en tehlikelisi sosyal mühendisliktir.

Tipik bir sosyal mühendislik saldırısı süreci şu şekilde yürütülür:

Adım 1 – Araştırma

Saldırı başlatmadan önce saldırgan, saldırıyı planlamaya başlamak için kurbanı araştırır, kimliğini, geçmiş bilgilerini, profesyonel ayrıntılarını vb. Doğrular.

Adım 2 – Kanca

İkinci adımda bilgisayar korsanı birinci adımda öğrendiği bilgilerle mağdurun güvenini kazanmak için onu aldatmaya çalışır.

3. Adım – Oynat

Bilgisayar korsanı, kurbanın güvenini kazandığında saldırıyı gerçekleştirmeye ve hedeflenen bilgiyi elde etmeye çalışır.

Adım 4 – Çıkış

Saldırgan bilgiyi aldıktan sonra ideal olarak etkileşimi kapatır ve herhangi bir alarm vermemesi için tüm kötü amaçlı yazılım izlerini (varsa) kaldırır veya konuşmayı hoş bir notla bitirir.

Sosyal Mühendislikle Mücadele

Sosyal mühendislik saldırıları durdurulamaz ancak tetikte olarak başarı şanslarını sınırlayabilirsiniz. İşte bunu yapmanın birkaç yolu:

1. Her Zaman Çok Faktörlü Kimlik Doğrulama Kullanın

Suçluların yakalamaya çalıştıkları en değerli bilgi parçaları banka hesabınızın, e-postanızın, sosyal medyanızın veya diğer resmi oturum açma bilgilerinizin giriş kimlik bilgileridir. Saldırgan her zaman bu tür bilgilere erişmek isteyecektir. Hesaplarınızın saldırıya uğrama olasılıklarını en aza indirmek için, çok faktörlü kimlik doğrulama (MFA) e-postanıza, çevrimiçi banka hesabınıza, sosyal medya hesaplarınıza vb. Bağlanabilir.

MFA’yı etkinleştirerek, şifrenizin güvenliği ihlal edildiğinde bile erişimi kısıtlamış olursunuz. MFA normalde bağlı cep telefonu numaranıza veya e-posta adresinize erişim izni göndererek gerçekliğinizi test eder. Buradaki fikir, hesabınıza erişmek için bildiğiniz bir şeye (bir şifre gibi) ve sahip olduğunuz bir şeye (cep telefonu gibi) güvenmeniz gerektiğidir.

2. İçgüdülerinizi Takip Edin

Göndereni tanımıyorsanız, e-postaya veya metne yanıt vermeyin kuralına bağlı kalın. İsim tanıdık gelse de yine de şüpheli hissediyor olsanız bile, önce e-postayı gönderenin gerçek olduğunu onaylayın. Bilinmeyen gönderenlerden gönderilen bağlantılara tıklamayın. E-posta veya mesaj bir kurye servisinden, iş arkadaşınızdan veya patronunuzdan vb. Geliyormuş gibi görünebilir, ancak genellikle bir sosyal mühendislik hesabında gönderilen bir e-posta veya metinle ilgili tam olarak doğru olmayan bir şeyler vardır, bu nedenle bir şey fark ederseniz, görmezden gelme.

3. Phish-Bait için Düşmeyin

“Tebrikler!” Yazan mesajlara ve e-postalara sık sık rastlanır. Bir ödül kazandın. Almak için burayı tıklayın! ”. Gerçek olamayacak kadar iyiyse, büyük olasılıkla doğrudur. Kimse size ücretsiz bir iPad vermeyecek, özellikle de katılmadığınız bir yarışmayı kazandığınız için. Cevap her zaman hayırdır. Meşru bir çekiliş veya yarışmaya kaydolursanız, sizinle nasıl iletişim kuracaklarını görmek için küçük yazıları okuduğunuzdan emin olun. Gönderenin gerçekliğini onaylayana kadar, teklif mesajında ​​paylaşılan bağlantılara tıklamayın.

4. Antivirüs Yazılımınızı Güncel Tutun

Antivirüs, düzenli olarak güncellenmesi gereken koruyucu bir kalkandır. Yeni antivirüs sürümleri genellikle yeni kötü amaçlı yazılımlara karşı test edildikten sonra yayınlanır. Bu nedenle, güncel olmayan antivirüsünüz yeni kötü amaçlı yazılımlara karşı aslında bir şansa sahip olmayabilir. Sosyal mühendisliğin amaçlarından biri, sisteminize kötü amaçlı yazılım yüklemektir. Örneğin, bir kimlik avı e-postasında kötü amaçlı bir siteyi ziyaret ettiğinizde, site, kötü amaçlı yazılım indirmek ve yüklemek için tarayıcınızdaki bir kusurdan yararlanır. Anti-virüs, kötü amaçlı yazılımı tespit ederek ve yüklenmesini ve yürütülmesini engelleyerek başarılı bir kimlik avı saldırısının hasarını sınırlamaya yardımcı olabilir.

Organizasyonlarda Sosyal Mühendislik

Sosyal mühendislik saldırıları bireylerle sınırlı olmayıp, insan hatasıyla örgütleri hedef alan suçlularla daha geniş ölçekte yürütülmektedir. Siber suçlular, bugünlerde hemen hemen her kuruluş olan sosyal medyayı kullanan kuruluşları seviyor. Suçlular, müşterilerinizi kandırmak için kuruluş ve çalışanları hakkında bilgi toplamak için sosyal medyayı kullanabilir.

Aslında Social-engineering.org tarafından yapılan araştırma şunu gösterdi: [7]

  • Organizasyonlarda çalışan insanların% 90’ı sosyal mühendislik uygulamalarının kurbanı oluyor ve gönderenin gerçek kimliğini doğrulamadan tam isim ve e-posta adreslerini suçlularla paylaşıyor.
  • Çalışanların% 67’si meslektaşlarından, arkadaşlarından veya patronlarından gelen bir e-posta gördüklerinde sosyal güvenlik numaralarını ve doğum tarihi veya çalışan numaraları gibi diğer kişisel ayrıntıları paylaşır.

Kuruluşlar, sosyal mühendislik saldırılarının giderek artan tehditleri ile başa çıkmak için uygun çözümler bulmaya çalışıyor. Bu tehditler insan müdahalesini ve insan hatasını içerdiğinden, personelin eğitimi ve öğretiminin yanı sıra şirketlerin markalarının ve verilerinin güvenliğini sağlamak için siber güvenlik uzmanlarının işe alınmasına odaklanılmalıdır.

Orjinal Kaynak : https://blog.eccouncil.org/social-engineering-what-makes-you-human/

Kaynaklar:

  1. ttps: //www.dogana-project.eu/index.php/social-engineering-blog/11-social-engineering/94-estimates-of-social-engineering-attacks
  2. https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack
  3. https://blog.barkly.com/phishing-attacks-campaigns-2018
  4. https://betanews.com/2017/06/07/impersonation-attacks-rise-400-percent/
  5. https://www.nytimes.com/2018/07/23/business/irs-phone-scams-jeff-sessions.html
  6. https://www.comparitech.com/blog/information-security/smishing/
  7. https://www.social-engineer.org/social-engineering/social-engineering-infographic/
  8. https://www.computerweekly.com/news/4500273577/Social-engineering-confirmed-as-top-information-security-threat

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.