Scoulfly
Uzman Üye
- Katılım
- 20 Aralık 2020
- Mesajlar
- 193
- Tepkime puanı
- 665
- İlgi Alanlarınız
- Grafik Tasarım
- Cinsiyet
-
- Erkek
Suçlular İnsan Davranışlarını Nasıl Sömürür?
Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız. |
Meşhur Sosyal Mühendislik Saldırıları
Sosyal mühendisliğin taktiklerinin ne olduğunu anlamak için geçmişte ne kullanıldığını araştırmalısınız. Bütün detaylar konuyla ilgili kapsamlı bir makalede bulunuyor (konuyla ilgili kapsamlı bir makale link), ama şu anlık dolandırıcıların önemli ölçüde başarılı olduğu teknoloji platformlarından ayrı olan üç sosyal mühendislik tekniğine bakalım.
Tatlı bir şey teklif et. Bir markayı dolandırmanın en kolay yolu kendi aç gözlülüklerinden yararlanmak olduğunu herhangi bir dolandırıcı sana söyleyecektir. Bu klasik Nigerian 419 dolandırıcılığının temelidir, dolandırıcı kurbanı sözde kötü kazanılmış (illegal) parayı kendi ülkesinden güvenli bankaya götürmesine yardımcı olmak için ikna etmeye çalıştığı ve karşılık olarak fonlarından bir kısmını teklif ettiğidir. Bu “Nijeryalı Prens” email şakası on yıllardır sürüyor, ve hala insanların inandıkları etkili bir sosyal mühendislik yöntemidir:2007’de Michiganda seyrek nüfuslu bir yerde olan mali işler sorumlusu, şahsen para kazanmak için dolandırıcının birine 1.2 milyon dolar kamu fonu verdi. Bir başka yaygın kandırma ise görünüşe göre çoğumuzun istediği bir şey olan yeni ve daha iyi bir iş beklentisidir: son derece utanç verici bir 2011 ihlalinde, güvenlik şirketi olan RSA, en az iki düşük seviyeli çalışan,”2011 işe alım planı.xls” adlı bir kimlik avı e-postasına eklenmiş bir malware dosyasını açtığında tehlikeye girdi.
Yapana kadar sahte davran. En kolay ve şaşırtıcı bir şekilde başarılı olan sosyal mühendislik tekniklerinden birisi basitçe kurbanınız gibi davranın. Kevin Mitnick’in önceki efsanevi dolandırmalarında, Digital Equipment Corporation’ın işletim sistemi geliştirme sunucularına sadece şirketi arayarak ve önde gelen geliştiricilerinden biri olduğunu iddia etmiş ve giriş yapmakta sorun yaşadığını söyleyerek erişti;hemen ardından yeni bir kullanıcı adı ve şifreyle ödüllendirildi. Bunların hepsi 1979’da oldu, ve o zamandan beri işlerin geliştiğini düşünüyorsunuzdur ama yanılıyorsunuz: 2016’da bir hacker, bir ABD Adalet Bakanlığı e-posta adresinin kontrolünü ele geçirdi ve bir çalışanı taklit etmek için kullandı, bir yardım Masasını DoJ intraneti için bir erişim belirteci teslim etmeye ikna etti ve işteki ilk haftası olduğunu ve hiçbir şeyin nasıl çalıştığını bilmediğini söyledi.
Bir çok firma bu tür küstahça taklit edilmeler için engellemelere sahip ama çoğu zaman oldukça kolay alt edilebiliyorlar. Hewlett-Packard, 2005 yılında hangi HP Yönetim Kurulu üyelerinin basına bilgi sızdırdığını bulmak için özel dedektifleri işe aldığında, Pıs’ye hedeflerinin sosyal güvenlik numarasının son dört hanesini elde ettiler, bu da AT&T’nin teknik desteği, ayrıntılı arama günlüklerini teslim etmeden önce kimlik kanıtı olarak kabul edildi.
Kontrol sizdeymiş gibi davranın. Bir çoğumuz otoriteye saygı duymaya eğilimliyiz ya da yaptıkları şeyde otoritesi varmış gibi görünen kimselere saygı duymaya eğilimliyiz. İnsanları, burda olmaya hakkınız olduğuna ya da görmemeniz gereken şeyleri görme hakkına sahip olduğunuza ya da sizden gelen bir iletişimin gerçekten saygı duydukları birinden geldiğine ikna etmek için bir şirketin iç süreçleri hakkındaki bilgileri kullanabilirsiniz. Örnek olarak 2015’te Ubiquiti Networks’teki finans çalışanları, muhtemelen e-posta adreslerinde benzer bir URL kullanarak şirket yöneticilerini taklit eden dolandırıcılara milyonlarca dolarlık şirket parası aktardı. Daha düşük teknik bir açıdan, 00’ların sonlarında ve 10’ların başında İngiliz magazinleri için çalışan araştırmacılar, telefon şirketinin diğer çalışanları gibi davranarak kurbanların sesli mesaj hesaplarına erişmenin yollarını buldular; örneğin. Bir Pİ, Vodafone’u aktris Sienna Miller’ın sesli posta PIN’ini sıfırlamaya ikna etti ve “kredi kontrolünden John” olduğunu iddia etti.
Bazen taleplerine çok fazla düşünmeden uyduklarımız dış otoritelerdir. Hillary Clinton kampanyası honcho John Podesta, e-postasını 2016 yılında Rus casusları tarafından saldırıya uğradı ve Google’dan şifresini sıfırlamasını isteyen bir not olarak gizlenmiş bir kimlik avı e-postası gönderdi. Hesabını güvence altına alacağını düşünerek önlemleri aldı, aslında kendi giriş kimlik bilgilerini vermişti.
Sosyal Mühendisliği Önleme
Güvenlik farkındalığı eğitimi, sosyal mühendisliğin önlenmesinin bir numaralı yoludur. Çalışanlar, sosyal mühendisliğin var olduğunun farkında olmalı ve en sık kullanılan taktiklere aşina olmalıdır.
Neyse ki, sosyal mühendislik bilinci kendini hikaye anlatımına borçludur. Ve hikayeler teknik unsurların açıklanmasından çok daha kolay ve çok daha ilginçtir. Testler ve dikkat çeken ya da mizahi posterler de herkesin söylediği gibi olduğunu varsaymamanın etkili bir hatırlatıcısıdır.
Ancak, sosyal mühendisliğin farkında olması gereken sadece ortalama bir çalışan değildir. Üst düzey liderler ve yöneticiler de kurumsalda birincil hedeflerdir.
Sosyal Mühendisliğe Karşı Savunmak İçin 5 İpucu
CSO yazarı Dan Lohrmann aşağıdaki tavsiyeleri veriyor:
1. Güvenlik farkındalığı söz konusu olduğunda tekrar tekrar kendinizi eğitin.
Kapsamlı bir güvenlik farkındalığı, hem genel kimlik avı tehditlerini hem de hedeflenen yeni siber tehditleri ele almak için düzenli olarak güncellenen bir eğitim programına sahip olduğunuzdan emin olun. Unutmayın, bu sadece linklere tıklamakla ilgili değildir.
2. Önemli personele en son çevrimiçi dolandırıcılık teknikleri hakkında ayrıntılı bir brifing “yol gösterisi” sağlayın.
Evet, üst düzey yöneticiler de dahil, ancak banka havaleleri veya diğer finansal işlemleri yapma yetkisine sahip olan herkesi dahil etmeyi unutmayın. Unutmayın, bir çok gerçek dolandırma hikayesi, bir yöneticinin genellikle normal prosedürleri ve/veya kontrolleri atlayarak acil bir eylemde bulunmalarını istediğine inanan alt düzey personel ile ortaya çıkar.
3. Finansal transferler ve diğer önemli işlemler için mevcut süreçleri, prosedürleri ve görevlerin ayrılmasını gözden geçirin.
Gerekiyorsa fazladan kontrol ekleyin. Görevlerin ayrılığı ve diğer korumaların bir noktada içeriden gelen tehditler tarafından tehlikeye girebileceğini unutmayın. Bu nedenle, artan tehditler göz önüne alındığında risk incelemelerinin yeniden gözden geçirilmesi gerekebilir.
4. “Bant dışı” işlemlerle veya acil yönetici talepleriyle ilgili yeni politikalar düşünün.
CEO’nun Gmail hesabından gelen bir e-posta personele otomatik olarak kırmızı kaldırmalıdır, ancak sosyal mühendisliğin karanlık tarafın uyguladığı en son teknikleri anlamalıdır. Herkes tarafından iyi anlaşılan etkili acil durum prosedürlerine ihtiyacınız var.
5. Olay yönetimi ve kimlik avı raporlama sistemlerinizi gözden geçirin, hassaslaştırın ve test edin.
Yönetim ve kilit personel ile düzenli olarak masaüstü testler yapın. Kontrolleri test edin ve potansiyel güvenlik açığı alanlarını tersine mühendislik ile gözden geçirin.
Sosyal Mühendislik Araçları
Bazı satıcılar, sosyal mühendislik alıştırmaların yürütülmesine yardımcı olmak için araçlar ve hizmetler sunmaktadır ve/veya posterle ve haber bültenleri gibi araçlarla çalışanlara farkındalık oluşturmaya çalışırlar.
Social-engineer.org sitesinin indirmesi ücretsiz olan Sosyal Mühendislik Araçları sayfasını da kontrol etmeyi unutmayın. Bu araç ile sosyal mühendislik yoluyla sızma testini otomatikleştirmeye yardımcı olur.
Bir başka iyi kaynak ise Sosyal Mühendislik Sistemidir.
Şu anda, sosyal mühendislik saldırılarına karşı en iyi savunma, saldırıları daha iyi tespit etmek için kullanıcıları eğitmek ve teknolojik savunma katmanı oluşturmaktır. E-postalarda veya telefon görüşmelerinde anahtar kelimelerin tespiti, potansiyel saldırıları ayıklamak için kullanılabilir, ancak bu teknolojiler bile yetenekli sosyal mühendisleri durdurmada etkisiz kalacaktır.