Sosyal Mühendislik Nedir?
Sosyal mühendislik, kişisel bilgilere ve korunan sistemlere erişim sağlamak için insan zayıflıklarından yararlanma eylemidir. Sosyal mühendislik, bir hedefin hesabına nüfuz etmek için bilgisayar sistemlerini kesmek yerine bireyleri manipüle etmeye dayanır.
Sosyal Mühendisliği Anlamak
Örneğin, bir kadın erkek bir kurbanın bankasını arayabilir ve acil durum iddia eden ve hesabına erişim talep eden karısı gibi davranabilir. Kadın, bankanın müşteri hizmetleri temsilcisini, temsilcinin empatik eğilimine başvurarak başarılı bir şekilde sosyal mühendisliği yapabilirse, adamın hesabına erişmeyi başarabilir ve parasını çalabilir. Benzer şekilde, bir saldırgan, saldırganın o hesaba saldırmak yerine bir hedefin e-posta hesabını kontrol etmesini mümkün kılan bir şifre sıfırlaması almak için bir e-posta sağlayıcısının müşteri hizmetleri departmanıyla irtibata geçebilir.
Sosyal mühendislik, kilit bilgilerinden vazgeçmeleri için bir hedefin manipülasyonunu ifade eder. Bir kişinin kimliğini çalmanın veya kredi kartı veya banka hesabından ödün vermenin yanı sıra, şirketin ticari sırlarını elde etmek veya ulusal güvenlikten yararlanmak için sosyal mühendislik uygulanabilir.
Sosyal mühendisliği potansiyel hedeflerin önlenmesi zordur. Hesaplar için güçlü parola kullanımı ve iki faktörlü kimlik doğrulama gibi önlemler kullanılır, ancak hesaplar banka çalışanları gibi hesaplarına erişimi olan üçüncü taraflar tarafından ele geçirilebilir. Bununla birlikte, bireyler gizli bilgi vermekten kaçınarak, sosyal medyada bilgi paylaşırken dikkatli olun, şifreleri tekrarlamayın, iki faktörlü kimlik doğrulamayı kullanın, güvenlik soruları için sahte veya tahmin edilmesi zor cevaplar kullanarak ve hesaplara, özellikle finansal hesaplara yakından bakın.
Saldırganlar sosyal mühendislik programlarında insanlardan yardım isteme gibi şaşırtıcı derecede basit taktikler kullanırlar. Başka bir taktik, afet kurbanlarını, kayıp veya ölen sevdiklerine kızlık soyadı, adres, doğum tarihi ve sosyal güvenlik numaraları gibi kişisel olarak tanımlanabilir bilgiler vermelerini isteyerek sömürmek - daha sonra kimlik hırsızlığı için kullanılabilecek bilgiler.
Bir teknik destek uzmanı veya teslimatçı olarak poz vermek, kötü niyetli bir ekle görünüşte yasal bir e-posta göndermek gibi bir hesaba yetkisiz erişim elde etmenin kolay yoludur. Bu tür e-postalar genellikle insanların bilinmeyen bir gönderenden şüphelenme olasılığının düşük olduğu bir iş e-posta adresine gönderilir.
E-postalar, gerçekte bir bilgisayar korsanı tarafından gönderildiklerinde bilinen bir gönderenden gelmiş gibi görünebilir. Belirli kişileri hedefleyen daha ayrıntılı taktikler, onların ilgi alanlarını öğrenmeyi ve ardından hedefe bu ilgi ile ilgili bir bağlantı göndermeyi içerebilir. Bağlantı, bilgisayarlarından kişisel bilgileri çalabilecek kötü amaçlı kodlar içerebilir. Popüler sosyal mühendislik teknikleri arasında kimlik avı, kedi balıkçılığı, tailgating ve yemleme yer alır.