Bilgisayar güvenliğinde, kullanıcının tüm çabalarına rağmen birçok sorun ortaya çıkar. Örneğin, herhangi bir noktada kötü amaçlı reklamlardan kötü amaçlı yazılımlara maruz kalabilirsiniz, bu gerçekten kötü şansa bağlıdır. Bir reklam engelleyici kullanmak gibi riski en aza indirmek için atabileceğiniz adımlar vardır. Ancak bu şekilde vurulmak kullanıcının hatası değildir. Diğer saldırılar, kullanıcıyı bir şeyler yapması için kandırmaya odaklanır. Bu tür saldırılar, sosyal mühendislik saldırılarının geniş başlığı altına girer.
Sosyal mühendislik, bir sonucu manipüle etmek için insanların belirli durumları nasıl ele aldığına dair analiz ve anlayışı kullanmayı içerir. Sosyal mühendislik, büyük insan gruplarına karşı gerçekleştirilebilir. Bununla birlikte, bilgisayar güvenliği açısından, potansiyel olarak büyük bir kampanyanın parçası olsa da, tipik olarak bireylere karşı kullanılır.
Bir grup insana karşı sosyal mühendisliğin bir örneği, dikkati dağıtmak için paniğe neden olma girişimleri olabilir. Örneğin, bir sahte bayrak operasyonu gerçekleştiren bir ordu veya yoğun bir yerde "yangın" diye bağıran ve ardından kaos içinde hırsızlık yapan biri. Bir düzeyde, basit propaganda, kumar ve reklam da toplum mühendisliği teknikleridir.
Ancak bilgisayar güvenliğinde, eylemler daha bireysel olma eğilimindedir. Kimlik avı, kullanıcıları tıklayıp bağlantı kurmaya ve ayrıntıları girmeye ikna etmeye çalışır. Birçok dolandırıcı, korku veya açgözlülük temelinde manipüle etmeye çalışır. Bilgisayar güvenliğindeki sosyal mühendislik saldırıları, bir sunucu odasına yetkisiz erişim sağlamaya çalışmak gibi gerçek dünyaya bile girebilir. İlginç bir şekilde, siber güvenlik dünyasında, bu son senaryo ve buna benzer senaryolar, genellikle sosyal mühendislik saldırılarından bahsederken kastedilen şeydir.
Daha geniş sosyal mühendislik – çevrimiçi
Kimlik avı, kurbanın ayrıntıları bir saldırgana sağlaması için sosyal mühendislik yapmaya çalışan bir saldırı sınıfıdır. Kimlik avı saldırıları genellikle e-posta gibi harici bir sistemde gerçekleştirilir ve bu nedenle iki farklı sosyal mühendislik noktasına sahiptir. İlk olarak, kurbanı mesajın meşru olduğuna ikna etmeli ve bağlantıya tıklamasını sağlamalıdırlar. Bu, daha sonra kullanıcıdan ayrıntıları girmesi istenecek olan kimlik avı sayfasını yükler. Genellikle, bu onların kullanıcı adı ve şifresi olacaktır. Bu, hem ilk e-postanın hem de kimlik avı sayfasının, kullanıcıyı onlara güvenmesi için sosyal mühendislik yapacak kadar ikna edici görünmesine bağlıdır.
Pek çok dolandırıcı, kurbanlarını parayı teslim etmeleri için toplum mühendisliği yapmaya çalışır. Klasik "Nijeryalı prens" dolandırıcılığı, kurban küçük bir avans ücreti alabilirse büyük bir ödeme vaat ediyor. Tabii ki, mağdur "ücreti" ödedikten sonra hiçbir ödeme alınmaz. Diğer dolandırıcılık saldırıları da benzer prensipler üzerinde çalışır. Kurbanı bir şey yapmaya ikna edin, genellikle parayı teslim edin veya kötü amaçlı yazılım yükleyin. Ransomware bile bunun bir örneğidir. Kurbanın parayı teslim etmesi gerekiyor, aksi takdirde şifrelenmiş verilere erişimini kaybetme riskiyle karşı karşıya kalıyor.
Yüz yüze sosyal mühendislik
Siber güvenlik dünyasında sosyal mühendislikten söz edildiğinde, genellikle gerçek dünyadaki eylemleri ifade eder. Pek çok örnek senaryo var. En temellerinden biri kuyruk kapısı olarak adlandırılır. Bu, geçmenize izin vermek için erişim kontrollü bir kapıyı açık tutan birinin arkasında yeterince yakın duruyor. Tail-gating, kurbanın size yardımcı olabileceği bir senaryo oluşturarak geliştirilebilir. Bir yöntem, sigara içenlerle dışarıda bir sigara molasında takılmak ve ardından grupla birlikte içeriye geri dönmektir. Başka bir yöntem de garip bir şey taşırken görülmek. Taşıdığınız şey başkaları için olabilirse, bu tekniğin başarılı olma olasılığı daha da yüksektir. Örneğin, "takımınız" için bir tepsi kahve fincanınız varsa, birisinin sizin için kapıyı açık tutması yönünde sosyal bir baskı vardır.
Yüz yüze sosyal mühendisliğin çoğu, bir senaryo oluşturmaya ve ardından bu senaryoya güvenmeye dayanır. Örneğin, bir toplum mühendisi, genellikle göz ardı edilebilecek bir tür inşaat işçisi veya temizlikçi kılığına girebilir. İyi bir Samiriyeli kılığında, "kayıp" bir USB flash sürücüyü teslim etmek, bir çalışanın onu takmasına neden olabilir. Amaç, kime ait olduğunu görmek olacaktır, ancak daha sonra sisteme kötü amaçlı yazılım bulaştırabilir.
Bu tür yüz yüze sosyal mühendislik saldırıları çok başarılı olabilir çünkü kimse bu şekilde kandırılmayı beklemiyor. Bununla birlikte, suçüstü yakalanma olasılığı çok yüksek olan saldırgan için büyük bir risk taşırlar.
Çözüm
Sosyal mühendislik, hedeflenen bir amaca ulaşmak için insanları manipüle etme kavramıdır. Bir yol, kurbanı buna inandırmak için gerçek görünümlü bir durum yaratmaktır. Mağdurun standart güvenlik tavsiyelerine karşı hareket etmesi yönünde sosyal bir baskı veya beklentinin olduğu bir senaryo da oluşturabilirsiniz. Bununla birlikte, tüm sosyal mühendislik saldırıları, bir veya daha fazla kurbanı, saldırganın onlardan yapmasını istediği bir eylemi gerçekleştirmeleri için kandırmaya dayanır.