----------------------------------------------------------------------------------------------------------------
SosyaL Mühendislik : Çoğunuzun mail kutusuna hergün onlarca tanımadığınız insandan değişik taleplerde bulunan mailler geliyordur.Mesela "Çekilişte 100$ kazandınız,Kampanyamızdan bedava tatil kazandınız...vs" bunlar acaba gerçekmi yoksa sadece basit bir oyunun kağıtlarımı ?
İşte Social Engineering(Sosyal mühendislik) burada başlar.Kısaca insanları aldatarak kişisel bilgilerine veya direk şifrelerine ulaşma yöntemidir.Çok basit bir yöntem olmasına rağmen en etkili ve en çok kullanılan yöntemlerden biridir.
Dünya’nın en tanınmış hackerlarından biri olan Kevin Mitnick’in büyük bir sosyal mühendis olduğunu biliyormuydunuz ?Kevin kendi kitabında (Aldatma Sanatı) dünyanın büyük bankalarına , kamu kuruluşlarına , büyük şirketlerin hesaplarına bir kaç telefon görüşmesiyle ulaşılabileceğini anlatmış.Peki nasıl yapılıyor bu ?
Sosyal Mühendisliği temelde 2 ye ayırabiliriz.İnsan kaynaklı ve bilgisayar kaynaklı olarak.2 yöntemdede temelde aynı şey yapılabilir.Mesela bir x şirketindeki y kullanıcının hesap bilgilerine ulaşmak istiyoruz.İlk yapacağımız şey x bankasına kayıtlı y kullanıcısına bir şekilde ulaşmak çünkü işimiz aldatmak.y kullanıcısına ulaştıktan sonra ona biz sizin hesabınıza ulaşmak istiyoruz lütfen verin demiyeceğiz bu yüzden sosyal mühendisliğe başvurmamız gerekecek.Mesela önce y kullanıcısını arayıp
-Merhaba,biz x bankasının müşteri temsilcisiyiz hesaplardaki bir karışıklık nedeniyle bilgilerinizi doğrulamanız gerekmektedir.
deriz.Fakat burada alacağımız bilgiler y kişisinin direk bankayla alakalı bilgileri olmamalıdır çünkü hiçbir banka bu bilgileri istemez buda sizi eleverir.Şimdi y kullanıcısının hesap kayıt tarihi son giriş tarihi hesap numarası gibi bilgilerini öğrendik bundan sonrasıyla y kullanıcısyla işimiz olmuyacak.Yapacağımız işlem x bankasını aramak olacaktır.
-Merhaba ben x,bankanıza şu hesaplı kullanıcısıyım,en son girişim şu tarihtedir ve banka hesabıma giremiyorum...
ve gerisi gelecektir.(yukardaki örnekle kimseyi kandıramazsınız işin mantığını anlatmak için böyle bir örnek verdim.Gerçekte yapılan diyaloglar daha profosyonel ve daha tekniktir bunun için mesela bir banka hesabıyla uğraşıyorsanız bankacılıkla ilgili bayağı bir birikime sahip olmanız gerekmektedir.)
Yazının başında "Çekilişten şu kadar para kazandınız" diye bir örnek vermiştim.Şimdi bunu inceliyelim.Eğer böyle bir mail aldıysanız incelemişsinizdir.Size şu kadar para kazandınız şu tarihte bu parayı alabilmeniz için bir kontrol yapmamız lazım lütfen şu şu bilgileri vererek şu maile aşağıdaki onay koduyla birlikte yollayınız.Bunun hakkında bilgisi olmayan biri şöyle düşünür
-aaaa acaip para kazanmışım.Dur bi dakka ya belki sahtedir dur bakayım ne istiyorlar "isim,soyisim,adres,kullandığım geçerli mail,doğduğum şehir" e bu bilgileri versem ne olur vermesem ne olur en iyisi göndereyim bakarsın parayı alırım.
Gönderir ve birkaç gün sonra aklına birşey gelir.
-Benim mailin gizli sorusu Doğum yerim değilmiydi ?!!!
Ve mailini kaptırır.
Daha büyük bir örnek verelim.Dünyada yüzlerce şirket var ve çoğu birbiriyle rekabet içinde yapılan basit hatalar bile milyonlarca dolar kaybına yolaçabilir.Bu şirketler nasıl birbirine üstünlük sağlayabilir.En basidinden eğer ben rakip şirket hakkında bazı yeni bilgilere ulaşabilirsem ne yapacaklarını görürüm ve ben bir adım öne geçmek için hamle yapabilirim tıpkı satranç oyunu gibi.Rakibin ne yapacağını önceden kestirmek.Tabi biz kestirmeyl zaman harcayamayız bunun için sosyal mühendisliğe başvurarak karşı şirketin teknik elemanını "tuş" edebiliriz.
Müşteri(Sosyal Mühendis):Merhaba,ben sizin firmanızın çıkardığı şu ürünü almak istiyorum şu özelliği çok iyi fakat geliştirilmesi lazım bu yüzden piyasadaki diğer ürünleri cazip görüyorum.Bir müşteri olarak size bu şikayetimi bildirmek istedim.
Sazan Teknik Eleman:Efenim,Firmamız kendini sürekli geliştirmekte ve şuanda piyasadaki tüm diğer rakiplerine nazaran en iyi teknolojiyi sunmakta.Bahsettiğiniz ürün için daha yeni teknolojiler üretmekteyiz bu sayede gene öncü olacağımızı söyleyebilirim.
Müşteri(Sosyal Mühendis):Ne gibi yenilikler yapmayı planlıyorsunuz.yani ben bir müşteri olarak önceden bilmek isterim çünkü şu ürünü eğer daha iyisi olmayacaksa şu firmadan almayı düşünüyorum.
Sazan Teknik Eleman:Efenim,şu ürünümüzün şu özelliği dünyada ilkkez geliştirilmiş şu teknoloji sayesinde size şunu sunacaktır.Rakiplerimiz hala eski teknolojiyle boğuşurken biz ilkkez bunu piyasaya sürerek siz müşterilerimizi memnun etmeyi planlıyoruz.
...
Devam edecek...
Peki sosyal mühendislik saldırılarına karşı nasıl korunabiliriz ?
Bunun için Komiser Güven ŞEKER’in bu konu hakkında yazdığı yazıyı inceleyebiliriz
