HEDEF VE ATAKLAR
Sosyal mühendisliğin genel amacı hack in genel amacı ile aynıdır; sisteme izinsiz girmeyi elde etme yada bilgileri sırasıyla dolandırıcılık yapmak, ağa davetsiz olarak girmek, endüstriyel casusluk, kimlik hırsızlığı yada basitçe ağa yada sisteme zarar vermektir . Tipik hedefler: telefon şirketleri ve servisleri, büyük şirketler ve finansal kurumlar, askeri ve hükümet acentaları ve hastaneler. İnternetin canlanması endüstriyel mühendis atakların paylaşımı ile iyi bir şekilde başladı Fakat ataklar genel olarak büyük mevcudiyetler üzerine odaklanmaktadır.
Gerçek hayatta sosyal mühendislik örneği bulmak zordur. Hedef organizasyonların hiçbir zarar verdiklerini kabul etmek istemezler(Hepsinden sonra, ana güvenlik kırığını kabul etmek onu sadece benimsememek değildir, organisazyon isimlerine zarar verici olabilir). Saldırılar dokümantasyon edilmediği için gerçekte hiç kimse sosyal mühendislik atağı olup olmadığından emin olamayız.
Organizasyonların hedef boyunca neden sosyal mühendisliğe maruz kaldığına gelince, bir çok teknik hack yapmaktansa, yasadışı giriş elde etmek için çoğunlukla kolay bir yoldur. Teknik insanlar için, çoğunlukla sadece telefonu kaldırmak ve birilerine şifre için sor sormak oldukça basittir ve çoğunlukla, bu sadece bir hacker ın yapacağı iştir.
Sosyal mühendislik iki düzey üzerine kurulmuştur: Biri fiziksel diğeri ise psikolıjitir. İlk olarak, bir saldırı için fiziksel ataklara değinelim: çalışma yerleri, telefonlar, çöpler ve tüm çevirim içi olan her şey. Çalışma yerlerinde hacker kolaylıkla kapıdan içeri girip yürüyebilir, tıpkı film gibi Vebakım çalışması yapacak biri gibiyada organisazyona başarı ile giren bir danışman gibi davranabilir. Sonra davetsiz misafir ofiste kurumla yürüyüş boyunca; daha sonra gece evinden zarar verebilmek için yetecek kadar bilgi ile bina etrafında yatar ve binadan çıkar ta ki giriş için izin bilgilerini elde edene kadar giriş izni alabilmek için diğer bir yöntem ise sadece ayakta durmak ve çalışanların şifrelerini açıkça girdiklerini izlemektir.
TELEFON İLE SOSYAL MÜHENDİSLİK
En etkili sosyal mühendislik ataklarından biride telefon aracılığı ile yapılır. Bir hacker sizi arayabilir ve yetkili biri gibi davranabilir ve yavaş yavaş kullanıcı bilgilerinizi öğrenebilir. Özellikle yardım masaları bu tarz ataklara yatkındır.
Şimdi iyi bir örneğe bakalım : Gecenin bir yarısı sizi arayabilirler:
H: ‘Son altı saat içinde Mısırı aradınız mı? ’
K: ‘Hayır’
H: ‘Sizin kartınız ile Mısıra yapılmış bir arama bulunmaktadır. Bir sorununuz var ve $2000 borçlu gözüküyorsunuz.’
H:‘Mesleğimi göz önünde bulundururum ki sizi bu borçtan kurtarabilirim. Yalnız bana PIN ve kart numaranızı söylemeniz gerekmektedir. Daha sonra sizi bu borçtan kurtaracağım’
(H: Sosyal mühendislik yapan kişi, K: Sosyal mühendisliğe maruz kalan kişi)
Yardım masaları genellikle bu işe eğilimlidirler. Çünkü onlar yardım için ordalar , gerçekte yasal olmayan bilgileri öğrenmeye çalışan kişiler tarafından istismar edilebilir. Yardım masası çalışanları güler yüzlü ve bilgi vermek için eğitilirler. Bu nedenle sosyal mühendislik için altın bir fırsattır. Yardım masası çalışanların çoğu güvenlik için çok az eğitilmişlerdir. Yardım masası çalışanları daha çok sorulan soruları cevaplamaya ve bir sonraki telefona geçmeye eğilimlidirler.Bu da çok büyük bir güvenlik açığı oluşturmaktadır.
Canlı bir Bilgisayar Güvenlik Enstitüsü gösterisinin kolaylaştırılmış, zekice tanımlanmış yardım masası sömürüsü bir telefon şirketini araması ve yardım masasına ulaşmasıyla başlar.
H: Bu geceki nöbetçi idareniniz kim?
K: Betty.
H: Betty ile görüşebilir miyim?
H: (transfer ediliyor) Merhaba Betty, İyi günler dilerim. Sisteminiz neden çalışmıyor?
K: Çalışmıyor mu? Gayet iyi durumda.
H: Daha iyi olması için oturumu kapatın
K: ( Oturumu kapatıyor )
H: Tekrar oturumu açın.
K: ( Oturumu açıyor )
H: Daha bir bip sesi göremedik, bir değişiklik göremedik. Yeniden oturum kapatır mısınız?
K: ( Oturumu kapatıyor )
H: Betty, senin ID ile ne olacağını anlamak için, senin bilgilerinle giriş yapmam gerekiyor. Şifreni ve ID numaranı verirmisin?
Böylelikle şifreyi ve ID yi öğreniyor. Zekice…
(H: Sosyal mühendislik yapan kişi, K: Sosyal mühendisliğe maruz kalan kişi)
Telefon konusunda yapılan bir değişimde telefon ödemeleri yada ATM dir. Hackerlar gerçekte surf yaparlar ve bu yolla PIN ve kredi kartı numaralarını bu yolla elde ederler. (Büyük bir İngiliz hava alanında çalışan bir arkadaşımın başına geldi). İnsanlar daima telefon gişelerinde ayakta dururlar, bu nedenle bu tarz yerler de daha dikkatli olunması gereken yerlerdir.
