[font=tahoma, verdana, geneva, lucida,]Sosyal Mühendislik Nedir?[/font]
[font=tahoma, verdana, geneva, lucida,]Sosyal muhendislik etkileme, zorlama, aldatıcı ilişkiler geliştirme, sorumluluğu, etik değerleri, dürüstlüğü ya da bağlılığı azaltma amacını güden yöntemler kullanarak kişileri gizli bilgi vermeleri veya erişim sağlamaları için aldatma sürecidir.
[/font]
[font=tahoma, verdana, geneva, lucida,]
[/font]
[font=tahoma, verdana, geneva, lucida,]Sosyal Mühendislik Saldırılarıyla Elde Edilmek İstenen Nedir?[/font]
[font=tahoma, verdana, geneva, lucida,]Değer ifade eden her türlü bilginin saldırı hedefi haline geldiği günümüzde, çoğu kişi veya kurum sosyal mühendislik saldırılarına hedef olmakta, saldırı sonu- cunda çeşitli risklerle karşı karşıya kalmaktadır. Çoğu zaman yanlışlıkla söylenen bir kullanıcı şifresinin kuruma ait en hassas bilgilerin dışarıya sızmasına neden olduğu görülmektedir.
Sosyal mühendislik saldırılarında amaç hedeflenen sistem yada network yapısını bozup kullanılamaz duruma getirmek olabileceği gibi, kurumsal network yapısı, işletim sistemi versiyonu, kimlik hırsızlığı, kripto anahtarları, yazılım versiyonları, çalışanların ve yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanması olabilmektedir.
Saldırganlar ele geçirdikleri şifrelerle erişimi kısıtlı dosyaları indirmekte veya bant genişliği, işlemci za-manı, disk alanı gibi sınırlı kaynakları kullanarak hizmet hırsızlığı yapmaktadırlar. Kurumlara ait bilgileri ele geçiren saldırganlar, bu bilgileri ya daha fazla suistimal için kullanmakta, ya da kurum aleyhine olacak şekilde (bilgilerin satılması v.b.) değerlendirmektedir-ler. Bunun yanında saldırganlar kurumlara zarar ver-mek istediklerinde, kurum bilgilerini erişimi engel- leyebilmekte, kayıtlı bilgileri silmekte veya bilgilerin doğruluğunu etkileyecek şekilde değişiklikler yaparak kurumları zarara uğratmaktadırlar.
Kimi sosyal mühendislik saldırılarında asıl amaç kurumsal güvenin sarsılması ve kurumların itibar kaybına uğratılması olabilmektedir. Sosyal mühendislik yoluyla zarara uğramış kurumlar İtibar ve güven kaybına uğramaktalar, kaybedilen İtibar ve güvenin bedeli baştan alınacak tedbirlerin maliyetinden daha fazla olmaktadır.
Ortak veri tabanının veya ortak network sisteminin kullanıldığı durumlarda, kurumlardaki güvenlik açık- ları başka kurumların güvenlik açığı haline gelmektedir. Böyle durumlarda hangi kurumdaki zafiyetin sosyal mühendislik saldırılarına davetiye çıkardığı da anlaşılmaz hale gelmektedir. Ayrıca sosyal mühendislik saldırılarıyla ele geçirilen sistem ve kaynaklar, başka sistem ve kaynakların ele geçirilmesi veya zarar verilmesi için kullanılabilmektedir. Dolaylı olarak ku- rumların güvenlik açıkları başka kurumlara yapılacak saldırılara sebep olmaktadır.[/font]
[font=tahoma, verdana, geneva, lucida,]
[/font]
[font=tahoma, verdana, geneva, lucida,]Sosyal Mühendislik Saldırılarının Hedefleri Kimlerdir?[/font]
[font=tahoma, verdana, geneva, lucida,]Kurumlara yönelik sosyal mühendislik saldırılarında, saldırganın suiistimal edebileceği durumdaki personelin tamamı hedef olabilmektedir. Sosyal mühendislik saldırılarında hedef seçilen kişiler:[/font]
[font=tahoma, verdana, geneva, lucida,]a) Doğrudan ulaşılabilir personel: Kurumların dışa bakan yönü olarak tanımlanan, yaptıkları iş gereği dışarıdan gelen kişilerle doğrudan iletişime geçen personel (müracaat görevlileri, güvenlik görevlileri, telefon santrali görevlileri v.b.)
b) Üst düzey yöneticiler ve önemli personel: Kurumdaki görevleri gereği zorunlu olarak ayrıcalıklı yetkiye sahip olan veya gizli bilgiye çeşitli nedenlerle erişim hakkı olan çalışanlar. Kendilerine sistem üzerinde sınırsız erişim yetkisi sağlayan şifreler verilen, ancak eksik bilgilendirme veya mesailerinin yoğunluğu nedeniyle kendilerine verilen şifreleri hatırlamakta bile zorlanan, bu nedenle çok basit şifreler kullanan, hatta şifrelerini bir yerlere yazarak hatırlamaya çalışan ya da yanında çalıştırdığı kişilere (sekreter, hizmetli, v.b.) şifrelerini emanet eden yöneticiler sosyal mühendislik saldırılarının hedefi olabilmektedir.
c) Zaafları olan, aldatılmaya, ikna edilmeye uygun personel: Kuruma ya da kurum çalışanlarına bağlılığı zayıflamış, zaafları olan, aldatılmaya, ikna edilmeye müsait olan her düzeydeki personel.
d) Faydalı olmaya istekli sempatik personel: Diğer insanlara yardım etmekten zevk alan görev ve yetkisini aşarak yardım ve destek talebinde bulunanların imdadına koşan, sempatik tavırlar sergileyerek yetki ve itibar elde etmeye çalışan personel. Saldırganlar bu tür çalışanlardan giriş hakkı isteyerek veya bir hesaba giriş için yardım etmesini dileyerek işe başlarlar, ayrıca birçok bireyin zayıf reddetme düzeyini bildiklerinden işin uzmanına danışıyormuş havasını vererek bu kişilerden hassas bilgileri elde etmeye çalışırlar.
e) Desteğe muhtaç personel veya kullanıcılar: Kurum hizmetlerinden yararlandıkları için sistemlere erişim hakkı verilen ancak sistem hakkında yeterli bilgisi olmayan, bu nedenle yardıma ihtiyaç duyduklarında kurumsal destek veren personelle saldırganı ayırt edemeyecek durumdaki personel veya kullanıcılar.
f) Bağlılık seviyesi düşük personel: Kurumun hedef ve politikalarını kavraması zor olan, bilhassa alt kademelerde çalışan personel (sıradan memurlar, güvenlik görevlileri, resepsiyon görevlileri, hizmetliler v.b). Saldırganın sorduğu sorularla neyi elde etmeye çalıştığını anlayabilecek kabiliyeti olmayan, yaptıkları görevin gerekleriyle kendilerine yöneltilen sorular arasındaki ilişkiyi tam olarak kavrayamayan çalışanlar en kolay saldırı hedefidirler[/font]
[font=tahoma, verdana, geneva, lucida,]Sosyal muhendislik etkileme, zorlama, aldatıcı ilişkiler geliştirme, sorumluluğu, etik değerleri, dürüstlüğü ya da bağlılığı azaltma amacını güden yöntemler kullanarak kişileri gizli bilgi vermeleri veya erişim sağlamaları için aldatma sürecidir.
[/font]
[font=tahoma, verdana, geneva, lucida,]
[font=tahoma, verdana, geneva, lucida,]Sosyal Mühendislik Saldırılarıyla Elde Edilmek İstenen Nedir?[/font]
[font=tahoma, verdana, geneva, lucida,]Değer ifade eden her türlü bilginin saldırı hedefi haline geldiği günümüzde, çoğu kişi veya kurum sosyal mühendislik saldırılarına hedef olmakta, saldırı sonu- cunda çeşitli risklerle karşı karşıya kalmaktadır. Çoğu zaman yanlışlıkla söylenen bir kullanıcı şifresinin kuruma ait en hassas bilgilerin dışarıya sızmasına neden olduğu görülmektedir.
Sosyal mühendislik saldırılarında amaç hedeflenen sistem yada network yapısını bozup kullanılamaz duruma getirmek olabileceği gibi, kurumsal network yapısı, işletim sistemi versiyonu, kimlik hırsızlığı, kripto anahtarları, yazılım versiyonları, çalışanların ve yöneticilerin kişisel bilgileri, şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanması olabilmektedir.
Saldırganlar ele geçirdikleri şifrelerle erişimi kısıtlı dosyaları indirmekte veya bant genişliği, işlemci za-manı, disk alanı gibi sınırlı kaynakları kullanarak hizmet hırsızlığı yapmaktadırlar. Kurumlara ait bilgileri ele geçiren saldırganlar, bu bilgileri ya daha fazla suistimal için kullanmakta, ya da kurum aleyhine olacak şekilde (bilgilerin satılması v.b.) değerlendirmektedir-ler. Bunun yanında saldırganlar kurumlara zarar ver-mek istediklerinde, kurum bilgilerini erişimi engel- leyebilmekte, kayıtlı bilgileri silmekte veya bilgilerin doğruluğunu etkileyecek şekilde değişiklikler yaparak kurumları zarara uğratmaktadırlar.
Kimi sosyal mühendislik saldırılarında asıl amaç kurumsal güvenin sarsılması ve kurumların itibar kaybına uğratılması olabilmektedir. Sosyal mühendislik yoluyla zarara uğramış kurumlar İtibar ve güven kaybına uğramaktalar, kaybedilen İtibar ve güvenin bedeli baştan alınacak tedbirlerin maliyetinden daha fazla olmaktadır.
Ortak veri tabanının veya ortak network sisteminin kullanıldığı durumlarda, kurumlardaki güvenlik açık- ları başka kurumların güvenlik açığı haline gelmektedir. Böyle durumlarda hangi kurumdaki zafiyetin sosyal mühendislik saldırılarına davetiye çıkardığı da anlaşılmaz hale gelmektedir. Ayrıca sosyal mühendislik saldırılarıyla ele geçirilen sistem ve kaynaklar, başka sistem ve kaynakların ele geçirilmesi veya zarar verilmesi için kullanılabilmektedir. Dolaylı olarak ku- rumların güvenlik açıkları başka kurumlara yapılacak saldırılara sebep olmaktadır.[/font]
[font=tahoma, verdana, geneva, lucida,]
[font=tahoma, verdana, geneva, lucida,]Sosyal Mühendislik Saldırılarının Hedefleri Kimlerdir?[/font]
[font=tahoma, verdana, geneva, lucida,]Kurumlara yönelik sosyal mühendislik saldırılarında, saldırganın suiistimal edebileceği durumdaki personelin tamamı hedef olabilmektedir. Sosyal mühendislik saldırılarında hedef seçilen kişiler:[/font]
[font=tahoma, verdana, geneva, lucida,]a) Doğrudan ulaşılabilir personel: Kurumların dışa bakan yönü olarak tanımlanan, yaptıkları iş gereği dışarıdan gelen kişilerle doğrudan iletişime geçen personel (müracaat görevlileri, güvenlik görevlileri, telefon santrali görevlileri v.b.)
b) Üst düzey yöneticiler ve önemli personel: Kurumdaki görevleri gereği zorunlu olarak ayrıcalıklı yetkiye sahip olan veya gizli bilgiye çeşitli nedenlerle erişim hakkı olan çalışanlar. Kendilerine sistem üzerinde sınırsız erişim yetkisi sağlayan şifreler verilen, ancak eksik bilgilendirme veya mesailerinin yoğunluğu nedeniyle kendilerine verilen şifreleri hatırlamakta bile zorlanan, bu nedenle çok basit şifreler kullanan, hatta şifrelerini bir yerlere yazarak hatırlamaya çalışan ya da yanında çalıştırdığı kişilere (sekreter, hizmetli, v.b.) şifrelerini emanet eden yöneticiler sosyal mühendislik saldırılarının hedefi olabilmektedir.
c) Zaafları olan, aldatılmaya, ikna edilmeye uygun personel: Kuruma ya da kurum çalışanlarına bağlılığı zayıflamış, zaafları olan, aldatılmaya, ikna edilmeye müsait olan her düzeydeki personel.
d) Faydalı olmaya istekli sempatik personel: Diğer insanlara yardım etmekten zevk alan görev ve yetkisini aşarak yardım ve destek talebinde bulunanların imdadına koşan, sempatik tavırlar sergileyerek yetki ve itibar elde etmeye çalışan personel. Saldırganlar bu tür çalışanlardan giriş hakkı isteyerek veya bir hesaba giriş için yardım etmesini dileyerek işe başlarlar, ayrıca birçok bireyin zayıf reddetme düzeyini bildiklerinden işin uzmanına danışıyormuş havasını vererek bu kişilerden hassas bilgileri elde etmeye çalışırlar.
e) Desteğe muhtaç personel veya kullanıcılar: Kurum hizmetlerinden yararlandıkları için sistemlere erişim hakkı verilen ancak sistem hakkında yeterli bilgisi olmayan, bu nedenle yardıma ihtiyaç duyduklarında kurumsal destek veren personelle saldırganı ayırt edemeyecek durumdaki personel veya kullanıcılar.
f) Bağlılık seviyesi düşük personel: Kurumun hedef ve politikalarını kavraması zor olan, bilhassa alt kademelerde çalışan personel (sıradan memurlar, güvenlik görevlileri, resepsiyon görevlileri, hizmetliler v.b). Saldırganın sorduğu sorularla neyi elde etmeye çalıştığını anlayabilecek kabiliyeti olmayan, yaptıkları görevin gerekleriyle kendilerine yöneltilen sorular arasındaki ilişkiyi tam olarak kavrayamayan çalışanlar en kolay saldırı hedefidirler[/font]
