• Discord sunucumuz için buraya, youtube kanalımız için buraya tıklayınız.
  • Vip üye sistemi getirilmiştir,ayrıntılı bilgi için ilgili konuya buradan gidebilirsiniz.
  • Hide eklentisi aktiftir, konu açarken araç çubuğunun en sağından kullanınız.

Sosyal Mühendislik Yöntemleri

cree'd

Elite Member
Elit
Katılım
18 Kas 2019
Mesajlar
54
Reaksiyon puanı
13
Puanları
8
Sosyal Mühendislik Yöntemleri

1. Sahte Ürün ve Hizmet Lansmanları Bu yöntemde e-postanıza bir mesaj gelir ve bu mesajda bir bağlantıya tıklayıp kişisel bilgilerinizden bazılarını iletmeniz durumunda bir hediye kazanacağınız söylenir. “Önemli bir haber sizin için kurgulanmış olabilir.” Gündemde olan bir konu, insanların ilgisi ve algısı ile oynayarak yönlendirimiştir. Bu davranışların onları tuzağa doğru yönlendirilen bir yalandan ibaret olduğunu bilmezler ya da önemsemezler. Unutulmaması gereken konu : “ Gördüklerinizin her zaman daha farklı olarak size gösterilmek istenebileceğidir.

2. Sahte Haber Siteleri veya Sayfaları Ülkede meydana gelen önemli bir olaydan sonra kullanıcılar doğal olarak bir araştırma içerisine girecekler bu araştırma sonucunda konu ile alakalı ilk gördükleri bağlantıya tıklamak isteyeceklerdir.Bu tıklama sonucunda ise zararlı yazılımlar anında bilgisayarlarına bulaşır ve tüm kişisel bilgileri ele geçirilir. Bir örnek vermek gerekirse, Japonya’da 11 Mart tarihinde gerçekleşen tsunami felaketinden dakikalar sonra, sahte virüsten koruma yazılımlarını barındıran sahte haber siteleri, bu yazılımları en güncel haberleri arayan kullanıcıların sistemlerine bulaştırdı.

3. Telefon İle Sosyal Mühendislik En etkili sosyal mühendislik ataklarından biri de telefon aracılığı ile yapılır. Bir hacker sizi arayabilir ve yetkili biri gibi davranabilir ve yavaş yavaş kullanıcı bilgilerinizi öğrenebilir. Özellikle yardım masaları bu tarz ataklara yatkındır.

4. Çöpleri Boşaltma (Dumpster Diving) Çöpleri boşaltmak, çer çöpü temizlemek olarak ta bilinir ve başka bir sosyal mühendislik metodudur. Bilgilerin büyük bir çoğunluğu, şirketin çöplerinden toplanmıştır. The LAN Times, çöpünüzde bulunan potansiyel güvenlik tehlikelerini şöyle sıralamaktadır: “şirket telefon rehberi, kısa notlar, şirketin idari politika bilgileri, olaylar ve tatil izinleri, sistem işleyiş şekilleri, hassas veriler yada giriş isim ve şifreleri çıktıları, kaynak kod çıktıları, diskler ve bantlar, şirket mektupları ve kısa formlarve eskimiş donanımlar” Bu kaynaklar hacker lar için zengin bilgi damarlarıdır. Telefon rehberleri hackerlara canlandırılacak yada hedefteki insanların telefon numaralarını ve isimlerini verir. Organizasyon grafikleri organizasyonda ki yetkili pozisyondaki kişiler hakkında bilgiler içerir. Küçük notlar giriş oluşturmak için cazip ve ilginç ufak bilgiler verir. Takvimler çok önemlidir,hangi işçinin ne zaman işyeri dışında olacağını belirtir. Sistem el kitapları, hassas bilgiler ve diğer teknik bilgi kaynakları; hackerlara ağa izinsiz girebilmek için gerekli bilgileri verebilir. Son olarak, eski donanımlar özellikle hard diskler yeniden onarılıp tüm kullanışlı bilgiler elde edilebilir.

5. İkna Etme Hackerlar kendi kendilerine sosyal mühendislik atakları ile nasıl mükemmel bir psikolojik etki oluşturabileceklerini çalışırlar. İkna edebilmenin basit yolları: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadaş olarak görünebilmektir. Her şeye rağmen bu metotların kullanımının ana konusu insanların gizlice bilgilerini öğrenebilmek için inandırıcı olmaktır.

6. Truva Atları Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda, veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir. Sosyal Mühendislikte Alınabilecek Önlemler

1. Fiziksel Güvenlik Sistem güvenliği gözden geçirilirken, genellikle yerel ya da konsoldan erişim sonucunda oluşabilecek güvenlik açıklıkları, etkisinden ve riskinden bağımsız olarak olma olasılığı düşük olarak değerlendirilmektedir.

2. Etkili Güvenlik Politikaları Kurumun oluşturduğu güvenlik politikaları açık, anlaşılır, mantığa uygun, uygulanabilir, erişilebilir ve kapsayıcı olmalıdır. Erişilebilirliği eksik, anlaşılır olmayan ya da uygulanması çok zahmetli politikalar, genellikle uygulanmamaya ya da ihmal edilmeye mahkumdurlar.

3. Eğitim ve Yaptırımlar Çalışanlar politikalar hakkında ne kadar bilgiliyse, güvenlik politikaları o kadar değerlidir. Bu yüzden sürekli ve güncel eğitim ve bilgilendirme çalışmaları, çalışanları konu hakkında bilgilendirmek ve bilinçlendirmek açısından hayati öneme sahiptir. Bu kapsamda aşağıdaki önlemlerin uygulanması riskin en aza indirgenmesi için önemlidir. Kullandığımız bilgisayarın Güvenlik duvarı korumaları, anti virüsler, casus yazılımlara karşı korumalar kullanmalısınız. SSL sertifikalı mail sunucular tercih edilmeli. Kullanıcı adı – parola gibi kişisel verilerin kullanılması gereken durumlarda daha dikkatli davranılmalıdır. Herkese açık olan blog ve tartışma forumları gibi sosyal medya ortamlarında kurumsal kimlik kullanımından kaçınılmalıdır. Web sitelerinin URL’lerine dikkat edilmelidir. Sahte web siteleri genellikle gerçek bir siteyle aynı görünür fakat URL yazımı veya alan adı (domain) farklıdır. Kişisel ve finansal bilgiler e-posta ile paylaşılmamalıdır. Bu bilgileri isteyen e-postalara da itibar edilmemelidir. Eğer girdiğiniz sistemde varsa sanal klavye kullanılmalıdır. Hassas veri içeren kişisel baskılar, notlar, belgeler kullanım sonrası imha edilmeli, çöp kutuları dâhil olmak üzere okunur şekilde atılmamalıdır. Mutlaka güçlü şifreler kullanılmalı ve kesinlikle bir yerlere yazılmamalı ya da başkalarıyla paylaşılmamalıdır. İçerisinde bir büyük harf bir küçük harf ve özel karakter ve rakamlar içeren şifreler tercih edilmelidir. Sosyal medya üzerinden kişisel veriler sınırlandırılmalı, gizlilik ayarları yapılmalı. Fotoğraf veya videolar paylaşılmadan önce fotoğrafta yer alanlardan mutlaka izin alınmalıdır. Yer bildiriminde bulunurken aslında bulunulan adresin ve konumun paylaşıldığı unutulmamalıdır. Ekranlarda görülen her bilginin doğruluğu mutlaka sorgulanmalı ona göre hareket edilmelidir. Twitter ve Facebook gibi sosyal ağlarda gezinirken kaynağı belirtilmeyen aldatıcı linkler tıklanmamalı Bilgisayarınızda başkalarının usb taşınabilir belleklerini zararlı yazılım kontrolü yapmadan açmamalısınız. Kaynağına güvenmediğiniz web sitelerinden dosya indirme işlemi yapmamalısınız. Düzenli aralıklarla bilgisayarınızı güncel anti-virüs ile casus yazılımlara karşı taramalısınız. Tanınmayan kişilerden gelen e-postalar ve ekleri herhangi bir kontrol yapılmadan açılmamalıdır. Kampanya söylemimiz: “Eğer size arayan bankanızsa, şifre, hesap ve kart bilgilerinizi söyleyin veya tuşlayın demez.” Bunu dikate alarak, bilgi verilirken, şifre, hesap ve kart bilgilerinizi kesinlikle paylaşmayın!
 
Üst