Sosyal Mühendislik nedir? Saldırılar, Teknikler ve Önleme

İçindekiler:

Anonim

Sosyal Mühendislik nedir?

Sosyal mühendislik, bir bilgisayar sistemi kullanıcılarını, bir bilgisayar sistemine yetkisiz erişim sağlamak için kullanılabilecek gizli bilgileri ifşa etmek üzere kullanma sanatıdır. Terim ayrıca, sınırlı erişimli binalara erişim elde etmek için insan nezaketini, açgözlülüğünü ve merakı istismar etme veya kullanıcıları arka kapı yazılımını kurmaya ikna etme gibi faaliyetleri de içerebilir.

Bilgisayar korsanlarının, diğerlerinin yanı sıra hayati giriş bilgilerini yayınlamaları için kullanıcıları kandırmak için kullandıkları püf noktaları bilmek, bilgisayar sistemlerini korumada çok önemlidir

Bu eğiticide, size yaygın sosyal mühendislik tekniklerini ve bunlara karşı koymak için güvenlik önlemlerini nasıl geliştirebileceğinizi tanıtacağız.

Bu eğiticide anlatılan konular

  • Sosyal mühendislik nasıl çalışır?
  • Yaygın Sosyal Mühendislik Teknikleri
  • Sosyal Mühendislik Karşı Tedbirleri

Sosyal mühendislik nasıl çalışır?

İŞTE,

  • Bilgi Toplayın : Bu ilk aşamadır, amaçlanan kurban hakkında olabildiğince çok şey öğrenir. Bilgiler şirket web sitelerinden, diğer yayınlardan ve bazen hedef sistemin kullanıcılarıyla konuşarak toplanır.
  • Saldırıyı Planlayın : Saldırganlar, saldırıyı nasıl gerçekleştirmeyi planladıklarının ana hatlarını çizer.
  • Araçları Edinme : Bunlar, saldırganın saldırıyı başlatırken kullanacağı bilgisayar programlarını içerir.
  • Saldırı : Hedef sistemdeki zayıflıklardan yararlanın.
  • Edinilen bilgiyi kullanın : Evcil hayvan isimleri, kurum kurucularının doğum tarihleri ​​gibi sosyal mühendislik taktikleri sırasında toplanan bilgiler şifre tahmin etme gibi saldırılarda kullanılır.

Ortak Sosyal Mühendislik Teknikleri:

Sosyal mühendislik teknikleri birçok biçimde olabilir . Yaygın olarak kullanılan tekniklerin listesi aşağıdadır.

  • Aşinalık İstismarı: Kullanıcılar aşina oldukları kişilerden daha az şüphelenirler. Bir saldırgan, sosyal mühendislik saldırısından önce hedef sistemin kullanıcılarını tanıyabilir. Saldırgan yemek sırasında, kullanıcılar sigara içerken, sosyal etkinliklerde vb. Kullanıcılarla etkileşime girebilir. Bu, saldırganı kullanıcılara aşina hale getirir. Kullanıcının erişim için erişim kodu veya kart gerektiren bir binada çalıştığını varsayalım; saldırgan, kullanıcıları bu tür yerlere girerken takip edebilir. Kullanıcılar en çok, aşina oldukları için saldırganın içeri girmesi için kapıyı açık tutmayı severler. Saldırgan, eşinizle nerede tanıştığınız, lise matematik öğretmeninizin adı vb. Gibi sorulara da cevaplar isteyebilir. Kullanıcılar tanıdık yüze güvendikleri için büyük olasılıkla cevaplar verirler.Bu bilgiler e-posta hesaplarını ve parolalarını unutursa benzer sorular soran diğer hesapları hacklemek için kullanılabilir.
  • Korkutucu Durumlar : İnsanlar çevrelerindeki diğerlerini sindiren insanlardan kaçınma eğilimindedir. Bu tekniği kullanarak, saldırgan telefonda veya plandaki bir suç ortağıyla hararetli bir tartışmaya sahipmiş gibi davranabilir. Saldırgan daha sonra kullanıcılardan, kullanıcıların sisteminin güvenliğini tehlikeye atmak için kullanılacak bilgileri isteyebilir. Kullanıcılar, saldırganla yüzleşmekten kaçınmak için büyük olasılıkla doğru cevapları veriyorlar. Bu teknik, bir güvenlik kontrol noktasında kontrol edilmekten kaçınmak için de kullanılabilir.
  • Kimlik avı : Bu teknik, kullanıcılardan özel verileri elde etmek için hile ve aldatma kullanır. Sosyal mühendis, Yahoo gibi gerçek bir web sitesini taklit etmeye çalışabilir ve ardından şüphelenmeyen kullanıcıdan hesap adını ve şifresini onaylamasını isteyebilir. Bu teknik, kredi kartı bilgilerini veya diğer değerli kişisel verileri almak için de kullanılabilir.
  • Tailgating : Bu teknik, kısıtlı alanlara girerken arkadaki kullanıcıları takip etmeyi içerir. İnsani bir nezaket gereği, kullanıcı büyük olasılıkla sosyal mühendisi kısıtlanmış alan içinde bırakacaktır.
  • İnsan merakını istismar etmek : Bu tekniği kullanarak, sosyal mühendis, virüs bulaşmış bir flash diski kullanıcıların kolayca alabileceği bir alana kasıtlı olarak bırakabilir. Kullanıcı büyük olasılıkla flash diski bilgisayara takacaktır. Flash disk, virüsü otomatik olarak çalıştırabilir veya kullanıcı, aslında virüslü bir dosya olabilecek Çalışanlar Yeniden Değerleme Raporu 2013.docx gibi bir adla bir dosyayı açma eğiliminde olabilir.
  • İnsan açgözlülüğünden yararlanmak : Bu tekniği kullanarak, sosyal mühendis, bir formu doldurarak ve kredi kartı bilgilerini vb. Kullanarak bilgilerini onaylayarak kullanıcıyı çevrimiçi olarak çok para kazanma vaatleriyle cezbedebilir.

Sosyal Mühendislik Karşı Tedbirleri

Sosyal mühendisler tarafından kullanılan çoğu teknik, insan önyargılarını manipüle etmeyi içerir . Bu tür tekniklere karşı koymak için bir kuruluş;

  • Aşinalık istismarına karşı koymak için , kullanıcılar güvenlik önlemleri ile aşinalık yerine geçmeyecek şekilde eğitilmelidir. Aşina oldukları kişiler bile belirli alanlara ve bilgilere erişim yetkisine sahip olduklarını kanıtlamalıdır.
  • Göz korkutucu koşulların saldırılarına karşı koymak için, kullanıcılar hassas bilgiler arayan ve kibarca hayır diyen sosyal mühendislik tekniklerini belirleme konusunda eğitilmelidir.
  • Kimlik avı tekniklerine karşı koymak için , Yahoo gibi çoğu site, verileri şifrelemek ve olduklarını iddia ettikleri kişi olduklarını kanıtlamak için güvenli bağlantılar kullanır. URL'yi kontrol etmek sahte siteleri belirlemenize yardımcı olabilir . Kişisel bilgilerinizi vermenizi isteyen e-postalara yanıt vermekten kaçının .
  • Kuyruklu saldırılara karşı koymak için, kullanıcıların, başkalarının kısıtlı alanlara erişim sağlamak için kendi güvenlik açıklıklarını kullanmalarına izin vermeyecek şekilde eğitilmesi gerekir. Her kullanıcı kendi erişim iznini kullanmalıdır.
  • İnsan merakını gidermek için , alınan flash diskleri, tercihen yalıtılmış bir makinede virüs veya başka enfeksiyonlara karşı taraması gereken sistem yöneticilerine göndermek daha iyidir .
  • İnsan açgözlülüğünü sömüren tekniklere karşı koymak için , çalışanların bu tür dolandırıcılıklara düşmenin tehlikeleri konusunda eğitilmesi gerekir .

Özet

  • Sosyal mühendislik, yetkisiz kaynaklara erişim sağlamak için insan unsurlarını kullanma sanatıdır.
  • Sosyal mühendisler, kullanıcıları hassas bilgileri ifşa etmeleri için kandırmak için bir dizi teknik kullanır.
  • Kuruluşlar, sosyal mühendislik önlemlerine sahip güvenlik politikalarına sahip olmalıdır.