Sosyal Mühendislik Nedir?

Yayınlayan
Mehmet Kelepçe
Yayınlanma tarihi
26-02-2022
Okuma süresi
7 DK

Sosyal Mühendislik

 
Sosyal Mühendislik Nedir?

Sosyal Mühendislik bir aldatma sanatıdır. Kişilerin zihinlerine erişmek ya da elde edilmek istenen özel bilgilerin hedef kişi kandırılarak veya manipüle edilerek elde edilmesidir. Güven esasına dayanmakla beraber özünde kişiyi aldatma durumu vardır. İyi bir sosyal mühendis almak istediğini her zaman alır. Hedefine ulaşmak için yapılacak her şey onun için mübahtır.

Sosyal Mühendisliğin kullanım alanı hayatın her alanıdır. Fakat okunuşta ve teoride her ne kadar kolay gibi görünse de gerçek bir sosyal mühendis olmak oldukça zordur ve yılların getirdiği tecrübeleri gerektirmektedir. Bir sosyal mühendis, hedeflediği kitle, kişi, kurum veya firma hakkında olabildiğince bilgi toplamak zorundadır. Hedefine ulaşmak için her adımı ilmek ilmek işlemek durumundadır. Sosyal mühendislerin bir çok bilgi toplama yöntemleri ve araçları vardır. Bunların en bilindiği, neredeyse herkesin kullandığı, artık kullanmayanın kalmadığı günümüzün teknolojisi “internet”dir.

İnternet her ne kadar hayatımızı kolaylaştıran bir teknoloji olsa da getirdiği riskler bir o kadar büyüktür.

Hedefine ulaşmak isteyen saldırgan internet üzerinden olabildiğince bilgiler toplayacaktır. Bu bilgiler hedefe ait e-posta adresleri, hedefin ilgi alanları, mesleği, yaş grubu, okuduğu okul, sevdiği hayvan, kendisinin zayıf olduğu bir yön, duyguları, dinlediği müzik, okuduğu kitap, sosyal medya hesapları, takip ettiği markalar veya ünlüler, sevdiği ve sevmediği yemek, tuttuğu takım, tarafı olduğu siyasi görüş, yaşam biçimi, dini, mezhebi, hedefin çalışma saati, günlük rutinleri, arkadaş kitlesi, en sık gittiği mekanlar, sevdiği araba markası, tutkuları, sevmediği kişiler, sıklıkla alışveriş yaptığı alışveriş siteleri gibi “bilgi” niteliği olan her şey’dir. Saldırgan hedefine ulaşmak için bu sayılanların ve daha fazlasının hepsinden çok az ya da çok fazla yararlanacaktır.

Sayılan bu örneklerin her birine örnekler vermek oldukça zaman alacaktır. Bunlardan bazılarına örnek senaryolar ile değinmeliyiz. Fakat daha öncesinde sosyal mühendisliğin kullanım alanları hakkında bazı bilgileri netleştirelim.

How We Judge Others by Their Clothes | Psychology Today

Kurumsal Firmalara Yönelik Sosyal Mühendislik Testleri

Bu tür sosyal mühendislik testleri firma çalışanlarının siber güvenlik konusundaki farkındalıklarını ölçümlemek amacı ile yapılır. Test çoğunlukla testi yaptıran firmanın kontrolünde ve bilgisinde gerçekleşir. Özel olarak belirlenen phising (oltalama) yöntemleri ile firma veya kurum çalışanlarına sahte mailler gönderilir. Test sonucunda elde edilen verilere gore firma çalışanlarının siber güvenlik konusunda ne kadar farkındalığa sahip oldukları konusunda genel bir istatistik çıkartılır. Hizmeti alan firma, bu testler sonucunda çalışanlarının farkındalık seviyelerini yetersiz gördüğü taktirde gerekli farkındalık eğitimlerini çalışanlarına sağlamalıdır.

Bu tür testlerde Graybox, Blackbox veya Whitebox mantığına benzer olarak firma veya kurum çalışanlarına ait bilgiler testi gerçekleştirecek ekibe sunulabilir. Test yaptırmak isteyen taraf eğer isterse testi yapacak olan tarafa çalışanları hakkında hiç bir bilgi vermeyedebilir. Bu şekilde testlerin Blackbox gerçekleşmesini de isteyebilir.

Hackerlar İçin Sosyal Mühendislik Saldırıları

Hackerlar için hedefe ulaşmak ve karşı tarafı hacklemek için denenecek her türlü yöntemin mübah olduğunu dile getirmiştik. Bu yöntemler arasında tabi ki sosyal mühendislik çok büyük rol oynuyor. Bir hackerın bir kurumu, bir şahsı veya bir firmayı hedefine aldığını varsayarsak, bir hacker hedefine ulaşmak için bir çok yol deneyecektir. Bunlar birden fazla saldırının iç içe geçmiş hali de olabilir. Sosyal mühendislik olmazsa olmazdır. Çünkü bir bağlantıya, bir dosya ekine, bir sahte maile tıklatmanız için hedefi o kıvama getirmek durumundasınız. Yani kandırmak, yönetmek, manipüle etmek zorundasınız. Hackerların kurumsal sızma testlerinde uygulanan sosyal mühendislik testlerinden farklı olarak yaptıkları saldırılardan ne sistem yöneticisi, ne de kurumun/firmanın sahibi ya da hedef çalışanlar haberdar değildir. Bu tarz durumlarda ki hikayelere yüzlerce örnek verilebilir.

Mehmet Kelepçe

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)