Curriculum
- 4 Sections
- 12 Lessons
- 6 Hours
- Sosyal mühendislik ve motivasyonları4
- Oltalama Teknikleri ve Saldırı Vektörleri5
- Sosyal Mühendisliğin Yasal ve Etik Etkileri4
- Ek Okumalar2
Curriculum
Sosyal Mühendisliğin Temelleri ve Motivasyonları
Sosyal mühendislik, siber suçlular tarafından bireyleri gizli bilgileri ifşa etmeye veya güvenliği tehlikeye atan eylemler gerçekleştirmeye yönlendirmek için kullanılan bir tekniktir. İnsan etkileşimleri yoluyla gerçekleştirilen çok çeşitli kötü niyetli faaliyetler için kullanılan bir terimdir. Kullanıcıları güvenlik hataları yapmaları veya hassas bilgileri vermeleri için kandırmak amacıyla psikolojik manipülasyon kullanır.
Sosyal mühendislik saldırılarını yönlendiren temel motivasyonlar, yasadışı kazançlar için insan psikolojisini ve güvenini istismar etmek etrafında döner. Finansal kazanç yaygın bir motivasyondur ve saldırganlar kredi kartı bilgileri, oturum açma bilgileri veya bankacılık bilgileri gibi hassas finansal bilgileri çalmaya çalışırlar. Sosyal mühendislik saldırılarının arkasındaki bir diğer önemli motivasyon ise veri hırsızlığıdır.
Siber suçlular, karaborsada satılabilecek veya kimlik hırsızlığı için kullanılabilecek özel bilgilere, fikri mülkiyete veya kişisel verilere erişim elde etmek için kuruluşları hedef alabilir.
Kaynak: https://www.freepik.es/
Elbette, siber suçluların yaptıklarını neden yaptıklarını bilmek, taktiklerine karşı savunmak için çok önemlidir. Ancak etik sonuçların farkında olmak ve bilgimizi sorumlu bir şekilde kullanmak da aynı derecede önemlidir. Etik farkındalığı teşvik ederek sadece verileri korumakla kalmıyoruz; dürüstlük ve güven ilkelerini de destekliyoruz. Ve bu sadece profesyonel yaşamlarımızda değil, toplumlarımızda da önemlidir. Dolayısıyla, sosyal mühendislik dünyasını keşfederken, etiği ön planda ve merkezde tutmak önemlidir.
Özellikler ve işleyiş:
Teknik açıkları hedef alan geleneksel bilgisayar korsanlığı yöntemlerinden farklı olarak sosyal mühendislik, insanların doğasında var olan güven ve başkalarına yardım etme eğiliminden faydalanarak siber saldırganların cephaneliğinde güçlü bir silah haline gelir. Sosyal mühendisler kurbanlarının güvenini kazanmak ve değerli bilgiler elde etmek için genellikle iş arkadaşları, BT destek personeli veya otorite figürleri gibi güvenilir varlıklar gibi davranırlar. Hedeflerinden istedikleri yanıtı almak için karşılıklılık, otorite ve sosyal kanıt gibi çeşitli psikolojik ilkelerden yararlanırlar. Bu taktiklerden yararlanarak güvenlik protokollerini atlayabilir ve hassas bilgilere veya sistemlere yetkisiz erişim sağlayabilirler.
Sosyal mühendislik saldırılarının türleri:
Her biri kendine özgü özelliklere ve yöntemlere sahip olan birkaç yaygın sosyal mühendislik saldırısı türü vardır:
- Oltalama: Oltalama saldırılarında, siber suçlular sahte e-postalar, mesajlar veya web siteleri kullanarak bireyleri oturum açma bilgileri veya kredi kartı numaraları gibi kişisel veya finansal bilgileri ifşa etmeleri için kandırır.
- Pretexting: Pretexting, bireyleri hassas bilgiler vermeleri veya normalde yapmayacakları eylemleri gerçekleştirmeleri için manipüle etmek amacıyla uydurma bir senaryo veya bahane yaratmayı içerir.
- Yemleme: Yemleme saldırıları, kötü amaçlı yazılım veya zararlı kod içeren ücretsiz yazılım indirmeleri veya film indirmeleri gibi cazip bir şey vaat ederek kurbanları cezbeder.
- Spear Phishing: Spear phishing belirli kişi veya kuruluşları hedef alır ve genellikle başarı olasılığını artırmak için kişiselleştirilmiş bilgileri kullanır.
- Tailgating: Takip saldırılarında, failler yetkili personelin arkasından yakından takip ederek veya güvenlik kontrol noktalarını manipüle ederek güvenli alanlara yetkisiz fiziksel erişim elde ederler.
Örnekler ve özellikleri:
Sosyal mühendislik saldırılarının örnekleri hem kişisel hem de kurumsal ortamlarda bolca bulunmaktadır. Örneğin, yaygın bir kimlik avı dolandırıcılığı, bir bankadan geldiğini iddia eden ve alıcıyı bir bağlantıya tıklayarak hesap bilgilerini doğrulamaya çağıran bir e-postayı içerebilir. Benzer şekilde, bir bahane dolandırıcılığı, sözde bir sorunu düzeltmek için kurbanın bilgisayarına uzaktan erişime ihtiyaç duyduğunu iddia eden bir BT teknisyeni gibi davranan bir saldırganı içerebilir. Başarılı sosyal mühendislik saldırılarının özellikleri arasında güveni istismar etmek, aciliyet hissi yaratmak ve kurbanları saldırganın taleplerine uymaya yönlendirmek için sosyal dinamiklerden yararlanmak yer alır.