Sosyal mühendislik / toplum mühendisliği bilişim sistemine direkt olarak erişim sağlamanın insani tarafıdır. Şöyle bir örnek ile başlayalım ; kurumsal bir firmasınız ve verilerinizi internet ile herhangi bir bağlantısı olmayan bir bilgisayarda saklıyorsunuz. Bu bilgisayarın ne kadar güvende olduğunu düşünüyorsunuz ? Verileriniz sizce internet ile bağlantısı olmayan bilgisayarda güvende mi ? Verilerinizi korumak adına bir çok tedbir alabilirsiniz fakat şunu hiç bir zaman unutmamalıyız ki insanlık için henüz öyle bir yama getirilmedi. Sistemi hacklemek adına bir girişim varsa şayet , klavyenin tek tuşuna dokunulmadan bilgisayar ile elde edebileceği bilgiden daha fazlasını insan faktörünü kullanarak elde edebilir. Bu konuda Kevin Mitnick ‘Aldatma Sanatı’  isimli kitabında şöyle bahsediyor ; ” güvenlik zincirindeki en zayıf halka insandır. “

Kandırılmak , Kandırmak – Aldatılmak , Aldatmak

Toplum mühendisliği / sosyal mühendislik , insanlık ve toplum tarihi kadar eskiye dayanır. 1930’lu yıllarda ve 2. Dünya Savaşında Amerika’da yaygın olarak kullanılmaya başlandığı bilgileri , akıl yoluyla tüm gerçekliğin kavranabileceği ve iyileştirmenin tasarlanabileceği fikrine dayanır. Toplum mühendisleri genelde şu yöntemi kullanıyormuş , bende buna karşı şöyle bir tedbir alayım düşüncesi yanlıştır. Çünkü toplum mühendisliği / sosyal mühendislik insanın hayal gücüne dayanır ve hiç bir zaman bir sınırı yoktur. Ama popüler olarak kullanılan yöntemlerden de bahsetmeden olmaz.

Zararsız Gibi Görülen Bilgileri İstemek : Bir kaç gün önce Çıplak Yazar ile radyo programında uzun uzun sohbet ettik. (Yaklaşık 4 saat kadar – Kulakların çınlasın) O sohbet sırasında da başına gelmiş bir olaydan bahsetti bana. Şöyle ki ; bir kurum tarafından aranarak bilgilerinin güncelleneceği söylenmiş. Kabul ettiğinde ilk gelen soru ‘ Anne Kızlık Soyadı ‘ olmuş. Haklı olarak tepki vermiş tabi ki. Şimdi şöyle bir durum var X bir banka beni arayıp neden bilgi güncellemek istesin , ben istemedikten sonra. Hem bilgilerim güncellenecek ise şayet , bu mail adresim ve cep telefonu numaramdan başka bir şey olamaz. İşte Çıplak Yazar’ında tepkisi buna olmuş. Sonuçta anne kızlık soyadı bir tanedir. Orada yazanın aynısı. Ne ise odur. – Umarım açıklayıcı olmuştur.

Güven duygusu uyandırmak : Sosyal mühendisler , karşı cephenin haklı direnişini ve kuşkusunu yıkmak adına bir sürü eylem gerçekleştirebilir. Bunu da genellikle gerçekleştireceği eylemin sıradan , basit ve rutin işlemler gibi göstererek karşı tarafın güven duvarını ufak bir açıkla da olsa geçmeye çalışır. Çoğu zaman da başarırlar.

Yardımcı olduğuna inandırmak : Bana göre güvenliğin en zayıf noktası bu faktör. İnsanlık olarak yardıma açız. Eğer birinin yardım elini uzattığını görürsek , hemen yelkenleri suya indirme ve ona karşı istemsiz bir güven oluştuğuna çoğu zaman şahit oluruz. Son zamanlarda sıklıkla rast geldiğimiz olaylarda bu faktörün ne kadar etkili olduğunu açık açık gösteriyor bizlere. Şöyle ki ; banka hesabının X örgütler tarafından ele geçirildiğini söyleyen bilmem ne komiser , bu durumun açığa çıkmaması ve X örgütün elinden hesabın alınması için bir takım çalışmalar yapacaklarını söylüyor. Bu çalışmaların da sonuca ulaşabilmesi için sizden bir miktar para talep ediyorlar. – Harbiden ya dediğini duyar gibiyim – Sosyal mühendislerin , insanlığı sömürmek adına kullandığı en etkili yöntemlerden bir tanesidir.

Zararlı Siteler ve E-posta Ekleri : Bir arkadaşımızdan veya kendini kurum gibi gösteren X kişisinden bir mail geldiğini varsayalım. İçeriği öyle pek zengin olmayan , şüphe çekici değil ama aynı zamanda merak uyandıracak bir mail. İşte başımıza ne geliyorsa o meraktan geliyor zaten. Ya o ekteki dosyayı indiriyoruz , yada mail içeriğindeki resme tıklıyoruz. Zararlı siteler ve e-posta eklerinden korunmanın tek yolu ise , içimizdeki merakı ufak ufak dizginlemek ve böyle bir durumla karşılaşıldığında teyit-kabul yöntemini kullanmaktır.

Toplum mühendislerinin/sosyal mühendislerin nerede ? ne zaman ? ne yapacağını hiçbir zaman kestiremezsiniz. Yukarıda söylediğim gibi ; yapılabilecekler insanın hayal gücüne dayanır. Her insan bir sosyal mühendistir. Yaşanılan her olay karşısında tedbiri elden bırakmamak aslında bu tuzaklara düşmemek için en etkili savunma biçimidir. Kendinize bir 10 dakika ayırın ve ben olsam ne yapardım ? diye ufak bir düşüncelerinizi alt üst edin.

Yukarıda bahsettiklerim popüler olarak kullanılan yöntemler olduğu için onlara yazımda yer vermek istedim. Hem kendimize hem de birilerine yardımcı olmak adına sizin de etkili çözümleriniz var ise yorumda belirtebilirsiniz.

Unutmayalım ki ; başarıyı her zaman en zayıf halka belirler.

1 YORUM

  1. Size katılıyorum.Sosyal mühendislik çok ciddi ve üzerinde kafa yorulması gereken bir meslek.Yapmak ve yapmamak arasında kalır insan her zaman teşekkürler.

CEVAP VER

Please enter your comment!
Please enter your name here