İnternet ortamında “saldırı” kelimesini kullandığımızda ilk aklımıza gelen klasik siber saldırı çeşitleridir. Yazılımcılar yazdıkları kodlarla ve işletim sistemlerine yaptıkları yamalarla klasik saldırıları engellenmeye çalışsalar da kişisel hatalardan kaynaklanan güvenlik zafiyetleri her zaman en büyük güvenlik açıklarını oluşturmaktadır. Çünkü insanların hatalarından kaynaklanan güvenlik açıklarını kapatabilen kesin bir çözüm henüz geliştirilemediğinden güvenlik konusunda en zayıf halkanın insanlar olduğunu söyleyebiliriz. Yazılımlar ne kadar güvenli olursa olsun kullanıcılar yeterince bilinçli değilse güvenlik her an açık vermeye hazırdır.
Duygu ve Düşünce Zafiyetlerimizden Faydalanırlar
Aslında eğitimli olmayan bilgisayar kullanıcılarının zaman içindeki potansiyel güvenlik açığı oluşturma konusundaki yaratıcılığı siber saldırganların iştahını kabarttığından doğrudan insanları hedef alan sosyal mühendislik saldırılarına yöneldiler. Konuyu daha iyi anlayabilmek için sosyal mühendislik saldırıların neler olduğunu tanımlamaya çalışalım. En kısa tanımı ile duygu ve düşünce zafiyetlerimizden faydalanan ve bizleri istedikleri şeyi yapmaya ikna etmeye çalışan saldırganlardır diyebiliriz. Bu saldırıları insan ve bilgisayar üzerinde olmak üzere ikiye ayırmak mümkündür.
Günlük Yaşantınızda Bıraktığınız İzlere Dikkat
Saldırı düzenleyenler öncelikle sosyal mühendislik konusunda çalışma yaparak kurbanlarının günlük yaşantılarında farkında olmadan bıraktıkları izleri takip ederek bilgi toplarlar. Bir başka yöntem de takip ettikleri kişilerin bıraktıkları izleri ve düzenli yaptıkları şeyleri öğrenmektir O yüzden maruz kalınan sosyal mühendislik saldırılarının hiç beklenmedik bir anda oluşur ve kişinin hiç ummadığı bir zaafıyla ilgili gerçekleşir.
Sosyal mühendislik saldırganları önce üzerinde çalışacağı bir hedef kitle belirlerler. Sonra bu hedef kitle üzerinde bilgi toplayarak kişilerde bir algı zafiyeti oluşturmaya çalışarak amaçlarına ulaşmayı hedeflerler.
Gerçek Olmayan Sahte Durumlar Uydururlar
En sık karşılaşılan yöntem telefonla iletişim kurarak tamamen kurgulanmış gerçek olmayan bir senaryo oluşturarak karşısındaki kişiyi buna inandırmaları ve kurbanın özel bilgilerine ulaşmalarıdır. Mesela, ikna edilen kişi iptal edildiğini sanarak kendi kredi kartıyla yapılan bir alışverişe rahatlıkla onay verebilir.
Güvenilir Kaynaktan Geldiği Düşünülen Mesajlarla İkna Etme Yöntemi
Bu yöntemi kullananlar genellikle kurbanlarını güvenilir bir e-posta kaynağından bir e-posta aldığına inandırır. Kullandığınız cep telefonunun hattını aldığınız operatörden veya çalıştığınız kargo firmasından geliyormuş gibi görünen fatura ve benzeri evrak görünümündedirler. Tıkladığınızda güvendiğiniz bir sitedeymiş gibi size işlem yaptırarak bilgilerinizi ele geçirirler.
Truva atları (trojan) Yoluyla Yapılan Saldırı
Aslında zararsız gibi görünen fakat amacı zarar vermek olan kötü amaçlı yazılımlara truva atı denmektedir. Güvenilir olmayan bir kaynaktan güvenli zannedilen bir yazılım görüntüsünde yüklenmektedir. Bu programlar bilgisayarlarda güvenlik açıkları oluşturarak sisteme kaçak giriş yapmaya veya sistemden bilgiler sızdırmaya yararlar. Hatta tüm dosyalarınız bile şifrelenebilir.
Hediye veya Promosyon Önerilerek Yapılan Saldırılar
Bu saldırıda kurban kendisinin avantajlı çıkacağına, para veya hediye kazanacağına uydurma bir senaryo ile inandırılır. Kurban bir hediye veya avantaj sağlayacağını düşünerek özel bir bilgiyi, telefon numarası veya banka şifresini düşünmeden verebilir.
Arkadaşlık Kurup Güven Sağlamak
Saldırgan kurbanı ile arkadaş olup ilk olarak onun güvenini kazanır. Böylece daha sonra kurbanın alışkanlıklarını, özel bilgilerini ve yaşam ilişkilerini öğrenmeye başlar.
Bütün bunların dışında saldırganlar çok daha değişik yöntemlerle bilgilere ulaşırlar :
Çöp Karıştırmak
Kurbanın kullanmayıp çöpe attığı notları, eşyaları ve CD benzeri parçaları inceleyerek eşyalardan kişisel özel bilgilere ulaşmaya çalışırlar.
Kişinin yazıp yırttığı şifre bilgisi veya strateji öneme sahip çalıştığı iş yeriyle ilgili bilgiler saldırganların elinde ciddi önem arz ederler.
Eski Bilgisayar ve Depolama Ürünlerinden Bilgi Toplamak
Artık kullanılmayan bilgisayar, tablet, notebook ve hard disklerin içinde kalmış olan bilgiler incelenerek kurban ile ilgili ve değer taşıyan bilgilere ulaşılmaya çalışılır.
Özetlersek; sosyal mühendislikte saldırı yöntemlerinin bu işi yapanların hayal gücüyle sınırlı olduğunu asla unutmayın. Yukarıda anlatılanlar dışında çok farklı yöntemlerle de karşılaşabilirsiniz.
