Hakan TOPUZOĞLU

"E-Ticaret ve Sosyal Medya Uzmanı"

Sosyal Mühendislik Kavramı ve Dikkat Edilmesi Gereken Hususlar

 

Filmlerde görülen, sabahtan akşama kadar evden çıkmayan, bilgisayar dışında hayatı olmayan kişiler değiller, Türkçe karşılığıyla sistem kırıcıları.

Dünya’daki örneklerinin başında gelen Kevin Mitnick ilk başta ABD Adalet Bakanlığı tarafından “en çok aranan bilişim suçlusu” iken geçen zaman içerisinde ünvanı “bilgisayar güvenliği danışmanı, yazar ve konuşmacı” haline geldi.

Zaten birçok hacker için bilgisayar bir oyuncak. Radyo istasyonlarının telefon hatlarını hackleyerek Porche ve çeşitli hediyeler kazanmak ise onlara göre bir oyun. Poulsen isimli kişi ise bugün bir gazeteci.

Tabii ki daha ilginç örnekler de var. Tim Berners-Lee isimli beyaz şapkalı hacker Oxford Üniversitesi’nde okurken, sistemde bulunan açıkları bularak sistemi kullanılmaz hale getirdiği için, bilgisayar kullanması yasaklanmış. Bunun üzerine bu kişi de lehim havyası, M6800 işlemci ve eski bir televizyonu kullanarak ilk bilgisayarını yapmıştır. Web standartlarını geliştiren, WWW’nin kurucusu ünvanıyla anılmaktadır.

İsmini andığımız bu hackerların hepsinin ortak özelliği teknik bilgi kadar, sosyal silahları da kullanıyor olmaları. Bu yüzden, “Sosyal Mühendis” ünvanını almaları.
Sosyal Mühendislerin yol haritaları şu şekildedir;

– Bilgi Toplama : Sosyal mühendisin yapacağı ilk şey SM yapacağı yer ile ilgili bilgi toplamaktır.Bilgi toplayarak karşılaşılabilecek problemler kolay bir şekilde aşılmaktadır.Sorulan sorulara ne kadar kolay cevap verirsek inandırıcı olur ve hedefe çabuk ulaşır.

– Plan Yapmak : Çünkü bir hedefe yönelik plan yapmak o hedefe ulaşmayı kolaylaştırır.Hatta her zaman ikinci bir planları da vardır. Eğer birinci plan yolunda gitmez ise ikinci planı denerler.Plan üzerinde iyice çalışma yapmak gerekir. Şuna inanırlar, “Bir şeyi ne kadar tekrarlarsak o şeyi hafızamıza aldığımızda yanılma payımız düşüktür.”

– Kendine Güven : Sosyal mühendislerin kendine güvenleri tamdır. Yapacağı işin karşısında eğilmez ve olumsuz düşünmez. Yapacağı iş ne kadar zor olursa olsun o işi başaracağına inanır. Onlara göre; “Hiçbir şey imkansız değildir.”

– Başka Biri Olmak : Kişiler tanıdıkları kişilere yardım etmeyi daha çok isterler. Bu yüzden, kendilerini kişinin tanıdığı biriymiş gibi göstererek elde etmek istediği şeye daha kolay ulaşır.Burada yapılan şey o kişinin tanıdığı birinin kimlik bilgilerini kullanarak kişiyle iletişime geçmektir.

– Yetkili Biri Olmak : Ortak Alanlar Bulmak. Kişiler kendilerinin beğeni duyduğu alanlara ilgili olan kişilerle daha çabuk iletişime geçerler.Bu durumda yapılan şey kişinin ilgi alanlarını bulmak ve o alanlara ilgi duyduğunuzu karşı tarafa hissettirmektir.

– Acındırma Yöntemi : İnsanlar yardıma muhtaç insanlara yardım etmeyi severler.Bunu yaptıklarında ise vicdanen rahata kavuşurlar.Sosyal Mühendisler, istediği bilgiye ihtiyacı olduğunu o bilgi olmadan elindeki işi halledemeyeceğini karşısındakine kendini acındıracak bir biçimde anlatırsa istediğini muhtemelen alacaktır.

– Duyguları Kullanma : İnsan duygusal bir varlıktır.Psikolojik olarak karşıdaki kişiyi psikolojik yönden etkileyebilirse o kişiye istediği şeyleri yaptırabilir.Bu yöntem zor bir yöntem ama işe yarar.

Sosyal Mühendislik yöntemlerinden korunmak için yapabileceğiniz tek şey, bilinçli davranmak. Yöntemlerin temeli yazılıma veya donanıma dayanmadığı için, saldıralar tamamen sosyal iletişim yoluyla gerçekleşecektir, işte bu yüzden saldırıya maruz kalanların durumu anlaması ve kötü niyetli tarafa itibar etmemesi gerekiyor. Her ne kadar internet tarayıcılar ve e-posta istemcileri gibi popüler yazılımların da kimlik avına karşı bazı özellikleri mevcut ama yine de ilk önlem alması gereken program değil sizsiniz.

Ekonomik kriz nedeniyle işsizlik oranlarında artışın sonucu olarak, yeni bir iş kapısının açıldığına da dikkat çekmekte fayda var. Bugünlerde yıldızı parlayan mesleklerden birisi de “Etik Hacker Etiketli Danışmanlık” Siz de bu eğitimleri alarak, hem internette başınıza gelebilecek kazalardan öncelikli haberdar olabilir, hem de işiniz yoksa iş sahibi olabilirsiniz. Bu satırları okurken, gözünüzün önünde sıradan bir sertifika eğitimi canlandıysa gayet doğru bir canlanma olduğunu belirtmek gerek. Uzmanlar tarafından yasalar ve etik değerler üzerine kurulu bir standardizasyonla hazırlanan eğitimler sonucunda tam anlamıyla bir güvenlik analisti ve sistem açıklarını tespit etme uzmanı oluyorsunuz. Bu eğitimlerde tecrübe kazanılması için sayısız vaka incelemesi ve birebir vaka çözümü yapmanız gerekiyor. Eğitim sonunda da “SERTİFİKA” alarak, sertifikalı Hacker oluyorsunuz. Belki de bu yazı sayesinde, aynı “GÜVENLİK OKULLARI” gibi “SANAL GÜVENLİK OKULLARI”nın sayısı da artar. Şu anda bile Türkiye’de CEH adı verilen (Certificied Etical Hacker / Sertifikalı tik Hacker) eğitimleri verildiğini belirtmekte fayda var.

Özetle, internette güvenli bir yolculuk yapmak istiyorsanız, emniyet kemeriniz takılı olsun (Antivirüs ve Spyware yazılımlarınızı yüklemeyi ihmal etmeyin), içkili yola çıkmayın, yolda tanımadığınız kişiler otostop çekse bile durup almayın, çünkü kim olduğunu bilmiyorsunuz. (İnternette tanımadığınız kişilerle tanışmayın , tanışıyorsanız da tüm sırlarınızı paylaşmayın)

Böylece sosyal mühendislerin oltasına düşmezsiniz…