14Sep
Endişelenmeniz gereken tek çevrimiçi tehdit Malware değil. Sosyal mühendislik büyük bir tehdittir ve herhangi bir işletim sisteminde sizi etkileyebilir. Aslında sosyal mühendislik, telefonla ve yüz yüze durumlarla da oluşabilir.
Sosyal mühendisliğin farkında olmak ve uyanık olmak önemlidir. Güvenlik programları sizi bir çok sosyal mühendislik tehdidine karşı korumaz, bu yüzden kendinizi korumak zorundasınız.
Sosyal Mühendislik
'yi Açıkladı Geleneksel bilgisayar tabanlı saldırılar çoğu zaman bir bilgisayarın kodundaki güvenlik açığının bulunmasına bağlıdır.Örneğin, Adobe tarafından 2013 yılında yapılan saldırıların% 91'inin nedeni olan Adobe Flash'ın eski bir sürümünü kullanıyorsanız veya kötü muamele etmekte olan bir Java web sitesini ziyaret edebilirsiniz.bilgisayarınıza erişmek için yazılımınızdaki güvenlik açığından yararlanır. Saldırgan, belki de yükledikleri bir keylogger ile özel bilgi toplamak ve bunlara erişmek için yazılımdaki hataları manipüle ediyor.
Sosyal mühendislik hileleri farklıdır, çünkü onun yerine psikolojik manipülasyon yapılmaktadır. Başka bir deyişle, yazılımlarını değil, insanları istismar ediyorlar.
Muhtemelen bir tür sosyal mühendislik olan kimlik avı işitme duymuşsundur. Bankanızdan, kredi kartı şirketinizden veya başka güvenilir bir işletmeden iddia eden bir e-posta alabilirsiniz. Sizi sahte bir web sitesine yönlendirerek gerçek birine benzemek veya kötü amaçlı bir programı indirip yüklemenizi isteyebilirler. Ancak bu tür sosyal mühendislik hilelerinin sahte web sitelerini veya zararlı yazılımları içermesi gerekmez. Kimlik avı e-postası size yalnızca özel bilgiler içeren bir e-posta yanıtı göndermenizi isteyebilir. Bir yazılımdaki bir hatadan yararlanmaya çalışmak yerine normal insan etkileşimlerini kullanmaya çalışırlar. Spear phishing, belirli kişileri hedef alan bir kimlik avı şekli olduğundan daha da tehlikeli olabilir.
Sosyal Mühendislik Örnekleri
Sohbet servislerinde ve çevrimiçi oyunlarda popüler olan bir numara, "Yönetici" gibi bir adla bir hesap kaydetmek ve insanlara korkunç mesajlar göndermek oldu: "UYARI: Birinin hesabınıza saldırı yaptığı,şifrenizle şifreyle karşılık veriyorsa, bir hedef parolalarıyla yanıt verirse, hile yapmak üzere düşmüş ve saldırganın artık hesap şifresi var.
Birisi kişisel bilgileriniz varsa, hesaplarınıza erişebilmek için kişisel bilgilerinizi kullanabilirler.Örneğin doğum tarihiniz, sosyal güvenlik numaranız ve kredi kartı numaranız gibi bilgiler genellikle sizi tanımlamak için kullanılır. Biri bu bilgiye sahipse, bir işletmeye başvurabilir ve sizinmiş gibi davranıyor olabilirler. Bu hileci ünlü bir saldırgan tarafından Sarah Palin'in Yahoo! erişimine girdi! Posta hesabı 2008'de, Yahoo! 'Un şifre kurtarma formuyla hesaba erişebilmek için yeterli kişisel ayrıntıları gönderiyor.İşletmenin sizi kimlik doğrulaması yapmak için kullanması gereken kişisel bilgilere sahipseniz, telefonda aynı yöntem kullanılabilir. Bir hedef hakkında bazı bilgilere sahip olan bir saldırgan, onları rol yapıyormuş gibi yapabilir ve daha fazla bilgiye erişebilir.
Sosyal mühendislik ayrıca bizzat da kullanılabilir. Bir saldırgan bir işe giderek sekretere onarım personeli, yeni çalışanlar ya da yangın müfettişi olduklarını yetkili ve ikna edici bir tonda bildirir ve sonra koridorlarında gezinir ve kurumsal casusluk yapmak için gizli verileri çalmaya veya tesis hatalarını çalabilir. Bu hüner, saldırganın kendilerini değil birisiyle tanışmalarına bağlıdır. Bir sekreter, kapıcı ya da başkası sorumlu çok fazla soru sormaz veya çok yakından bakmazsa, numara başarılı olur.
Sosyal mühendislik saldırıları sahte web siteleri, dolandırıcılık e-postaları ve kötü sohbet mesajlarından birine kadar telefonla ya da şahsen kimliğine bürünmek için kullanılmaktadır. Bu saldırılar çok çeşitli biçimlerde gelir, ancak hepsinin ortak noktası vardır - psikolojik aldatmacaya bağımlıdırlar. Sosyal mühendisliğe psikolojik manipülasyon sanatı denirdi."Bilgisayar korsanları" nın çevrimiçi hesapları "kesmek" için en önemli yollarından biridir.
Sosyal Mühendisliği Önleme
Sosyal mühendisliğin varlığının bilinmesi, onunla savaşmanıza yardımcı olabilir.İstenmeyen e-postalar, sohbet mesajları ve özel bilgi isteyen telefon görüşmelerinden şüphelenin. Mali bilgileri veya önemli kişisel bilgileri hiçbir zaman e-postayla göstermeyin.Önemli olduğunu iddia eden bir e-posta olsa bile, potansiyel olarak tehlikeli olan e-posta eklerini indirip çalıştırmayın.
Ayrıca hassas web sitelerine bir e-postadaki bağlantıları takip etmemelisiniz.Örneğin, bankanızdan gelen ve oturum açtığınız bir e-postadaki bir bağlantıyı tıklamayın. Sizi sahte bir kimlik avı sitesine, bankanızın sitesine görünmesi için kılık değiştirmiş, ancak oldukça farklı bir URL'ye götürebilir. Bunun yerine doğrudan web sitesini ziyaret edin.
Şüpheli bir talep aldıysanız - örneğin, bankanızdan gelen bir telefon görüşmesi - kişisel bilgi ister - talebin kaynağına doğrudan başvurun ve onay istemenizi rica ediyoruz. Bu örnekte, bankanızın olduğunu iddia eden birine bilgi vermektense, bankanıza telefon edip neyi istediklerini sorarsınız.
E-posta programları, web tarayıcıları ve güvenlik takımları, genellikle, bilinen bir kimlik avı sitesini ziyaret ettiğinizde uyaracak kimlik avı filtreleri vardır. Tek yapabilecekleri, bilinen bir kimlik avı sitenizi ziyaret ettiğinizde veya bilinen bir kimlik avı e-postası aldığınızda sizi uyarmasıdır ve kimlik avı sitelerini veya e-postaları bilmiyorlar.Çoğunlukla, kendinizi korumak size kalmıştır - güvenlik programları yalnızca biraz yardımcı olabilir.
Özel veriler ve bir sosyal mühendislik saldırısı olabilecek başka herhangi bir şeyle ilgili işlemlerde sağlıklı bir şüpheniz olması iyi bir fikirdir.Şüphe ve dikkat sizi ve çevrimiçi çevremizden korumaya yardımcı olur.
Resim Kredisi: Flickr
üzerinde Jeff Turnet