İnsanların psikolojik manipülasyonu olarak bilinen sosyal mühendislik saldırıları, birçok kişi tarafından merak edilen konulardan birisidir. Dolandırıcılık alanındaki hilelerin bir adımı olarak düşünülebilen sosyal mühendislik, geleneksel dolandırıcılık eylemlerinden oldukça farklıdır. Bilgi toplama, sistem erişimi ya da dolandırıcılık amaçlı güven hilelerinden biri olan sosyal mühendislik, dolandırıcılık alanında bir sanat olarak görülmektedir.
Bir saldırı tekniği olarak ön plana çıkan sosyal mühendislik, internet korsanlarının hedeflerinde bulunan kişileri aldatması ve istedikleri bilgileri ele geçirmesi olarak tanımlanabilir. Birçok kimse, internet korsanlarının bir sisteme izinsiz bir şekilde giriş yapabilmesi adına yalnızca bilgisayar ve kara kodları kullandığını zannetse de aslında sosyal mühendislik başta olmak üzere pek çok farklı etkili ve güçlü yöntemler, internet korsanları tarafından tercih sebebi olmaktadır. Bu bağlamda sosyal mühendislik saldırıları nedir sorusu, pek çok kimse tarafından merak edilen hususlardan biri olarak ön plana çıkmaktadır.
Sosyal Mühendislik Saldırısı Nedir, Kimi Hedef Alır?
Sosyal mühendisliğin anlaşılması adına bu saldırıların kimi hedef aldığının bilinmesi kritik öneme sahiptir. Bu saldırılar, pek çok siber saldırı gibi sistemi hedef almaz, aksine gerçek kişileri hedef almakta ve internet korsanları, bu kanaldan sisteme giriş yapmaktadır. Sosyal mühendislik saldırısı nedir sorusu bağlamında, sosyal mühendisliğin oldukça etkili internet korsancılığı olduğunu ifade etmek olanaklıdır.
Bilindiği üzere sistemlerin her biri, bir kişi tarafından hazırlanmakta olup bu sistemlere giriş yapabilme yetkisi belirli kişilere verilmektedir. Gerekli materyallerin sağlanması durumunda, aşılmaz olarak nitelenen sistemler bile oldukça kısa süre içerisinde aşılmaktadır. Sisteme giriş yapma yetkisi olan kişilere yönlendirilen sosyal mühendislik tekniği ile kötü niyetli kişiler, istedikleri bilgilere erişim sağlayabilmektedir.
Sosyal Mühendislik İlkeleri
Yöntemin etkili bir şekilde çalışabilmesi adına çeşitli sosyal mühendislik ilkeleri bulunmakta olup bu ilkeler genel hatlarıyla aşağıdaki gibi sıralanabilir:
- Karşılıklılık
İnsanlar, kendilerine yapılan iyiliğe her zaman karşılık verme eğilimindedir.
- Bağlılık ve Tutarlılık
Bir fikre ya da hedefe sözlü veya yazılı olarak taahhüt vermek, insanların verdikleri sözleri tutmasını kolaylaştırmaktadır.
- Sosyal Kanıt
İnsanlar, başka insanların yaptığını gördükleri şeyleri yapma eğilimindedir.
- Otorite
İnsanlara sakıncalı davranışlarda bulunmaları, bir otorite tarafından söyleniyorsa eğer, bu davranışların yapılması kolaylaşır.
- Sempati
Sempati duyulan diğer insanlar tarafından insanların kolay bir şekilde ikna edildikleri bilinmektedir.
- Kıtlık
Bir sistemde kıtlık bulunması, insanların talepte bulunmasına destek olur.
Yukarıdaki ilkeler, sosyal mühendislik ilkeleri kapsamında değerlendirilmekte olup bu ilkeler, çoğunlukla Robert Cialdini tarafından oluşturulan altı ilkeye dayanmaktadır.
Sosyal Mühendislik ile İlgili Teknikler ve Terimler
Sosyal mühendisliğin hangi yöntemler dahilinde yapıldığının anlaşılması adına konu ile ilgili çeşitli teknik ve terimlerin bilinmesi gerekmektedir. Bilişsel önyargılar olarak bilinmekte olan insan karar verme sürecinin belirli özelliklerine dayanan sosyal mühendislik, çeşitli önyargıları kullanmakta olup bu önyargılar, sosyal mühendislik teknikleri kapsamında bir hayli önemlidir.
Sosyal Mühendisliğin İşleyişi
Sosyal mühendisliğin işleyişi aslında oldukça basittir. Temelde aşağıdaki gibi sıralanabilen işlem basamakları dahilinde hareket edilir:
Bilgi Toplama
Bu aşamada, mağdurla ilgili derinlemesine bir şekilde bilgi toplanır. Kurban hakkında birçok detay öğrenilir. Bilgi toplama kapsamında; şirket web siteleri, farklı yayınlar ve bazen de hedef sistemde çalışmakta olan personellerden bilgi alımı yöntemleri kullanılır.
Mağdurla İlişki Kurma
Mağdurla ilişki kurma, sosyal mühendislik yöntemleri nedir dahilinde yer alan ikinci adımdır. Saldırgan, kurban ile alakalı bilgi topladıktan sonra kurban ile iletişime geçer.
Saldırı
Hedefle uzun bir etkileşim gerçekleştirdikten sonra “saldırı” aşamasına geçilir. Bu aşamada sosyal mühendislik işlemleri ile birlikte hedeften bilgi alınır.
Kapanış Etkileşimi
Kurbanda herhangi bir şüphe uyandırmayacak şekilde bu aşamada iletişimin kapatılması hedeflenir. Kurban, saldırı gerçekleştiğinde genellikle anlamaz.
Sosyal Mühendislik Nasıl ve Hangi Yöntemlerle Yapılır?
Sosyal mühendislikte hedeflenen, sisteme giriş yapabilmek için gerçek kişiler üzerinden yeterli bilgilerin elde edilmesi ve sisteme sorunsuz bir şekilde giriş gerçekleştirmektir. Genellikle insanların korkuları, zaafları vb. duygular, sosyal mühendislikte sıklıkla kullanılır. Hedef kişi ile iletişim kurmak ve sisteme giriş yapmak adına oldukça yaratıcı senaryolar oluşturulur ve sosyal mühendislik teknikleri ile işlem basamakları tamamlanarak sisteme giriş yapılır. Oldukça etkili dolandırıcılık yöntemlerinden biri olan sosyal mühendisliği önleme konusunda çeşitli adımların bulunduğunu ifade etmek olanaklıdır.