Sosyal Mühendislik Sızma Testi: Saldırılar, Yöntemler ve Adımlar
Bir şirketin güvenlik duruşunu değerlendiren penetrasyon testi yapmak için birçok farklı yöntem vardır , ancak bu makalede, bir tanesine odaklanacağız: sosyal mühendislik .
Sosyal mühendislik sızma testi, kişilere ve süreçlere ve bunlarla ilişkili güvenlik açıklarına odaklanır. Bu Pentest tipik olarak, kimlik avı, USB düşürme veya bir kişinin işi sırasında karşılaşabileceği kimliğe bürünme gibi farklı sosyal mühendislik saldırıları gerçekleştiren etik bir hacker'dan oluşur. Bu testin amacı, bir kişide, bir grup insanda veya süreçteki zayıflıkları belirlemek ve düzeltmeye giden açık bir yolla güvenlik açıklarını tespit etmektir.
Bir sosyal mühendislik saldırısının ne olduğunu, şirketlerin bu testleri neden yapması gerektiğini, sosyal mühendislik saldırılarını uygulamak için kullanılan yaygın yöntemleri ve bir sosyal mühendislik sızma testinin nasıl gerçekleştirileceğini anlatacağız.
Sosyal mühendislik sızma testi, kişilere ve süreçlere ve bunlarla ilişkili güvenlik açıklarına odaklanır. Bu Pentest tipik olarak, kimlik avı, USB düşürme veya bir kişinin işi sırasında karşılaşabileceği kimliğe bürünme gibi farklı sosyal mühendislik saldırıları gerçekleştiren etik bir hacker'dan oluşur. Bu testin amacı, bir kişide, bir grup insanda veya süreçteki zayıflıkları belirlemek ve düzeltmeye giden açık bir yolla güvenlik açıklarını tespit etmektir.
Bir sosyal mühendislik saldırısının ne olduğunu, şirketlerin bu testleri neden yapması gerektiğini, sosyal mühendislik saldırılarını uygulamak için kullanılan yaygın yöntemleri ve bir sosyal mühendislik sızma testinin nasıl gerçekleştirileceğini anlatacağız.
Sosyal Mühendislik Saldırıları Nelerdir?
Sosyal mühendislik saldırıları çeşitli biçimlerde gelir, ancak en yaygın olanları kimlik avı, vishing, smishing, kimliğe bürünme.
E-dolandırıcılık
Kimlik avı, e-posta yoluyla gerçekleşen ve kullanıcıyı hassas bilgileri vermesi veya makinelerine bulaşabilecek kötü amaçlı bir dosyayı açması için kandırmaya çalışan bir yöntemdir .
Vishing
Vishing, kimlik avına benzer ancak telefon görüşmeleri yoluyla gerçekleşir . Bu telefon görüşmeleri, kullanıcıyı hassas bilgileri vermesi için kandırmaya çalışır.
Smishing
Smishing , phishing'e benzer ancak sms metin mesajları yoluyla gerçekleşir. Bu kısa mesajlar, kimlik avı ile aynı amaca sahiptir.
Kimliğe bürünme
Kimliğe bürünme, saldırganın bir kişiyi başka biri olduğuna inandırmaya çalıştığı bir yöntemdir.
Örneğin, bir saldırgan, çalışanları hayali satıcılara mali ödemeler sağlamaya veya gizli bilgilere erişim sağlamaya ikna etmek amacıyla bir yöneticiyi taklit edebilir.
Bir kimliğe bürünme saldırısı, hesabına erişim elde etmek amacıyla bir kullanıcıyı da hedefleyebilir. Bu, yönetici kimliğini doğrulamadan bir parola sıfırlama isteyerek gerçekleştirilebilir.
Bu saldırının bir başka örneği de teslimatçı gibi davranmak olabilir. Bazı durumlarda, teslimat personelinin çok az kısıtlaması vardır ve güvenli alanlara sorgusuz sualsiz erişim sağlayabilir.
Dalış çöplüğü
Çöp kutusu dalışı, bir saldırganın bir kişi veya kuruluş hakkında yararlı bilgiler elde etmek için yalnızca çöpleri değil, yapışkan notlar ve takvimler gibi diğer öğeleri de görebildiği bir yöntemdir.
USB
USB bir çalışma alanı boyunca ortak alanlarda bırakılan kötü amaçlı USB'leri kullanan bir yöntemdir. USB'ler tipik olarak, takıldığında, bir sisteme arka kapı sağlayabilen veya ortak dosya uzantılarına sahip dosyaları aktarabilen kötü amaçlı yazılımlar yükleyen yazılım içerir.
Tailgating
Tailgating, fiziksel güvenlik önlemlerini atlamak için kullanılan bir yöntemdir . Bu yöntemin genellikle bir kişinin giriş yapmak için bir anahtarlık taraması gereken yerlerde kullanıldığını görürsünüz.
Bu tür bir saldırıda, saldırgan bir çalışanın arkasından yakından takip edecek ve anahtarlığını tarayıp kapıyı açarak odaya girecektir.
E-dolandırıcılık
Kimlik avı, e-posta yoluyla gerçekleşen ve kullanıcıyı hassas bilgileri vermesi veya makinelerine bulaşabilecek kötü amaçlı bir dosyayı açması için kandırmaya çalışan bir yöntemdir .
Vishing
Vishing, kimlik avına benzer ancak telefon görüşmeleri yoluyla gerçekleşir . Bu telefon görüşmeleri, kullanıcıyı hassas bilgileri vermesi için kandırmaya çalışır.
Smishing
Smishing , phishing'e benzer ancak sms metin mesajları yoluyla gerçekleşir. Bu kısa mesajlar, kimlik avı ile aynı amaca sahiptir.
Kimliğe bürünme
Kimliğe bürünme, saldırganın bir kişiyi başka biri olduğuna inandırmaya çalıştığı bir yöntemdir.
Örneğin, bir saldırgan, çalışanları hayali satıcılara mali ödemeler sağlamaya veya gizli bilgilere erişim sağlamaya ikna etmek amacıyla bir yöneticiyi taklit edebilir.
Bir kimliğe bürünme saldırısı, hesabına erişim elde etmek amacıyla bir kullanıcıyı da hedefleyebilir. Bu, yönetici kimliğini doğrulamadan bir parola sıfırlama isteyerek gerçekleştirilebilir.
Bu saldırının bir başka örneği de teslimatçı gibi davranmak olabilir. Bazı durumlarda, teslimat personelinin çok az kısıtlaması vardır ve güvenli alanlara sorgusuz sualsiz erişim sağlayabilir.
Dalış çöplüğü
Çöp kutusu dalışı, bir saldırganın bir kişi veya kuruluş hakkında yararlı bilgiler elde etmek için yalnızca çöpleri değil, yapışkan notlar ve takvimler gibi diğer öğeleri de görebildiği bir yöntemdir.
USB
USB bir çalışma alanı boyunca ortak alanlarda bırakılan kötü amaçlı USB'leri kullanan bir yöntemdir. USB'ler tipik olarak, takıldığında, bir sisteme arka kapı sağlayabilen veya ortak dosya uzantılarına sahip dosyaları aktarabilen kötü amaçlı yazılımlar yükleyen yazılım içerir.
Tailgating
Tailgating, fiziksel güvenlik önlemlerini atlamak için kullanılan bir yöntemdir . Bu yöntemin genellikle bir kişinin giriş yapmak için bir anahtarlık taraması gereken yerlerde kullanıldığını görürsünüz.
Bu tür bir saldırıda, saldırgan bir çalışanın arkasından yakından takip edecek ve anahtarlığını tarayıp kapıyı açarak odaya girecektir.