Sosyal Mühendislik

Sosyal Mühendislik Nedir?


Sosyal mühendislik, insanların zaafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışma işlemlerinin bütünü olarak tanımlanmaktadır. Sosyal Mühendislik saldırılarında insanların karar verme süreçlerini değiştirmeye yönelik teknikler olduğu gibi, İnsan davranışları birer açıklık olarak kabul edilir ve bu açıklıklar kullanılarak saldırı yapılabilir.

Bu kadar yaygın ve başarı oranı yüksek bu saldırı tipi henüz bilişim güvenliği uzmanlarının büyük çoğunluğu tarafından ciddi saldırı olarak kabul edilmemektedir. Bunun temel nedeni de sosyal mühendislik saldırılarının herhangi bir teknik bilgiye sahip olmayi gerektirmeyecek kadar kolay gerçekleştirilebilmesidir. Oysa güvenlikte her zaman zor olan değil, basit olan ve son kullanıcıyı hedef alan saldırılar zarar verir.

Buradan Hızlıca Teklif Alabilirsiniz

NarDC ile Sosyal Mühendislik Testleri


Sosyal mühendislik saldırılarının son yıllarda artması sızma testleri kapsamına da girmesine neden olmuştur. Sızma testlerinde genellikle üç çeşit sosyal mühendislik testleri gerçekleştirilmektedir.

  • Telefon yoluyla gerçekleştirilen testler,
  • Fiziksel testler,
  • E-posta kullanarak gerçekleştirilen testler

Sosyal mühendislik saldırılarında en sık tercih edilen yöntem e-posta kullanımıdır. Binlerce insanı telefonla arayarak bir şeylere ikna etmek yerine binlerce insana bir adet e-posta göndererek bir linke tıklatmak, bir bilgi girmesini talep etmek daha kolaydır.

E-posta üzerinden sosyal mühendislik saldırısı gerçekleştirmek için üç temel bileşene ihtiyaç duyulmaktadır. Bunlar:

  • Saldırıda kullanılacak e-posta adresleri (Kurumsal adresler)
  • Saldırıda kullanılacak senaryo
  • IT altyapısı (sahte adreslerden e-posta gönderimi, benzer alan adı satın alma vb)