Toplum Mühendisliği - Aldatma Sanatı Kitabı Notlarım

Kevin Mitnick: Gerçek şu ki, dünyada bir toplum mühendisliği saldırısını
engelleyebilecek bir teknoloji yok.

Güvenliğin En Zayıf Halkası İnsan

Güvenlik çoğu zaman bir yanılgıdan ibarettir. İşin içine insanın dikkatsizliği, saflığı ve cahililği girince her şey değişir. Alber Einstein demiştir ki, “Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı; aslında evrenin sonsuzluğundan o kadar da emin değilim.”

Güvenlik ürünlerinin tek başlarına tam bir güvenlik sağlayacağına inanan birisi güvenlik konusunda kendini kandırıyor demektir.

En emniyetli bilgisayarın kapalı bir bilgisayar olduğuna dair yaygın bir göz vardır. Akıllıca ama yanlış: Art niyetli bir kişi ofise gidip bilgisayarı açması için birini ikna ederek işi bitirebilir.

Toplum Mühendisi

Yetenekleri

  1. Etkileyici, nazik, sevimli, arkadaşça davranır
  2. İkna edicidir
  3. Güven kazanır
  4. Becerisinin ve bilgisinin reklamını yapmaz

Neler Yapar? Nasıl düşünür?

Deneyimli bir toplum mühendisi, sanatının stratejilerini ve taktiklerini kullanarak neredeyse hedeflediği her bilgiye ulaşır.

Çoğu insan, kandırılma olasılığının çok düşük olduğu inancına dayanarak, başkaları tarafından kandıralamayacağı varsayımıyla hareket eder; bu ortak inancın bilincinde olan saldırgan, istediğini o kadar akıllıca sunar ki hiç kuşku uyandırmaz ve kurbanın güvenini sömürür.

Bu toplum mühendisi çevresinden en kolay dolaşabilecekleri ve en az korunan saldırı noktalarını her zaman tercih eder.

Toplum mühendislerinin sıradan dolandırıcılara ve üçkağıtçılara göre bir üstünlüğü vardır. Bu da uzaklıktır. Toplum mühendisleri çoğunlukla bu tehlikeden hastalıkmış gibi uzak dururlar.

Tıpkı bir bilmecenin parçaları gibi her bilgi kendi başına ilgisiz durabilir. Ancak parçalar bir araya getirildiğinde açık bir resim oluşur.

Her zaman güvensizliği güvene dönüştürmeye hazırdır. İyi bir toplum mühendisliği saldırısını bir satranç oyunu gibi planlar ve doğru yanıtları verebilmek için hedefinin sorabileceği soruları önceden tahmin eder.

En Zayıf Halkanın Yaradılışından Gelen Altı Eğilimi

En iyi toplum mühendisleri anne ve babalardır. “Senin iyiliğin için cümlesi ile başlayan her cümle insanı şartlanmış bir yönlendirmeye açık hale getirir. Çünkü eğer her zaman tetikte olup başklarına güvenmeseydik zor bir yaşam sürüyor olurduk.

Yetki: Yetkili bir talepte bulunduğu zaman insanların bu talebi yerine getirme eğilimi vardır. (Bilgi-İşlem’den arıyorum. Yöneticiyim)

Sevme: İstekte bulunan kişi kendini sevimli yada kurbanla ortak ilgi alanları, inançları ve tavırları olan biri olarak gösterebilirse, insanlarda isteği yerine getirme eğilimi ortaya çıkar. (Sohbet sırasında kurbanın ilgi alanı öğrenilir ve oradan devam eder)

Karşılık Bekleme: Bize değerli bir şey verilir ya da verileceği taahüdünde bulunursa hiç düşünmeden isteği yerine getiririz. (Bir virüs için yardım etmek gibi)

Tutarlılık: Herkesin içinde bir amaca destek ya da bir söz verdikten sonra insanların istediklerini yerine getirme eğilimleri vardır.

Toplum İçinde Kabul Görme: İnsanlar, davranışlarının başkalarının davranışlarıyla aynı olduğunu bilirse, istekleri yerine getirme eğilimleri daha da artar. (Arayan kişi araştırma yaptığını ve ofiste kendine yardım eden arkadaşlarının adını verirse)

Kıtlık: Aranan nesnenin miktarı azsa ve elde etmek için bir rekabet varsa insanlar isteklerini yerine getirir.

Saldırı Zamanı

Zararsız gibi görünen bilgiler: Bir şirketin güvenliğinin aşılması, genellikle kötü adamın şirketteki pek çok insanın korunması ve sınırlandırılması için bir neden görmediği, son derece masum, günlük ve önemsiz görünen bir bilgiyi ya da bir belgeyi elde etmesiyle başlar.
Toplum mühendisleri, bir şirketin elinde olan ve zararsız gibi görünen bilgileri el üstünde tutarlar çünkü bu bilgiler, kendilerini daha inandırıcı kılabilmelerinde can alıcı bir rol oynayabilir.

Kişisel Sorular: Kişisel sorular mayın gibidir. Bazıları üzerinden geçer ve hiçbir zaman fark etmezler. Bazılarında ise patlar ve güvenli bir yer bulmak için telaş içinde kaçmalarına neden olur. Kişisel sorulara eğer yanıt verdiğinde ses tonunda bir değişiklik yoksa kurban hazırdır.

Önemli Nokta: Kilit bilgiyi aldıktan sonra başka sorular sorarak devam etki kilit bilgiyi verdiğini unutsun kurban.

Doğrudan Saldırı

Yalnızca isteyivermek. Pek çok toplum mühendisliği saldırısı karmaşıktır. Bir teknik bilgi ve dalavere karışımının bir dizi aşama ve ayrıntılı planlama içerir.
Püf Nokta: Yanımızdaki adama güvenmek insan doğasının bir parçasıdır. Özeliklede talep sağduyulu olup olmadığımızı ölçüyorsa.
Püf Nokta 2: Şirketiçi terminoloji = güven

Güven Uyandırmak

Bir toplum mühendisi, kurduğu iletişimi ne kadar olağan bir işmiş gibi gösterebilirse, oluşan şüpheleri de o kadar bastırabilir.

Size Nasıl Yardımcı Olabilirim (Ters Toplum Mühendisliği) ?

Sorunla boğuştuğunuz bir sırada bize yardım etmek için bilgili, becerikli ve istekli biri çıkageldiğinde çok memnun oluruz. Toplum Mühendisi bunun farkındadır ve bundan nasıl yararlanacağını da bilir. İşte toplum mühendisi bir bilgi ya da küçük bir iş koparmak için bu minnettarlığınızı kullanır.

Bana Yardımcı Olabilir misiniz?

Bu yöntemde toplum mühendisi karşı tarafın yardımına ihtiyacı olduğunu söyler. Karşı taraftaki kişi zor durumda olan insanlara hep acır ve bu da zaafdır. Toplum mühendisi bunu kullanır.

Düzmece Siteler ve Tehlikeli Ekler

Bedava bir şeyler elde etmeye o kadar hevesliyiz ki yapılan öneri ya da verilen söz üzerine mantıklı düşünmeyecek durumda olabiliyoruz. İşte toplum mühendisleri bundan yararlanır.

Acındırma, Suçluluk Hissetirme ve Sindirme Tekniği

Yetenekli toplum mühendisleri korku, heyecan ya da suçluluk gibi duyguları uyandıracak bir yöntem bulma konusunda çok ustadırlar.

Hem kendimiz hem de başkaları adına zor durumlardan kaçınma eğilimindeyiz. Bu olumlu dürtüden yola çıkarak, saldırgan, kişinin acıma duygusu ile oynayabilir. Onun kendisini suçlu hissetmesini sağlayabilir ya da silah olarak sindirmeyi kullanabilir.
3 adım: Önce korku uyandır - Sonra müttefik ol, yardım et - Yardımdan dolayı kazandığın minneti kullan.

Ters Dalavere

Oyunun ters yönde oynanmasıdır. Saldıraya uğrayan kişinin saldırgandan yardım istediği dolandırıcılık şeklidir.

Terimler

Kaynağı Kurutmak: Bir saldırganın gerçekleştirdiği saldırıyı kurbanın anlamasına izin vermesi
Posta Deliği: Kiralik posta kutusu
Ölü Nokta: Uzak bir diyardaki Ftp sunucusu (Bulunması imkansız gibi)
Droje Güvenlik: Güvenlik duvarı gibi dış çeperin kuvvetli olduğu ama arkasındaki yapının zayıf kaldığı güvenlik senaryolarını açıklamak için kullanılır.

Saldırıda Bürünülecek Örnek Kimlikler

  • Kitap ya da Senaryo yazarı
  • Müşteri temsilcisi - araştırma yapıyorum-
  • Yönetim katından arıyorum
  • Teşekkürler mektubu
  • Yardımcı olacağını söyleme
  • Aptalı oynamak
  • Genel Müdür Asistanı
  • Kendini acındırma “yeni işe başladım”
  • Üst düzey yönetici adı kullanmak
  • Şirketteki kişileri tanıyan birisi
  • İsteklerin acil olduğu bir talep


Yayımlanma Zamanı :
Labels: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)