Sosyal+Mühendisler

**Sosyal mühendislik nedir?** Sosyal mühendislik, suçluların bilgisayarınıza erişim sağlamasının yollarından biridir. Sosyal mühendisliğin amacı genelde gizlice casus yazılımlar ya da diğer istenmeyen yazılımlar yüklemek veya parolalarınızı ya da önemli mali ve kişisel bilgilerinizi vermeniz için sizi ikna etmektir.

**Sosyal mühendislik türleri**: Bilmeniz gereken çeşitli sosyal mühendislik türleri bulunmaktadır:
 * 1) **Kimlik avı :** Kimlik avı dolandırıcıları, kişisel bilgilerinizi açıklamanız için sizi ikna etmeye çalışan sahte e-posta iletileri veya Web siteleri kullanır. Örneğin, bankanızdan veya başka bir finans kuruluşundan gönderilmiş gibi görünen ve hesap bilgilerinizi güncelleştirmenizi isteyen bir e-posta iletisi alabilirsiniz. E-posta iletisi, yasal bir siteyeymiş gibi görünen ama gerçekte sizi sahte veya taklit bir Web sitesine götüren bir bağlantı içerir. Oturum açma bilgilerinizi, parolanızı veya diğer önemli bilgilerinizi girerseniz, suçlular kimliğinizi çalmak üzere bu bilgileri kullanabilir.
 * 2) **Hedefe yönelik kimlik avı :** genelde işyerlerinde karşılaşılan ama belirli bir hedefe yönlendirilen e-posta dolandırıcılığıdır. belirli bir şirketin, kamu kuruluşunun, kuruluşun veya grubun tüm çalışanlarına ya da üyelerine gerçekmiş gibi görünen e-posta iletileri gönderir. İleti, insan kaynakları müdürü veya bir BT çalışanı gibi şirketteki herkese bir e-posta iletisi göndermesi beklenen bir çalışanınızdan veya bir meslektaşınızdan gelmiş gibi görünebilir. Kullanıcı adlarını ya da parolaları isteyebilir veya bir Truva atı ya da virüs gibi kötü amaçlı yazılımlar içerebilir.
 * 3) **E-posta hileleri:** E-posta hileleri, yabancı bir ülkeden (genelde Nijerya'dan) bir miktar paranın başka bir ülkeye gönderilmesi ile ilgili yardım istenmesinden bir çekilişi kazandığınızı bildiren vaatlere kadar çeşitli biçimlerde olabilir.

**Sosyal Mühendislerin Kullandığı Yöntemler**
 * Sahte senaryolar uydurmak
 * Güvenilir bir kaynak olduğuna ikna etmek
 * Truva atları trojan
 * Güvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, …önermek
 * Güven kazanarak bilgi edinmek
 * Çöp karıştırmak
 * Eski donanımları kurcalamak

**TEHD****İ****TLER** Başarıyla yapılması durumunda, sosyal mühendislik saldırılarıçeşitli risklerin gerçekleşmesine neden olabilmektedir. Bunlar aşağıdaki gibi sınıflandırılabilir: <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">1. **Yetkisiz eri****ş****im:** Saldırgan, erişim sağlamak için gerekli bilgileri ele geçirebilir. Bunun gerçekleşmesi için çoğu zaman yanlışlıkla söylenen bir kullanıcışifresi yeterlidir. <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">2. **Hizmet hırsızlı****ğ****ı****:** Ele geçirilmişşifreyle saldırgan erişimi kısıtlı dosyaları indirebilir ya da bant genişliği, işlemci zamanı, disk alanı gibi sınırlı kaynakları kullanabilir. <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">3. **İ****tibar ve g****ü****ven kayb****ı****:** Sosyal mühendislik yoluyla zarara uğramış bir kurum, müşterilerinin ve kamunun gözünde değer kaybedebilir. Yeniden güven kazanmanın bedeli, çoğunlukla baştan önlem almaktan çok daha yüksektir. <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">4. **Da****ğ****ı****t****ı****k hizmet engelleme:** Ele geçirilen sistem ve kaynaklar, başka sistem ve kaynakların ele geçirilmesi ya da zarar verilmesi için kullanılabilir. Dolaylı olarak başka saldırılara sebep olunabilir; Bu durumda saldırının kaynağı aynı zamanda kurban olabilir. <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">5. **Hassas bilgiye eri****ş****im ve veri kayb****ı****:** Saldırgan, başarılı olması durumunda kurumun ve müşterilerinin bilgilerini ele geçirebilir. Bu bilgileri satabilir, daha fazla suistimal için kullanabilir ya da kurum aleyhine kullanabilir. Saldırgan sadece kurumun zarar görmesini istiyorsa, bilgiye erişimi engelleyebilir. Silmek, şifreli bir şekilde kaydetmek gibi yöntemlerle bilginin erişimini imkansız kılabilir. <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">6. **Yasal yaptırıma u****ğ****ramak:** Kurumun müşterileri ve ortaklarıyla yaptığı gizlilik ve güvenlik anlaşmalarının ve hassas bilgiyi korumak için önlem almamanın yasal yaptırımları olabilir. <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">**ÖNLEMLER**
 * <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">Fiziksel Güvenlik
 * <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">Etkili Güvenlik Politikaları
 * <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">Eğitim ve Yaptırımlar
 * <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">Olay Müdahalesi
 * <span style="display: block; font-family: Verdana,Geneva,sans-serif; font-size: 90%; text-align: justify;">Denetim