Gizliliğinizi korumak, gizlilik odaklı Linux dağıtımı ve kullanarak parola yöneticisi. Birçok güvenlik uzmanı, herhangi bir sistemdeki en zayıf bağın onu işleten insan olduğuna inanır.
Bu yazıda sosyal mühendisliğin ne olduğunu ve neden böyle bir tehdit olduğunu öğreneceğiz. Ardından, kötü adamların hem çevrimiçi hem de çevrimdışı olarak kullanabileceği bazı sosyal mühendislik saldırılarına bakacağız. Kendinizi sosyal mühendislik saldırılarına karşı korumak için birkaç ipucu ile tamamlıyoruz.
Sosyal mühendislik nedir?
Merriam-Webster sosyal mühendisliği "insanların toplumdaki yeri ve işlevi doğrultusunda yönetimi. ” Bu kendi içinde biraz ürkütücü geliyor. Ancak son yıllarda, ifade daha manipülatif, uğursuz bir anlam kazandı.
Bugün, sosyal mühendislik “insanları gizli bilgiler verecek şekilde manipüle etmek. ” Burada sosyal mühendislik hakkında konuştuğumuzda, kullandığımız duyu budur.
Sosyal Mühendislik Neden Böyle Bir Tehdit
Suçlular sosyal mühendisliği kullanıyor çünkü bir bilgisayar sistemine girmekten daha kolay. Birini size yapmamaları gereken bir şey söylemesine kandırmak nispeten kolaydır. Çoğu insan başkalarına güveniyor.
Bilgisayar sisteminizin ne kadar güvenli olduğu önemli değildir. Veya kişisel belgelerinizi sakladığınız yer. Ya da ofislerinizin önünde kaç tane gardiyan var. Sosyal mühendislik saldırıları bunların hepsini kaldırıyor.
Ünlü eski bilgisayar korsanı Kevin Mitnick, “güvenli” bilgisayar sistemlerine girmek için sıklıkla sosyal mühendislik saldırılarını kullandı.
“Güvenlik ürünlerinin tek başına gerçek güvenlik sunduğunu düşünen herkes, güvenlik yanılsamasına çözüm buluyor.” - Kevin D.MitnickAldatma Sanatı: Güvenliğin İnsan Unsurunu Kontrol Etmek
Suçlular hem çevrimiçi hem de çevrimdışı sosyal mühendislik saldırıları kullanıyorlar. Şimdi en yaygın saldırı türlerinden bazılarına ve kendinizi onlara karşı savunmak için neler yapabileceğinize bakacağız.
Bilgisayar korsanlarının sevdiği bazı çevrimiçi sosyal mühendislik saldırılarıyla başlayalım.
“Bilgisayar korsanı, yüksek teknoloji ürünü siber araçlar ve başkalarının verilerine yasadışı erişim elde etmek için sosyal mühendislik. ” - John McAfee
Bazı Online Sosyal Mühendislik Saldırıları
En yaygın çevrimiçi sosyal mühendislik saldırılarından bazıları:
- Phishing
- Mızrak Phishing
- canını sıkma
Phishing
Göre İç Güvenlik Bakanlığı web sitesikimlik avı saldırısı " güvenilir bir kuruluş olarak poz vererek kişisel bilgileri istemek için e-posta veya kötü amaçlı web siteleri. ”
Bu tür bir saldırı gördün. Hepimiz, hesabımızla ilgili bir sorun olduğunu veya kredi kartı bilgilerimizi doğrulamaları gerektiğini iddia eden resmi olarak görünen kuruluşlardan e-postalar alıyoruz.
Amaç, e-postadaki bağlantıyı tıklatmanızı sağlamaktır. Bu bağlantı sizi kuruluşun meşru görünümlü, ancak sahte bir web sitesine götürecektir. Web sitesi, kredi kartı verilerinizi, Sosyal Güvenlik numaranızı veya dolandırıcıların çalmak istediği her şeyi girmeniz için sizi kandırmak için ayarlanacaktır.
Mızrak Phishing
Yemleme kancası saldırganın hedeflenen kurbanla ilgili kişisel bilgileri kullanarak kimlik avı e-postasını özelleştirdiği bir kimlik avı saldırısı türüdür. Aralık 2018'de, ABD İç Gelir Hizmeti (IRS) yayınlanan bir uyarı hakkında birkaç mızrak kimlik avı dolandırıcılığı.
Bu dolandırıcılık, devam eden bilgileri toplamaktı IRS Formu W-2. Bu dolandırıcılık için hedef küçük işletmeler oldu. Kötü adamlar bu bilgileri kredi kartı hesapları açmak, hileli vergi beyannameleri açmak, kredi limitlerini açmak vb. İçin kullanırlardı.
Mızrak kimlik avı saldırıları ağırlıklı olarak Pretexting saldırılarına dayanır. Bir sonraki bölümde Pretexting saldırılarını ele alacağız.
canını sıkma
canını sıkma saldırılar kimlik avı saldırılarına benzer. Fark, baiting saldırılarının hedefe bir sorunu çözmek yerine istedikleri bir şeyi sunmasıdır. Bu tür saldırılarda ücretsiz müzik, yeni filmlerin kopyaları veya başka bir ödül alabilirsiniz. Ödülü almak için, dolandırıcıdan sonra ne tür bir kişisel bilgi girmeniz istenir.
Baiting saldırıları da çevrimdışı olabilir. Böyle bir saldırı ayrılmayı içerir USB bellekler bir yerde, hedef şirketin çalışanları onları bulabilir. Birinin bir tane alıp bilgisayarına takması şansı yüksektir, içerdiği kötü amaçlı yazılımların kurum içinde gevşek olmasına izin verir.
Bazı Çevrimdışı Sosyal Mühendislik Saldırıları
Bazı yaygın çevrimdışı sosyal mühendislik saldırıları türleri şunlardır:
- bahane
- Tailgating / bindirme
- Vishing (Sesli Kimlik Avı)
bahane
bahane paylaşmaması gereken bilgileri bırakması için birini kandırmak için bir tür yalan kullanıyor. Pretexting saldırıları hem çevrimiçi hem de çevrimdışı gerçekleştirilebilir. Genellikle, Mızrak Kimlik Avı saldırıları oluşturmak için gereken kişisel bilgileri almak için kullanılır.
Çevrimdışı bir örnek, bir avukatın ofisindeymiş gibi davranarak sizi arayan biri olabilir. Uzak bir akrabadan çok para aldın. Tek yapmanız gereken kimliğinizi kanıtlamak için belirli bilgileri sağlamaktır ve avukat size parayı iletecektir. bahane çağrı sahte miras.
Tailgating / bindirme
tailgating genellikle bir başkasının erişimini kullanarak bir tür elektronik güvenlik sisteminden geçmeyi içerir. Elektronik güvenlikten geçtiğinizde arkasından takip eden biri hiç bir iş arkadaşı olmayabilir. Bunun yerine, ait olmadıkları bir yere gitmek için erişiminizi kapatan biri olabilirler.
Vishing (Sesli Kimlik Avı)
Vishing veya Sesli Kimlik Avı, bir Phishing saldırısının çevrimdışı eşdeğeridir. Bu saldırının birkaç versiyonu var, ancak hepsi telefon sistemini kullanıyor. Kurbanın, resmi bir telefon görüşmesine yanıt olarak bir kredi kartı numarası veya başka bir kişisel bilgi vermesini sağlamayı amaçlamaktadır.
Bu dolandırıcılık genellikle VoIP (IP üzerinden ses) teknolojisi, gerçek bir şirketin kullanabileceği otomatik telefon sistemini simüle eder. Telefon sistemleri eskiden güvenli ve güvenilir olarak kabul edildi ve insanları Vishing dolandırıcılıklarına karşı daha savunmasız hale getirdi.
Kendinizi ONLINE Sosyal Mühendislik Saldırılarından Nasıl Korursunuz
Bugün kullanımda olan daha yaygın çevrimiçi sosyal mühendislik saldırılarına baktık. Ama kendinizi onlardan korumak için ne yapabilirsiniz?
Dolandırıcılık şansınızı azaltacak bazı uygulamalar şunlardır:
- Beklenmedik açma email ekleri. Beklenmedik bir ek alırsanız, kötü niyetli olma ihtimali yüksektir. Şirketin BT departmanına başvurun (işteyse). İş yerinde değilse, gönderenle iletişim kurun (biliyorsanız). Beklenmedik bir eki açmadan önce neden aldığınızı öğrenin.
- Web sitelerini kendi başınıza arayın. Kimlik avı türü saldırıların sizi genellikle sahte bir web sitesine yönlendirdiğini unutmayın. Bir e-posta iletisindeki veya ekteki bir bağlantıyı tıklamak yerine web sitesinin adresini kendiniz arayarak tuzaklarını önleyebilirsiniz. Kendinizden emin olmadığınız bir web sitesinde bulursanız, URL (adres) tarayıcı adres kutusunda görünür. Meşru bir web sitesinin tam bir kopyasını oluşturmak mümkün olsa da, hiçbir site aynı URL'ye sahip olamaz. Bir arama motorunda şirket aramak sizi gerçek siteye götürmelidir.
- Şifrenizi çevrimiçi ortamda asla kimseye açıklamayın. Hiçbir meşru kuruluş bir kullanıcıdan şifresini istemez.
- Bir VPN kullanın Web'de gezinirken ek gizlilik için.
ÇEVRİMDIŞI Sosyal Mühendislik Saldırılarından Kendinizi Nasıl Savunursunuz
Ayrıca yaygın çevrimdışı sosyal mühendislik saldırılarına da baktık. Kendinizi çevrimdışı saldırılara karşı korumak için yapabileceğiniz bazı şeyler şunlardır:
- Arayanlara kişisel bilgi vermeyin. Bu yıllar önce güvenli olabilirdi, ama şimdi değil. Birisi sizi arar ve bazı kişisel bilgileri onaylamanız gerektiğini söylüyorsa, sürünme olaylarını kapatın!
- Kimsenin güvenliğinizi aşmak için sizi kapmasına izin vermeyin. Düzenli suçluların veya eski çalışanların bu tekniği yerinde geri dönüp şeyleri çalmak veya intikam almak için kullandıkları bilinmektedir.
- Her zaman sizden bilgi isteyen bir kimlik belgesi isteyin.
- Nereden geldiğini bilmiyorsanız, bilgisayarınıza hiçbir şey takmayın!
- 7
- erişim
- Hesap
- Ek
- Türkiye
- etrafında
- Sanat
- göre
- kutu
- tarayıcı
- işletmeler
- çağrı
- Cambridge
- şansı
- ortak
- şirket
- kredi
- kredi kartı
- Suçlular
- veri
- Talep
- evraklar
- E-posta
- çalışanların
- Mühendislik
- uzmanlara göre
- sahte
- Airdrop Formu
- Ücretsiz
- işlev
- Verilmesi
- Tercih Etmenizin
- Hacker
- hackerlar
- hack
- okuyun
- Anayurt Güvenliği
- Ne kadar
- HTTPS
- Kimlik
- görüntü
- bilgi
- Internal Revenue Service
- IP
- IRS
- IT
- Kaspersky
- önemli
- ÖĞRENİN
- LINK
- linux
- baktı
- büyük
- Yapımı
- para
- Music
- teklif
- Online
- açık
- Diğer
- Şifre
- İnsanlar
- Kimlik avı
- kimlik avı saldırıları
- oyuncu
- gizlilik
- Ürünler
- korumak
- azaltmak
- kaynak
- yanıt
- İade
- gelir
- koşmak
- koşu
- güvenli
- dolandırıcılığı
- Ara
- arama motoru
- güvenlik
- duyu
- set
- paylaş
- Yer
- küçük
- küçük işletmeler
- So
- Sosyal Medya
- Sosyal mühendislik
- Toplum
- Yazılım
- Mızrak Phishing
- standartlar
- başlama
- sistem
- Sistemler
- Hedef
- vergi
- Teknoloji
- ipuçları
- ses
- Savunmasız
- ağ
- Web sitesi
- web siteleri
- DSÖ
- Vikipedi
- kazanmak
- Tel
- İş
- yıl