sosyal mühendislik

• genellikle sosyal hayattaki insan davranışlarından beslenerek, bilgi sızdırılmasını sağlayan bir hackerlık yöntemidir. kullanılması için aslında teknik bir altyapıya dahi ihtiyaç yoktur.
  
  misal benim gözlemlediğim bir olgu şudur:
  önceden kullanıcı şifre standartları aşırı strict değilken, denetimler sonucu bu kuralları zorlaştırdık, kullanıcıların küçük harf, büyük harf ve rakam kullanmasını gerektiren, şifre değişikliği süresi olan policyler getirdik. peki sonuç ne oldu ? önceden etrafta şifre görmezken, artık herkes ekranının bir köşesine şifresini yazar oldu.
  
  bir de bu mühendislik yöntemi ile ilgili güzel bir örnek vardır.
  bir hacker bir firmadan bilgi sızdırmak istemektedir, ancak şirket içine girememektedir. bu yüzden bu şirket çalışanlarının mesai saatleri dışında takıldıkları cafelerde araba, spor, parfümeri, kıyafet gibi çalışanların dikkatini çekebilecek bir web sitesinin broşürlerini dağıtır. ve de bingo bazı şirket çalışanları, çok şifre ve kullanıcı adı ile uğraşmamak için şirket dahilinde kullandıkları kullanıcı adı ve şifrelerle bu sitelere öye olur, hackerımız istediğimiz bilgiye rahat rahat ulaşır.
• kafasi calisan adamin metodu. saglam bir kulturel alt yapi, azicik nabza gore serbet verme, ortalamanin ustunde iq ile kandirilamayacak adamin olmadiginin ispati.
  daha fazla bilgi icin azicik insanlarla icli di$li olup onlarin ne mal oldugunu anlamaya gayret etmeniz gerekir. eskilerden bu i$i iyi kiviranlar genelde mercedes'e biner, iki erkek evlat sahibidir, altin zincir takar, senede dort-be$ defa hanimini alip dunyanin gezmedigi bir yerine seyahat eder, donu$te cocuklarina haribo getirir.
• dilimizde elbette sosyal muhendislik olarak cevriliyor. halk arasinda anlasilacak tabiriyle, "super baglama ceken" kisiler sosyal muhendis oluyorlar...
  (bkz: baglama cekmek)
• sloganı^* "there is no patch for human stupidity" olan yöntem..
• kevin mitnick'in de kullanip oraya buraya daldigi bir hack yontemi olmakla beraber, turkce'mize sazan avi olarak pek tabi cevrilebilir.
  
  ayrica, guzel ulkemizde milletin msn hesaplarini calmak icin kullanilir olmus. bugun bir arkadasimdan, hic de kendi tarzi olmayan bir uslupla bir mesaj geldi; "ya cok sıkşıtım bana 250 kontor alip gonderir misin?" deyu. allah allah diyerekten arkadasi aradim, abi dedi benim msn'i caldilar, listedeki herkesden kontor istiyolar..." ehoeho diye gevrek gevrek guldum; bi iki dalga gectim kapadim telefonu, sonra bu msn'deki denyoya, "abi" dedim "250 kontorun aramizda lafi mi olur, hemen gondereyim; hangi numarayi kullaniyorsun ver, atiim oraya cil cil kontorleri" dedim. bu, "yok, sen al kontor kartini, ustundeki numarayi burdan yaziver" dedi. "hay hay" dedim, "birazdan disari cikacagim, alayim sana 1500 kontor, gelince hemen gondereyim" dedim. sonra efendim, ben buna "nasilsin yaw napiyorsun, hic sesin solugun cikmiyor hayirsiz" diye icerledim inceden, "isin dusunce mi arayip, soruyorsun a kapcik aaazli" diye ufaktan da bir kufur ettim, muhabbeti sulandirdim. bu, hah dedi kivama geldi, dur suna da salliyim oltayi diyerekten beni de keklemeye calisti; "abi" dedi "yeni bir site kurdum, msn ile ilgili portal gibi bi sey http://www.yalasasimsndostlari.com/", tikla bu linke o kendisi acilir; sonra msn sifreni gir bak bakalim nasil olmus site dedi. cemil'im dedim, seni mi kiricam acarim siteyi girerim sifre mi de, bir sey soracagim guzel kardesim dedim. "sor abi" dedi. ben de bunun uzerine, "cemil", dedim "sen bizi mi sikiyosun ha guzelim, ha bitanem, senin toynagini siterim cemil akilli ol."diye bastim kalayi. hizimi alamadim "alaylarini siterim senin cemil" diye bi tane daha kufur ettim, iste o zaman ignore listesine aldi beni.
• çöp karistirmaya kadar giden hacking olgusu...
  (bkz: kevin mitnick)
• devesiyle birlikte çölde yürümekte olan bir bedevi, güçlükle yürüyen, susuzluktan dudakları kurumuş bir adama rastlar. adam bedeviyi görünce su ister. bedevi devesinden iner ve ona su verir. suyu içen adam, birden bedeviyi iterek deveye atladığı gibi kaçmaya başlar. bedevi arkasından bağırır:
  ”tamam deveyi al git ama bir ricam var, sakın bu olayı kimselere anlatma.”
  bu isteği tuhaf bulan hırsız biraz duraklayıp nedenini sorunca, bedevi:
  ”eğer anlatırsan, bu her yere yayılır ve insanlar bir daha çölde muhtaç birini görünce yardım etmezler” der.
  
  yardım etme, güven gibi duygularımızdan faydalanarak, menfaat sağlamaya günümüzde “sosyal mühendislik” deniliyor. hayatımızın her alanında sık sık bu olguyla karşılaşmaya başladık. siber saldırıların çok büyük bir kısmı da bu yöntemlere dayalı olarak başlatılıyor. güvenilir bir kaynaktan gönderilmiş süsü verilerek, zararlı yazılım bulaştıran phishing (oltalama) e-postaları en sık kullanılan yöntem. maalesef insani duygularımız zarar görmemize neden oluyor. zararımızı minimize edebilmemiz, bu yöntemlere karşı farkındalığımızı ve bilgimizi artırabilmemize bağlı.
  bilgi güvenliği alanında sosyal mühendisliğe karşı: “think before you click” diyorlar.
  özel yaşamımızda da: “yardım etmeden önce, her zaman iki kere düşün” mü demeliyiz acaba?
• kullanicilari kendilerinin yararina olmayan hareketler yapmaya gazlamak, kandirmak.
• çoğu ağın en zayıf noktasının insanlar olduğu üzerine kurulmuş saldırı tekniği. ağ güvenliğinin firewalls, şifreleme, dijital imzalar gibi teknik tarafına yoğunlaşmak yerine insanların eğitilmesi ve bilgilendirilmesi yoluyla çözümlenebilmesi daha mümkün gibi gözüken hede.
• bu olayın sadece "msn'de doğum yeri alma" düzeyine indirgenmesi beni çok üzüyor. oysa, mitnick abimiz bununla şirket temizlikçilerine modemin altında yazan şifreleri söyletir, ahizeli telefonlardan, cep telefonundan tuş tonları çalarak telefon ederdi.