-
1.
+2Sosyal Mühendislik saldırısı yöntemlerinden “Sahte senaryolar uydurmak (pretexting)” yöntemine değinelim.
(((birisini kolayca kandırma oluyor bilmeyenler için))))
Genellikle telefonla veya bire-bir tarzda gelişen saldırı yöntemidir. Hedefin belirlenmesi, hedefe dair bilgi toplanması, hedefle iletişim/ilişki kurulması aşamasından sonra saldırıya geçilir. Amaç, sahte bir senaryo/hikaye uydurarak bu senaryonun içine serpiştirilmiş tuzaklarla hedeften istenilen bilgiyi almaktır. ( ilerleyen aşamalarda kullanmak üzere kişisel bilgiler, şifreler, özel bir sır vs) Telefon üzerinden yapılan saldırılarda hemen her şekilde elde edilebilecek bilgiler sorulur ilk olarak. Ancak yetkinlendirme için gerekli bilgilerin istenmesine sıra gelmesi için sosyal mühendis profesyonellik gereği ağır ağır ilerleyecektir. Sonunda bilgi isteme aşaması hassas bilgiler olan doğum tarihi, kimlik numarası vb bilgilere gelecektir. Sahte senaryolar uydurmak diğer adıyla pretexting yönteminde başarı oranı oldukça yüksektir. Çünkü saldırgan plan dışı olayları/durumları da göz önünde bulundururak kendini herşeye karşı hazırlıklı olarak donatacaktır. Böyle olunca hedefin saldırıyı anlaması ve karşı koyması bilgi çalınmasına izin vermemesi oldukça zor.
yorumdan devam edeceğim. işinize yarayacağından emin olabilirsiniz.
-
2.
0Pretexting yönteminde saldırı başlangıcında güçlü ve etkili olabilmek için hedefe dair bazı bilgilerin elde edilmesi gerekir. Bu bilgiler hedefle iletişime geçmeden önce toplanır. iletişim kurulduğunda hedefe hakkında bildiklerinizi ara ara söylenir belli edilir. Bu şekilde güven duygusu oluşturulacak ve ilerleyen aşamadan asıl hedef olan “hassas bilgiye” ulaşmak için uygun zaman kollanacaktır. Saldırgan hedefi ile arasında sosyal mühendisliğin altın kuralı olan “iletişimi” iyi kurmuş ve güven duygusu uyandırmışsa eğer hassas bilgiye sıra geldiğinde elde etmekte zorlanmayacaktır.
-
3.
0(bkz: 1500 entry serefine taşşaklı) nik6 şöleni bıyrın efenim
-
4.
0Bu kadar bilgiden sonra gerçek hayattan bir pretexting saldırısı ile yazıyı bitirelim.
Bir bilgi güvenliği danışmanlık firması, bir bankanın bilgi güvenliğinden sorumlu müdürünü ziyaret eder ve bankaya bilgi güvenliği testi yapmayı teklif eder. Müdür itiraz eder. Güvenlik firması danışmanı ile arasında şöyle bir konuşma geçer; -
5.
0Sosyal Mühendislik
- Bizim böyle bir teste ihtiyacımız yok. Yeterince güvenliyiz. En iyi yazılım ve donanımları satın aldık ve piyasadaki en iyi personel bizde. – O zaman biz size bir test yapalım, eğer bir açıklık bulursak ücretimizi alırız, eğer herhangi bir açıklık bulamazsak ücret talep etmeyiz.Bu arada danışmanlık firmasından bir personel lavaboya gitmek üzere toplantıdan ayrılır ve o sırada sekreterin, bilgisayarında film sitelerini incelediğini görür. Hemen yanına yaklaşır ve filmlerle ilgili konuşmaya başlar:- Bu aktörün son filmini seyrettiniz mi? Eğer seyretmediyseniz sizin için DVD’ye çekip gönderebilirim. -
6.
0- Çok memnun olurum. Tabii sizin için zahmet olmayacaksa. O günkü toplantıdan sonra danışman ofise döner. Zararlı bir yazılım ile birlikte filmi DVD’ye çeker ve kargoyla sekretere gönderir. Zararlı yazılımın sekreterin evdeki değil de ofisteki bilgisayarında çalışmasının garanti etmek için telefon eder.
- Size kargoyla gönderdiğim DVD’yi bir bilgisayarınızda dener misiniz? Bazen kaydederken hata olabiliyor. Sekreter de denemek amacı ile DVD’yi çalıştırır ve filmin çalıştığını söyler,
tükendim ben beyler ilgi geldiğini farkedersem devam ederim -
7.
0Faydalı bilgi şuku
• Mesleğinizi, iş hayatının çeşitli zorluklarını ve güzel yanlarını, iş-güç hakkında ilginizi çeken şeyleri paylaşabileceğiniz altinci.
• İş Güç altincisinde yasak olan şeyler
1. 3. Şahıslara hakaret
2. İş güçle alaksız her şey.
3. Soru cevap tarzı başlıklar.
4. Dini ve milli değerlere hakaret içeren başlıklar.
5. Çıplaklık ya da pornografi içeren başlıklar.
6. Reklamlı linkler vermek.
Her türlü istek ve şikayet için altinci admini ile iletişime geçebilirsiniz.
7deliklitokmak admin