Sızma /penetrasyon testi içinde sosyal mühendislik (Social Engineering) yöntemleri kullanılarak yapılır. Testin temel amacı, müşteri personelinin bilgi güvenliği gereklilikleri konusundaki farkındalık düzeyini belirlemektir. Test sürecinde, kullanıcıların ve bilgi güvenliğinden sorumlu personelin saldırganların kullandığı penetrasyon yöntemlerine verdiği yanıt belirlenir.
Sosyal mühendislik yöntemleri genellikle saldırganlar tarafından kullanılır ve genellikle son kullanıcılara yöneliktir. Başarılı bir saldırı sonucunda, bir saldırgan iş istasyonları üzerinde kontrol sahibi olabilir, gizli müşteri belgeleri elde edebilir, diğer şirketlerin sistemlerine yönelik saldırıları düzenlemek için müşteri kaynaklarını kullanabilir, spam vb. gönderebilir.
Bilgi güvenliğinin örgütsel yönleri bir güvenlik sisteminin en önemli bileşenidir ve genellikle sıradan kullanıcılar en zayıf halkadır. Bu hizmet, müşterinin ilk önce dikkat etmesi gereken bilgi güvenliğinin organizasyonel yönlerini belirlemenizi sağlayacaktır.
Bu hizmetin sağlanması sırasında elde edilen sonuçlar, test sırasında belirlenen sorun alanlarına odaklanan Güvenlik farkındalığı programının geliştirilmesi için temel olabilir. Bu hizmet aynı zamanda mevcut Müşteri Bilinçlendirme Programının etkinliğini kontrol etmek için de yararlı olabilir.
Sosyal Mühendislikte Püf Noktalar
- Sosyal Mühendislik yapılırken genelde hedeflenen doğrudan para değil bilgi ve teknik olarak erişilmesi mümkün olmayan sisteme sızma girişi için bir yol aramaktır.
- Sosyal mühendislik için en önemli bilgi senaryo (hayal gücü kullanabilme) kurmadır.
- İkna kabiliyeti önemlidir. Aldatarak bilgiyi almak en önemli etmendir.
Bir Sosyal Mühendislik Saldırı tekniği: Oltalama
Sosyal Mühendislik için kullanılan en önemli teknik oltalama (Phishing) olarak adlandırılan tekniktir. Bu saldırılarda son kullanıcı genellikle sahte bir e-posta veya web sitesi aracılığı ile tuzağa çekilir. Saldırıyı yapan kişi, e-maili veya siteyi güvenilir bir banka veya firmanın tasarımına benzetir.
Oltalama saldırılarından nasıl korunabiliriz ?
- Güvenilir kaynakların bizden detaylı bilgilerimizi isteyeceğini unutmamalıyız.
- Tanımadığınız kişilerden gelen e-postalar açılmamalı ve eklentiler mutlaka anti virüs yazılımından tarattıktan sonra açılmalıdır
- Web sitelerini açmadan önce adresler ve http protokolleri iyice kontrol etmek gereklidir.
Sosyal mühendislik için kurulmuş birçok çevrim içi (ör: OSINT) kaynak vardır. Fakat en kullanışlı mecralar arama motorları ve sosyal medya alanlarıdır.
Sosyal Mühendislik bilgi toplama, saldırıyı planlama, uygun saldırı araçlarını ve vektörünü seçme, elde edilen bilgileri burada kullanma aşamalarından oluşur.