Türkiye'nin en güncel forumlardan olan forumdas.com.tr'de forumda aktif ve katkısı olabilecek kişilerden gönüllü katkıda sağlayabilecek kişiler aranmaktadır.
iltasyazilim
FD Üye
Bilişim suçlarında kullanılan metodlar
bilişim suçlarında kullanılan yöntemler
1 Sistem Kırıcılık (Hacking)
Ast ki popüler olanları içinde ticari sırları çalmada sistem kırıcılık (hacking) üç metottan birisidir E posta sistem kırıcılığın (hacking) en önde olmasının iki nedeni vardır:
1)Sistem kırıcı (hacking) araçlarının büyük şekilde yararlanılabilir alanda olması derhal 100000 internet sitesi düzenlenebilir ücretsiz indirilebilen sistem kırıcı (hack) araçları ile doludur Sistem kırıcılık (hacking) göreceli olarak çok kolay işlemektedir Derin bilgiye gerek olmadan, basitçe protokol veya internet protokol (Ip) adres bilgisi olmadan bir klik ve tuş ile kullanabilme kolaylığı vardır Sistem kırıcılık (hacking) üç kategoride yapıyı kırıp içeri girer: Sistem, uzakta erişim ve maddesel erişim
2 Sosyal Mühendislik
Esas amacı; sistemlere izinsiz girmek yada dolandırma yolu ile bağlamak, izinsiz ağa (network) girmek, endistüriyel casusluk, kimlik hırsızlığı, sistem yada ağın (network) bozulmasına yol açmaktır Sosyal mühendislik iki başlıca kategoride tarif edilebilir; ayrıca insan kaynaklı, keza de bilgisayar kaynaklı atak metodudur (Wendy thurs:2001) Sosyal mühendislik kişileri kandırarak değerli veri ve parolalarını ellerinden almayı maçlamaktadır Bu amaçla örneğin e posta (email) atarak şifre elde etmeye çalışırlar, “shoulder surfing sörf metodu ile basitçe şisel bilgileri toplanan kişiye uygun şifre tahminleri yapılır Bu noktada sosyal mühendislerin çalışma etodolojisini anlayabilmek için bir örnek çalışmaya bakmak gerekir:
Alışılmış bir atak metodolojisi: tayin bilgi erişimi: Eldeki bilgilerle bir şey yapın diye söylense, kesinlikle temel olarak dijital yada yazılı materyalin kopya tarihi değerli olacaktır Rakipler açısından şirket adına ne değin çok data toplanabilirse böylece çok şirketin durumuna yönelik şirket hedefleri, planları, hareketleri, stratejileri hakkında değerlendirme yapılabilir Muhalif ile ilgili alınabilecek birkaç bilgi altında belirtilmiştir Pazar ve yeni mahsul planları Kaynak kodları Şirket stratejileri Üretim, teknolojik araştırmalar Alışılmış ticaret metotları Mahsul tasarımı, araştırma ve maliyetler Anlaşmalar ve akit tedbirleri; teslim, fiyatlandırma, bilimsel terimler Şirket internet sitesi Tip ve destekleyici bilgileri Birleşme ve elde etme planları Mali bütçeler, gelirler, vergiler Pazar, giderleri Kaynakların fiyatları, stratejiler, listeler Sorumlular, operasyonlar, organizasyon şeması, isimaylık cetvelleri Ayrıca kayıtlı bir şirket çalışması için sıcak hedefe yönelik, personel kayıtları olabilir Aşağıdaki bilgilerden herhangi biri de kıymetli olabilir Konut adresleri Konut telefon numarası Karı koca ve çocuk adları Sosyal Güvenlik numarası Hasta kayıtları Kredi kartı kayıtları Performans değerlendirmeleri Tüm bu veriler toplanarak elde bulunan ya da internetten kolaylıkla bulunabilecek asistan program ya da metotlar ile hedefe kolaylıkla varılabilecektir
a Sosyal Mühendislere Aleyhinde Savunmayı Arttırma
Davetsiz misafirler yada sistem kırıcılar (hackers) durmadan değişik taktikleri de kullanarak bilgisayar sistemlerine karşın yasal olmayan şekilde erişmeye çalışırlar Kurumlar da bu tehlikeye aleyhinde ağlarını (network) korumak için daha artı vakit ve para harcarlar Daha fazla, yapılan harcamalar teknolojik emniyet önlemleridir; sistem yükseltmeleri,emniyet sistem paketleri, en son teknoloji kripto sistemleri gibi Fakat yeni bir yol olan sosyal mühendislik bu önlemleri önemsemeden hukuki olmayan uygulamalarına devam etmektedirBu herif saldırılara aleyhinde kurumların savunmaları için iyi politikalara sahip olmaları gerekmektedir Tabi fakat bu durumda en iyi savunma eğitimdir Günümüzün güvenlik uzmanları sürekli bir değişmeyen çaba içerisinde, son teknolojik değişimlere etap uyduran lakin bunun daima sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir adım önünde yapan kişilerdir Yayınlanan güvenlik bültenlerinde emniyet açıkları, yeni çelimsiz noktalara karşın bilgilendirmeleri, yeni yamaları, onarımları, yeni emniyet ürünlerini, güvenlik uzmanları takip etse de yeni standart, ürünlerin standartdını sağlama açısından peşine düşüp takip etme çok pozitif zaman ve imkan gerektirmektedir Sosyal mühendisler, güvenlik zincirinin en cılız yerindeki, karışık emniyet araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına ayrı yollardan giderler
Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze almasın Bunun anlamı emniyet zayıflıkları programların, platformun, ağın (network) yada donanımların bağımsızlığı ile ilgili olmayan evrensel bir şeydir Tüm bilgisayar güvenlik sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir İnsan aracı üzerine odaklanan bir sistem içinde hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe karşı bağışıklığı temin edilemez Sosyal mühendislerin hangi sömürü metotlarını kullandıkları, nasıl çeşitli şekilde kişilik özelliklerini değiştirerek başarılı bir sosyal mühendislik yaptıkları altında belirtilecektir Nitekim bu metotlar kullanılarak bireysel özellikleri de artmak mümkündür, böylelikle daha diğer yeni metotlarda geliştirilebilecektir
Sorumluluğun yayılımı : Eğer hedefe onların kendi hareketlerinden sadece sorumluluk sahibi olmadıklarına inandırılırsa, sosyal mühendisin ricasına yerinde hareket ederler Sosyal mühendisler değişik faktörlerin de yardımı ile oluşturdukları durumda, kişisel yükümlülük konusunu şaşırtma ile pek sulandırırlar ama bir karar vermeye zorlarlar Sosyal mühendisler karar verme sürecinde öteki çalışanların isimlerini kullanırlar, veya yüksek seviyeden yetkilendirilmiş bir eylem olduğunu öteki bir çalışanın ağzı ile, iddia ederler
Göze girme şansı: Maksat eğer bir rica ile razı olan birisi ise, başarılı olma şansı yüksektir Bir rakip olarak onu yönlendirmede bu koskocoman bir menfaat sağlar, ya da bilinmeyene tarafından destek verir, sıcak bayan sesini kullanarak telefon aracılığı ile iletişime girerler Sistem kırıcıları (hackers) topluluğuna teknoloji ile sıkı fıkı ırk olarak toplumsal ilişkilerde çoğu süre eksik insanlar topluluğu olarak bakılır Nitekim bu kanı da doğrudur Sosyal mühendisler etkilemenin yüksek hiçbir formunu kullanmadan bilgi elde ederler
İlişkilere Inanmak: Birçok vakit, sosyal mühendisler belirledikleri kurban ile iyi güvenilir bir ilişki için beklerler ve o zaman bu güveni sömürürler Bunu takip eden zamanlarda minik ufak etkileşimlerle ilişkiye girer ve doğal seyir içinde problem ortaya çıkar ve sosyal mühendis büyük hamlesini yapar Bu Nedenle karşı taraftan kısmet verilmiş olur
Ahlâkî atama: Hedefi dışarıdan ahlaksal olarak davranmaya desteklemek veya başarı şansı için ahlaki hareket arttırmayı sağlamak Bu şart için maksat olan kişi veya organizasyondan bilgilerin sömürülerek alınmasını gerektiren bir iştir Gaye eğer karşıdakine uymanın hatalı olduğuna inanırsa karşıdakini sorgulamanın güzel olmadığını hissederse, başarı şansı artmış demektir
Suçluluk: Eğer mümkünse birçok insan suçluluk hissinde olmaktan sakınır Sosyal mühendisler çoğu süre, psikodrama üstatlarıdır Öyle bir mizansen hazırlarlar ama insanın yüreği cız eder, empati ve duygudaşlık meydana getirirler Eğer suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa niyet bundan çok fazla memnun olacaktır Rica edilen bilginin yerine getirilmeyeceğine inanarak, belirleyici problemlerin rica eden birey tarafından çoğu kez yeterli ağırlıkta tartılıp denge içinde iyilik olsun diye yapılmasını sağlarlar
Künye: Sosyal mühendisin hüneri ile daha çok gaye tanımlanır ve bilgiye erişilir Sosyal mühendisler irtibat hemencecik daha fazla akıllıca bir araya getirilmiş öncelikli, temelli olarak girişimlerle bağlantı kurmaya çalışırlar
Faydalı olmaya hevesli edinmek: Sosyal mühendisler öteki insanlara yardım etmeden tutku alanlara güvenerek eylemlerini yürütürler Kahramanımız aleyhinde kişiden ya bir antre hakkı ister ya da bir hesaba giriş için takviye etmesini ister Sosyal mühendisler ayrıca birçok bireyin cılız reddetme düzeyini bilerek ve işin uzmanına danışmanın dayanılmaz cazibesine sırtlarını dayayarak işlerini yaparlar
Birbirine kadar akort etme: Kasıt ile asgari çatışma en iyisidir Sosyal mühendisler genellikle ortamın gerektirdiği ses tonu ile bilgece ve sabırlı sunuş yaparlar Emir gibi, bir şey sipariş eder gibi, sinirli ve baş belası gibi adına nadiren çalışırlar Sosyal mühendis kahramanları genellikle doğrudan doğruya rica edenler, uydurma durum, bireysel ikna gibi kategorileri kullanırlar
Direkt rica edenler: olasılıkla en kolay metottur, ve başarı için en son olan yoldur Bir işe basitçe girişildiğinde sorulan bilgidir Doğrudan Doğruya rica genellikle meydan okumadır ve genelde ret edilir Başarı şansı düşük olduğundan arada bir seçim edilir
Uydurma şart: bir şey ya da bir organizasyonun özelliğine kadar elde edilen bilgilerle yapılan üretilen bir şart, bir kriz veya özel bir an ile ilgili olarak bu durumdan faydalanmadır Kriz durumları anlık takviye içerir, sosyal mühendisler hedefin güvenini arttırıcı durumun gerekliliği ve destek edilme ile ilgili ortam oluştururlar Sosyal mühendislerin taktikleri reel üzerine kurulu olsa da şunu unutmamak gerekir oysa; kahramanlar gerçek tabanlı şeylere gereklilik duymaz, sadece ortalama zorunlu şeylerle çalışırlar
Ama ş isel İ kna , şahsen destek yapmayı isteyen bununla ilgili istekli insan gibi davranırlar Amaçları kuvvetli uyum değildir, gönüllüuyumlu insan anlayışına ulaşmaya çalışmaktır Çoğu bilişim teknolojisi (IT) güvenliğinde çalışan insan zorunlu bilgilerden yoksun bulunmaktadır Bu işle uğraşanlara yönelik data güvenliği farkındalığı programı uygulanmalıdır Son kullanıcı kılavuzu, güvenlik öngörüleri ve güvenlik bilgileri olmalıdır Çalışanların, sosyal mühendis riski ile ilgili eğitimi bu saldırılara karşısında kurumların savunma aracıdır Sosyal mühendisler psikoloji üstüne kurulu ve sosyal hainliklere dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George Stevens:2001) Bu çok özel hamle metodunun farkındalığında özel süreçlerde eğitim ve çalışma gerektirir
3 Dumpster Diving (Çöpleri Boşaltma)
Çöpleri karıştırma fazla kirli bir iştir, lakin ticari ve değerli bilgileri elde etme açısından fazla manâlı ve başarılı bir tekniktir Çöpleri karıştırma kulağa iğrenç gelse de, kanunî bir iştir Çöp umuma açık yer üstünde sokaklarda, geçitlerde bulunuyorsa, kolaylıkla erişilebilecek yer olarak göz önüne alınırAmerikan mahkemeleri; ticari şirketlerce erişilebilecek alanlardaki çöpler, özel mülkiyetten çıkar Bunlar yalnızca “izinsiz girilmez levhası olan yerlerde bulunuyorsa ve siz eğer izinsiz boşaltım işlemi için girmişseniz suç işlemiş olursunuz biçiminde hüküm vermektedir
Paylaşılan çöpler ile ilgili potansiyel emniyet zayıflıkları olarak; şirket telefon rehberleri, organizasyon şekilleri, kısa notlar, şirketin siyaset tarzı, toplantı zamanları, sosyal olay ve tatiller, elle yapılan sistemler, bağlantı ad ve parolalarını taşıyan hassas printer çıktıları, diskler ve kayıt üniteleri, şirket mektup başlıkları ve kısa anekdot formları, zamanı geçmiş donanımlar belirlenmiştir Çöpler, varlıklı bir bilgi kaynağı olarak iki taraflı casusluk iîmkanını sunmaktadır Yukarıda sayılan her bir vasıta bilirkişi birinin elinde birçok işe yarayabilir Konunun önemine uygun olarak, Amerika ’ da, çöpleri boşaltma ile ilgili kanun maddeleri hazırlanmıştır “lahza act concerning dumpester ing Kanun tasarısına konan bu ilke bilgisayar sistem kırma (hack) ve illegal dinleme vb ile aynı sayılarak, ticari gizliliği koruma kanunu adı aşağı başlıklandırılmıştır Çöp boşaltma kurbanı olan şirketin kendine aleyhinde bu bilgilerin kullanılması durumunda yüksek mahkeme yolu ile bunu bozma gibi bir hakkı vardır Bu şirketler hem cezayı gerektiren tazminat hakkı için dava açma hakkı elde ederler
4 Kaslı Darbe (Whacking)
Temel olarak kaslı darbe kablosuz sistem kırma (hacking) dır Kablosuz ağı (network) bakımlı dinleyen sistemlerin tümü dürüst bir radyo kanalını bulmayı ve kablosuz iletimin içinde bulunabilmeyi gerektirir Gerekli ekipman ile büro binalarının dışından sinyallerin toplanabilmesi mümkündür bir kere yüklenen bir kablosuz şebeke sistemi ile davetsiz davetli genelde şifrelenmemiş (kriptolanmamış) olarak ağdan (network) gönderilen bilgiyi toplar
5 Basit Telefon Düşmesi
Iki Taraflı bilgide (corporate espionage) telefon düşmesi diğer bir yol olarak kullanılmaktadır Dijital tescil yapan alet ile faks cihazını iletim ve kabulünü izleyen bir sistemi oluşturmak, faks cihazına bir bilgi gelmeden önce kimsenin bilgisi olmadan bir kopyasının alınması, telefon ile görüşmede bir kişinin sesleri toplanarak, banka hesabına erişmek mümkündür
Sonuç
Çağımızda bilginin kullanımı artık yetmemekte kullanılan bilginin korunması ve dinç şekilde iletilmesi ön plana çıkmaktadır Ülkemizin de bilgi politikasının değişen şartlara yerinde hâle getirilmesi bundan böyle temel bir zorunluluk hâline gelmiştir Bilginin gelinen noktada önemi ortadadır Bilgiye sahip olan, ister devlet isterse özel sektör olsun, artık ekonomik layık açıklayan bu metadan dolayı amaç hâline gelmiştir Çalışmada ortaya konan tehlikeler elbetteki aysbergin görünen kısmıdır *
bilişim suçlarında kullanılan yöntemler
1 Sistem Kırıcılık (Hacking)
Ast ki popüler olanları içinde ticari sırları çalmada sistem kırıcılık (hacking) üç metottan birisidir E posta sistem kırıcılığın (hacking) en önde olmasının iki nedeni vardır:
1)Sistem kırıcı (hacking) araçlarının büyük şekilde yararlanılabilir alanda olması derhal 100000 internet sitesi düzenlenebilir ücretsiz indirilebilen sistem kırıcı (hack) araçları ile doludur Sistem kırıcılık (hacking) göreceli olarak çok kolay işlemektedir Derin bilgiye gerek olmadan, basitçe protokol veya internet protokol (Ip) adres bilgisi olmadan bir klik ve tuş ile kullanabilme kolaylığı vardır Sistem kırıcılık (hacking) üç kategoride yapıyı kırıp içeri girer: Sistem, uzakta erişim ve maddesel erişim
2 Sosyal Mühendislik
Esas amacı; sistemlere izinsiz girmek yada dolandırma yolu ile bağlamak, izinsiz ağa (network) girmek, endistüriyel casusluk, kimlik hırsızlığı, sistem yada ağın (network) bozulmasına yol açmaktır Sosyal mühendislik iki başlıca kategoride tarif edilebilir; ayrıca insan kaynaklı, keza de bilgisayar kaynaklı atak metodudur (Wendy thurs:2001) Sosyal mühendislik kişileri kandırarak değerli veri ve parolalarını ellerinden almayı maçlamaktadır Bu amaçla örneğin e posta (email) atarak şifre elde etmeye çalışırlar, “shoulder surfing sörf metodu ile basitçe şisel bilgileri toplanan kişiye uygun şifre tahminleri yapılır Bu noktada sosyal mühendislerin çalışma etodolojisini anlayabilmek için bir örnek çalışmaya bakmak gerekir:
Alışılmış bir atak metodolojisi: tayin bilgi erişimi: Eldeki bilgilerle bir şey yapın diye söylense, kesinlikle temel olarak dijital yada yazılı materyalin kopya tarihi değerli olacaktır Rakipler açısından şirket adına ne değin çok data toplanabilirse böylece çok şirketin durumuna yönelik şirket hedefleri, planları, hareketleri, stratejileri hakkında değerlendirme yapılabilir Muhalif ile ilgili alınabilecek birkaç bilgi altında belirtilmiştir Pazar ve yeni mahsul planları Kaynak kodları Şirket stratejileri Üretim, teknolojik araştırmalar Alışılmış ticaret metotları Mahsul tasarımı, araştırma ve maliyetler Anlaşmalar ve akit tedbirleri; teslim, fiyatlandırma, bilimsel terimler Şirket internet sitesi Tip ve destekleyici bilgileri Birleşme ve elde etme planları Mali bütçeler, gelirler, vergiler Pazar, giderleri Kaynakların fiyatları, stratejiler, listeler Sorumlular, operasyonlar, organizasyon şeması, isimaylık cetvelleri Ayrıca kayıtlı bir şirket çalışması için sıcak hedefe yönelik, personel kayıtları olabilir Aşağıdaki bilgilerden herhangi biri de kıymetli olabilir Konut adresleri Konut telefon numarası Karı koca ve çocuk adları Sosyal Güvenlik numarası Hasta kayıtları Kredi kartı kayıtları Performans değerlendirmeleri Tüm bu veriler toplanarak elde bulunan ya da internetten kolaylıkla bulunabilecek asistan program ya da metotlar ile hedefe kolaylıkla varılabilecektir
a Sosyal Mühendislere Aleyhinde Savunmayı Arttırma
Davetsiz misafirler yada sistem kırıcılar (hackers) durmadan değişik taktikleri de kullanarak bilgisayar sistemlerine karşın yasal olmayan şekilde erişmeye çalışırlar Kurumlar da bu tehlikeye aleyhinde ağlarını (network) korumak için daha artı vakit ve para harcarlar Daha fazla, yapılan harcamalar teknolojik emniyet önlemleridir; sistem yükseltmeleri,emniyet sistem paketleri, en son teknoloji kripto sistemleri gibi Fakat yeni bir yol olan sosyal mühendislik bu önlemleri önemsemeden hukuki olmayan uygulamalarına devam etmektedirBu herif saldırılara aleyhinde kurumların savunmaları için iyi politikalara sahip olmaları gerekmektedir Tabi fakat bu durumda en iyi savunma eğitimdir Günümüzün güvenlik uzmanları sürekli bir değişmeyen çaba içerisinde, son teknolojik değişimlere etap uyduran lakin bunun daima sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir adım önünde yapan kişilerdir Yayınlanan güvenlik bültenlerinde emniyet açıkları, yeni çelimsiz noktalara karşın bilgilendirmeleri, yeni yamaları, onarımları, yeni emniyet ürünlerini, güvenlik uzmanları takip etse de yeni standart, ürünlerin standartdını sağlama açısından peşine düşüp takip etme çok pozitif zaman ve imkan gerektirmektedir Sosyal mühendisler, güvenlik zincirinin en cılız yerindeki, karışık emniyet araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına ayrı yollardan giderler
Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze almasın Bunun anlamı emniyet zayıflıkları programların, platformun, ağın (network) yada donanımların bağımsızlığı ile ilgili olmayan evrensel bir şeydir Tüm bilgisayar güvenlik sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir İnsan aracı üzerine odaklanan bir sistem içinde hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe karşı bağışıklığı temin edilemez Sosyal mühendislerin hangi sömürü metotlarını kullandıkları, nasıl çeşitli şekilde kişilik özelliklerini değiştirerek başarılı bir sosyal mühendislik yaptıkları altında belirtilecektir Nitekim bu metotlar kullanılarak bireysel özellikleri de artmak mümkündür, böylelikle daha diğer yeni metotlarda geliştirilebilecektir
Sorumluluğun yayılımı : Eğer hedefe onların kendi hareketlerinden sadece sorumluluk sahibi olmadıklarına inandırılırsa, sosyal mühendisin ricasına yerinde hareket ederler Sosyal mühendisler değişik faktörlerin de yardımı ile oluşturdukları durumda, kişisel yükümlülük konusunu şaşırtma ile pek sulandırırlar ama bir karar vermeye zorlarlar Sosyal mühendisler karar verme sürecinde öteki çalışanların isimlerini kullanırlar, veya yüksek seviyeden yetkilendirilmiş bir eylem olduğunu öteki bir çalışanın ağzı ile, iddia ederler
Göze girme şansı: Maksat eğer bir rica ile razı olan birisi ise, başarılı olma şansı yüksektir Bir rakip olarak onu yönlendirmede bu koskocoman bir menfaat sağlar, ya da bilinmeyene tarafından destek verir, sıcak bayan sesini kullanarak telefon aracılığı ile iletişime girerler Sistem kırıcıları (hackers) topluluğuna teknoloji ile sıkı fıkı ırk olarak toplumsal ilişkilerde çoğu süre eksik insanlar topluluğu olarak bakılır Nitekim bu kanı da doğrudur Sosyal mühendisler etkilemenin yüksek hiçbir formunu kullanmadan bilgi elde ederler
İlişkilere Inanmak: Birçok vakit, sosyal mühendisler belirledikleri kurban ile iyi güvenilir bir ilişki için beklerler ve o zaman bu güveni sömürürler Bunu takip eden zamanlarda minik ufak etkileşimlerle ilişkiye girer ve doğal seyir içinde problem ortaya çıkar ve sosyal mühendis büyük hamlesini yapar Bu Nedenle karşı taraftan kısmet verilmiş olur
Ahlâkî atama: Hedefi dışarıdan ahlaksal olarak davranmaya desteklemek veya başarı şansı için ahlaki hareket arttırmayı sağlamak Bu şart için maksat olan kişi veya organizasyondan bilgilerin sömürülerek alınmasını gerektiren bir iştir Gaye eğer karşıdakine uymanın hatalı olduğuna inanırsa karşıdakini sorgulamanın güzel olmadığını hissederse, başarı şansı artmış demektir
Suçluluk: Eğer mümkünse birçok insan suçluluk hissinde olmaktan sakınır Sosyal mühendisler çoğu süre, psikodrama üstatlarıdır Öyle bir mizansen hazırlarlar ama insanın yüreği cız eder, empati ve duygudaşlık meydana getirirler Eğer suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa niyet bundan çok fazla memnun olacaktır Rica edilen bilginin yerine getirilmeyeceğine inanarak, belirleyici problemlerin rica eden birey tarafından çoğu kez yeterli ağırlıkta tartılıp denge içinde iyilik olsun diye yapılmasını sağlarlar
Künye: Sosyal mühendisin hüneri ile daha çok gaye tanımlanır ve bilgiye erişilir Sosyal mühendisler irtibat hemencecik daha fazla akıllıca bir araya getirilmiş öncelikli, temelli olarak girişimlerle bağlantı kurmaya çalışırlar
Faydalı olmaya hevesli edinmek: Sosyal mühendisler öteki insanlara yardım etmeden tutku alanlara güvenerek eylemlerini yürütürler Kahramanımız aleyhinde kişiden ya bir antre hakkı ister ya da bir hesaba giriş için takviye etmesini ister Sosyal mühendisler ayrıca birçok bireyin cılız reddetme düzeyini bilerek ve işin uzmanına danışmanın dayanılmaz cazibesine sırtlarını dayayarak işlerini yaparlar
Birbirine kadar akort etme: Kasıt ile asgari çatışma en iyisidir Sosyal mühendisler genellikle ortamın gerektirdiği ses tonu ile bilgece ve sabırlı sunuş yaparlar Emir gibi, bir şey sipariş eder gibi, sinirli ve baş belası gibi adına nadiren çalışırlar Sosyal mühendis kahramanları genellikle doğrudan doğruya rica edenler, uydurma durum, bireysel ikna gibi kategorileri kullanırlar
Direkt rica edenler: olasılıkla en kolay metottur, ve başarı için en son olan yoldur Bir işe basitçe girişildiğinde sorulan bilgidir Doğrudan Doğruya rica genellikle meydan okumadır ve genelde ret edilir Başarı şansı düşük olduğundan arada bir seçim edilir
Uydurma şart: bir şey ya da bir organizasyonun özelliğine kadar elde edilen bilgilerle yapılan üretilen bir şart, bir kriz veya özel bir an ile ilgili olarak bu durumdan faydalanmadır Kriz durumları anlık takviye içerir, sosyal mühendisler hedefin güvenini arttırıcı durumun gerekliliği ve destek edilme ile ilgili ortam oluştururlar Sosyal mühendislerin taktikleri reel üzerine kurulu olsa da şunu unutmamak gerekir oysa; kahramanlar gerçek tabanlı şeylere gereklilik duymaz, sadece ortalama zorunlu şeylerle çalışırlar
Ama ş isel İ kna , şahsen destek yapmayı isteyen bununla ilgili istekli insan gibi davranırlar Amaçları kuvvetli uyum değildir, gönüllüuyumlu insan anlayışına ulaşmaya çalışmaktır Çoğu bilişim teknolojisi (IT) güvenliğinde çalışan insan zorunlu bilgilerden yoksun bulunmaktadır Bu işle uğraşanlara yönelik data güvenliği farkındalığı programı uygulanmalıdır Son kullanıcı kılavuzu, güvenlik öngörüleri ve güvenlik bilgileri olmalıdır Çalışanların, sosyal mühendis riski ile ilgili eğitimi bu saldırılara karşısında kurumların savunma aracıdır Sosyal mühendisler psikoloji üstüne kurulu ve sosyal hainliklere dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George Stevens:2001) Bu çok özel hamle metodunun farkındalığında özel süreçlerde eğitim ve çalışma gerektirir
3 Dumpster Diving (Çöpleri Boşaltma)
Çöpleri karıştırma fazla kirli bir iştir, lakin ticari ve değerli bilgileri elde etme açısından fazla manâlı ve başarılı bir tekniktir Çöpleri karıştırma kulağa iğrenç gelse de, kanunî bir iştir Çöp umuma açık yer üstünde sokaklarda, geçitlerde bulunuyorsa, kolaylıkla erişilebilecek yer olarak göz önüne alınırAmerikan mahkemeleri; ticari şirketlerce erişilebilecek alanlardaki çöpler, özel mülkiyetten çıkar Bunlar yalnızca “izinsiz girilmez levhası olan yerlerde bulunuyorsa ve siz eğer izinsiz boşaltım işlemi için girmişseniz suç işlemiş olursunuz biçiminde hüküm vermektedir
Paylaşılan çöpler ile ilgili potansiyel emniyet zayıflıkları olarak; şirket telefon rehberleri, organizasyon şekilleri, kısa notlar, şirketin siyaset tarzı, toplantı zamanları, sosyal olay ve tatiller, elle yapılan sistemler, bağlantı ad ve parolalarını taşıyan hassas printer çıktıları, diskler ve kayıt üniteleri, şirket mektup başlıkları ve kısa anekdot formları, zamanı geçmiş donanımlar belirlenmiştir Çöpler, varlıklı bir bilgi kaynağı olarak iki taraflı casusluk iîmkanını sunmaktadır Yukarıda sayılan her bir vasıta bilirkişi birinin elinde birçok işe yarayabilir Konunun önemine uygun olarak, Amerika ’ da, çöpleri boşaltma ile ilgili kanun maddeleri hazırlanmıştır “lahza act concerning dumpester ing Kanun tasarısına konan bu ilke bilgisayar sistem kırma (hack) ve illegal dinleme vb ile aynı sayılarak, ticari gizliliği koruma kanunu adı aşağı başlıklandırılmıştır Çöp boşaltma kurbanı olan şirketin kendine aleyhinde bu bilgilerin kullanılması durumunda yüksek mahkeme yolu ile bunu bozma gibi bir hakkı vardır Bu şirketler hem cezayı gerektiren tazminat hakkı için dava açma hakkı elde ederler
4 Kaslı Darbe (Whacking)
Temel olarak kaslı darbe kablosuz sistem kırma (hacking) dır Kablosuz ağı (network) bakımlı dinleyen sistemlerin tümü dürüst bir radyo kanalını bulmayı ve kablosuz iletimin içinde bulunabilmeyi gerektirir Gerekli ekipman ile büro binalarının dışından sinyallerin toplanabilmesi mümkündür bir kere yüklenen bir kablosuz şebeke sistemi ile davetsiz davetli genelde şifrelenmemiş (kriptolanmamış) olarak ağdan (network) gönderilen bilgiyi toplar
5 Basit Telefon Düşmesi
Iki Taraflı bilgide (corporate espionage) telefon düşmesi diğer bir yol olarak kullanılmaktadır Dijital tescil yapan alet ile faks cihazını iletim ve kabulünü izleyen bir sistemi oluşturmak, faks cihazına bir bilgi gelmeden önce kimsenin bilgisi olmadan bir kopyasının alınması, telefon ile görüşmede bir kişinin sesleri toplanarak, banka hesabına erişmek mümkündür
Sonuç
Çağımızda bilginin kullanımı artık yetmemekte kullanılan bilginin korunması ve dinç şekilde iletilmesi ön plana çıkmaktadır Ülkemizin de bilgi politikasının değişen şartlara yerinde hâle getirilmesi bundan böyle temel bir zorunluluk hâline gelmiştir Bilginin gelinen noktada önemi ortadadır Bilgiye sahip olan, ister devlet isterse özel sektör olsun, artık ekonomik layık açıklayan bu metadan dolayı amaç hâline gelmiştir Çalışmada ortaya konan tehlikeler elbetteki aysbergin görünen kısmıdır *
